Informačné systémy
V každom e-shope sú zaznamenávané osobné údaje zákazníkov. Z pohľadu zákona o ochrane osobných údajov sa to považuje za spracúvanie ich osobných údajov. Osobné údaje zákazníkov sa spracúvajú za účelom uzavretia kúpnej zmluvy a následného dodania tovaru. Právnym základom spracúvania osobných údajov zákazníka v informačnom systéme e-shop je zmluva podľa § 10 ods. 3 písm. b) zákona („Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán...“).
Už nie je povinné oznámiť IS e-shop úradu
Donedávna, prevádzkovateľ e-shopu, ktorý nemal poverenú zodpovednú osobu, musel IS e-shop oznámiť úradu na ochranu osobných údajov. Úrad na ochranu osobných údajov dňa 18. 7. 2016 vydal aktualizované znenie Metodického usmernenia č. 1/2016, v ktorom došlo k významnej zmene. Prevádzkovateľ e-shopu už nemá povinnosť oznamovať IS e-shop úradu, nakoľko právnym základom spracúvania osobných údajov v ňom je § 10 ods. 3 písm. b) zákona, prevádzkovateľ si o IS e-shop vedie evidenciu v zákonom stanovenom rozsahu.
Ak ste už v minulosti oznámili úradu informačný systém e-shop, nemusíte na základe zmeny povinnosti informačný systém odhlásiť. Vypracujte k nemu evidenčný list a založte ho k povinnej dokumentácii, týkajúcej sa ochrany osobných údajov.
Poučenia oprávnených osôb
Z hľadiska zaistenia bezpečného spracúvania osobných údajov zákazníkov je potrebné, aby oprávnené osoby, spracúvajúce osobné údaje zákazníkov v IS e-shop, boli poučené v zmysle zákona.
Pokiaľ e-shop prevádzkuje fyzická osoba –podnikateľ, ktorá nemá žiadnych zamestnancov, a s osobnými údajmi prichádza do styku len on sám, nie je potrebné, aby poučil samého seba.
Ak prevádzkovateľom e-shopu je jednoosobová spoločnosť s ručením obmedzeným, je potrebné, aby fyzická osoba - konateľ bola poučená ako oprávnená osoba, nakoľko ide o osobu odlišnú od obchodnej spoločnosti, ktorá je prevádzkovateľom e-shopu.
Bezpečnosť osobných údajov
Prevádzkovateľ e-shopu by mal vytvoriť opatrenia na zamedzenie prístupu nepovolaných osôb k výpočtovej technike a prostriedkom, ktorými je spracúvanie osobných údajov v priestoroch prevádzkovateľa vykonávané. V prípade, že sa spracúvanie realizuje čiastočne automatizovanou formou (prostredníctvom počítača) a čiastočne neautomatizovanou (napr. zošity), je potrebné, aby aj neautomatizované prostriedky spracúvania osobných údajov boli dostatočne chránené (zámka na dverách, zabezpečovací systém, uzamykateľná bezpečnostná skriňa a pod.).
Dokumentácia
Ak prevádzkovateľ nespracúva v IS e – shop, ktorý je prepojený s verejne prístupnou počítačovou sieťou (sieť internet), osobitnú kategóriu osobných údajov podľa § 13 zákona, stačí, ak prijme primerané bezpečnostné opatrenia v základnom rozsahu. Nie je potrebné, aby mal vyhotovený bezpečnostný projekt.
Zdroj: Metodické usmernenie Úradu na ochranu osobných údajov č. 1/2016 k spracúvaniu osobných údajov v e-shope
Ilustračný snímok: www.freedigitalphotos.net