Dotazy k GDPR kuchařce pro e-shopy
Dobrý den, mám tři dotazy.
Zaprvé k vaší kuchařce pro eshopy. Mám malý eshop, postupovala jsem podle analýzy (ne) potřebnosti DPO a došla jsem ke stejnému závěru, že DPO nepotřebuji. Nicméně na internetu je několikrát zdůrazňováno v různých článcích, že eshopy DPO musí mít bez výjimky. Proto se chci ujistit, že po zpracování analýzy (ne) potřebnosti - kdy jsem maličký eshop s mizivým procentem na trhu - opravdu DPO nepotřebuji.
A druhý dotaz - mou vedlejší činnsotí na OSVČ je činnost účetní - zpracovávám faktury, daň. přiznání a mzdy pro malý počet firem. Zde už DPO musí být? A pokud ano, tak je možné, aby na jednu mou činnost DPO dohlížel a na druhou už ne?
A poslední dotaz - co když zákazník na eshopu zaklikne nesouhlas s poskytnutím os. údajů? Mohu jeho objednávku vyřídit (tj. poslat mu zboží, poslat mu mail s informací o dopravě atd.). A pokud ano, tak po odeslání balíku musím jeho údaje smazat z databáze nebo je tam mohu nechat taky 3 roky, než provedu skartaci,jak doporučujete? Děkuji za odpověď
Odpověď
Dobrý den,
vezmeme to po Vašich dotazech. Malý e-shop zcela jistě nepotřebuje jmenovat DPO. Na pozoru bych se měl v případě, kdy by e-shop zpracovával nějaké citlivé údaje nebo výrazným způsobem prováděl monitorování a profilování zákazníků. To, že DPO je pro e-shop povinné je mýtus, který koluje na internetu. Vyjadřoval se k tomu i úřad a jeho stanovisko je:
Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 obecného nařízení.
K Vašemu druhému dotazu. Jako účetní jste v roli Zpracovatele. Ani zde nebude třeba pravděpodobně jmenovat DPO. Požadavky na to, jak máte zpracovávat osobní údaje Vám primárně musí vzejít od Správců. Tedy od firem, kterým děláte účetnictví. Budou to primárně požadavky na zabezpečení, skartaci a podepsání Zpracovatelské smlouvy.
A poslední dotaz. Pokud zákazník pouze objednává nejedná se o zpracování osobních údajů na základě právního titulu souhlasu, ale na základě právního titulu plnění smlouvy (kupní smlouva). Žádný souhlas Vám tedy v tomto směru nemusí udělovat a pouze je třeba mu předat povinné informace o tom, jak budete s daty nakládat. K tomu slouží dokument Zásady zpracování osobních údajů, kam doplníte lhůty a tento dáte veřejně na web k dispozici. Stačí třeba u objednávky dát na tento dokument odkaz.
Souhlas využijete například u přihlášení k newsletterům nebo jiným činnostem nesouvisejícím s objednávkou. To, jak dlouho budete objednávku držet záleží v zásadě na Vás. Jen je třeba být maximálně transparentní a tuto lhůtu uvést právě do výše zmíněných zásad. Nám se třeba osvědčil model nastavit stejnou lhůtu pro skartaci objednávky i daňového dokladu. Pokud tedy zde existuje povinnost pro plátce DPH archivovat daňové doklady 10 let. Pak můžete pro všechno stanovit tuto lhůtu a skartovat vše zároveň.
