Stručně a přehledně k obecnému nařízení o ochraně osobních údajů (GDPR) 3. část - Vzor zásad zpracování osobních údajů pro provozovatele e-shopů, 3. část

Vydáno: 17 minut čtení

V minulých číslech jsme čtenáře informovali v obecné rovině o nové úpravě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR. Dnes bychom chtěli čtenářům poskytnout k nahlédnutí možnou podobu zásad zpracování osobních údajů pro provozovatele e-shopů, které by správci údajů měli vyhotovit a seznámit s nimi své zákazníky, a to z důvodu, že dnes na internetu prostřednictvím e-shopů obchoduje i řada menších podnikatelů, kteří by na povinnosti nařízením uložené neměli zapomínat.

Stručně a přehledně k obecnému nařízení o ochraně osobních údajů (GDPR) 3. část - Vzor zásad zpracování osobních údajů pro provozovatele e-shopů
JUDr.
Eva
Benešová,
LL.M.,
advokátka, Nezkusilová – Benešová, advokátní kancelář
Přiložený vzor s komentářem prosím vnímejte jako typizovaný, kdy nemusí odpovídat Vámi řešené situaci.
 
ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ
(dále jen „
Zásady
“)
Správce údajů, společnost ……………………, se sídlem ………………, IČ: …………………, zapsaná v obchodním rejstříku vedeném ……………………, pod sp. zn. ………………… (dále také jako „
společnost
“ nebo „
správce údajů
“) zpracovává osobní údaje zákazníků v souladu s platnými právními předpisy, tj. od 25. května 2018 v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (tzv. obecným nařízením o ochraně osobních údajů) (dále jen „
nařízení
“), jakož i v souladu s prováděcími předpisy k nařízení a související legislativou.
Níže shrnujeme důležité informace o zpracování Vašich osobních údajů, které nám poskytujete při objednávání zboží a služeb v internetovém obchodě …………………. (dále také jako „e-shop“).
Tyto Zásady upravují pravidla zpracování osobních údajů (i) osob, které se správcem údajů uzavřou smlouvu v souvislosti s předmětem činnosti správce údajů (dále také jako „kupující“), a to prostřednictvím e-shopu, jiným písemným způsobem či telefonicky, (ii) osob, kterým byl na webových stránek ………… založen klientský účet (dále také jako „potenciální kupující“) (kupující a potenciální kupující společně dále také jako „subjekt údajů“).
 
KDO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁ?
Jsme společnost ………………………, IČ: ……………………, se sídlem …………………………, tel. ………………………, e-mail ……………………………, a zabýváme se ……………………………………1). Ke spokojenosti Vás, zákazníků, s našimi službami ukládáme a v nezbytném rozsahu zpracováváme Vaše osobní údaje, které nám poskytujete při objednávání zboží a služeb v internetovém obchodě …………….
Zástupcem společnosti ………………………… je …………………………,2) kterého můžete se svými dotazy a připomínkami kontaktovat na e-mailové adrese …………………………...
Jelikož naší hlavní činností není rozsáhlé zpracování zvláštních kategorií Vašich osobních údajů (tzv. citlivé údaje) ani neprovádíme Vaše rozsáhlé pravidelné a systematické monitorování, nejsme povinni jmenovat pověřence pro ochranu osobních údajů.3)
 
JAKÉ VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁME?
Zpracováváme
Osobní údaje, které jsou nezbytné k poskytnutí zboží a služeb nabízených v e-shopu. Zpracováváme pouze osobní údaje, které nám sami poskytnete při vyplnění objednávkového formuláře v rámci e-shopu, jiným písemným způsobem či telefonicky. Nezpracováváme žádné zvláštní kategorie osobních údajů (tzv. citlivé osobní údaje). Zpracováváme tyto Vaše osobní údaje: jméno a příjmení; úplnou poštovní adresu, případně adresu dodání; telefonní číslo; e-mailovou adresu; platební údaje (číslo bankovního účtu), je-li platba za zboží a služby prováděna bezhotovostně; dříve provedené nákupy zboží a služeb v rámci e-shopu; IP adresu, z níž byla přijata objednávka;
Osobní údaje, které nám poskytnete v rámci registrace provedené na webové stránce ……………………, na základě které můžete přistupovat do svého uživatelského rozhraní a provádět objednávání zboží a služeb. Těmito údaji jsou: jméno a příjmení, e-mailová adresa, IP adresa.4)
 
JAKÝM ZPŮSOBEM VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁME?
Vaše osobní údaje zpracováváme v elektronické podobě automatizovaným způsobem nebo v tištěné podobě neautomatizovaným způsobem.5)
 
PROČ VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁME?
Vaše osobní údaje zpracováváme především za účelem:
(1) řádného (bezvadného) poskytnutí zboží a služeb nabízených v e-shopu, které jste si objednali;
A dále zejména na základě Vašeho souhlasu za účelem:6)
(2) Zasílání obchodních sdělení včetně nabídky produktů a služeb, obsahových newsletterů a při komunikaci se zákazníky (odhlásit se z přijímání obchodních sdělení je možné zakliknutím příslušného odkazu, který je k nalezení v závěru každého zaslaného e-mailového sdělení, nebo emailem s žádostí o odhlášení zaslaným na adresu: …………………………);
(3) Zlepšení kvality a obsahu e-shopu, interních analýz zákaznické poptávky subjektů údajů, údaje o návštěvě e-shopu, o prohlížených produktech a další aktivitě subjektů údajů na e-shopu. Zpracování je možné pouze po udělení Vašeho souhlasu. Na základě sesbíraných dat získává správce údajů analýzy a statistiky o Vašem chování v rámci e-shopu
(4) plnění právních povinností stanovených právními předpisy České republiky a Evropské Unie nebo
(5) pokud bude zpracování Vašich osobních údajů nezbytné pro účely našich oprávněných zájmů nebo oprávněných zájmů jiných osob; oprávněnými zájmy lze rozumět například případy ochrany našich práv a právních nároků (vymáhání dlužného plnění, ochrana práv a právních nároků správce, přímý
marketing
, ochrana majetku správce, aj.).
 
NA ZÁKLADĚ ČEHO VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁME?
7)
Vaše osobní údaje zpracováváme:
Z důvodu řádného splnění smlouvy uzavřené potvrzením objednávky zaslané v rámci e-shopu. Zejména máme zájem na řádném a včasném doručení Vámi vybraného zboží a služeb k Vašim rukám, flexibilitě v případě změn v objednávce či pokud byste požadovali její zrušení (Ad. 1);
Na základě informovaného souhlasu uděleného pro jeden či více konkrétních účelů (Ad. 2, 3);
Z důvodu nezbytnosti zpracování pro splnění právní povinnosti, která se na nás vztahuje (Ad. 4);
Z důvodu nezbytnosti zpracování pro účely našich oprávněných zájmů či oprávněných zájmů třetí strany (vymáhání dlužného plnění, ochrana práv a právních nároků správce, přímý
marketing
, ochrana majetku správce) (Ad. 5).
 
KDY MŮŽEME VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVAT I BEZ VAŠEHO SOUHLASU?
Bez Vašeho výslovného souhlasu či v případě jeho odvolání můžeme dále zpracovávat osobní údaje pouze za účelem:
Poskytnutí Vámi objednaného zboží či služby. Vezměte na vědomí, že potvrzením objednávky dochází k uzavření kupní smlouvy (postup uzavření smlouvy je blíže vysvětlen v obchodních podmínkách). Zpracovat osobní údaje za účelem splnění uzavřené kupní smlouvy můžeme i bez Vašeho výslovného souhlasu;
Splnění právních povinností, které pro nás vyplývají z obecně závazných právních předpisů;
Pokud je to nezbytné pro účely našich oprávněných zájmů (vymáhání dlužného plnění, ochrana práv a právních nároků správce, přímý
marketing
, ochrana majetku správce).
Oprávněnost zpracování osobních údajů ve shora uvedených případech je založena přímo nařízením, Vašeho souhlasu k tomuto zpracování není potřeba.
 
JAK ODVOLAT DŘÍVE POSKYTNUTÝ SOUHLAS?
Váš souhlas (resp. souhlasy) se zpracováním osobních údajů můžete kdykoli bezplatně zcela či částečně odvolat, a to prostřednictvím e-mailové zprávy zaslané na e-mailovou adresu …………………… či dopisem zaslaným na adresu ……………………. V důsledku odvolání souhlasu nebudou Vaše údaje v rozsahu takto odvolaného souhlasu dále zpracovávány, nebude-li jejich zpracování současně založeno i na jiném důvodu, který by nás k dalšímu zpracování opravňoval (jiným důvodem zpracování může být např. nezbytnost zpracování ke splnění smlouvy či z důvodu našeho oprávněného zájmu).
Odvoláním souhlasu není dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním. Odvoláním souhlasu nebudete nijak zkráceni na možnosti souhlas opětovně poskytnout. V případě odvolání souhlasu můžete v e-shopu i nadále objednávat zboží a služby.
 
PO JAKOU DOBU BUDOU VAŠE OSOBNÍ ÚDAJE ZPRACOVÁVÁNY?
Osobní údaje budeme zpracovávat:
do doby splnění práv a povinností plynoucích z uzavřené kupní smlouvy, nebo
do odvolání souhlasu, nejdéle však po dobu …. let8) od jeho udělení, budou-li osobní údaje zpracovávány výhradně na základě tohoto souhlasu, nebo
v souladu a za podmínek stanovených právními předpisy a po dobu jimi stanovenou;
osobní údaje zpracovávané na základě jiného právního důvodu budeme zpracovávat v nezbytném rozsahu a po dobu trvání příslušného důvodu.
Jakmile pominou všechny důvody pro zpracování Vašich osobních údajů, tyto zlikvidujeme ___________.9)
 
KOMU VAŠE OSOBNÍ ÚDAJE ZPŘÍSTUPNÍME?
Vaše osobní údaje poskytneme vybraným jiným osobám pouze v odůvodněných případech a v nezbytném rozsahu, jinak pouze s Vaším předchozím souhlasem. Vaše osobní údaje takto poskytneme:
Tzv. zpracovatelům osobních údajů,10) tedy osobám, s nimiž spolupracujeme a jejichž služeb využíváme. Zpracovatele si pečlivě vybíráme a spolupráci navazujeme jen s těmi, kteří poskytují dostatečné záruky bezpečného zpracování a jsou proto schopni zajistit ochranu Vašich práv. Zpracovatelé zavazujeme mj. k dodržování pokynů pro řádné zpracování Vašich osobních údajů a dále k mlčenlivosti. Mezi spolupracující zpracovatele patří zejména:11)
………………………………………….;
………………………………………….;
………………………………………….
Osobám oprávněným podle jiných právních předpisů (zejména orgány činné v trestním řízení, aj.).
S Vaším předchozím souhlasem mohou být Vaše osobní údaje zpřístupněny i dalším osobám, zveřejněny v souvislosti s naší marketingovou činností či jiným způsobem zpracovávány. Ke každému dalšímu zpracování osobních údajů přistoupíme pouze na základě Vašeho výslovného, ke konkrétnímu účelu poskytnutého souhlasu.
 
JSTE POVINNI POSKYTNOUT NÁM SVÉ OSOBNÍ ÚDAJE?
Ne. Nemáte povinnost poskytnout nám své osobní údaje. Poskytování osobních údajů je z Vaší strany dobrovolné. Vezměte však na vědomí, že v případě neposkytnutí Vašich osobní údajů v rámci objednávky v e-shopu nedojde k odeslání objednávkového formuláře ani k následnému uzavření kupní smlouvy.
 
JAKÁ MÁTE V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ PRÁVA?
V souladu s nařízením máte právo na:
přístup k osobním údajům;
opravu osobních údajů;
výmaz osobních údajů (právo být zapomenut);
omezení zpracování;
přenositelnost údajů;
vznést námitku proti zpracování;
odvolání souhlasu se zpracováním osobních údajů, je-li zpracování prováděno na jeho základě;
podání stížnosti u dozorového úřadu.
Shora uvedená práva (podrobnosti viz níže) můžete uplatňovat na e-mailové adrese ………………………, dopisem zaslaným na adresu ………………………. nebo telefonicky, není-li dále uvedeno jinak.
Případné dotazy či připomínky můžete adresovat na e-mailovou adresu …………………………….
 
a) Právo na přístup k osobním údajům
Máte právo získat od nás potvrzení, zda osobní údaje, které se Vás týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, máte právo získat přístup k těmto osobním údajům a k informacím v následujícím rozsahu: účel zpracování; kategorie dotčených osobních údajů; příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny; plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; existence práva požadovat od správce opravu nebo výmaz osobních údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování; právo podat stížnost u dozorového úřadu; skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4.12)
Vezměte na vědomí, že velká část shora uvedených informací je již součástí těchto zásad. Dříve, než položíte dotaz, resp. žádost o poskytnutí osobních údajů, pokuste se vyhledat vyžadované informace v tomto dokumentu.
 
b) Právo na opravu nebo výmaz, popřípadě omezení zpracování
V případech stanovených nařízením máte právo požádat o opravu nebo doplnění nesprávných nebo neúplných osobních údajů. Dále máte právo požádat o výmaz osobních údajů, pokud odpadl nebo není dán důvod pro jejich zpracování. V neposlední řadě máte právo požádat o omezení zpracování osobních údajů v případě, že:
Máte za to, že jsou Vaše zpracovávané osobní údaje nepřesné;
Máte za to, že zpracování je protiprávní a současně nemáte zájem o výmaz osobních údajů;
Jste vznesli požadavek na poskytnutí osobních údajů za účelem určení, výkonu nebo obhajoby právních nároků;
Jste vznesli námitku proti zpracování podle nařízení.
 
c) Právo vznést námitku
13)
Máte právo kdykoli vznést námitku proti zpracování svých osobních údajů zpracovávaných pro účely oprávněných zájmů (vymáhání dlužného plnění, ochrana práv a právních nároků správce, přímý
marketing
, ochrana majetku správce).
 
d) Právo na přenositelnost údajů
Máte právo (za podmínek stanovených v nařízení) získat své osobní údaje a předat je jinému správci osobních údajů.
 
e) Právo podat stížnost u dozorového úřadu
Máte právo podat stížnost u dozorového úřadu, pokud se domníváte, že zpracování osobních údajů je v rozporu s nařízením. Dozorovým úřadem je Úřad pro ochranu osobních údajů (www.uoou.cz).
 
JAKÝM ZPŮSOBEM JSOU VAŠE OSOBNÍ ÚDAJE ZABEZPEČENY?
14)
Vaše osobní údaje se snažíme maximálně zabezpečit. Za tím účelem jsou k nakládání s osobními údaji oprávněni pouze naši vybraní zaměstnanci. Veškeré Vaše osobní údaje jsou uloženy na ……………….., kdy přístup k nim je zabezpečen heslem a ………………………. Osobní údaje nejsou poskytovány třetím osobám, není-li výše uvedeno jinak.
Zabezpečení Vašich osobních údajů pravidelně kontrolujeme, testujeme a rozvíjíme tak, abychom omezili nebezpečí související s případným únikem osobních údajů či jejich zneužitím.
1) Zde vyplní správce předmět své podnikatelské činnosti, tedy tu informaci, co se na jeho e-shopu obchoduje.
2) Uvedení zástupce společnosti není povinné. Lze jej zcela vynechat. Pokud byste si však přáli, aby dotazy, připomínky a žádosti směřovaly na jednu konkrétní osobu, můžete ji zde uvést.
3) Alternativně může vzniknout povinnost pověřence jmenovat, vždy však bude zapotřebí posoudit, jak rozsáhlé zpracování poskytnutých údajů bude, aby bylo jmenování pověřence vyžadováno.
4) Jedná se o návrh druhů zpracovaných osobních údajů. Vždy musí být upraveno dle aktuálního stavu. Dále upozorňujeme, že nad rámec již vyjmenovaných osobních údajů musí mít zpracování každého osobního údaje svůj účel (důvod, pro který je vyžadován) a právní základ.
5) Jedná se o návrh, opět nutné upravit dle reálného stavu.
6) Lze libovolně doplnit. Zde uvedené musí být v souladu se zněním souhlasu, tj. v souhlasu musí být obsaženy všechny účely zpracování, pro které je souhlas poskytován. Doporučujeme maximálně konkretizovat. Například první bod („zkvalitnění našich služeb“) je vymezen poměrně vágně. Lze doplnit např. „zkvalitnění našich služeb, spočívající například v ………………………“).
7) Každý zpracovávaný OÚ může být správcem zpracováván pouze, existuje-li některý z (nařízením upravených) právních důvodů zpracování. Důvody zpracování jsou vymezeny v čl. 6 odst. 1, písm. a) až f) nařízení. Pro provozování e-shopu se zejména uplatní zde uvedené důvody [písm. a), b), c) a f) článku 6 nařízení].
8) Necháváme k úvaze každému správci. Doba však nesmí být zjevně nepřiměřená (např. 50 let).
9) Doporučujeme blíže vymezit, jakým způsobem budou OÚ zlikvidovány (např. anonymizací, výmazem, skartací aj). Zlikvidované údaje však nesmí být obnovitelné. Musí se jednat o definitivní likvidaci.
10) Správce údajů má povinnost uzavřít s každým zpracovatelem údajů písemnou smlouvu, která musí mít náležitosti uvedené v čl. 28 odst. 3 nařízení.
11) Výčet by měl být úplný. Nelze-li toho docílit, uveďte alespoň zpracovatele, se kterými spolupracujete opakovaně, tj. dlouhodobě. Subjekt údajů musí být obeznámen s tím, komu jsou jeho OÚ dále poskytovány v rámci zpracování. Bude se jednat např. o doručovatele (dopravní společnosti) a dále případné další zpracovatele, např. osoby, kterým poskytujete údaje za účelem analýzy návštěvnosti webu; osoby zajišťující technický provoz určité služby; osoby zajišťující zabezpečení služeb a webu; poskytovatelé platebních brán (platebních karet); obchodní partnery či sponzory; provozovatele reklamních systémů nebo provozovatelé technických řešení.
12) Předpokládáme, že v rámci provozování e-shopu většinou nedochází k
automatizovanému rozhodování
. Automatizovaným rozhodováním se rozumí zpracování zadaných informací a následné vyvození závěru, který má pro subjekt údajů právní účinky (zasahuje do jeho práv nebo povinností), a to výlučně elektronicky, tj. bez lidského zásahu. Jako příklad lze uvést automatizované zamítnutí on-line žádosti o úvěr. K
profilování
by v rámci provozování e-shopu mohlo docházet. Profilováním se rozumí jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká. Pokud by v rámci provozování e-shopu docházelo k profilování či automatizovanému zpracování, bude nutné zásady doplnit o další informace (a to o „smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů“).
13) Dle čl. 21 odst. 3 nařízení musí být subjekt údajů na právo podat námitku výslovně upozorněn. Upozornění na právo podat námitku musí být uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů. Doporučujeme proto zvýraznit tuto část textu. S ohledem na shora řečené doporučujeme toto právo uvést (vedle zmínky o právu podat námitku v rámci těchto zásad) i odděleně, tj. například odkazem na samostatný formulář, prostřednictvím kterého bude možné námitku podat, či jen odkaz, kde bude k právu podat námitku uvedeno více informací.
14) Je třeba doplnit, resp. upravit podle skutečného stavu, a to i včetně jednoduchého technického popisu zabezpečení (šifrování, pseudonymizace, heslování, apod.).

Související dokumenty