GDPR a praxe internetových obchodů / třetí osoba

Mezinárodní advokátní kancelář Taylor Wessing se věnuje problematice GDPR intenzivně již více jak rok. V současné době zaznamenala množství dotazů v souvislosti s jeho implementací do praxe internetových obchodů. Aniž by totiž zájemce o nákup v internetovém obchodě cokoliv objednal, už pouze prostřednictvím své návštěvy mobilní aplikace nebo webové stránky poskytuje e-shopu cenné informace o svých preferencích. Tyto informace slouží k zobrazování tzv. personalizované reklamy, k zasílání obchodních sdělení, a to nejen s nabídkou e-shopu, ale dalších subjektů, se kterými e-shop shromážděné osobní údaje sdílí. Pomoc s orientací v této oblasti nabízí Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha.

To vše vede nutně k potřebě provozovatelů e-shopů zpracovávat osobní údaje svých zákazníků a povinnosti zajišťovat jejich bezpečnost. Provozovatel e-shopu je ve smyslu stávajícího zákona o ochraně osobních údajů i GDPR tzv. správcem osobních údajů. Správcem osobních údajů je každý subjekt, který zejména určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Správce je pak primárně odpovědný za zpracování osobních údajů, mimo jiné také za to, že osobní údaje zpracovává pouze zákonným způsobem. A Pomaizlová dodává: “Pokud využije pro zpracování osobních údajů služeb třetí osoby, byť by se jednalo jen o uložiště osobních údajů, musí uzavřít s takovým dodavatelem služeb – zpracovatelem osobních údajů – písemnou smlouvu, i on-line. To v praxi samo o sobě ale nestačí. Správce by měl přistupovat k výběru dodavatele služeb zpracování osobních údajů zodpovědně a provést si vyhodnocení důvěryhodnosti a profesionality poskytovatele a schopnosti zajistit bezpečné zpracování osobních údajů.”

GDPR oproti současnému zákonu o ochraně osobních údajů výslovně umožňuje zpracovateli, aby využil pro zpracování osobních údajů dalšího subdodavatele. Musí však dbát na to, aby svému subdodavateli uložil povinnosti ve stejném rozsahu, jaké na sebe převzal vůči správci osobních údajů (např. provozovateli e-shopu). Nesplní-li tento subdodavatel své povinnosti, odpovídá zpracovatel správci za plnění svého subdodavatele, jako by byl plnil sám. “GDPR omezuje využítí dalšího subdodavatele zpracovatelem, když požaduje, aby zpracovatel získal nejdříve souhlas správce. Z tohoto důvodu bude nutné přehodnotit a upravit stávající smlouvy mezi správci a zpracovateli osobních údajů,” upozorňuje Pomaizlová.

Česká republika patří mezi pět zemí s nejvyšším podílem prodeje po internetu na maloobchodě v rámci celé EU, tedy vlastně je „e-shopovou velmocí“. S rostoucí oblibou nákupů on-line se zvyšuje i důležitost regulace ochrany osobních údajů zákazníků e-shopů. Potřeba aktualizace a jednotné úpravy ochrany osobních údajů v Evropské unii vyústila v  přijetí jednotného právního předpisu s přímou účinností na celém území EU  – obecného nařízení o ochraně právních údajů, pro které se již vžilo označení GDPR (General Data Protection Regulation).  Nařízení bude účinné od 25. května příštího roku a aplikaci jeho ustanovení se nevyhnou ani subjekty provozující internetové obchody.  

O Taylor Wessing:

Taylor Wessing je mezinárodní advokátní kancelář poskytující svým klientům celosvětově kompletní servis ve všech odvětvích jejich podnikání. Více než 1 200 právníků přistupuje k poradenství cílevědomě a o obchodních záležitostech klientů přemýšlí inovativně, čímž jim pomáhá uspět zejména v rychle se rozvíjejících oblastech. Taylor Wessing podporuje své klienty všude tam, kde chtějí podnikat. Celkem 33 kanceláří v Evropě, na Středních východě a v Asii, stejně tak dvě kanceláře v USA, nejsou jen symbolickým zastoupením;  jedná se o týmy se znalostí místního obchodního, průmyslového a kulturního prostředí, ale zároveň s mezinárodní zkušeností, která advokátní kanceláři umožňuje vždy poskytovat efektivní a integrovaná řešení.