GDPR a e-shop – základné povinnosti prevádzkovateľa e-shopu z pohľadu ochrany osobných údajov

Pokiaľ prevádzkujete alebo plánujete prevádzkovať internetový obchod, jednou z vašich zákonných povinností je ochrana osobných údajov alebo GDPR. Aj keď na prvý pohľad môžu pravidlá vyplývajúce z predpisov venujúcich sa ochrane osobných údajov vyzerať pomerne zložito a chaoticky, po pochopení základných princípov zistíte, že sú vcelku jednoduché a dokonca prehľadné.

Základné GDPR povinnosti prevádzkovateľa internetového obchodu

Prevádzkovateľ internetového obchodu nesmie pri plnení svojich GDPR povinností opomenúť rôzne druhy povinností. Ide napr. o tieto oblasti povinností:

1. Právny základ spracúvania osobných údajov
2. Plnenie informačnej povinnosti voči dotknutým osobám – zákazníkom
3. Splnenie povinnosti viesť záznamy o spracovateľských činnostiach
4. Zaistenie bezpečnosti osobných údajov
5. Dodržiavanie zásad spracúvania osobných údajov
6. Povinnosť oznámenia porušenia ochrany osobných údajov dotknutých osôb úradu na ochranu osobných údajov
7. Zodpovedná osoba a internetové obchody
8. Spracovanie osobných údajov sprostredkovateľom

Prvej povinnosti – právnemu základu spracúvania osobných údajov sme sa venovali podrobne v našom článku – GDPR a e-shop – kedy je potrebný súhlas so spracovaním osobných údajov. Ostatným povinnostiam sa budeme venovať v tomto článku.

Právny základ spracúvania osobných údajov

V súvislosti so zaznamenávaním osobných údajov pri prevádzkovaní internetového obchodu môžeme identifikovať viacero bežných spracovateľských činností s odlišným právnym základom. Právny základ predstavuje „podklad“ na základe ktorého prevádzkovateľ internetového obchodu príde do styku s osobnými údajmi zákazníka/dotknutej osoby a následne musí riešiť ochranu osobných údajov v súlade s predpismi. V zásade ich môžeme deliť na dve skupiny, a to tie, kde sa vyžaduje súhlas zákazníka a tie, kde sa predchádzajúci súhlas zákazníka nie je potrebný.

Prevádzkovateľ internetového obchodu má informačnú povinnosť

Povinnosť poskytovať informácie dotknutej osobe (zákazníkovi e-shopu) ma prevádzkovateľ internetového obchodu v rámci zabezpečenia ochrany osobných údajov. Zároveň má povinnosť ju plniť iniciatívne, a teda nie na základe žiadosti dotknutej osoby. Informačná povinnosť pri ochrane osobných údajov sa vzťahuje na všetky spracovateľské činnosti prevádzkovateľa internetového obchodu.

Informačná povinnosť pri nových a už existujúcich zákazníkoch internetového obchodu

Pri nových zákazníkoch platí, že informačné povinnosti si je povinný prevádzkovateľ internetového obchodu plniť najneskôr pri získavaní údajov. Pri existujúcich zákazníkoch je dôležitý dátum 25.5.2018. Ak títo zákazníci existovali už pred týmto dátumom, je potrebné skontrolovať, resp. doplniť údaje tak, aby boli v súlade s ustanoveniami článku č. 13 a článku č. 14 Nariadenia.

Ako môže prevádzkovateľ internetového obchodu splniť svoju informačnú povinnosť?

Pri uskutočňovaní informačnej povinnosti musí prevádzkovateľ internetového obchodu dbať nato, aby potrebné informácie poskytoval stručne, transparentne, zrozumiteľne, formulované ľahko a jednoducho a tiež v ľahko dostupnej forme.

Spôsoby, akými je túto povinnosť možné splniť sú rôzne, pričom je možné zvoliť aj ich kombináciu. Môže to byť webová stránka internetového obchodu alebo zaslanie informácii do emailu.

Prevádzkovateľ e-shopu má povinnosť viesť záznamy o spracovateľských činnostiach

Viesť záznamy o spracovateľských činnostiach je povinný každý prevádzkovateľ e-shopu v súlade s ustanovením článok č. 30 Nariadenia. Táto povinnosť sa vzťahuje na všetky spracovateľské činnosti, ktorými sú objednávka tovaru a služieb, priamy marketing, vernostný program a pri pravidelnom organizovaní spotrebiteľských súťaží. Ak prevádzkovateľ internetového obchodu usporadúva spotrebiteľské súťaže len príležitostne (napríklad raz za rok a podobne) je možné si uplatniť výnimku podľa článku č. 30 ods. 5 Nariadenia.  Vzor záznamu o spracovateľských činnostiach zverejnil Úrad na ochranu osobných údajov na svojom webovom sídle

Ako zabezpečiť bezpečnosť osobných údajov v internetovom obchode?

Je dôležité si uvedomiť že medzi povinnosti pri ochrane osobných údajov dotknutých osôb patri aj zabezpečenie bezpečnosti ich spracúvania v rámci prevádzkovania internetového obchodu. Bezpečnosť osobných údajov je prevádzkovateľ internetového obchodu povinný zabezpečiť počas celej doby ich spracúvania. Zároveň na zabezpečenie bezpečnosti pri ochrane osobných údajov je potrebné tak urobiť už v štádiu, kedy samotné spracúvanie ešte nie je začaté.

Je vhodné, vzhľadom k vlastnému prostrediu internetového obchodu,  zaistiť určité bezpečnostné štandardy ako napríklad zabezpečenie počítaču, v ktorom dochádza k spracúvaniu osobných údajov antivírusovým programom. To nás privádza k čl. č. 32 Nariadenia, podľa ktorého je prevádzkovateľ internetového obchodu pri uskutočňovaní ochrany osobných údajov povinný prijať technické a bezpečnostné opatrenia.

Technické a bezpečnostné opatrenia na zaistenie bezpečnosti ochrany osobných údajov

Medzi príklady technických opatrení pre potreby GDPR môžeme zaradiť napríklad antivírusový program, firewall, zaheslovaný počítač, alarm, zabezpečenie objektu, zabezpečenie automatizovaných a neautomatizovaných prostriedkov a iné. Medzi tie organizačné zaraďujeme napríklad pokyny a usmernenia zamestnancom prevádzkovateľa internetového obchodu, určenie zodpovednej osoby, poučenie zamestnancov o zachovávaní mlčanlivosti, režim vstupu do priestorov, kde sa osobné údaje spracúvajú, pravidlá spracúvania osobných údajov vrátane pravidiel ich uchovávania.

Uvedené GDPR opatrenia sú príkladom ako dodržať povinnosť bezpečnosti osobných údajov. Ich výpočet a jednotlivé prevedenie sa môže líšiť vzhľadom k podmienkam jednotlivých prevádzkovateľov. Preto ich nie je možné zovšeobecniť. Výpočet niektorých bezpečnostných opatrení nájdu prevádzkovatelia internetových obchodov aj v prílohe vyhlášky úradu č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov.

Dodržiavanie zásad spracúvania osobných údajov

Dodržiavanie zásad spracúvania osobných údajov predstavuje cestu k pochopeniu právnych predpisov ochrany osobných údajov a spôsobu akým fungujú. Medzi tieto zásady zaraďujeme zásadu zákonnosti, transparentnosti, obmedzenia účelu, minimalizácie údajov, správnosti, minimalizácie uchovávania, integrity a dôvernosti a napokon zásada dôvernosti.

Porušenie ochrany osobných údajov dotknutých osôb treba ohlásiť úradu. Prevádzkovateľ tak musí spraviť bezodkladne

V prípade ak zo strany prevádzkovateľa e-shopu došlo k porušeniu ochrany osobných údajov dotknutých osôb, je povinný nahlásiť túto skutočnosť Úradu na ochranu osobných údajov. V niektorých prípadoch aj dotknutej osobe, a to bez zbytočného odkladu. Túto povinnosť musí splniť v lehote do 72 hodín odvtedy, ako sa o tejto skutočnosti dozvedel.

Zároveň musí ísť o také porušenie ochrany osobných údajov dotknutých osôb, ktoré vedú k riziku pre práva a slobody fyzických osôb. Môžu byť nimi napríklad sprístupnenie databázy s osobnými údajmi zákazníkov neoprávneným osobám alebo poškodenie a nedostupnosť záloh prevádzkovateľa internetového obchodu.

Pristúpenie ku Kódexu je jednoduchý spôsob ako preukázať dodržiavanie GDPR predpisov. Môžete získať aj certifikát.

Dodržiavanie GDPR predpisov v súlade s Nariadením môže prevádzkovateľ uskutočniť aj dodržiavaním Kódexu správania alebo prostredníctvom certifikátu. Tieto možnosti sú založené na dobrovoľnosti – teda prevádzkovateľ internetového obchodu nie je povinný k nim pristúpiť.

Cezhraničný prenose osobných údajov zákazníkov musíte zaznamenať. Nie však v EÚ

V prípade prenášania osobných údajov zákazníkov do tretích krajín je nevyhnutné aby prevádzkovateľ e-shopu túto skutočnosť uviedol v súlade s článkom č. 30 ods. 1 písm. e) Nariadenia v zázname o spracovateľských činnostiach. Prevádzkovateľ internetového obchodu je zároveň povinný informovať aj dotknuté osoby. Dodávame, že za tretie krajiny sa nepovažujú členské štáty Európskej únie a štáty, ktoré sú zmluvnými stranami Dohody o Európskom hospodárskom priestore, čo znamená že ich nie je potrebné uvádzať v zázname o spracovateľských činnostiach.

Zodpovedná osoba a internetové obchody

Povinnosť určiť zodpovednú osobu na ochranu osobných údajov prevádzkovateľovi internetového obchodu vzniká v prípade splnenia podmienky podľa článku č. 37 ods. 1 písm b) Nariadenia.

Prevádzkovateľ internetového obchodu je povinný určiť zodpovednú osobu, ak spĺňa aspoň jednu z nasledovných podmienok:

1. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
2. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
3. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.

Bežné internetové obchody nemajú povinnosť určiť zodpovednú osobu

Bežné internetové obchody nespĺňajú ani jednu z podmienok na určenie zodpovednej osoby. Nie sú totiž orgán verejnej moci alebo verejnoprávna inštitúcia. Nevykonávajú pravidelné a systematické monitorovanie dotknutých osoby vo veľkom rozsahu. A ani nespracúvajú osobitné kategórie osobných údajov.

Osobné údaje zákazníkov môže spracúvať aj tretia osoba, najčastejšie sprostredkovateľ

Sprostredkovateľ predstavuje osobu, ktorá spracúva osobné údaje v mene prevádzkovateľa internetového obchodu v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 zákona o ochrane osobných údajoch. Môže ním byť orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa na základe písomnej zmluvy.

Na účely uzatvorenia sprostredkovateľskej zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje. Pokiaľ ide o zákonnosť, sprostredkovateľ disponuje pre spracúvanie osobných údajov právnym základom prevádzkovateľa (napr. oprávnený záujem).

Zhrnutie

Prevádzkovateľ internetového obchodu je povinný pri svojej činnosti dodržiavať GDPR predpisy na ochranu osobných údajov zákazníkov. Vyplýva to z nariadenia GDPR európskeho parlamentu, známeho pod skratkou GDPR. Jeho pravidlá boli na Slovensku prijaté v zákone o ochrane osobných údajov č. 18/2018.

Prevádzkovateľ internetového obchodu musí dodržiavať základné pravidlá GDPR predpisov: právny základ spracúvania osobných údajov, splnenie povinnosti viesť záznamy, plnenie informačnej povinnosti voči dotknutým osobám – zákazníkom a zaistenie bezpečnosti.

Podľa účelu spracúvania osobných údajov sa určuje, či na spracúvanie osobných údajov je potrebný súhlas zákazníkov internetového obchodu.