Zákon o ochrane osobných údajov, podľa ktorého pribudli povinnosti aj všetkým majiteľom e-shopov, platí už od 1.7.2013 a jeho novelizácia vstúpila do platnosti 15.4.2014. Napriek tomu však o ňom dodnes mnohí majitelia e-shopov nevedia. Týka sa ich totiž povinnosť oznámiť informačné systémy e-shopov a marketingu na Úrade, ktorý tento zákon zastrešuje, a to ešte pred spustením predaja.
Kedy sa zákon o ochrane osobných údajov týka e-shopov?
Odpoveď je jednoduchá. Zákon č. 122/2013 o ochrane osobných údajov v znení neskorších predpisov sa týka všekých e-shopov, ktoré spracúvajú akékoľvek osobné údaje. V praxi tak ide v zásade o všetky, pretože každý e-shop spracúva v objednávkovom formulári minimálne meno, priezvisko a adresu zákazníka, prípadne ešte e-mail a telefón. Už tieto údaje sa považujú za osobné, hoci ich celkom jednoducho nájdete napríklad v telefónnom zozname.
Ide o nepopulárne opatrenie, ktoré si zobrali „na paškál“ aj hlasujúci v ankete Byrokratický nezmysel roka. V ročníku 2014 sa toto opatrenie umiestnilo na piatom mieste a zaradilo sa tak k „nezmyslom“, ktoré komplikujú život väčšine podnikateľov.
Ešte pred novelizáciou zákona o ochrane osobných údajov (v apríli roku 2014) bola povinnosť oznámiť informačný systém (IS) definovaná ako registrácia. Možno bude mnohým táto terminológia známejšia, i keď dnes už sa oficiálne nazýva oznamovacia povinnosť. Novelizáciou zákona sa však majiteľom e-shopov okrem zmeny terminológie aj značne zjednodušili podmienky, pretože sa zrušila povinnosť mať pre IS vypracovanú bezpečnostnú smernicu.
Povinnosť oznámiť informačný systém na Úrade na ochranu osobných údajov majú aj naďalej všetky e-shopy, ktoré vykonávajú „nákup a predaj tovaru cez internet, vrátane jeho doručenia klientovi“. Presne takto definuje cieľovú skupinu zákon i Úrad.
Informačný systém, ktorý treba oznamovať, Úrad jednoducho nazýva IS E-shop, tento názov teda pokojne uvádzajte aj v procese oznamovania.
Ak máte navyše v rámci e-shopu aj newsletter, ktorý posielate zákazníkom z vašej databázy, mali by ste Úradu oznámiť aj IS Marketing, ktorý slúži na „zasielanie marketingových ponúk prostredníctvom elektronickej pošty/newsletter“. Z hľadiska zákona sú IS e-shop a IS Marketing dva rôzne informačné systémy, lebo majú rôzny účel spracúvania aj rôzny právny základ.
Ako má e-shop postupovať pri oznamovaní informačného systému?
Samotné oznámenie nie je až taká náročné. Ak ste trochu digitálne zdatní, zvládnete to aj sami. Vypĺňa sa elektronicky na stránke Úradu na ochranu osobných údajov a má niekoľko krokov.
Pripravte si údaje o prevádzkovateľovi e-shopu, údaje o štatutárovi spoločnosti či údaje o poskytovateľovi web hostingu, na ktorom e-shop prevádzkujete.
Keď vyplníte všetky údaje a formulár odošlete, váš informačný systém je oficiálne Úradu oznámený a vy ste si splnili zákonnú povinnosť. Výhodou je, že poštou už nemusíte posielať nič viac.
Oznámenie e-shopu je bezplatné, nemusíte uhrádzať žiadne správne poplatky.
Nezabudnite ale, že Úradu na ochranu osobných údajov musíte nahlasovať aj zmeny v informačnom systéme alebo ukončenie používania informačného systému (teda napr. pri zániku e-shopu). Urobiť tak môžete prostredníctvom rovnakého online formulára.
Aké ďalšie dokumenty v súvislosti s ochranou osobných údajov musí e-shop zo zákona mať?
Oznámením informačného systému sa bohužiaľ zákonná povinnosť nekončí. Ďalším krokom je umiestnenie prehlásenia o ochrane osobných údajov na web stránku. Toto prehlásenie podľa zákona špecifikuje, ako prevádzkovateľ e-shopu nakladá s osobnými údajmi zákazníka, akým ďalším stranám poskytuje tieto údaje (napr. prepravcovi za účelom prepravy tovaru k zákazníkovi) a ako s nimi naloží pri ich likvidácii. Zákon nešpecifikuje presnú doslovnú formuláciu prehlásenia, iba to, čo by malo obsahovať. Toto prehlásenie môže byť súčasťou obchodných podmienok.
Zákon tiež vyžaduje, aby každá osoba, ktorá spracúva osobné údaje, bola poučená v zmysle zákona ešte pred uskutočnením prvej operácie s osobnými údajmi. O tomto poučení musí byť urobený záznam – poučenie oprávnenej osoby.
Vďaka novelizácii zákona už prevádzkovateľ e-shopu nemusí mať vypracovanú Bezpečnostnú smernicu, ale podľa § 19 ods. 1 zákona a vyhlášky 164/2013 o rozsahu a dokumentácii bezpečnostných opatrení a jej novelizácie z roku 2014, musí mať prevádzkovateľ zdokumentované:
- záznam o kontrole - sú to záznamy o kontrolnej činnosti prevádzkovateľa zameranej na dodržiavanie bezpečnosti informačného systému
- záznamy o zistených bezpečnostných incidentoch vplývajúcich na bezpečnosť osobných údajov a záznamy o nadväzných postupoch, ktorými prevádzkovateľ zabezpečil obnovenie bezpečnosti informačného systému, ktorý budete potrebovať v prípade, ak by došlo k porušeniu zákona o ochrane osobných údajov
Ak by k vám z Úradu na ochranu osobných údajov prišla kontrola, všetky tieto dokumenty jej budete musieť predložiť. Zákon opäť nedefinuje ich presné znenie, neexistujú teda žiadne oficiálne vzory.
Aké hrozia e-shopu pokuty za nedodržanie povinností?
Ak sa povinnosti oznámiť informačný systém e-shopu vyhnete, alebo ste na ňu pozabudli, podľa §68 vám môže byť vyrubená pokuta vo výške od 300 až do 3 000 €.
Hoci je zákon v platnosti už dlhšie a od jeho zavedenia sa povinnosti pre e-shopy už raz upravovali, mnohí prevádzkovatelia internetových obchodov o tejto povinnosti stále nevedia. Nevedomky tak riskujú vysoké pokuty za úkon, ktorý pritom nie je administratívne ani finančne až tak náročný.
Ak si s oznámením IS a súvisiacimi dokumentmi neviete dať rady sami alebo nemáte čas, obráťte sa na firmy, ktoré sa na túto oblasť špecializujú. Zvyčajne si od vás vyžiadajú základné identifikačné údaje potrebné k oznámeniu IS, údaje o vašich sprostredkovateľoch a oprávnených osobách a všetko ostatné vám už vypracujú na mieru. Cena takejto služby sa zvyčajne pohybuje v rozmedzí niekoľkých desiatok Eur a predstavuje zanedbateľnú investíciu v porovnaní s možnými zákonnými sankciami.
Článok bol pripravený v spolupráci s konzultantkou v oblasti ochrany osobných údajov Ing. Vierou Slimákovou.