10.3.2.2
Ochrana osobních údajů a GDPR v e-shopu
Mgr. Milan Vaňkát
NahoruOchrana osobních údajů
V současné době se ochrana osobních údajů řídí platným a účinným zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon ukládá provozovatelům e-shopů řadu povinností, a to především v oblasti bezpečnosti a informovanosti vůči zákazníkům. Je třeba zdůraznit, že od 24. 5. 2018 bude účinné zásadní Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jako "GDPR").
Dále je v této souvislosti vhodné zmínit, že se připravuje nový zákon o zpracování osobních údajů, který nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, který má být adaptovaný na GDPR, a zčásti má implementovat i směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Není zcela na jisto postaveno, zda bude uvedený zákon přijat včas, a proto se budeme dále zabývat především GDPR.
Účelem této lekce je poskytnout základní informace k ochraně osobních údajů a s tím souvisejících problémů, a to především z pohledu GDPR. Budeme se tedy zabývat základními pojmy, otázce správce a zpracovatele osobních údajů a v neposlední řadě i problematice obchodních sdělení.
NahoruVymezení základních pojmů
Ačkoli je GDPR právem hodnoceno jako průlomové nařízení EU v rámci ochrany osobních údajů, je třeba uvést, že základní pojmy a povinnosti se od současné právní úpravy zásadně neliší. Přesto je vhodné pro úplnost připomenout některé základní pojmy, které se k problematice osobních údajů vztahují, neboť s nimi bude dále v lekci pracováno.
NahoruOsobní údaj
Osobním údajem se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Taková osoba je subjektem údajů. Osobními údaji jsou tak mimo jiné jméno, příjmení, datum narození, místo pobytu a další údaje, které provozovatel e-shopu (podnikatel prodávající zboží prostřednictvím internetového obchodu) zjišťuje od spotřebitele, aby mohl splnit své povinnosti z kupní smlouvy uzavírané distančním způsobem, tedy objednané zboží spotřebiteli dodat.
Zvláštní kategorií osobních údajů se rozumí takové údaje, které jsou vymezeny v čl. 9 GDPR a vypovídají mj. o rasové či etnické příslušnosti, filosofickém či náboženském přesvědčení, nebo též o stavu či sexuální orientaci. Zpracování takových osobních údajů je možné pouze, je-li naplněn právní titul pro takové zpracování, tedy pokud je dán některý z důvodů zpracování uvedených v čl. 9 odst. 2 GDPR (například zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů, či zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí atd.).
NahoruZpracování osobních údajů
Zpracováním osobních údajů se rozumí operace či soubor operací s osobními údaji, které jsou prováděny automatizovaně či neautomatizovaně. Příkladem zpracování osobních údajů je jejich zaznamenání, uložení, utřídění, rozdělení, ale též výmaz či zničení. Jakmile podnikatel provádí takovéto operace, stává se správcem osobních údajů, a jako takový má další práva a povinnosti.
NahoruSprávce a zpracovatel osobních údajů
Správcem osobních údajů je fyzická či právnická osoba, která určuje účel a prostředky zpracování osobních údajů. Zpracovatel osobních údajů je fyzická či právnická osoba, který zpracovává osobní údaje pro správce. Zpracovatel může provádět zpracování pro správce pouze na základě smlouvy. V této smlouvě musí být stanoven zejména předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a rovněž práva a povinnosti správce (dále v podrobnostech především viz čl. 28 odst. 3 GDPR).
NahoruSouhlas
Souhlasem se rozumí projev vůle subjektu údajů, který je svobodný, konkrétní, informovaný a jednoznačný. Na základě uděleného souhlasu je správce oprávněn zpracovávat osobní údaje subjektu údajů. Souhlas může být dán písemně, elektronicky či ústně. Musí se však jednat o projev vůle subjektu údajů, a proto není možné, aby při elektronickém udělení souhlasu bylo zaškrtávací políčko předvyplněno. V takovém případě by nešlo o svobodné vyjádření vůle. Správce údajů musí vždy být schopen souhlas subjektu údajů doložit. Z uvedeného důvodu nelze doporučit, aby byl souhlas přijímán správcem pouze ústně, ačkoli to GDPR umožňuje. Souhlas nesmí být vázán na poskytnutí zboží či služby, neboť by opět nešlo o svobodně vyjádřenou vůli. Jestliže je souhlas dáván písemným prohlášením, které se týká i jiných skutečností, musí být od těchto skutečností jasně oddělen.
NahoruData breach
Incidentem se rozumí únik osobních údajů, tzv. "data breach". Pro představu o data breaches je možné uvést medializované kauzy s úniky dat o zákaznících společností, které se týkaly například společnosti T-Mobile Czech Republic a. s. a Mall, a. s.
NahoruSprávce osobních údajů
Ať již správce osobních údajů provádí zpracování sám, nebo za tím účelem uzavře smlouvu se zpracovatelem, vždy musí splnit některé povinnosti. Je ale třeba zdůraznit, že odpovědný za zpracování osobních údajů a za jejich ochranu je vždy správce. Pokud jde o některé z nejdůležitějších povinností správce, jde zejména o následující.
Správce musí stanovit účel zpracování osobních údajů. Vedle toho musí též určit prostředky zpracování osobních údajů.
Správce též musí subjekt údajů informovat o zpracování a umožnit mu přístup k osobním údajům. Zde je třeba zmínit, že GDPR rozlišuje situace, kdy správce získá osobní údaje buď přímo od subjektu údajů, anebo je nezíská přímo od subjektu údajů. V prvním případě musí správce poskytnout tyto informace: totožnost a kontaktní údaje na svoji osobu či svého zástupce, kontaktní údaje na pověřence pro ochranu osobních údajů, účel zpracování a jeho právní základ, dobu uložení osobních údajů, případně kritéria pro určení této doby, pokud ji není možné určit přesně, existenci práva požadovat přístup k osobním údajům a existenci možnosti podat stížnost u dozorového orgánu, a další informace, které jsou uvedeny v čl. 13 odst. 1 a 2 GDPR.
Ve druhém případě, tj. v situaci, kdy osobní údaje nejsou získány přímo od subjektu údajů, je třeba splnit povinnosti uvedené v čl. 14 odst. 1 a 2. Tyto povinnosti z velké částí kopírují povinnosti uvedené výše. Pokud jde o povinnosti, které se vztahují pouze na tento případ, jde například o povinnost správce poskytnout informaci o kategorii osobních údajů, zdroj, ze kterého osobní údaje pocházejí, skutečnost, že dochází k automatizovanému rozhodování včetně profilování, a další, které jsou uvedeny v čl. 14 odst. 1 a 2 GDPR.
Dále má subjekt údajů právo, a tomuto právu odpovídá povinnost správce, na informaci o tom, zda jsou či nejsou osobní údaje subjektu údajů zpracovávány, a má též právo na přístup k těmto údajům.
NahoruPrávo být zapomenut
Mezi právo subjektu údajů, kterému opět odpovídá povinnost správce, patří i tzv. právo "být zapomenut". Toto právo subjektu údajů pro správce znamená povinnost vymazat osobní údaje, a to ve chvíli, kdy je splněn jeden z následujících důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly zpracovány,
b) subjekt údajů odvolá svůj souhlas se zpracováním osobních údajů a není dán žádný další právní důvod pro zpracování,
c) osobní údaje byly zpracovány protiprávně,
d) subjekt údajů vznese námitky proti zpracování osobních údajů,
e) osobní údaje musí být vymazány, aby byla naplněna právní povinnost stanovená zákonem či právem EU,
f) osobní údaje byly shromážděny s nabídkou služeb informační společnosti ve prospěch dítěte (viz čl. 8 GDPR).
Právo na přenositelnost údajů vznáší na správce osobních údajů další nároky vůči subjektu údajů. Správce osobních údajů musí subjektu údajů veškeré osobní údaje o něm předat ve strukturovaném a běžně používaném strojově čitelném formátu. Zároveň, pokud o to subjekt údajů požádá, má správce povinnost jeho osobní údaje ve výše uvedené podobě předat přímo dalšímu správci osobních údajů. Zároveň však musí být pro správce takové předání technicky proveditelné.
Jak již bylo uvedeno, odpovědnost za zpracování osobních údajů a za jejich bezpečí je vždy na správci osobních údajů, a proto se budeme věnovat i tomu, co by měl správce udělat pro to, aby se v rámci ochrany osobních údajů nedostal do střetu se svými povinnostmi.
NahoruOdpovědnost správce osobních údajů
O odpovědnosti správce hovoří obecně čl. 24 GDPR, který správci dává za povinnost přijmout vhodná technická a organizační opatření, jejichž cílem je zajistit soulad zpracování osobních údajů s GDPR. Dále má správce povinnost tato přijatá opatření dle potřeby revidovat a aktualizovat.
Z výše uvedeného tak vyplývá, že než správce započne se zpracováním osobních údajů, měl by provést, nebo nechat si provést, analýzu rizik, ze které by pro něj mělo vyplynout, jaké potencionální nebezpečí ve vztahu k jeho činnosti osobním údajům hrozí.
Správce by měl, ve smyslu obecného výkladu GDPR, především minimalizovat množství osobních údajů, které shromažďuje, a rovněž by měl pomocí vhodných technických (např. heslo k databázi) a organizačních (např. vnitřní směrnice s uvedením osob, které mají k zaheslované databázi přístup) opatření zajistit, aby osobní údaje nebyly zpřístupněny neomezenému množství osob.
GDPR se problematice zabezpečení osobních údajů věnuje v čl. 32 an GDPR. V těchto článcích jsou navrženy některé zabezpečovací techniky, jejichž přijetí by měl správce před zpracováním osobních údajů zvážit. Jedná se především o pseudonymizaci a šifrování osobních údajů. Pseudonymizací rozumíme zpracování osobních údajů takovým způsobem, kdy bez dodatečných informací není možné osobní údaje přiřadit ke konkrétnímu subjektu údajů. Aby však byl proces pseudonymizace úplný, je třeba dodatečné informace vedoucí k jednoznačné identifikaci fyzické osoby – subjektu údajů – udržovat odděleně a vztahují se na ně technická a organizační opatření. Dále má správce povinnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování osobních údajů a rovněž schopnost obnovit dostupnost osobních údajů v případě fyzického či technického incidentu. Za účelem naplnění ochrany osobních údajů by měl správce provádět pravidelné testování a vyhodnocování nastavených ochranných procesů a mechanismů.
Povinnost hlásit dozorovému úřadu (tj. Úřadu pro ochranu osobních údajů) bezpečnostní incident ve vztahu k osobním údajům má správce osobních údajů v případě, kdy dojde k porušení bezpečnosti osobních údajů. Tato povinnost pro správce znamená nejdéle do 72 hodin od okamžiku, kdy se o incidentu dozvěděl, nahlásit tuto skutečnost Úřadu pro ochranu osobních údajů. Toto hlášení musí obsahovat identifikaci incidentu a uniklých dat a pravděpodobné důsledky takového porušení ochrany dat. V případech uvedených v čl. 34 GDPR (pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.) má správce povinnost hlásit takový incident i subjektům údajů, jichž se tento incident týká.
NahoruPověřenec pro ochranu osobních údajů
Výše byl rovněž uveden pojem "pověřenec pro ochranu osobních údajů", ke kterému lze uvést alespoň ve stručnosti následující. Jmenovat pověřence pro ochranu osobních údajů musí správce vždy, když hlavní činnost správce nebo zpracovatele spočívá v operacích zpracování, které vyžadují rozsáhlé, pravidelné a systematické monitorování občanů, případně hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování citlivých údajů. Pověřenec pro ochranu osobních údajů je nezávislou osobou, která je odpovědná přímo vedení správce osobních údajů. Z praktického hlediska je třeba dodat, že takovou osobou může být jmenován i firemní (in-house) právník, a to v případě, že má odborné znalosti a praxi v oboru osobních údajů. Úkoly pověřence pro ochranu osobních údajů jsou uvedeny v čl. 39 GDPR. Pověřenec pro ochranu osobních údajů vykonává dle čl. 30 odst. 1 GDPR alespoň tyto úkoly:
a) poskytování informací a poradenství správcům nebo zpracovatelům a zaměstnancům, kteří provádějí zpracování, o jejich…