Považuje platná legislativa poskytnutí dat jako jsou jméno, příjmení, adresa nebo e-mail, které po vás při registraci žádá skoro každý elektronický obchod, freemailová služba, ale také např. klubový nebo odborný web, za shromažďování a uchovávání osobních údajů? Musí e-shopy a další portály tuto činnost ohlásit nebo dokonce žádat o souhlas Úřad pro ochranu osobních údajů? Jaká práva a povinnosti vyplývají z příslušného zákona pro sféru e-komerce?

Zeptejte se přímo u kováře…

V diskuzích o provozu elektronických obchodů často sklouzne řeč na téma registrací a nakládání s údaji, které o sobě zákazník uvede. Aby obchodník mohl virtuálně zakoupené zboží doručit, musí objednatele požádat nejméně o jeho jméno, příjmení a poštovní adresu. To jsou ale podle znění zákona informace, které subjekt jednoznačně identifikují. Jedná se o osobní údaje, které je třeba chránit. Názory na to, jak zákon 101/2000 Sb. v tomto konkrétním případě vykládat, se značně liší, proto jsem se rozhodl požádat o stanovisko přímo Úřad pro ochranu osobních údajů. Zde je jeho odpověď:

ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ
Havelkova 22, 130 00 Praha 3
Telefon: 221008227, Fax: 222717680
Vážený pane doktore,
Úřad pro ochranu osobních údajů obdržel Váš dotaz ze dne 17. září 2002 týkající se aplikace zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v platném znění (dále jen zákon), ve vztahu k elektronickým obchodům.
Jak ve svém dopisu uvádíte, kupující se mohou při elektronickém obchodu registrovat, tedy poskytnout některé informace majiteli elektronického obchodu. Při posuzování, zda se na tento případ bude zákon aplikovat, je třeba v prvé řadě určit, jestli jsou tyto informace osobními údaji. Podle § 4 písm. a) zákona je osobním údajem jakýkoliv údaj týkající se fyzické osoby, kterou lze identifikovat. Poskytne-li tedy kupující údaj o jménu, příjmení a bydlišti, jedná se o údaje osobní. Ovšem například E-mailová adresa (pokud není jejím obsahem osobní údaj) v kombinaci s údajem o místu podnikání fyzické osoby – podnikatele by již osobními údaji nebyly. Je tedy třeba posuzovat případ od případu, zda lze z té které kombinace údajů zjistit identitu fyzické osoby. Zákon nelze automaticky aplikovat na všechny údaje shromážděné majiteli internetových obchodů. Je ale velmi pravděpodobné, že se v těchto databázích budou osobní údaje vyskytovat, v takových případech je třeba osobní údaje zpracovávat v souladu se zákonem.
Ve svém dopisu se ptáte, jaká pravidla platí pro uchování osobních údajů. Správce osobních údajů (tzn. majitel elektronického obchodu) je povinen údaje uchovávat pouze po dobu nezbytnou (a v nezbytném rozsahu) k naplnění stanoveného účelu (§ 5 odst. 1 písm. e), zabezpečit osobní údaje před nahodilým či neoprávněným přístupem či jiným zpracováním (§ 13), nesmí tyto údaje zpracovávat pro jiný účel, než pro který byly shromážděny (§ 5 odst. 1 písm. f), v tomto případě lze tedy údaje zpracovávat jen k účelu zjednodušení internetového nákupu; dále správce nesmí různé databáze ani jednotlivé osobní údaje získané k rozdílným účelům sdružovat (§ 5 odst.1 písm. h), je povinen osobní údaje zlikvidovat, jakmile pomine účel zpracování (§ 20). Správce má informační povinnost ve smyslu § 11 a povinnost oznamovací vůči Úřadu pro ochranu osobních údajů (§ 16). V daném případě může správce osobní údaje zpracovávat, a tedy i uchovat, pouze se souhlasem subjektu údajů, přičemž souhlas musí mít náležitosti § 5 odst. 5 zákona.
S pozdravem
JUDr. Alena K u č e r o v á
ředitelka odboru legislativního a právního

Praktické dopady

Podle znění zákona lze za osobní údaj považovat (citace) „jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků“. Obsahuje-li tedy registrace zákazníka v elektronickém obchodě kombinaci jméno, příjmení a adresa, jedná se nepochybně o osobní údaje. Převzetím dat prvního nakupujícího se tedy chtě nechtě majitel e-shopu stává i správcem osobních údajů.

Správa dat

Paragraf 5 uvedeného zákona určuje povinnosti takového správce. Mezi ty nejdůležitější patří:

  • Shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu (§5, odst. 1, písm. d).
  • Uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů (§5, odst. 1, písm. e).
  • Zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj, jen pokud k tomu dal subjekt údajů souhlas (§5, odst. 1, písm. f).
  • Shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak (§5, odst. 1, písm. g).
  • Nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak (§5, odst. 1, písm. h).

Pokud správce nepoužije data jednorázově (k vyřízení objednávky) a uloží je do databáze, musí zákazníka požádat o souhlas. „Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán, pokud se subjekt údajů se správcem výslovně nedohodne jinak. Tento souhlas musí správce prokázat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas“ (citace §5 odst. 5, na který dopis ÚOOÚ také poukazuje).

Problémem není stav, kdy e-shop předá osobní data dalšímu subjektu (např. distribuční firmě), která se tak stane zpracovatelem údajů. Pro zpracovatele platí stejné povinnosti jako pro správce, ale navíc nesmí získané informace poskytnout další osobě.

Informační povinnost dle § 11

„Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.“ Tyto a další informační povinnosti, které jsou zákonem nařízeny (poučení o právu přístupu k informacím, důsledky odmítnutí apod.) může management e-shopu splnit zveřejněním prohlášení během aktu registrace.

Ochrana dat dle § 13

„Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.“ No comment :-)

Oznamovací povinnost dle § 16

Opět cituji zákon 101/2000 Sb.: „Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.“ O tom, jaké náležitosti musí „bumažka“ mít a kdy lze očekávat její vyřízení, hovoří další část tohoto paragrafu.

Resumé

Pokud e-shop od svých zákazníků vyžaduje při registraci vyplnění osobních údajů (stačí kombinace jméno + příjmení + poštovní adresa), musí se řídit při manipulaci s takovými daty Zákonem o ochraně osobních údajů . Podmínkou nutnou je oznámení Úřadu pro ochranu osobních údajů, který nad ním nadále vykonává kontrolní činnost a může mu za nesplnění litery zákona „napařit“ dokonce až desetimiliónovou pokutu.

Starší komentáře ke článku

Pokud máte zájem o starší komentáře k tomuto článku, naleznete je zde.

Žádný příspěvek v diskuzi

Odpovědět