Dropshipping a GDPR - jak je to s předáváním osobních údajů do třetích zemí?

Přemýšleli jste někdy o tom, že byste začali podnikat online s co nejmenšími náklady? Dropshipping je způsob, jak provozovat internetový obchod bez skladových zásob.. Zákazník zadá objednávku, vy (dropshipper) ji předáte dodavateli a ten produkt odešle přímo kupujícímu. Dropshipper se nijak nepodílí na balení ani přepravě.

Zní to jednoduše a ziskově, ale každý kdo podniká na území EU se musí řídit platnými zákony o ochraně osobních údajů (GDPR), zejména s předáváním osobních údajů do země mimo Evropský hospodářský prostor (EHP) tedy do třetích zemí

Dropshipper musí řešit několik právních otázek a tento článek se zabývá jednou z nejdůležitějších: předáváním osobních údajů do země mimo Evropský hospodářský prostor (EHP) - která se s ohledem na nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) nazývá třetí zemí.

Jaké jsou otázky GDPR v rámci modelu dropshippingu?

Předávání osobních údajů do třetích zemí je jedním z nejcitlivějších aspektů. Toto podnikání ze své podstaty předpokládá předávání osobních údajů. Budeme mít na mysli především hypotézu, kdy dropshipper jako správce a vývozce údajů předává osobní údaje zákazníků svým dodavatelům jako zpracovatelům. Jinými slovy, údaje zákazníků musí být předány dodavateli, aby tento mohl zásilku odeslat.

Nicméně dropshipper, stejně jako každý jiný majitel podniku, se může rozhodnout využívat určité služby (například platební služby, údržbu serverů a další služby nezbytné pro jeho činnost) poskytované společnostmi se sídlem ve třetích zemích. Požadavky týkající se předávání osobních údajů do třetích zemí se vztahují na všechny osobní údaje, které opouštějí EHP.

Je známo, že nejvyhledávanější dodavatelé se nacházejí mimo EHP, například v Číně nebo USA, a proto je třeba před zahájením provozu vzít v úvahu níže uvedené záležitosti.

Jaké údaje mají být předávány?

Musí být dodržena zásada minimalizace údajů, což znamená, že dropshipper musí předávat pouze údaje nezbytně nutné pro plnění kupní smlouvy. Například není nutné předávat dodavateli bankovní údaje zákazníka, protože zákazník provedl nebo provede platbu vůči vaší společnosti.

Do jakých třetích zemí mají být údaje předávány?

Je třeba vzít v úvahu každou naznačenou zemi, protože každá země zajišťuje jinou úroveň ochrany údajů. Zásadní význam má nedávné rozhodnutí Soudního dvora Evropské unie (SDEU), které ruší platnost rozhodnutí 2016/1250 o přiměřenosti ochrany poskytované štítem EU-USA na ochranu údajů (věc C-311/18). Prakticky byl štít USA na ochranu soukromí prohlášen za neplatný. Jinými slovy, od 16. července 2020 musí dropshippeři dodávající z USA provádět individuální analýzy, aby zjistili, zda jejich předávání údajů splňuje standardy GDPR.

Jaké jsou další přenosy?

Dropshipper musí posoudit, zda jeho dodavatelé (jako zpracovatelé) se sídlem mimo EHP předávají osobní údaje, které jim dropshipper svěřil, dílčímu zpracovateli v jiné třetí zemi nebo v téže třetí zemi. Například váš čínský dodavatel využívá přepravní služby čínského dopravce, který zpracovává osobní údaje vašich zákazníků (jméno, doručovací adresa, telefonní číslo atd.).

Jaké jsou další podrobnosti mého obchodního schématu?

Měli byste mít neustále na paměti zásadu "know-your-business". Existuje spousta údajů, které by mohly být relevantní, a je třeba věnovat náležitou pozornost právu fyzických osob na ochranu údajů jako základnímu právu. Omezení tohoto práva lze provést pouze tehdy, pokud mají zákonný základ, jsou přiměřená a splňují normy EU.

Jaký je nástroj pro předávání údajů, na který se spoléhám? Je to rozhodnutí o odpovídající ochraně nebo smluvní doložky?

Rozhodnutí o odpovídající ochraně je skutečnou úlevou, protože předávání údajů do příslušné země bude přirovnáno k předávání údajů uvnitř EU. V opačném případě je třeba věnovat náležitou pozornost smluvním doložkám mezi vývozcem údajů (dropshipperem) a dovozcem údajů (dodavateli ze třetích zemí atd.).

Existuje něco v právu nebo praxi třetích zemí, co může ovlivnit účinnost nástroje pro předávání údajů, na který se spoléhám?

Zde přichází další těžká část posouzení. Je třeba prozkoumat charakteristiky každého předávání a dropshipper musí vyhodnotit, jaký bude mít dopad na účinný výkon práv subjektů údajů (vašich zákazníků), která využívají podle GDPR.

Pokud kladně, jaká doplňující opatření bych mohl přijmout, abych zajistil úroveň ochrany předávaných údajů na úrovni GDPR?

V případě, že předchozí kroky odhalily, že nástroj pro předávání není účinný, musíte určit doplňující opatření smluvní, technické nebo organizační povahy. Vaši dodavatelé jako zpracovatelé údajů by vám měli podat pomocnou ruku při hledání a zavádění doplňkových opatření.

Dropshipper si musí být vědom toho, že za soulad se směrnicí o ochraně osobních údajů odpovídá on, nikoli dodavatelé.

Pravidlem je, že by se přenos osobních údajů by se neměl uskutečnit pokud by mohlo hrozit, že k osobním údajům bude přistupováno škodlivým způsobem. K předání by mohlo dojít pouze tehdy, pokud správce nebo zpracovatel při dodržení ostatních ustanovení GDPR splní podmínky stanovené v ustanoveních GDPR týkajících se předávání osobních údajů do třetích zemí.

Evropská komise rozhodla, které třetí země nabízí odpovídající úroveň ochrany údajů. V takovém případě může předávání osobních údajů do této třetí země probíhat bez nutnosti získat další povolení.

Rozhodnutí o odpovídající úrovni ochrany mimo EU aktuálně plní: Andorra, Argentina, Kanada, Faerské ostrovy, Guernsey, Izrael, ostrov Man, Japonsko, Jersey, Nový Zéland, Švýcarsko a Uruguay, Korea a Velká Británie.

V případě, že rozhodnutí o odpovídající ochraně neexistuje - je třeba použít jeden z nástrojů pro předávání údajů, které poskytuje GDPR. Mezi nástroje pro přenos patří např: Závazná podniková pravidla (BCR), standardní smluvní doložky přijaté Evropskou komisí (SCC), kodexy chování, nebo certifikační mechanismy.