Reforma ochrany osobních údajů v květnu 2018 (tzv. nařízení GDPR) se dotkne také provozovatelů e-shopů. Své obchodní podmínky by na tuto novinku měli připravit již nyní – čím dřív se tak stane, tím méně práce je v budoucnu čeká.
Ačkoli nová právní úprava ochrany osobních údajů nabývá účinnosti až 25. května 2018, podnikatelé provozující e-shop by měli zpozornět již nyní. Jestliže na svém e-shopu dnes používají obchodní podmínky (někdy označené jako „všeobecné obchodní podmínky“), které nové právní úpravě nevyhovují, nedopouštějí se zatím ničeho protiprávního. Platí však, že veškeré souhlasy se zpracováním osobních údajů, které od svých zákazníků získají způsobem nevyhovujícím nové úpravě, bude možné používat pouze do účinnosti GDPR. Poté již tyto souhlasy budou nepoužitelné, což v praxi znamená povinnost provozovatele takto získané osobní údaje odstranit, tedy je např. vymazat ze své databáze. Neučiní-li tak, riskuje sankce od Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“).
Nová právní úprava ochrany osobních údajů přináší poměrně velké množství novinek. Vzhledem k širokému dopadu této úpravy se však neočekává, že ÚOOÚ bude provádět hloubkové kontroly každého provozovatele e-shopu v zemi. To ale v žádném případě neznamená, že ty menší zůstanou stranou. Úředníci se však z důvodu jednoduchosti a rychlosti u malých a středních e-shopů zaměří na to, co lze zkontrolovat na dálku, tedy přes internet. Proto lze očekávat, že předmětem kontrol bude zejména správnost procesu udělení souhlasu se zpracováním osobních údajů a existence dokumentu mapujícího proces zpracování osobních údajů. O co přesně jde?
Provozovatelé e-shopů jsou dlouhé roky zvyklí mít souhlas se zpracováním osobních údajů a poučení o právech s tím souvisejících jako součást obchodních podmínek. Takový postup je však již dnes poměrně problematický a dle nové právní úpravy bude již zcela jistě protiprávní. Provozovatel bude nově muset zcela jasně oddělit obchodní podmínky od dokumentace týkající se ochrany osobních údajů – pro otázku osobních údajů tak bude potřeba vytvořit samostatný dokument. Spotřebitel pak bude při registraci do e-shopu nebo při zaslání objednávky muset kromě souhlasu s obchodními podmínkami zaškrtnutím příslušného políčka potvrdit také samostatný souhlas se zpracováním osobních údajů, a to pro každý z účelů zpracování zvlášť.
Veškeré souhlasy, které provozovatel nezískal výše popsaným způsobem, nebudou od účinnosti nové právní úpravy platné a podnikatel je tak bude muset získat znovu. Právě z tohoto důvodu je vhodné přizpůsobit dokumentaci e-shopu nové úpravě co nejdříve. Provozovatel tím zajistí, že soubor osob, k jejichž údajům bude mít souhlas dle nové úpravy a které tak nebude muset po 25. květnu 2018 odstranit, bude co největší.
Druhou novinkou, kterou může ÚOOÚ kontrolovat na dálku a která se týká každého e-shopu, je povinnost zpracovatelů osobních údajů (tedy i provozovatelů internetových obchodů) řádně zdokumentovat procesy týkající se zpracování osobních údajů. Úředníci tak mohou po provozovateli požadovat zaslání tohoto dokumentu za účelem kontroly.
Pokuty za pochybení v oblasti ochrany osobních údajů podle nařízení GDPR přitom nejsou malé – jejich výše může dosáhnout až 20 mil. EUR.
Začátkem prosince roku 2016 vydala Česká obchodní inspekce (dále jen „ČOI“) tiskovou zprávu, dle které při provedených kontrolách e-shopů zjistila porušení zákona o ochraně spotřebitele téměř u 90 % případů a udělila pokuty v celkové výši přesahující 1,3 mil. Kč. V čem provozovatelé dělají chyby?
Nejčastějším prohřeškem proti právním předpisům byla dle zjištění ČOI nekalá obchodní praktika spočívající v neposkytnutí všech zákonem stanovených informací spotřebiteli nebo v poskytnutí informací neúplných nebo zavádějících. K dalším častým porušením patří chybějící informace týkající se mimosoudního řešení sporů či neúplné informace týkající se práva na reklamaci. Lze se domnívat, že důvodem naprosté většiny porušení, a tedy i uložených pokut, je nepřehlednost a složitost právní úpravy. I zdánlivě smysluplná formulace v obchodních podmínkách totiž může být z pohledu zákona neplatná, což v očích ČOI znamená klamání spotřebitele, a tedy důvod k pokutě.
Nutnost přizpůsobit dokumentaci svého e-shopu nové právní úpravě ochrany osobních údajů tak lze kromě zátěže, kterou nepochybně pro každého podnikatele nová úprava znamená, vnímat také jako určitou příležitost odstranit chyby obchodních podmínek a vyhnout se tak pokutě ČOI.
Advokáti naší kanceláře mají bohaté zkušenosti s koncipováním a úpravami obchodních podmínek e-shopů, a to včetně problematiky ochrany osobních údajů a zasílání obchodních sdělení. Jestliže si nejste jisti, zda jsou Vaše obchodní podmínky v souladu s právními předpisy, nebo jste již od ČOI pokutu dostali a chtěli byste nedostatky odstranit, rádi Vám obchodní podmínky a související dokumenty zkontrolujeme a navrhneme potřebné úpravy. Jste-li v procesu tvorby e-shopu a obchodní podmínky zatím nemáte, jsme připraveni poskytnout Vám pomoc v podobě odborného zpracování potřebných dokumentů.
KROUPALIDÉ advokátní kancelář s.r.o.
IČO: 29310571, DIČ: CZ29310571
Společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn.
C 73338
Subjektem mimosoudního řešení sporu
se spotřebiteli je Česká advokátní komora