Už jen tři čtvrtě roku zbývá do účinnosti nového Obecného nařízení o ochraně osobních údajů pocházející z dílny Evropské unie (dále v textu jen „GDPR“). K 25. květnu 2018 by všechny záležitosti týkající se ochrany osobních údajů měly být uvedeny do souladu právě s GDPR. Tato povinnost se samozřejmě dotkne i veškerých e-shopů. Je na čase začít panikařit a děsit se nových povinností, nebo možná je jen moc povyku pro nic? Určitý přehled přinese tento článek. Na úvod jedna informace na uklidněnou: pokud jste doposud věnovali ochraně osobních údajů příslušnou péči v intencích zákona č. 101/2000 Sb., o ochraně osobních údajů, nemělo by GDPR pro vás představovat neřešitelné změny. Ale pěkně popořadě. Základní otázka, kterou si asi na úvod položíte, zní: týká se i mého malého e-shopu GDPR, i když mám jen pár zákazníků? Odpovíme taktéž otázkou: vyžadujete pro uzavření smlouvy jméno, bydliště, telefon či e-mail zákazníka? Pak se vás GDPR týká, neboť zmiňované jsou právě oněmi osobními údaji. Tyhle příklady jsou ovšem nasnadě, takže co dalšího rozumíme osobnímu údaji? Jedná se také třeba o zjišťování IP adresy, pokud ji Vaše doména umí zaznamenat, v případě, že v rámci osobního účtu zákazníka umožníte nahrání fotky, pak i ta je osobním údajem a máte povinnost ji chránit. Dokáže váš e-shop pomocí aplikace či otevření stránek z telefonu sledovat polohu zájemce o vaše zboží? Máte další osobní údaj zákazníka ke chránění. Obecně lze říci, že čím více osobních údajů od zákazníků vyžadujete, tím lépe je musíte chránit a zabezpečit. V souvislosti se zabezpečením jste se možná někde doslechli, že správci a zpracovatelé budou mít povinnost osobní údaje pseudonymizovat a šifrovat. Nemusíte se ale víceméně bát, že byste museli zainvestovat do drahých softwarů, šifrování a pseudonymizace je pouze jedním z nařízení navrhovaných způsobů ochrany dat. Je však také třeba vzít v potaz velikost vámi provozovaného e-shopu. Je zcela zřejmé, že jinou pozornost bude muset zabezpečení věnovat e-shop, který má dennodenně tisíce zákazníků a jeho databáze je obsáhlá, a jinou lokální e-shop, který zabezpečuje pouze pár desítek kontaktů. V každém případě musí správce či zpracovatel zavést vhodná technická a organizační opatření, která zajistí adekvátní úroveň zabezpečení odpovídající danému riziku. Ať už se rozhodnete jít cestou firemního serveru, cloudového uložiště nebo specializovaných softwarů, v každém případě se ujistěte, že vaše médium je opravdu dobře zabezpečeno a občas jej podrobte důkladnému testování. Nicméně, chybička se může vloudit vždy. Co tedy dělat v případě, že dojde k porušení na první pohled dokonalého zabezpečení osobních údajů? Pokud máte za to, že porušení může mít za následek riziko pro práva a svobody fyzických osob, je třeba toto porušení nahlásit bez zbytečného odkladu a nejlépe do 72 hodin od zjištění tzv. dozorovému úřadu, jehož funkci bude v České republice plnit Úřad pro ochranu osobních údajů (dále v textu jen „ÚOOÚ). A pokud naznáte, že určitý případ porušení zabezpečení představuje dokonce vysoké riziko pro práva a svobody fyzických osob, je potřeba o této skutečnosti bez zbytečného odkladu informovat ty, jichž se toto riziko týká. Jako jedna z průlomových změn je také prezentováno „právo být zapomenut“, tedy právo subjektu údajů na vymazání jeho osobních údajů za určitých podmínek. Ovšem když srovnáte stávající znění ustanovení § 20 odst. 1 zákona o ochraně osobních údajů a článku 17 GDPR, až tak podstatné odchylky nenaleznete, GDPR pouze mírně rozšiřuje podmínky, za kterých lze o výmaz osobních údajů žádat. Zde tedy platí, pokud jste doposud dodržovali veškeré povinnosti dle českého zákona na ochranu osobních údajů, na GDPR se připravit musíte, ale příliš obávat se ho nemusíte. Naopak výraznou změnou, kterou právě pro e-shopy GDPR zavádí, je zrušení souhlasu se zpracováním osobních údajů jako nutné podmínky pro uzavření smlouvy. Nově již tedy bude zcela jen na zákazníkovi, zda vám souhlas poskytne či ne, k uzavření smlouvy musí dojít i bez „odfajfknutí“ příslušného políčka během vytváření objednávky. Je tedy potřeba mít na paměti, že k 25. 5. 2018 musíte na internetových stránkách svého e-shopu přizpůsobit i tento aspekt tvorby objednávky a políčko pro souhlas se zpracováním osobních údajů v objednávkovém formuláři nastavit jako ryze dobrovolné. S tím souvisí také další novinka, kvůli které budete muset opět upravit nastavení vašeho e-shopu, a to konkrétně v rámci nastavení cookie v prohlížeči. Nově tak budete muset ze spodní části úvodní stránky e-shopu odstranit známí banner, který uživatele informuje o tom, že právě váš web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie a že uživatel používáním tohoto webu s tímto souhlasí. Naopak použití cookie bude opět vázáno na souhlas návštěvníka a potencionálního zákazníka vašeho e-shopu. Jedinými výjimkami, které se bez souhlasu obejdou, jsou ty cookie, které umožňují fungování nezbytných aplikací jako je nákupní košík, uložení přihlášení uživatele apod. A změn se dočkají i sankce, které mohou být za porušování GDPR ukládány. V České republice bude moci ÚOOÚ do 24. května 2018 udělit pokutu v maximální možné výši 10 000 000 Kč. Ode dne účinnosti GDPR se případné porušení povinností může do výkazů vašeho e-shopu promítnout daleko citelněji. Za řekněme menší porušení hrozí pokuta až do výše 10 000 000 EUR či do výše 2 % z celkového obratu celosvětově za předchozí rok. V případě závaznějšího porušení může pokuta atakovat částku 20 000 000 EUR či 4 % z celkového obratu celosvětově za předchozí rok. Ačkoli tyto částky vypadají děsivě, k uložení jejich horní výše dojde pravděpodobně málokdy. ÚOOÚ, který tyto pokuty bude i nadále udělovat, bude vždy zohledňovat míru porušení povinností, jejich důsledky a také to, aby pokuta měla odrazující charakter a nikoli likvidační. Ovšem pozor, pokuta může být udělena i za nepřipravenost, a protože přizpůsobení k GDPR může být otázkou i několika měsíců, je nejvyšší čas s přípravou na přizpůsobení k GDPR začít.