Úrad na ochranu osobných údajov informoval o svojom ročnom pláne kontrol na rok 2021, kde zaradil aj prevádzkovateľov e-shopov. Prečítajte si, aké povinnosti musí prevádzkovateľ e-shopu z hľadiska ochrany osobných údajov splniť.
1.) Správny právny základ spracúvania
Prevádzkovatelia e-shopov sa z hľadiska GDPR zaraďujú medzi spracovateľov osobných údajov. Medzi spracúvanie patrí už len to, že prevádzkovatelia od zákazníkov získavajú, zaznamenávajú alebo uchovávajú ich osobné údaje. Je dôležité, aby každé jedno spracúvanie podliehalo určitému právnemu základu. Pri spracúvaní osobných údajov zákazníkov prevádzkovateľmi e-shopu môžeme využiť nasledujúce právne základy:
- na základe čl. 6 ods. 1 písm. c) Nariadenia GDPR, na základe ktorého je spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
- na základe čl. 6 ods. 1 písm. b) Nariadenia GDPR, kedy je spracúvanie nevyhnutné na plnenie zmluvy uzatvorenej so zákazníkom;
- na základe čl. 6 ods. 1 písm. a) Nariadenia GDPR, na základe čoho musí zákazník musí vyjadriť súhlas ešte pred prvým spracúvaním jeho údajov, napríklad na marketingové účely, ktoré sa týka zasielania newslettera, odosielania pravidelných periodických materiálov a pod.;
- na základe čl. 6 ods. 1 písm. f) Nariadenia GDPR, kedy je spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa, ktorý vzniká napríklad pri poskytovaní informácií o dodaní tovaru, o ktorý zákazník v minulosti prejavil záujem a sám požiadal o poskytnutie informácie o jeho dostupnosti.
2.) Minimalizácia údajov
Niektorí prevádzkovatelia zbierajú osobné údaje vo veľkom a častokrát nepotrebnom rozsahu. Môžeme tvrdiť, že tak robia na základe úsudku nice to have. Prevádzkovateľ by mal spracúvať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie konkrétneho účelu spracúvania. Ak o to zákazník požiada, teda dá svoj výslovný súhlas so spracúvaním osobných údajov na účely zasielania marketingových letákov, pravdepodobne neráta s tým, že okrem základných údajov, akými sú meno, priezvisko, e-mailová adresa alebo telefónne číslo, bude od neho prevádzkovateľ žiadať informácie o jeho konfekčnej veľkosti.
3.) Transparentnosť a informačná povinnosť
Ak prevádzkovateľ zbiera o zákazníkoch dáta, mali by byť vždy informovaní, za akým účelom ich zbiera, v akom rozsahu ich získava, ako dlho ich plánuje uchovať, či komu sa ich údaje ďalej poskytujú. Ide o transparentnosť a splnenie si informačnej povinnosti na základe článkov 13 a 14 Nariadenia GDPR. Za splnenie tejto povinnosti sa považuje napríklad vytvorenie záložky na webe prevádzkovateľa pod názvom GDPR, Ochrana osobných údajov alebo Podmienky ochrany osobných údajov, kde nájdu zákazníci príslušné a aktuálne informácie, akým spôsobom sú ich osobné údaje pre konkrétne účely e-shopu spracúvané. Súčasťou informačnej povinnosti je aj to, aby prevádzkovateľ informoval svojich zákazníkov o ich právach v postavení dotknutej osoby, najmä o práve namietať voči spracúvaniu na účely priameho marketingu, či o práve odvolať súhlas so spracúvaním.
4.) Doba uchovania osobných údajov
Prevádzkovatelia e-shopov by mali dbať na to, aby osobné údaje zákazníkov neuchovávali dlhšie ako im vyplýva z účelu spracúvania, alebo im to ukladá zákon o registratúrach. Ak zákazník odvolá svoj súhlas so spracúvaním osobných údajov na účely zasielania marketingových ponúk, odvolaním tohto súhlasu na zasielanie marketingových ponúk je prevádzkovateľ povinný ukončiť daný spôsob spracúvania osobných údajov. Doba uchovania osobných teda úzko súvisí s daným nadstavením účelov spracúvania.
5.) Záznamy o spracovateľských činnostiach
Každý prevádzkovateľ e-shopu je povinný viesť si záznamy o spracovateľských činnostiach vo vzťahu k spracovateľským činnostiam, ktoré vykonáva. Ide napríklad o marketing, vernostný program, pravidelné súťaže, objednávky tovaru alebo služieb. Záznamy o spracovateľských činnostiach sa môžu nachádzať v elektronickej alebo papierovej podobe. Záznamy o spracovateľských činnostiach predkladá prevádzkovateľ Úradu na ochranu osobných údajov v prípade kontroly. Nie sú teda určené na zverejnenie.
6.) Zodpovedná osoba
V prípade, že hlavnými činnosťami prevádzkovateľa e-shopu sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, je potrebné, aby si stanovili zodpovednú osobu podľa článku 37 Nariadenia GDPR, ktorá bude zodpovedná za dodržiavanie súladu s Nariadením GDPR, ale aj vnútroštátnou legislatívou. Úlohou zodpovednej osoby je prevziať agendu ochrany osobných údajov a odbremeniť tak prevádzkovateľa od povinností z hľadiska GDPR.
7.) Sprostredkovateľ
V prípade, že sa prevádzkovatelia e-shopov rozhodnú zapojiť do činnosti spracúvania osobných údajov sprostredkovateľa a poveriť ho tak spracúvaním osobných údajov zákazníkov, napríklad na účely vyhodnotenia spotrebiteľskej súťaže alebo zasielaním pravidelných newsletterov, je dôležité dbať na vhodný výber sprostredkovateľa. Prevádzkovatelia musia uzavrieť so sprostredkovateľom zmluvu o spracúvaní osobných údajov a ten sa musí zaručiť dodržiavať podmienky podľa článku 28 Nariadenia GDPR.
8.) Bezpečnosť spracúvania osobných údajov
Prevádzkovatelia e-shopov majú povinnosť prijať primerané technické a bezpečnostné opatrenia, aby zabezpečili ochranu spracúvaných osobných údajov zákazníkov. Takéto opatrenia je potrebné zaviesť ešte pred prvým spracúvaním osobných údajov, a to napríklad zaheslovaním počítačov podľa určitého bezpečnostného minima, zabezpečením ochrany údajov zákazníkov antivírusovým programom, (v prípade povinnosti) stanovením zodpovednej osoby, zabezpečením automatizovaných a neautomatizovaných prostriedkov a pod.
Sankcie
Úrad na ochranu osobných údajov ukladá pokuty v závislosti od okolností každého jednotlivého prípadu, pričom ich výška sa môže pohybovať až do 10 000 000 EUR, alebo v prípade podniku do 2% celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
Na záver je potrebné doplniť, že na prevádzkovateľov e-shopov sa vzťahujú aj ďalšie osobitné predpisy, napr. zákon č. 351/2011 Z. z. o elektronických komunikáciách a zákon č. 22/2004 Z. z. o elektronickom obchode, ktoré je potrebné pri prevádzkovaní e-shopov zohľadniť.
Zdroje:
Úrad na ochranu osobných údajov SR: Plán kontrol na rok 2021