Jako novinku oproti předchozí právní úpravě přináší Nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“) povinnost vést interní dokumentaci o činnostech zpracování osobních údajů. Tato povinnost dopadá jak na správce osobních údajů, tak i na zpracovatele osobních údajů či další osoby podílející se na zpracování osobních údajů. Vzhledem k tomu, že internetoví obchodníci budou ve většině případů v pozici správce osobních údajů, zaměříme se v tomto právním oběžníku na předmětnou povinnost právě z tohoto pohledu.

Ustanovení první věty čl. 30 odst. 1 nařízení stanoví, že „každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá.“ Preambule (recitál) nařízení k tomu v bodu 82 dodává, že „každý správce a zpracovatel by měl být povinen spolupracovat s dozorovým úřadem a na jeho žádost mu tyto záznamy zpřístupnit, aby na jejich základě mohly být tyto operace zpracování monitorovány.“ I z výše uvedeného je tedy zřejmé, že se jedná o interní dokumentaci obchodníka a informace uvedené v těchto záznamech nemusí být zveřejňovány, a to i s ohledem na možné bezpečnostní dopady (viz níže).

Druhá věta ustanovení čl. 30 odst. 1 nařízení pak vypočítává obsahové náležitosti těchto záznamů a je tak určitým návodem, jak takovou dokumentaci připravit. Některé z těchto obsahových náležitostí jsou poměrně jednoduché na doplnění, nicméně jiné jsou komplexnějšího charakteru. Pod písmenem a) čl. 30 odst. 1 nařízení je stanoveno, že správce musí uvést „jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů…“ Případ společného správce nebude v praxi internetových obchodníků častý. Problematice, kdy může internetovým obchodníkům vznikat povinnost jmenovat pověřence pro ochranu osobních údajů, jsme se pak blíže věnovali v jednom z předchozích právních oběžníků.

Podle čl. 30 odst. 1 nařízení písm. b) nařízení musí správce zachytit v dokumentaci účely zpracování osobních údajů. Účel či účely zpracování musí správce uvádět již v rámci plnění svých informačních povinností vůči subjektům údajů , takže tuto informaci by měl mít bez dalšího k dispozici (toto platí obdobně i o řadě dalších níže zmiňovaných obsahových náležitostech).

Podle čl. 30 odst. 1 písm. c) a d) nařízení by měly být uvedeny „popis kategorií subjektů údajů a kategorií osobních údajů“, které jsou správcem zpracovávány, a „kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích …“ Předpokládáme, že ve většině případů nebude ze strany internetových obchodníků docházet k předávání osobních údajů do zemí mimo Evropskou unii, neboť to je spojeno s dalšími požadavky. Pokud však k takovému předání do tzv. třetí země dojde, je nutné v dokumentaci zohlednit související skutečnosti, jež jsou s ním spojeny, a to dle ustanovení čl. 30 odst. 1 písm. e) nařízení. Dalším obsahovým požadavkem je povinnost uvést (je-li to možné) „plánované lhůty pro výmaz jednotlivých kategorií údajů“.

Jako nejkomplexnějším se tak jeví poslední obsahový požadavek stanovený v ustanovení čl. 30 odst. 1 písm. g) nařízení. Toto ustanovení zakotvuje povinnost správce uvést (je-li to možné) „obecný popis technických a organizačních bezpečnostních opatření…“, přičemž ohledně technických a organizačních bezpečnostních opatření je uveden odkaz na čl. 32 odst. 1 nařízení. Provedení této specifikace tak bude pravděpodobně vyžadovat po správci nejvíce času s tím, že v praxi půjde také o nejméně standardizovanou pasáž celé interní dokumentace (záznamů o činnostech zpracování osobních údajů).

Pro úplnost je možné na závěr také zmínit, že v médiích je často citována v této souvislosti výjimka dle ustanovení čl. 30 odst. 5 nařízení , nicméně ta se na internetové obchodníky a většinu dalších podnikatelů nevztáhne, jelikož jejich zpracování není možné dle našeho názoru označit jako příležitostné.

Josef Aujezdský, advokát

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 9/2017 určený členům tohoto spolku.