Ochrana osobnych údajov pre e-shop podľa GDPR

22. december 2017

Ochrana osobnych údajov pre e-shop podľa GDPR

Ako sa zmenia osobné údaje pre E-shop v zmysle nového nariadenia GDPR

Právny základ – súčasná platná legislatíva:
- Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Pre e-shop sú z praxe charakteristické tieto informačné systémy (ďalej len „IS“), samozrejme môže byť ich viac alebo menej, je potrebné presne vyšpecifikovať predmetné IS, v ktorých sa osobné údaje spracovávajú u daného prevádzkovateľa (prevádzkovateľ, ktorý prevádzkuje E- shop môže mať a nemusí mať zamestnanca).

Všeobecné povinnosti prevádzkovateľa:

  • Spracúvať OÚ v súlade so zákonom na vymedzený účel.
  • Poskytovanie informácií o spracovávaných osobných údajoch (ďalej len „OÚ“).
  • Získať súhlas dotknutej osoby.
  • Oznámiť IS Úradu na ochranu OÚ.
  • Viesť evidenčný list.
  • Poučiť oprávnené osoby.
  • Uzatvoriť zmluvu so sprostredkovateľom, ak existuje.
  • Zdokumentovať prijaté bezpečnostné opatrenia.

INFORMAČNÉ SYSTÉMY typické pre E-shop.

Informačný systém E-shop

Pre e - shop bola povinnosť do 18.7.2016 pri IS e-shop oznámiť na Úrade na ochranu OÚ, aktuálne podľa nového metodického usmernenia platí, že stačí viesť iba evidenciu t.j. evidenčný list. Týmto však agenda nekončí. Je potrebné si ujasniť, kto prichádza do styku s OÚ pri e- shope, či len samotný správca (majiteľ) e-shopu, alebo jeho zamestnanec alebo tretia osoba. V týchto prípadoch pokaľ ide o zamestnanca a správcu (majiteľa) e-shopu je potrebné poučenie oprávnených osôb a v prípade tretích osôb napr. správca siete (externý subjekt), ktorý má prístup týmto údajom je potrebné mať s ním uzavretú sprostredkovateľskú zmluvu.

Agenda:

  • Evidenčný list.
  • Poučenie oprávnených osôb.
  • Nie je potrebný súhlas dotknutej osoby, nakoľko ide o uzatvorenie zmluvy na diaľku t.j. zmluvný vzťah.

Informačný systém Marketing

Robíte marketing vo vašom e-shope? Posielate napr. ponuky, newslettre, zľavy za účelom, realizácie marketingových aktivít? Tu je dôležité podotknúť, že potrebujete súhlas dotknutej osoby.

POZOR však nato, že tento súhlas by nemal byť dopredu daný t.j. webové rozhranie, kde sa vkladá súhlas dotknutá osoba (check box) by mal byť prázdny. Zákazník musí byť aktívny a dať tam OPT – IN (klik).

Vynucovanie súhlasu dotknutej osoby pri objednávke pre IS marketing je neprípustné.

Agenda:

  • Oznámenie úradu IS Marketing.
  • Poučenie oprávnených osôb (zamestnanec).
  • Sprostredkovateľská zmluva (tretia osoba napr. externý subjekt).
  • Súhlas dotknutej osoby.

Informačný systém Vernostný program

Ponúkate rôzne, vernostné produkty, bonusy, poskytovanie zliav? Vyžaduje sa tu súhlas dotknutej osoby za účelom vedenia vernostného programu. Tento informačný systém podlieha oznámeniu Úradu na ochranu osobných údajov.

Agenda:

  • Oznámenie úradu IS Vernostný program.
  • Poučenie oprávnených osôb (zamestnanec).
  • Sprostredkovateľská zmluva (tretia osoba napr. externý subjekt, nemusí byť).
  • Súhlas dotknutej osoby.

Informačný systém Súťaže (spotrebiteľské)

Robíte rôzne súťaže? Súťaž je samostatný informačný systém, ktorý podlieha oznámeniu Úradu na ochranu OÚ a vyžaduje sa súhlas dotknutej osoby.

Agenda:

  • Oznámenie úradu IS Súťaže.
  • Poučenie oprávnených osôb (zamestnanec).
  • Sprostredkovateľská zmluva (tretia osoba napr. externý subjekt, nemusí byť).
  • Súhlas dotknutej osoby.

Toto sú základné informačné systémy pre e-shop, samozrejme, je potrebné pre každý e-shop samostatne určiť aké IS využíva.

Všeobecne, každá obchodná spoločnosť (prevádzkovateľ) má IS účtovné doklady, v prípade zamestnancov je to IS mzdy a personalistika, v prípade kontaktných formulárov je to IS registratúra. Je dôležité pripomenúť, že e-shop by mal viesť aj evidenciu reklamácií a tento by mal byť samostatným IS. Niektoré IS napr. mzdy a personalistika alebo účtovné doklady prevádzkovateľov spracovávajú externé subjekty, v tom prípade by mal mať prevádzkovateľ uzatvorenú sprostredkovateľskú zmluvu s externým subjektom (sprostredkovateľom).

Čo sa týka otázok ohľadom bezpečnostného projektu, je potrebné ho mať v prípade, ak e-shop má čo i len jedného zamestnanca. Odporúčame, pri každom IS mať vypracovanú bezpečnostnú smernicu.

Prevádzkovateľ nemusí oznamovať IS (marketing, vernostný program, súťaže) v tom prípade, ak má prevádzkovateľ vymenovanú zodpovednú osobu.

Nezabúdajme na COOKIES!

Právny rámec:

  • Smernica č. 2002/58 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií.
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách.

- zjednodušujú prácu podnikateľom za účelom marketingových aktivít, sú to identifikátory zariadení, mikrodáta ukladané internetovou stránkou alebo aplikáciou, keď užívateľ vstupuje na stránku z webového rozhrania alebo mobilného zariadenia, - rozoznávajú sa aktivity užívateľa,
- https://www.google.com/policies/technologies/cookies/?hl=sk.

Povinnosťou prevádzkovateľa:
- zrozumiteľné informovať užívateľa o účele používania cookies,
- je potrebný SÚHLAS.

Informácie o cookies musia obsahovať:
- definícia cookies,
- typy cookies napr. https://www.google.com/intl/sk/policies/technologies/types/,
- účel uchovávania cookies,
- poskytovanie a sprístupňovanie cookies,
- odvolanie súhlasu s používaním cookies,
- ochrana súkromia.

ZMENY PODĽA GDPR

Súhlas dotknutej osoby. Právny základ spracúvania OÚ podľa nariadenie čl. 7 a čl. 8

Článok 7 Podmienky vyjadrenia súhlasu

1. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich OÚ.
2. Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná.
3. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.
4. Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním OÚ, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

Článok 8 Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti

1. Ak sa uplatňuje článok 6 ods. 1 písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie OÚ dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností.

Táto veková hranica 16 rokov sa nebude dotýkať len sociálnych sietí, ale aj e-shopov. Pri dieťati mladšom ako 16 rokov, spracovanie OÚ bude zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.

Zákon č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z.

Z návrhu zákona ... § 15 ods. 2

Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním OÚ podľa odseku 1, pričom zohľadní dostupnú technológiu.

Informovanie dotknutých osôb (kupujúci) na webe je potrebné vytvoriť časť (pod odsek) ochrana osobných údajov a pridať tieto informácie:

V návrhu zákona v § 19 ods. 1 a 2

  • Prevádzkovateľ je povinný poskytnúť dotknutej osobe pri ich získavaní:
  • identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ako bol poverený,
  • kontaktné údaje zodpovednej osoby, ak je určená,
  • účel spracúvania OÚ, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa OÚ spracúvajú podľa § 13 ods. 1 písm. f) návrhu zákona,
  • identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť OÚ do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v čl. 49 ods. 1 druhom pod odseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

Prevádzkovateľ je povinný pri získavaní OÚ poskytnúť dotknutej osobe aj ďalšie informácie o:

  • dobe uchovávania OÚ; ak to nie je možné, informácie o kritériách jej určenia,
  • práve požadovať od prevádzkovateľa prístup k OÚ týkajúcich sa dotknutej osoby, o práve na opravu OÚ, o práve na vymazanie OÚ alebo o práve na obmedzenie spracúvania OÚ, o práve namietať spracúvanie OÚ, ako aj o práve na prenosnosť OÚ,
  • práve kedykoľvek svoj súhlas odvolať,
  • práve podať návrh na začatie konania dozornému orgánu (Úrad na ochranu OÚ v aktuálne platnom zákone),
  • tom, či je poskytovanie OÚ zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy a o tom či je dotknutá osoba povinná poskytnúť OÚ, ako aj o možných následkoch neposkytnutia OÚ,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 návrhu zákona; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania OÚ pre dotknutú osobu.

Práva dotknutej osoby

Novou právnou úpravou sa rozšírili s presnili jednotlivé práva dotknutých osôb:

  • právo na opravu – § 22 návrh zákona. Dotknutá osoba má právo, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne OÚ, ktoré sa týkajú dotknutej osoby a doplnenie neúplných OÚ.
  • právo na výmaz (právo na „zabudnutie“ čl. 17 GDPR) – § 23 návrh zákona. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal OÚ, ktoré sa jej týkajú. Prevádzkovateľ je povinný bez zbytočného odkladu vymazať tieto OÚ, ak je splnený niektorý z týchto dôvodov:
    • OÚ už nie sú potrebné na účel, na ktorý sa získal alebo spracúval,
    • dotknutá osoba odvolá súhlas na spracovanie OÚ aspoň na 1 konkrétny účel alebo dotknutá osoba odvolá súhlas na spracovanie OÚ aspoň na 1 konkrétny účel, súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,
    • dotknutá osoba namieta spracúvanie OÚ podľa (§ 27 ods. 1 návrh zákona) a neprevažujú žiadne oprávnené dôvody na spracúvanie OÚ alebo dotknutá osoba namieta spracúvanie OÚ podľa (návrh § 27 ods. 2 návrh zákona) týka sa to priameho marketingu vrátane profilovania,
    • OÚ sa spracúvajú nezákonne,
    • je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
    • sa OÚ získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa (§ 15 ods. 1. návrh zákona) dotknutá osoba má menej ako 16 rokov.

      ​Ak prevádzkovateľ zverejnil OÚ a je povinný ich vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie, za účelom informovania ostatných prevádzkovateľov, ktorí spracúvajú OÚ dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej OÚ a ich kópie alebo odpisy.

      Právo na výmaz sa neuplatňuje, ak je spracúvanie OÚ potrebné pre účely:
      • na uplatnenie práva na slobodu prejavu alebo práva na informácie,
      • na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
      • z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s (§ 16 ods. 2 písm. h) až j ) návrh zákona,
      • na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8 návrh zákona, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo  na uplatnenie právneho nároku.
  • právo na obmedzenie spracúvania - dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie OÚ, ak:
    • dotknutá osoba namieta správnosť OÚ, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť OÚ,
    • spracúvanie OÚ je nezákonné a dotknutá osoba namieta vymazanie OÚ a žiada namiesto toho obmedzenie ich použitia,
    • prevádzkovateľ už nepotrebuje OÚ na účel spracúvania OÚ, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
    • dotknutá osoba namieta spracúvanie OÚ podľa § 27 ods. 1 návrhu zákona, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
  • právo na prenosnosť údajov - dotknutá osoba má právo získať OÚ, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto OÚ ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak:
    • sa OÚ spracúvajú na základe súhlasu dotknutej osoby, na základe zmluvy a na základe súhlasu dotknutej osoby, ktorý je neplatný ak jeho poskytnutie vylučuje osobitný predpis,
    • spracúvanie OÚ sa vykonáva automatizovanými prostriedkami.
  • právo namietať – napr. dotknutá osoba má právo namietať spracúvanie OÚ, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu profilovania v rozsahu, v akom súvisí s  priamym marketingom, prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na jej práva najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií. Dotknutá osoba svoje právo namietať môže uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.
  • právo namietať automatizované individuálne rozhodovanie a profilovanie

Právo dotknutej osoby na prístup k k údajom článok 15 nariadenia (§ 28 v súčasnom platnom zákone), v návrhu zákona § 21:

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú OÚ, ktoré sa jej týkajú. Ak prevádzkovateľ takéto OÚ spracúva, dotknutá osoba má právo získať prístup k týmto OÚ a informácie o:

  • účele spracúvania OÚ,
  • kategórii spracúvaných OÚ,
  • identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť OÚ poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
  • dobe uchovávania OÚ; ak to nie je možné, informáciu o kritériách jej určenia,
  • práve požadovať od prevádzkovateľa opravu OÚ týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie OÚ,
  • práve podať návrh na začatie konania,
  • zdroji OÚ, ak sa osobné údaje nezískali od dotknutej osoby,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania v týchto prípadoch poskytne prevádzkovateľ dotknutej informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania OÚ pre dotknutú osobu.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej OÚ, ktoré spracúva. Za opakované poskytnutie OÚ, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť OÚ dotknutej osobe spôsobom podľa jej požiadavky.

AUTOR: JUDr. Katarína Kročková, KROČKA & PARTNERS s.r.o.

2960