Kto viac vie, môže podnikať

logo efektívnejšie

Autor článku:

Mgr. Mária Kučeríková

Mgr. Mária Kučeríková

Som absolventkou Právnickej fakulty Trnavskej univerzity. Z právnych oblastí sa zameriavam najmä na oblasť obchodného a občianskeho práva, ako aj na ochranu osobných údajov GDPR.

Zdroje článku:

🏠 Domov > Blog > GDPR > GDPR a e-shop – kedy je potrebný súhlas so spracovaním osobných údajov

GDPR a e-shop – kedy je potrebný súhlas so spracovaním osobných údajov

24. augusta 2021

Prevádzkovatelia internetových obchodov získali vďaka nariadeniu GDPR možnosť, že nemusia od zákazníkov získavať súhlas so spracovaním osobných údajov pri každom spracúvaní osobných údajov. Má to ale určité pravidlá a za určitých okolností je súhlas potrebný. Tieto záležitosti by mal mať každý e-shop definované vo svojej GDPR dokumentácii.

nákupná taška a notebook na gauči

Základné GDPR povinnosti prevádzkovateľa internetového obchodu

Prevádzkovateľ internetového obchodu nesmie pri plnení svojich GDPR povinností opomenúť rôzne druhy povinností. Ide napr. o tieto oblasti povinností:

  1. Právny základ spracúvania osobných údajov
  2. Plnenie informačnej povinnosti voči dotknutým osobám – zákazníkom
  3. Splnenie povinnosti viesť záznamy o spracovateľských činnostiach
  4. Zaistenie bezpečnosti osobných údajov
  5. Dodržiavanie zásad spracúvania osobných údajov
  6. Povinnosť oznámenia porušenia ochrany osobných údajov dotknutých osôb úradu na ochranu osobných údajov
  7. Zodpovedná osoba a internetové obchody
  8. Spracovanie osobných údajov sprostredkovateľom

V tomto článku sa budeme venovať len prvej a základnej povinnosti prevádzkovateľa e-shopu z pohľadu ochrany osobných údajov – právnemu základu spracúvania osobných údajov.

Zvyšným oblastiam povinností sa venujeme v článku – GDPR a e-shop –základné povinnosti prevádzkovateľa e-shopu z pohľadu ochrany osobných údajov.

Aké právne základy podľa GDPR poznáme?

Právne základy sú v nariadení GDPR a zákone o ochrane osobných údajov upravené ako „zákonnosť spracúvania“.  Spracúvanie je zákonné iba vtedy, keď je možné určiť aspoň jeden z týchto právnych základov:

  1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
  2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
  3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
  4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
  5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
  6. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Kedy môže internetový obchod spracúvať osobné údaje zákazníkov? Odpoveď je v právnom základe

Pod výrazom právny základ si treba predstaviť „zlegalizovanie“ dôvodu alebo účelu, na základe, ktorého sa prevádzkovateľ internetového obchodu dostal k osobným údajom dotknutej osoby (zákazníka e-shopu), a teda ich spracúva.

Právny základ na spracovanie osobných údajov musí byť aj pri e-shope konkrétny a účelný.

Pri prevádzkovaní e-shopu treba dávať pozor nielen na to, aby existoval právny základ spracúvania osobných údajov. Pri ochrane osobných údajov v internetovom obchode je potrebné dbať aj nato, aby tieto osobné údaje boli spracúvané len na konkrétne vymedzený legitímny účel, a zároveň len pre dosiahnutie toho, ktorého vymedzeného účelu. Tým môže byť práve spomínané uzavretie kúpnej zmluvy, spotrebiteľská súťaž a pod.

Je vždy potrebné pýtať súhlas zákazníka na spracúvanie jeho osobných údajov? Dôležitý je účel spracovania

V súvislosti so zaznamenávaním osobných údajov pri prevádzkovaní internetového obchodu môžeme identifikovať viacero bežných spracovateľských činností s odlišným právnym základom. Právny základ predstavuje „podklad“, na základe ktorého prevádzkovateľ internetového obchodu príde do styku s osobnými údajmi zákazníka/dotknutej osoby a následne musí riešiť ochranu osobných údajov v súlade s predpismi. V zásade ich môžeme deliť na dve skupiny, a to tie, kedy sa vyžaduje súhlas zákazníka a tie, kedy predchádzajúci súhlas zákazníka nie je potrebný.

Bez súhlasu zákazníka
Objednávka tovaru/služieb (uzavretie kúpnej zmluvy)
Marketingová komunikácia so zákazníkom
So súhlasom zákazníka
Marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu
Vernostný program
Spotrebiteľská súťaž

Objednávka tovaru/služieb (uzavretie kúpnej zmluvy) – zmluvná požiadavka

Pri objednávke tovaru alebo služieb predstavuje právny základ spracúvania osobných údajov konkrétna zmluva uzavretá na diaľku medzi zákazníkom a prevádzkovateľom internetového obchodu. Vyplýva to z ustanovenia čl. 6 ods. b) Nariadenia. Zaraďujeme sem aj uskutočnenie platby, dodanie tovaru alebo služby, vybavovanie reklamácie a pod.

Marketingová komunikácia so zákazníkom – oprávnený záujem

Na účely marketingovej komunikácie sa najčastejšie využívajú priame marketingové nástroje ako napr. newsletter a pod. Túto situáciu nájdeme upravenú v čl. 6 ods. 1 písm f) Nariadenia. Pod oprávneným záujmom rozumieme napr. informovanie zákazníka o novom ponúkanom tovare v internetovom obchode, či službách za účelom podpory predajnosti.

Marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu – súhlas

V súlade s ustanovením čl. 6 ods. 1 písm a) je pri marketingovej komunikácii s dotknutou osobou bez predchádzajúceho vzťahu potrebný predchádzajúci súhlas dotknutej osoby.

Vernostný program a spotrebiteľská súťaž – súhlas

Podobne, ako pri vyššie uvedenej marketingovej komunikácii s dotknutou osobou bez predchádzajúceho vzťahu, aj v prípade vernostného programu a spotrebiteľskej súťaže sa uplatňuje čl. 6 ods. 1 písm a), kedy sa vyžaduje súhlas zákazníka so spracúvaním jeho osobných údajov.

Príklady osobitého spôsobu spracovania osobných údajov internetovým obchodom

Neustály rozvoj sveta technológii prináša so sebou aj nové spôsoby spracúvania osobných údajov prevádzkovateľmi internetových obchodov. Sú nimi najmä tieto a uvádzame aj právny základ pri jednotlivých spôsoboch:

Wishlist: inak nazvaný aj zoznam prianí, predstavuje funkcionalitu, prostredníctvom ktorej si zákazník vie uložiť vybranú vec, ktorá sa mu páči aby ju už neskôr nemusel hľadať. V rámci marketingovej činnosti sa v tomto prípade jedná o spracúvanie osobných údajov najmä v prípadoch zasielania mailového upozornenia o zmene, resp. znížení ceny za tovar uložený priamo vo wishliste alebo o tom, že tovar je opäť na sklade v internetovom obchode. V prípade tejto marketingovej činnosti ide o právny základ, ktorý predstavuje oprávnený záujem.

Opustený košík: ide o prípady, kedy má klient položky vybrané v internetovom obchode v nákupnom košíku, ale zatiaľ nepristúpil k platbe. To znamená že kúpna zmluva sa doposiaľ neuzavrela. K spracúvaniu osobných údajov tu prichádza napríklad v prípade zasielania mailových upozornení o obsahu v košíku. V tejto súvislosti hovoríme o tzv. predzmluvných vzťahoch v súvislosti s čl. 6 ods. 1 písm b)

Sledovanie sviatkov zákazníka: právnym základom je opäť oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia

Reaktivácia: zákazník dlhšie nenavštevuje webovú stránku internetového obchodu alebo nevyužíva ním poskytované služby. Pre podporu tejto aktivity mu prevádzkovateľ zašle mail so zľavou s cieľom ho motivovať k nákupu. V prípade ak táto činnosť vyplýva z už uzavretej zmluvy právnym základom pre spracúvanie osobných údajov je práve táto zmluva. Ak sa táto činnosť uskutočňuje v rámci marketingovej činnosti právnym základom pre spracovanie osobných údajov je právny záujem.

Segmentácia: v prípade využitia služieb internetového obchodu sú zákazníkovi posielané informačné maily o podobnom type práve naskladneného tovaru. Právnym základom pre spracúvanie osobných údajov a teda aj pre ich ochranu je oprávnený záujem.

Upselling: hovoríme o zobrazovaní/ponúkaní podobného tovaru zákazníkom na základe už nimi zakúpeného tovaru. Informácie sa zasielajú najčastejšie formou newsletteru. Právnym základom je oprávnený záujem.

Cookies: nie vždy sa považuje ta osobný údaj. Osobným údajom sa stáva a teda aj ochrane osobných údajov podlieha v prípade ak predstavuje súčasť ďalších konkrétnych údajov viažucich sa k dotknutej osobe. Je dôležité rozoznať, či na základe týchto údajov je možné fyzickú osobu identifikovať. Rozoznávame podľa toho či ide o osobný údaj alebo nie. V prípade, že nie, vzniká povinnosť plniť podmienky podľa zákona č. 351/2011. Ak ide o osobný údaj, v závislosti od konkrétneho prípadu môže byť právnym zákaldom zmluva, poskytnutý súhlas, či oprávnený záujem.

Zákazník internetového obchodu má právo odvolať súhlas so spracúvaním osobných údajov

V súlade s čl. 15 až 22 Nariadenia je dôležité informovať dotknuté osoby o práve namietať voči spracúvaniu osobných údajov na účely priameho marketingu a práve odvolať súhlas so spracúvaním osobných údajov. V prípade spracúvania osobných údajov na oprávnenom záujme prevádzkovateľ musí informovať zákazníka, ktoré oprávnené záujmy sleduje.

Aké zákony upravujú GDPR?

Ochranu osobných údajov v rámci webovej stránky e-shopu na Slovensku upravuje zákon o ochrane osobných údajov č. 18/2018 Z. z. Ten reflektuje ustanovenia Nariadenia Európskeho parlamentu a Rady (EÚ) 2016 679/2016, známe aj ako General Data Protection Regulation, z ktorého pochádza známa skratka GDPR.

Internetové obchody ovplyvňujú aj iné zákony ohľadom ochrany osobných údajov

Problematiku internetových obchodov z právneho hľadiska ochrany osobných údajov ale riešia aj iné predpisy. Okrem iných sú to napríklad zákon o elektronických komunikáciách č. 351/2011 v znení neskorších predpisov, či zákon o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z.

Aké postavenie má zákazník internetového obchodu v súvislosti s ochranou osobných údajov?

Zákazník internetového obchodu sa podľa Nariadenia považuje za dotknutú osobu. Ide o fyzickú osobu, ktorej sa týkajú osobné údaje spracúvané prevádzkovateľom e-shopu. Prevádzkovateľ internetového obchodu je povinný v rámci ochrany osobných údajov zabezpečiť dotknutej osobe výkon nasledovných práv:

V prípade nejasností, či môže e-shop spracúvať osobné údaje zákazníka, pomôže test proporcionality overí. Pomôcť môže aj úrad

Účelom testu proporcionality je zistiť splnenie podmienok na to, aby prevádzkovateľ mohol spracúvať osobné údaje na určitom právnom základe. Je potrebné ho uskutočniť pred samotným spracúvaním osobných údajov. Pri vykonávaní testu proporcionality je prevádzkovateľ povinný posúdiť nasledovné:

  1. oprávnený záujem
  2. nevyhnutnosť spracúvania osobných údajov
  3. či nad oprávneným základom neprevažujú základné práva a slobody dotknutých osôb

V prípade nesplnenia niektorej z podmienok je vhodnejšie spracúvať osobné údaje dotknutých osôb na inom právnom základe.

Pokiaľ si ani potom nie ste istý, či môžete osobné údaje zákazníkov spracúvať, môžete sa obrátiť priamo na úrad na ochranu osobných údajov.

Zhrnutie – právne základy spracúvania osobných údajov e-shopu

Na každé spracúvania osobných údajov musí mať prevádzkovateľ definovaný účel na aký osobné údaje spracúva. Od účelu sa odvíja právny základ. Našim GDPR zákazníkom odporúčame vždy hľadať iný právny základ ako súhlas so spracovaním osobných údajov. A pri internetovom obchode je to väčšinou aj možné.

Na hlavnú činnosť internetového obchodu – vybavenie objednávky, nie je potrebný súhlas so spracovaním osobných údajov. Využíva sa iný právny základ – písmeno b) spracúvanie je nevyhnutné na plnenie zmluvy.

Na marketingovú komunikáciu so zákazníkom, ktorý už v internetovom obchode spravil objednávku sa tiež nevyžaduje jeho súhlas. Právnym základom je v tomto prípade písmeno f) oprávnený záujem prevádzkovateľa.

Súhlas so spracovaním osobných údajov je ale pri prevádzkovaní internetového obchodu potrebný ak chce e-shop marketingovo komunikovať s potenciálnym zákazníkom, ktorý si u neho ešte neobjednal tovar. Súhlas sa vyžaduje napr. aj pri vernostných programoch a spotrebiteľských súťažiach.

Autor článku:

kruhová fotografia Mgr. Mária Kučeríková
Mgr. Mária Kučeríková

zakladateľ efektívnejšie.sk

Som absolventkou Právnickej fakulty Trnavskej univerzity. Z právnych oblastí sa zameriavam najmä na oblasť obchodného a občianskeho práva, ako aj na ochranu osobných údajov GDPR.

Zdieľať článok:

Zdieľať článok:

Ak ste sa v článku nedozvedeli všetky informácie, ktoré potrebujete, s radosťou nás kontaktujte

Otázky a odpovede k GDPR a e-shopu

Týka sa GDPR internetových obchodov?

Áno, týka. Pretože spracúvajú osobné údaje fyzických osôb na iné ako osobné účely.

Je potrebný súhlas so spracovaním osobných údajov pri vybavení objednávky internetového obchodu?

Nie, nie je. Pretože právny základ je plnenie zmluvy (vybavenie objednávky).

Je potrebný súhlas so spracovaním osobných údajov pri marketingovej komunikácii so zákazníkom?

Súhlas je vyžadovaný len vtedy, ak zákazník ešte nemá s prevádzkovateľom zmluvný vzťah (to znamená, že si zákazník ešte z daného e-shopu nič neobjednal).

Je potrebný súhlas so spracovaním osobných údajov pri vernostnom programe e-shopu?

Áno, pri vernostnom programe je potrebný súhlas so spracovaním osobných údajov.

Je potrebný súhlas so spracovaním osobných údajov pri spotrebiteľskej súťaži e-shopu?

Áno, pri spotrebiteľskej súťaži je potrebný súhlas so spracovaním osobných údajov.

Súvisiace články

Informačná povinnosť GDPR pri cookies

Informačná povinnosť GDPR pri cookies

V súlade so zásadou transparentnosti je potrebné pri cookies splniť si informačnú povinnosť v rozsahu ako ju definuje článok 13 GDPR a § 19 zákona č. 18/2018 Z.z. o ochrane osobných údajov.