Aké sú povinnosti prevádzkovateľov eshopov z pohľadu GDPR?

V dnešnej dobe stále stúpa percento ľudí, ktorí využívajú na nákup služieb a tovarov eshopy. Oproti kamenným prevádzkam je potrebné poskytnúť prevádzkovateľom eshopov určité typy osobných údajov tak, aby sa k Vám vybraný tovar vedel dostať. 

Aké osobné údaje môže eshop zbierať, ako ich treba ochrániť a kedy už koná eshop za hranicami zákona? To sa dočítate v nasledovnom článku. 

Úrad na ochranu osobných údajov Slovenskej republiky vydal metodické usmernenie č.3/2018 pre prevádzkovateľov eshopov. Plné znenie si môžete preštudovať TU. 

Pri prevádzkovaní eshopu je prevádzkovateľ povinný vychádzať zo zákona o elektronickom obchode Z.z. 22/2004 a zo zákonu o elektronických komunikáciách Z.z. 351/2011. Na základe týchto zákonov môžu zbierať určité typy osobných údajov. 

Aké sú účely eshopov na spracovanie osobných údajov:

• Objednávka
  • Pri objednávke služieb alebo tovarov zákazník pred platbou súhlasí so všeobecnými obchodnými podmienkami eshopu. V prípade, ak by nesúhlasil eshop mu nie je povinný tovar dodať. Na dodanie tovaru je potrebné získať osobné údaje (meno, priezvisko, adresa, kontakt) inak by nebolo možné dodať tovar. 
  • Právnym základom na zber údajov je kúpna zmluva a nie je potrebné získavať súhlas. 
• Newslletre tzv. odosielanie noviniek zákazníkom
  • Eshop môže zbierať osobné údaje v nevyhnutnom rozsahu, ak chce informovať zákazníka o nových produktoch alebo službách. Dotknutá osoba musela vykonať určitú objednávku a newslleter, ktorý odošle eshop musí súvisieť so zakúpeným produktom alebo službou. 
  • Právnym základom na zber údajov je oprávnený záujem – t.j. prevádzkovateľ nepotrebuje súhlas dotknutej osoby na odoslanie newslletra. Musí ale plniť práva dotknutých osôb.
• Newslletre tzv. odosielanie noviniek osobám bez predchádzajúceho právneho vzťahu (ak osoba nie je a nebola zákazníkom)
  • Eshop môže zbierať osobné údaje dotknutých osôb v nevyhnutnom rozsahu a informovať osoby o novinkách a akciách, ak má súhlas so spracovaním osobných údajov (osoba musí povoliť odosielanie noviniek a súhlasiť s tým, že jej budú odosielané novinky)
• Vernostné programy a súťaže 
  • Eshop, ktorý chce využívať vernostné programy alebo súťaže musí získať súhlas na spracovanie osobných údajov. 

Povinnosti prevádzkovateľa pri získaných súhlasoch so spracovaním osobných údajov:

Získaním súhlasu na spracovanie osobných údajov práca prevádzkovateľa nekončí. Dotknutá osoba má práva vyplývajúce zo zákona o ochrane osobných údajov, ktoré musí prevádzkovateľ vždy dodržiavať. Jej práva sú nasledovné:

• Právo na informácie
  • Získanie informácií od prevádzkovateľa o tom, či a ako sa spracúvajú osobné údaje, ich účel spracovania, príjemcovia, odosielanie do tretích krajín a doba uchovania.
• Právo na prístup k údajom
  • Poskytnutie kópií osobných údajov, ktoré prevádzkovateľ spracováva. Poskytnutie musí byť prvý krát bezplatné.
• Právo na opravu
  • Bez zbytočného odkladu prevádzkovateľ musí opravovať osobné údaje.
• Právo na zabudnutie
  • Bez zbytočného odkladu vymazávať osobné údaje, na ktoré:
    • už nie je právo ich spracovávať, 
    • boli poskytnuté na základe súhlasu,
    • sa spracúvajú nezákonne.
• Právo na obmedzenie spracúvania
  • Obmedziť údaje, na ktoré nie je preukázané právo na ich spracovanie až do overenia tejto skutočnosti.
• Právo na prenos údajov
  • Osoba má právo získať osobné údaje, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi.
• Právo namietať
  • Osoba má právo namietať, ak sa domnieva, že spracúvanie už obmedzuje jej práva alebo do nich zasahuje. Taktiež môže namietať voči profilovaniu alebo spracúvaniu automatizovanými prostriedkami. 

Zhrnutie: Povinnosti prevádzkovateľa eshopu:

• Na zbieranie osobných údajov je potrebné disponovať primeraným právnym základom (zákon, zmluva, súhlas so spracovaním osobných údajov alebo oprávnený záujem).
• Dotknuté osoby musí informovať o podmienkach spracúvania osobných údajov.
• Nevyužívať ani neodosielať osobné údaje, inak ako boli dotknuté osoby informované.
• Zabezpečiť dotknutým osobám ich práva vyplývajúce zo zákona o ochrane osobných údajov.
• Zabezpečiť primeranú ochranu spracúvaných osobných údajov (technickú, organizačnú a personálnu).
• Uchovávať osobné údaje len po nevyhnutnú dobu potrebnú na plnenie účelu.
• Viesť záznamy o spracovateľských činnostiach, ktoré obsahujú:
  • účel spracovania osobných údajov,
  • právny základ spracovateľskej činnosti,
  • kategóriu dotknutých osôb,
  • kategóriu osobných údajov,
  • lehotu na výmaz osobných údajov,
  • kategóriu príjemcov,
  • prípadne označenie odosielania osobných údajov do tretích krajín,
  • bezpečnostné opatrenia.
• Zabezpečiť zodpovednú osobu, ak eshop využíva personalizovanú reklamu. 
• V prípade úniku informácií a porušenia ochrany osobných údajov informovať úrad na ochranu osobných údajov a v prípade, že vznikne riziko ohrozenia dotknutých osôb aj jednotlivé osoby. 

Za nedodržiavanie hore uvedených práv  a povinností dotknutých osôb hrozia prevádzkovateľom eshopov pokuty zo strany úradu na ochranu osobných údajov. 

Horeuvedené informácie poslúžia prevádzkovateľom eshopov v základnej orientácií povinností a právach vyplývajúcich z nariadenia GDPR a zákona o ochrane osobných údajoch. 
Každý eshop je jedinečný a využívanie šablónových verzií dokumentácií môže spôsobiť nesúlad s nariadením GDPR, preto odporúčame prevádzkovateľom eshopov aby si nariadenie GDPR implementovali samostatne, prípadne s pomocou spoločností, ktoré nevyužívajú šablónové riešenia a venujú sa každému zákazníkovi samostatne.