Bod 171 preambule obecného nařízení se zabývá přechodem souhlasů po datu použitelnosti obecného nařízení. K provozu internetového obchodu (pro účely plnění smlouvy) není nutné obstarávat souhlas se zpracováním osobních údajů. Každý provozovatel e-shopu musí vzít obecné nařízení (stejně tak jako dnes zákon č. 101/2000 Sb., o ochraně osobních údajů) v úvahu ve vztahu ke všem činnostem s osobními údaji, které provádí. Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu).

Pro úplnost je třeba upozornit, že pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy, dosud upravená zvláštními předpisy (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), budou ovlivněna přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat v 2. pol. roku 2018.

Dopadá GDPR jen na některá, např. systematická zpracování osobních údajů nebo na všechny operace s osobními údaji?

Po obsahové stránce dosavadní definici zpracování osobních údajů obecné nařízení nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty a evidencemi, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.

Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?

Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 obecného nařízení.

Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?

Smlouva o zpracování osobních údajů není novinkou, ale je již zahrnuta v zákoně o ochraně osobních údajů a to v § 6. obecné nařízení se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů by mělo být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 obecného nařízení (což už by měla obsahovat i dnes dle § 6 zákona o ochraně osobních údajů).

V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená v tuto chvíli pro podnikatele s e-shopy nejistotu?

Obecné nařízení je komplexním právním předpisem, který nahradí zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a není třeba proto čekat na adaptační legislativu. Z dílčích věcí, které mohou adaptační předpisy blíže upravovat, lze za podstatnou pro podnikání na internetu považovat stanovení věkové hranice pro udělení souhlasu dítěte v souvislosti s nabídkou služeb informační společnosti.

GDPR předpokládá vytvoření a používání nejrůznějších vzorových dokumentů a kodexů, které mají správcům a zpracovatelům pomáhat při plnění právních povinností. Budou kodexy vydány Úřadem pro ochranu osobních údajů nebo jinými orgány, třeba formou nějakého předpisu?

Z obecného nařízení vyplývá předpoklad, že kodexy chování vytvoří asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Není úkolem dozorového úřadu tyto kodexy vytvářet, ÚOOÚ však již k přípravě několika kodexů poskytl konzultace. Obecné nařízení nestanovuje povinnost kodexy vytvořit.

Připravujeme se na budoucí spuštění e-shopu. Budeme se muset registrovat i po nabytí účinnosti GDPR v květnu 2018? Bude podle GDPR odpovídat za data zákazníků provozovatel e-shopu nebo jeho pronajímatel, u kterého budou veškerá data uložena v databázi a webhostingu?

Pokud e-shop zpracovává osobní údaje v souvislosti s činnostmi spočívajícími v uzavření a plnění  kupní smlouvy, vztahuje se na něj výjimka z oznamovací povinnosti podle § 18 odst. 1 písm. b) zákona č. 101/2000 Sb., která stanoví že: ,,oznamovací povinnost se nevztahuje na zpracování, které správci ukládá zvláštní zákon, nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona.”

S účinností obecného nařízení o ochraně osobních údajů (GDPR) 25. května 2018 bude oznamovací povinnost zrušena, obecné nařízení však klade na správce osobních údajů větší odpovědnost při posouzení rizik, která mohou pro subjekty údajů ze zpracování vyplývat a stanoví i některé nové povinnosti, např. ohlašování případů porušení zabezpečení osobních údajů Úřadu.

Za zpracování osobních údajů odpovídá nyní, stejně jako po nabytí účinnosti GDPR, primárně správce osobních údajů, kterým je provozovatel e-shopu, uzavírající smlouvy se svými zákazníky. Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.