Otevřít

oXyShopy a GDPR

Nařízení o ochraně osobních údajů

6. duben 2017

Shrnuli jsme aktuálně diskutované téma GDPR (General Data Protection Regulation) do článku, v kterém objasníme, jaké zásadní změny čekají eshopery v roce 2018. Podkladem pro článek je shrnutí dostupných informací od APEKu připravených ve spolupráci s advokátní kanceláří.

Koho se GDPR týká?

Týká se vás, jako eshopera - provozovatele internetového obchodu (v GDPR terminologii správce) a týká se i oXyShopu jako poskytovatele internetových obchodů (zpracovatel). Eshoper i oXyShop spolu musejí uzavřít Smlouvu o zpracování osobních údajů podle vzorových dokumentů EU, které budou k dispozici.

Odkdy se GDPR bude eshoperů týkat?

Pravděpodobně od 25. května 2018. Znění doplňující české legislativy ještě není známo, takže budeme s napětím (a doufáme, že ne stejně dlouho, jako u EET) čekat, co nám legislativci připraví.

Co GDPR bude pro eshopera znamenat?

  • vést záznamy o činnostech zpracování osobních údajů a umístit na svůj eshop moduly, které to umožňují
  • umístit na svůj eshop moduly, implementující nová práva – právo být zapomenut a právo na přenositelnost osobních údajů
  • získat zvláštní souhlas každého zákazníka s každým typem nevyžádaných obchodních sdělení, které mu posíláte (např. zvlášť budete muset žádat o souhlas se zasíláním ceníků a zvlášť se zasíláním pozvánek do spotřebitelských soutěží)
  • upravit nejpozději k 25. květnu 2018 znění vašich Všeobecných obchodních podmínek, které už teď máte na eshopu vystavené
  • nastavit procesy a vyškolit zaměstnance tak, aby nemohlo dojít k úniku osobních údajů
  • v případě, že k úniku osobních údajů přesto dojde, nahlásit jej orgánům veřejné moci

A co to bude znamenat pro oXyShop jako poskytovatele eshopů navíc?

  • vyvinout potřebné nové moduly a provést technické změny tak, aby (budoucím) předpisům bylo učiněno zadost
  • vést záznamy o činnostech zpracování osobních údajů a vyvinout a upravit příslušné moduly, které to budou umožňovat

Co bude nyní následovat?

Znění nového zákona je velmi všeobecné a navazující dokumenty pro jednotlivé obory lidské činnosti (např. pro eshopy) ještě většinou neexistují.

Momentálně tak není zcela jasné téměř nic – nejsou dány formáty dat pro přenositelnost, postoje k anonymizaci u archívů. Není zřejmý způsob, jak přesně mají být záznamy o činnosti vedeny a v jakém rozsahu. Není zcela jasné ani to, které osobní údaje smíte po anonymizaci ponechat (protože jsou vyžadovány jinými zákony) a které ne.

Není jasné dokonce ani to, zda se vás jako malých a středních provozovatelů eshopů (pod 250 zaměstnanců) povinnost vést záznamy o činnostech zpracování vůbec bude týkat.

V tomto okamžiku můžeme poradit jediné: vyčkejte. Stejně jako u EET se dá očekávat, že i poměrně zásadní dokumenty budou k dispozici až na poslední chvíli.

Budou oXyShopy podporovat GDPR?

Ať už finální znění zákonů a vyhlášek bude jakékoliv, můžeme najisto slíbit: oXyShopy GDPR podporovat budou. A to oXyShopy na míru – i oXyShopy pronajímané.