Obecné nařízení o ochraně osobních údajů (GDPR) je komplexní zákon o ochraně údajů, který upravuje zpracování osobních údajů fyzických osob v rámci Evropské unie (EU) a Evropského hospodářského prostoru (EHP). E-shopy, stejně jako každá jiná organizace, která shromažďuje a zpracovává osobní údaje, musí splňovat požadavky GDPR. Zde je několik klíčových pravidel a zásad GDPR, které musí e-shopy zvážit:
- Právní základ pro zpracování: E-shopy musí mít zákonný základ pro zpracování osobních údajů. Může se jednat o získání výslovného souhlasu fyzických osob, zpracování údajů pro plnění smlouvy, dodržování zákonných povinností, ochranu životně důležitých zájmů nebo oprávněných zájmů sledovaných e-shopem nebo třetí stranou.
- Transparentnost a informace: E-shopy musí jednotlivcům poskytovat jasné a transparentní informace o tom, jak jsou jejich osobní údaje shromažďovány, zpracovávány a používány. Tyto informace by měly být sdělovány stručným, snadno dostupným a srozumitelným způsobem, obvykle prostřednictvím zásad ochrany osobních údajů nebo oznámení.
- Omezení účelu: E-shopy by měly shromažďovat a zpracovávat osobní údaje pouze pro konkrétní, explicitní a legitimní účely. Osobní údaje by neměly být dále zpracovávány způsobem, který je neslučitelný s původním účelem, pro který byly shromážděny.
- Minimalizace dat: E-shopy by měly shromažďovat a zpracovávat pouze osobní údaje, které jsou nezbytné pro účely, pro které jsou zpracovávány. Údaje by měly být omezeny na to, co je relevantní, přiměřené a nikoli nadměrné ve vztahu k účelům, pro které jsou zpracovávány.
- Přesnost: E-shopy odpovídají za zajištění přesnosti a integrity osobních údajů, které shromažďují a zpracovávají. Měla by být přijata přiměřená opatření, aby byly osobní údaje přesné, aktuální a relevantní pro účely, pro které jsou zpracovávány.
- Zabezpečení dat: E-shopy musí zavést vhodná technická a organizační opatření k zajištění bezpečnosti osobních údajů před neoprávněným či nezákonným zpracováním, náhodnou ztrátou, zničením nebo poškozením. To zahrnuje opatření, jako je šifrování, řízení přístupu a pravidelná bezpečnostní hodnocení.
- Práva subjektu údajů: GDPR uděluje jednotlivcům (subjektům údajů) určitá práva týkající se jejich osobních údajů. Tato práva zahrnují právo na přístup k jejich údajům, právo na opravu, právo na výmaz (také známé jako právo být zapomenut), právo na omezení zpracování, právo na přenositelnost údajů a právo vznést námitku proti zpracování.
- Oznámení o narušení údajů: E-shopy jsou povinny bez zbytečného odkladu informovat příslušný dozorový úřad a dotčené fyzické osoby v případě porušení zabezpečení osobních údajů, které pravděpodobně povede k ohrožení práv a svobod fyzických osob .
- Mezinárodní přenosy dat: Pokud e-shop přenáší osobní údaje mimo EU/EHP, musí zajistit, aby byly k ochraně dat zavedeny adekvátní záruky, jako je použití standardních smluvních doložek, závazných firemních pravidel, popř. opírající se o rozhodnutí Evropské komise o přiměřenosti.
- Jmenování pověřence pro ochranu osobních údajů (DPO): Některé e-shopy mohou mít povinnost jmenovat pověřence pro ochranu osobních údajů (DPO), který bude dohlížet na dodržování GDPR, zejména pokud se zabývají rozsáhlým zpracováním osobních údajů nebo zpracováním citlivé kategorie údajů pravidelně.
Je důležité, aby e-shopy důkladně vyhodnotily své činnosti související se zpracováním dat, zavedly vhodné zásady a postupy a pravidelně kontrolovaly a aktualizovaly své úsilí o dodržování předpisů, aby bylo zajištěno trvalé dodržování požadavků GDPR. Nedodržení GDPR může vést k vysokým pokutám a sankcím. Proto může být pro zajištění souladu s nařízením vhodné vyhledat právní radu nebo se poradit s odborníky na dodržování GDPR.