Aké sú povinnosti prevádzkovateľov eshopov z pohľadu GDPR?
V dnešnej dobe stále stúpa percento ľudí, ktorí využívajú na nákup služieb a tovarov eshopy. Oproti kamenným prevádzkam je potrebné poskytnúť prevádzkovateľom eshopov určité typy osobných údajov tak, aby sa k Vám vybraný tovar vedel dostať.
Aké osobné údaje môže eshop zbierať, ako ich treba ochrániť a kedy už koná eshop za hranicami zákona? To sa dočítate v nasledovnom článku.
Úrad na ochranu osobných údajov Slovenskej republiky vydal metodické usmernenie č.3/2018 pre prevádzkovateľov eshopov. Plné znenie si môžete preštudovať TU.
Pri prevádzkovaní eshopu je prevádzkovateľ povinný vychádzať zo zákona o elektronickom obchode Z.z. 22/2004 a zo zákonu o elektronických komunikáciách Z.z. 351/2011. Na základe týchto zákonov môžu zbierať určité typy osobných údajov.
Aké sú účely eshopov na spracovanie osobných údajov:
- Objednávka
- Pri objednávke služieb alebo tovarov zákazník pred platbou súhlasí so všeobecnými obchodnými podmienkami eshopu. V prípade, ak by nesúhlasil eshop mu nie je povinný tovar dodať. Na dodanie tovaru je potrebné získať osobné údaje (meno, priezvisko, adresa, kontakt) inak by nebolo možné dodať tovar.
- Právnym základom na zber údajov je kúpna zmluva a nie je potrebné získavať súhlas.
- Newslletre tzv. odosielanie noviniek zákazníkom
- Eshop môže zbierať osobné údaje v nevyhnutnom rozsahu, ak chce informovať zákazníka o nových produktoch alebo službách. Dotknutá osoba musela vykonať určitú objednávku a newslleter, ktorý odošle eshop musí súvisieť so zakúpeným produktom alebo službou.
- Právnym základom na zber údajov je oprávnený záujem – t.j. prevádzkovateľ nepotrebuje súhlas dotknutej osoby na odoslanie newslletra. Musí ale plniť práva dotknutých osôb.
- Newslletre tzv. odosielanie noviniek osobám bez predchádzajúceho právneho vzťahu (ak osoba nie je a nebola zákazníkom)
- Eshop môže zbierať osobné údaje dotknutých osôb v nevyhnutnom rozsahu a informovať osoby o novinkách a akciách, ak má súhlas so spracovaním osobných údajov (osoba musí povoliť odosielanie noviniek a súhlasiť s tým, že jej budú odosielané novinky)
- Vernostné programy a súťaže
- Eshop, ktorý chce využívať vernostné programy alebo súťaže musí získať súhlas na spracovanie osobných údajov.
Povinnosti prevádzkovateľa pri získaných súhlasoch so spracovaním osobných údajov:
Získaním súhlasu na spracovanie osobných údajov práca prevádzkovateľa nekončí. Dotknutá osoba má práva vyplývajúce zo zákona o ochrane osobných údajov, ktoré musí prevádzkovateľ vždy dodržiavať. Jej práva sú nasledovné:
- Právo na informácie
- Získanie informácií od prevádzkovateľa o tom, či a ako sa spracúvajú osobné údaje, ich účel spracovania, príjemcovia, odosielanie do tretích krajín a doba uchovania.
- Právo na prístup k údajom
- Poskytnutie kópií osobných údajov, ktoré prevádzkovateľ spracováva. Poskytnutie musí byť prvý krát bezplatné.
- Právo na opravu
- Bez zbytočného odkladu prevádzkovateľ musí opravovať osobné údaje.
- Právo na zabudnutie
- Bez zbytočného odkladu vymazávať osobné údaje, na ktoré:
- už nie je právo ich spracovávať,
- boli poskytnuté na základe súhlasu,
- sa spracúvajú nezákonne.
- Právo na obmedzenie spracúvania
- Obmedziť údaje, na ktoré nie je preukázané právo na ich spracovanie až do overenia tejto skutočnosti.
- Právo na prenos údajov
- Osoba má právo získať osobné údaje, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi.
- Právo namietať
- Osoba má právo namietať, ak sa domnieva, že spracúvanie už obmedzuje jej práva alebo do nich zasahuje. Taktiež môže namietať voči profilovaniu alebo spracúvaniu automatizovanými prostriedkami.
Zhrnutie: Povinnosti prevádzkovateľa eshopu:
- Na zbieranie osobných údajov je potrebné disponovať primeraným právnym základom (zákon, zmluva, súhlas so spracovaním osobných údajov alebo oprávnený záujem).
- Dotknuté osoby musí informovať o podmienkach spracúvania osobných údajov.
- Nevyužívať ani neodosielať osobné údaje, inak ako boli dotknuté osoby informované.
- Zabezpečiť dotknutým osobám ich práva vyplývajúce zo zákona o ochrane osobných údajov.
- Zabezpečiť primeranú ochranu spracúvaných osobných údajov (technickú, organizačnú a personálnu).
- Uchovávať osobné údaje len po nevyhnutnú dobu potrebnú na plnenie účelu.
- Viesť záznamy o spracovateľských činnostiach, ktoré obsahujú:
- účel spracovania osobných údajov,
- právny základ spracovateľskej činnosti,
- kategóriu dotknutých osôb,
- kategóriu osobných údajov,
- lehotu na výmaz osobných údajov,
- kategóriu príjemcov,
- prípadne označenie odosielania osobných údajov do tretích krajín,
- bezpečnostné opatrenia.
- Zabezpečiť zodpovednú osobu, ak eshop využíva personalizovanú reklamu.
- V prípade úniku informácií a porušenia ochrany osobných údajov informovať úrad na ochranu osobných údajov a v prípade, že vznikne riziko ohrozenia dotknutých osôb aj jednotlivé osoby.
Za nedodržiavanie hore uvedených práv a povinností dotknutých osôb hrozia prevádzkovateľom eshopov pokuty zo strany úradu na ochranu osobných údajov.
Horeuvedené informácie poslúžia prevádzkovateľom eshopov v základnej orientácií povinností a právach vyplývajúcich z nariadenia GDPR a zákona o ochrane osobných údajoch.
Každý eshop je jedinečný a využívanie šablónových verzií dokumentácií môže spôsobiť nesúlad s nariadením GDPR, preto odporúčame prevádzkovateľom eshopov aby si nariadenie GDPR implementovali samostatne, prípadne s pomocou spoločností, ktoré nevyužívajú šablónové riešenia a venujú sa každému zákazníkovi samostatne.