Čoraz viac nákupov tovarov a služieb sa uskutočňuje na internete. GDPR ukladá firmám a organizáciám niekoľko nových povinností, ktoré doteraz zákon o ochrane osobných údajov nepoznal. Nové povinnosti v oblasti ochrany osobných údajov budú mať od 25. mája 2018 aj prevádzkovatelia e-shopov.
Na základe akého právneho základu sú spracúvané osobné údaje v e-shope?
V každom e-shope sú zaznamenávané osobné údaje zákazníkov. Spracúvajú sa za účelom uzavretia kúpnej zmluvy a následného dodania tovaru.
Spracúvanie osobných údajov je podľa GDPR zákonné iba vtedy a v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely,
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,
- spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
- spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
- spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.
Právnym základom spracúvania osobných údajov zákazníkov v informačnom systéme e-shop je zmluva.
Prevádzkovateľ nepotrebuje na účel spracovania objednávky a dodania tovaru súhlas dotknutej osoby, lebo spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy.
Niektorí prevádzkovatelia e-shopov si vyžiadajú súhlas „pre istotu“. Neodporúčame tento postup, pretože ide o nesprávne zvolený právny základ, čo môže prípadná kontrola považovať za porušenie pravidiel spracúvania osobných údajov.
Prevádzkovateľ e-shopu je povinný poučiť svojich zamestnancov
Z hľadiska zaistenia bezpečného spracúvania osobných údajov zákazníkov je potrebné, aby zamestnanci e-shopu, spracúvajúci osobné údaje zákazníkov boli, ako oprávnené osoby prevádzkovateľa, poučení v zmysle GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Pokiaľ e-shop prevádzkuje fyzická osoba –podnikateľ, ktorá nemá žiadnych zamestnancov a s osobnými údajmi prichádza do styku len ona sama, nie je potrebné, aby poučila samú seba.
Ak prevádzkovateľom e-shopu je jednoosobová spoločnosť s ručením obmedzeným, je potrebné, aby fyzická osoba - konateľ bola poučená ako oprávnená osoba, nakoľko ide o osobu odlišnú od obchodnej spoločnosti, ktorá je prevádzkovateľom e-shopu.
Prevádzkovateľ e-shopu si musí splniť informačnú povinnosť voči zákazníkom
Prevádzkovateľ je povinný podľa Čl. 13 GDPR informovať svojich potenciálnych zákazníkov a zákazníkov o tom, ako budú spracúvané ich osobné údaje. Informačnú povinnosť si môže splniť dvomi spôsobmi:
- informácie zapracuje do obchodných podmienok alebo
- informácie o spracúvaní osobných údajov uvedie do samostatnej sekcie v rámci webu.
V prípade, že má prevádzkovateľ vymenovanú zodpovednú osobu, GDPR stanovuje povinnosť uverejniť na webovej stránke (v e-shope) na ňu kontakt, aby sa zákazník v prípade potreby mohol na ňu obrátiť a kontaktovať ju. GDPR stanovuje tzv. povinnosť One Stop-shop, aby osoba, ktorej údaje spracúvame, mala všetky potrebné a zrozumiteľné informácie, ako i možnosť uplatniť si svoje zákonné práva, na jednom mieste. Ideálne priamo v e-shope alebo na webe prevádzkovateľa.
Bežne používané bezpečnostné opatrenia prevádzkovateľa
Ak prevádzkovateľ nespracúva v informačnom systéme e – shop citlivé osobné údaje alebo nevyužíva profilovanie zákazníkov, stačí, ak prijme bezpečnostné opatrenia v základnom rozsahu, t. j.:
- splní si informačnú povinnosť voči dotknutým osobám (návštevníkom e-shopu),
- zabezpečí dôvernosť (zamedzí prístupu nepovolaných osôb k údajom), integritu (celistvosť a nemennosť uchovávaných alebo prenášaných údajov) a dostupnosť (systém chráni proti výpadkom, napr. zálohovaným napájaním servera a zálohovaním údajov) spracúvaných osobných údajov,
- poučí oprávnené osoby a zaviaže mlčanlivosťou osoby, ktoré sa podieľajú na spracúvaní osobných údajov.
Bezpečnostné opatrenia v prípade profilovania
Profilovanie je v súčasnosti bežne používaný marketingový nástroj pri maloobchodnom predaji cez internet. Ide o automatizované spracovanie veľkého množstva údajov rozličných osôb, ktoré pozostáva z analýzy a kombinovania dát prostredníctvom zložitých algoritmov, za účelom hľadania presne definovaných vzťahov.
Prevádzkovatelia e-shopov profilujú svojich návštevníkov za účelom lepšieho cielenia reklamy. Výsledkom tohto procesu sú profily aplikovateľné na skupiny ľudí.
Ak prevádzkovateľ e-shopu vykonáva profilovanie svojich zákazníkov, musí splniť tieto bezpečnostné opatrenia:
- musí informovať dotknutú osobu (na webovej stránke alebo e-shope), že vykonáva profilovanie,
- musí informovať zákazníka (dotknutú osobu) o jeho práve namietať profilovanie.
Môže prevádzkovateľ e-shopu využiť e-mailové adresy na marketing?
Prevádzkovatelia e-shopov v praxi bežne využívajú získané e-mailové adresy svojich zákazníkov (napr. získané na základe predchádzajúcej objednávky tovaru alebo služby) na to, aby ich opätovne oslovili s ponukou iného tovaru. Je to možné bez súhlasu dotknutej osoby?
Prevádzkovateľ e-shopu v tomto prípade vytvára nový informačný systém osobných údajov - marketing.
Súhlas dotknutej osoby so zasielaním propagačných e-mailov sa podľa § 62 ods. 3 zákona č. 351/2011 Z. z. o elektronických komunikáciách nevyžaduje, ak prevádzkovateľ e-shopu prostredníctvom e-mailu ponúka podobný tovar alebo službu zákazníkom, s ktorými v minulosti uzatvoril zmluvu na účely kúpy tovaru alebo služby, a získal tak od nich e-mailovú adresu.
V tomto prípade je právnym základom oprávnený záujem prevádzkovateľa a nevyžaduje sa súhlas dotknutej osoby.
V prípade, že by však chcel prevádzkovateľ osloviť zákazníka s ponukou tovaru alebo služby, ktorá priamo nesúvisí s už skôr dodaným tovarom alebo službou takémuto zákazníkovi, alebo plánuje aktívnym marketingom osloviť úplne nového potenciálneho zákazníka, potrebuje na to najskôr získať jeho súhlas.
Súhlas so spracovaním osobných údajov na účel priameho marketingu nesmie byť súčasťou obchodných podmienok
Bežnou praxou prevádzkovateľov e-shopov bolo, že do textu obchodných podmienok zapracovali súhlas na marketingové účely. Podľa GDPR to už nebude možné. GDPR zakazuje podmieňovať dodanie tovaru alebo služby poskytnutím súhlasu na marketing. To znamená, že e-shop by mal umožňovať uskutočniť jednorazový predaj tovaru alebo služby aj bez poskytnutia súhlasu na zasielanie newslettera alebo na účasť v spotrebiteľskej súťaži.
Takisto nie je prípustné, aby bolo zaškrtávacie políčko pri súhlase “predvyplnené”. Pre každý definovaný účel musí byť možnosť poskytnúť samostatný súhlas, teda samostatné zaškrtávacie políčko. CMS systém, v ktorom je e-shop prevádzkovaný, musí uchovávať záznam o poskytnutom súhlase, aby bol preukázateľný pri prípadnej kontrole, či súdnom konaní.
Súhlas podľa GDPR musí byť slobodne daný, dobrovoľný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby a nesmie byť skrytý (napr. v spomenutých obchodných podmienkach). V neposlednom rade je prevádzkovateľ povinný vytvoriť podmienky na to, aby odvolanie súhlasu bolo minimálne tak jednoduché, ako bolo jeho poskytnutie.
Autorka: Ing. Marcela Ilavská
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.