V květnu příštího roku 2018 vstoupí v rámci celé Evropské unie v platnost nové nařízení o ochraně osobních údajů GDPR (General Data Protection Regulation), které v Česku nahradí současnou směrnici o ochraně osobních údajů. Sankce za nedodržení mohou vyšplhat do výše 20 milionů eur (přes 0,5 miliardy Kč) nebo 4 % celkového ročního obratu dané firmy. Nařízení se bude týkat všech firem a institucí, ale i jednotlivců a online služeb v rámci celé Evropské unie, které shromažďují nebo zpracovávají osobní údaje.
Obecné nařízení o ochraně osobních údajů bylo schváleno 27. dubna 2016 a bude platit jak pro všechny evropské firmy, instituce či online služby, tak i pro ty mimoevropské, které ale působí na evropském trhu. Jeho hlavním cílem je dát občanům větší kontrolu nad tím, jak se zachází s jejich citlivými osobními údaji a zároveň jim poskytnout větší ochranu.
„Jméno, adresa, datum narození, rodné číslo či informace o platební kartě, to jsou data, jejichž zneužití může mít pro člověka fatální následky. Proto dochází k zavádění nových, přísnějších opatření, kterým se nevyhnou ani e-shopy, neboť právě ty s osobními daty svých zákazníků pracují každý den. S novou legislativou dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo cookie v zařízení uživatele. Úplně novou kategorií jsou pak genetické a biometrické údaje,“ vyjmenovává Miroslav Uďan, ředitel platformy pro e-shopová řešení Shoptet.
Spotřebitelé budou mít s novým nařízením přístup k datům, které o nich společnosti shromažďují. Zároveň budou mít právo požádat obchodníka o smazání či takzvané zapomenutí osobních údajů, pokud nebude existovat další právní důvod pro jejich zpracování.
Se zavedením GDPR souvisí i princip zodpovědnosti. Podle něj budou mít správci a zpracovatelé osobních údajů povinnost zavést technická, organizační a procesní opatření, která povedou ke zvýšení ochrany dat a ke snížení rizika jejich zneužití. Prodejci budou muset dokumentovat, že zpracovávají opravdu pouze takové údaje, které jsou ke konkrétnímu účelu nezbytně nutné. Všechny záznamy poté musí na žádost zpřístupnit dozorovým orgánům, jež budou veškeré povinné operace monitorovat.
Vysoké náklady, ale sjednocení trhů
„Sankce se budou týkat všech bez výjimky, tedy i těch nejmenších e-shopů. Kromě toho mohou být majitelé e-shopů navíc vystaveni žalobám od zákazníků s nárokem na odškodnění v případě hmotné či nehmotné újmy. Je proto potřeba být na příchod nového opatření opravdu dobře připraven,“ nabádá Uďan. Na nařízení se proto e-shopy chystají už s ročním předstihem. „Alza.cz má implementovánu politiku ochrany osobních údajů v souladu s platnými právními předpisy. Nicméně GDPR přináší další nová kritéria. Ta analyzujeme tak, abychom příští rok v květnu byli připraveni. Změny budou nutné nejen v nastavení serverů, ale i v celkovém nastavení e-shopu. To s sebou přinese značné náklady,“ uvedla pro Retailek Patricie Šedivá, mluvčí Alzy.
Pro e-shopy, které působí na více zahraničních trzích, může být sjednocení legislativy pozitivní. „Osobní data se snažíme už nyní maximálně chránit. Sjednocení legislativy v rámci Evropské unie je pro nás i výhodou, protože působíme nejen v Česku, ale také v Polsku a na Slovensku. A každá země má svá specifika, kterým už nebude nutné se přizpůsobovat. V některých prvcích, které zákon ukládá, může jít jen o vyladění maličkostí. Například u jasného souhlasu s cookies. Náš zákazník s nimi při návštěvě Feedo.cz vyjadřuje srozumění, možná bude jen nutné změnit formulaci, aby bylo řečeno jasné ‚ano, souhlasím‘,“ vysvětluje Martin Molčan, zakladatel a jednatel e-shopu s dětským zbožím Feedo.cz. Podle něj zatím e-shop žádné konkrétní kroky k implementaci nepodnikl. „Zákon vstoupí v platnost až za 400 dnů. Naše právní oddělení má zatím za úkol připravit návrhy pro stávající i budoucí dokumentaci, potom vše doladíme,“ doplnil Molčan.
Na nové opatření se chystá také skupina e-shopů Mall Group, dvojka na českém trhu. „Děje se tak vzhledem k poměrně obecnému a širokému zadání nové směrnice o GDPR. Projekt bude mimo jiné zahrnovat analýzu současného stavu práce s osobními údaji, vyhodnocení rozdílu mezi současnými a novými požadavky a následně i postupnou implementaci opatření. Analýzu zahájíme během letošního května, realizace požadavků by měla proběhnout do května 2018, kdy vstoupí nařízení v platnost,“ sdělil Jan Řezáč, PR manažer e-shopu Mall.cz, který pod Mall Group patří.