Newsletter, recenzie zákazníkov či cookies – ako sa ich dotýka GDPR? Na praktické rady pre e-shopy sme sa pýtali právnej expertky na GDPR Lucie Semančínovej z advokátskej kancelárie SEMANČÍN & PARTNERS.
Ako má e-shop spracúvať osobné údaje zákazníkov v súlade s GDPR? Je rozdiel v nakladaní s údajmi pri zákazníkoch, ktorí:
- sa len zaregistrovali, ale nikdy si nič nekúpili,
- si tovar objednali, no potom objednávku zrušili,
- si tovar objednali, no nikdy ho neprevzali,
- si tovar objednali a aj úspešne prevzali?
Povinnosti e-shopu pri spracúvaní osobných údajov fyzických osôb sa vždy odvíjajú od toho, na aký účel e-shop tieto osobné údaje získava a používa. Iné povinnosti bude mať prevádzkovateľ e-shopu pri spracúvaní údajov nevyhnutných na vybavenie objednávky zákazníka či jeho reklamáciu, na zaslanie newslettra, vedenie vernostného programu, zverejnenie referencie a pod. Je preto potrebné, aby si e-shop jasne určil všetky účely, na ktoré osobné údaje fyzických osôb používa.
Povinnosti prevádzkovateľa e-shopu pri ochrane osobných údajov sa teda neodvíjajú len od toho, kto je dotknutou osobou (registrovaná osoba, potenciálny zákazník, zákazník, budúci zákazník) ale od toho, na aký účel sa osobné údaje spracúvajú.
Osobné údaje môže e-shop spracúvať len vtedy, ak má na ich spracúvanie oprávnenie, tzv. právny základ. Pre každý účel spracúvania musí mať e-shop právny základ, ktorým môže byť napríklad zmluva so zákazníkom (na účel vybavenia objednávky e-shop bude spracúvať osobné údaje zákazníka – fyzickej osoby na základe kúpnej zmluvy), splnenie zákonnej povinnosti prevádzkovateľa (napríklad splnenie povinnosti uviesť na daňovom doklade všetky náležitosti, ktoré ustanovuje slovenská legislatíva), súhlas zákazníka (na účel vedenia vernostného programu bude e-shop spracúvať osobné údaje zákazníka na základe jeho súhlasu) alebo oprávnený záujem (napríklad na účel sledovania sviatkov zákazníkov bude e-shop spracúvať osobné údaje na základe oprávneného záujmu; príkladom na oprávnený záujem môže byť tzv. obľúbené, keď si potenciálny alebo registrovaný zákazník vytvára zoznam obľúbených položiek či zoznam prianí a e-shop mu pošle email s upozornením, že daný obľúbený tovar je teraz v akcii alebo došlo k jeho naskladneniu). Ak sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby, tento súhlas musí e-shop získať od osoby vždy pred samotným spracúvaním, napríklad zaškrtnutím políčka (opt-in) na každý účel samostatne.
V princípe platí, že e-shop môže spracúvať vždy len tie osobné údaje, ktoré sú na daný účel nevyhnutné, teda ktoré skutočne pre naplnenie určeného účelu potrebuje. Napríklad na vybavenie objednávky bude určite potrebovať meno a adresu zákazníka, aby mohol vystaviť faktúru a objednaný tovar zaslať a doručiť, platobné údaje na úhradu objednávky a email či telefónne číslo ako kontaktné údaje na účely zaslania potvrdenia o objednávke, kontaktovanie pri doručení a pod. Ak vek zákazníka nie je pre konkrétny produkt podmienkou predaja, nie je vo všeobecnosti nevyhnutné na účely vybavenia objednávky požadovať od zákazníka dátum jeho narodenia. Odporúčame, aby si e-shopy nastavili rozsah získavaných a spracúvaných osobných údajov zákazníkov pre každý účel samostatne a len v takom rozsahu, ako je to naozaj pre naplnenie daného účelu potrebné a nevyhnutné.
Osobné údaje potom bude prevádzkovateľ e-shopu spracúvať len po dobu, aká je nevyhnutná na splnenie daného účelu. Napríklad údaje zákazníka, ktoré získal na účel vybavenia jeho objednávky a s tým spojený účel prípadného vybavenia reklamácie bude e-shop ukladať počas reklamačnej lehoty (zväčša 24 mesiacov), prípadne potom ešte počas plynutia premlčacej lehoty na uplatnenie práv (3 alebo 4 roky). Na účely vedenia účtovníctva a plnenia daňových povinností osobné údaje zákazníkov uvedené na faktúrach či iných daňových dokladoch sa budú uchovávať rovnako ako je archivačná lehota účtovných dokladov. Niektoré lehoty uloženia teda vyplývajú z právnych predpisov a niektoré si e-shopy musia stanoviť sami na základe toho, ako dlho v skutočnosti tieto osobné údaje potrebujú na naplnenie účelu, prípadne na následné uplatnenie svojich práv.
Každý e-shop je povinný osobné údaje spracúvať transparentne, tzn. je povinný informovať zákazníkov najmä o tom, aké osobné údaje o nich získava a spracúva, na aký účel a na akom právnom základe, aké oprávnené záujmy sleduje spracúvaním, komu osobné údaje poskytuje či aká je doba spracúvania. Túto povinnosť odporúčame aby e-shopy plnili zverejnením tzv. Podmienok spracúvania osobných údajov na svojej web stránke, kde uvedú všetky podrobnosti spracúvania. Tento dokument by mal byť užívateľom web stránky ľahko dostupný a mal by byť napísaný jasne a zrozumiteľne, aby sa užívateľom poskytli potrebné informácie a aby rozumeli tomu, ako sa s ich údajmi bude nakladať. Na zjednodušenie textu a zvýšenie porozumenia sa odporúča používať aj grafické ikony.
Okrem toho platí, že
e-shop nemôže osobné údaje, ktoré získal na jeden účel, použiť na iný účel
bez toho, aby boli splnené potrebné podmienky. To znamená, že ak e-shop získa
osobné údaje na účel vybavenia objednávky, nemôže tieto údaje použiť
automaticky napríklad na účely vedenia vernostného programu bez toho, aby bol
o tom zákazník transparentne informovaný už v čase získania údajov
a aby mal na to e-shop právny základ.
Ak e-shop poskytne informácie o viacerých účeloch spracúvania osobných údajov transparentne vopred a zároveň si v procese zabezpečí aj získanie právneho základu, môže tieto osobné údaje získať aj naraz (napríklad pri objednávke tovaru dôjde zároveň aj k registrácii do vernostného programu a získaniu / zaškrtnutiu súhlasu na účel vernostného programu) alebo tieto osobné údaje môže použiť na tieto rôzne účely (napríklad počas tvorby objednávky použije na prezentáciu príbuzných tovarov, ktoré si môže zákazník prikúpiť, oprávnený záujem, tzv. upselling).
Môže prevádzkovateľ e-shopu nakladať s informáciami z nákupného košíka na marketingové účely, aj keď zákazník nakoniec nikdy svoju objednávku nedokončil?
V danom prípade bude záležať na tom, ako a na aké účely použije e-shop osobné údaje užívateľa web stránky, ktorý svoju objednávku nedokončil.
Ak ide o potenciálneho zákazníka, ktorý vytvoril objednávku, ale ostala mu v nákupnom košíku, tzv. opustený košík, e-shop môže potenciálnemu zákazníkovi, ktorý nedokončil svoj nákup alebo nedokončil platbu zaslať pripomínajúci email s upozornením a obsahom košíka. Právnym základom na spracúvanie osobných údajov z tejto nedokončenej objednávky je predzmluvný vzťah k budúcej kúpnej zmluve. V tomto prípade ide o kvázi rokovanie o uzatvorenie zmluvy.
Môže mať prevádzkovateľ e-shopu v obchodných podmienkach zahrnutý aj automatický súhlas s odoberaním newslettru alebo musí ísť o dve samostatné položky, s ktorými zákazník musí, resp. nemusí súhlasiť?
Zasielanie reklamy a reklamných informácií upravuje na Slovensku viacero právnych predpisov, najmä zákon o reklame, zákon o elektronických komunikáciách ako aj zákon o elektronickom obchode. Preto je nevyhnutné, aby prevádzkovateľ e-shopu nastavil svoj marketing aj v súlade s týmito právnymi predpismi.
Pokiaľ ide o ochranu osobných údajov, ktoré e-shop spracúva na účely marketingu, GDPR rozoznáva medzi zákazníkmi, resp. osobami, ktoré majú k prevádzkovateľovi e-shopu už nejaký vzťah (napr. u neho nakúpili, zaregistrovali sa, požiadali o cenovú ponuku a pod.) alebo ide o úplne neznáme osoby.
V prípade zákazníkov sa vo všeobecnosti akceptuje, že je oprávneným záujmom e-shopu spracúvať ich osobné údaje na účely ich oslovenia reklamou. Pre spracúvanie osobných údajov zákazníkov na účely zasielania newslettra sa teda zväčša súhlas nevyžaduje. Aj zákazník má však právo namietať voči spracúvaniu jeho osobných údajov na účely marketingu a e-shop je následne povinný ukončiť spracúvanie jeho údajov na marketingové účely.
Súhlas ako právny základ sa vyžaduje na zasielanie newslettra, resp. marketingovú komunikáciu len u osôb, ktoré nemajú predchádzajúci vzťah s e-shopom. Tento súhlas musí byť daný slobodne, jednoznačne, na konkrétny účel, nepodmienene a oddelene od iných informácií. Preto odporúčame, aby text súhlasu bol formulovaný a aj dostupný pre užívateľov web stránky ako samostatný dokument.
V žiadnom prípade nie je možné súhlas zahrnúť do obchodných podmienok či podmienok použitia web stránky s tým, že súhlasom s týmito podmienkami automaticky dotknutá osoba súhlasí aj so spracúvaním osobných údajov na účely marketingu. Na každý účel musí byť možnosť pre dotknutú osobu vyjadriť súhlas samostatne.
Rovnako by bol súhlas neplatný, ak by bol vopred „predzaškrtnutý“ ako opt-out možnosť, platný je vždy len opt-in súhlas. Okrem toho má dotknutá osoba právo svoj súhlas so spracúvaním osobných údajov kedykoľvek odvolať a e-shop je potom povinný ukončiť spracúvanie osobných údajov na tento účel, teda vymazať osobu napr. z databázy na zasielanie newslettra.
Viac informácií k téme nájdete v článku Kedy je podľa GDPR potrebný súhlas s odberom newslettra?
Čo by mal spĺňať prihlasovací formulár do newslettra, aby bol v súlade s GDPR?
Ako bolo uvedené vyššie, ak má osoba (bez predchádzajúceho kontaktu s e-shopom) záujem o odoberanie newslettra, prihlasovací formulár by mal obsahovať súhlas so zasielaním reklamy podľa zákona o reklame a zákona o elektronických komunikáciách a zároveň súhlas so spracúvaním osobných údajov na účely zasielania newslettra.
Súhlas so spracúvaním osobných údajov musí obsahovať: identifikačné údaje e-shopu, kontakt na zodpovednú osobu, ak je určená, účel spracúvania (napr. zasielanie newslettra) a právny základ (súhlas), rozsah spracúvaných osobných údajov (napr. meno, priezvisko, emailová adresa), komu sa údaje poskytujú (napr. marketingová agentúra), dobu uchovávania údajov, informáciu o tom, že má dotknutá osoba právo kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním, informáciu o tom, že dotknutá osoba nie je povinná tieto údaje poskytnúť a informáciu o právach dotknutej osoby podľa GDPR.
Text súhlasu so spracúvaním osobných údajov je možné dotknutej osobe poskytnúť ako link na dokument, v ktorom budú uvedené všetky tieto informácie, a to bezprostredne pri formulári na zber osobných údajov na tento účel.
Aby prevádzkovateľ e-shopu vedel preukázať získanie tohto súhlasu je potrebné, aby jeho systém dokázal zaznamenať identifikačné údaje užívateľa e-shopu, ktorý údaje ako aj súhlas poskytol.
Kedy je oslovovanie zákazníka prostredníctvom SMS alebo správy cez messaging aplikácie (WhatsApp, Viber, Messenger) v súlade s GDPR?
Marketingová komunikácia prostredníctvom SMS či iných elektronických systémov voči zákazníkom ako vykonávanie reklamy sa bude spravovať zákonmi, ktoré boli uvedené vyššie. Osobné údaje, ktoré zákazník poskytol e-shopu vrátane jeho telefónneho čísla je možné na marketing použiť na základe oprávneného záujmu e-shopu bez predchádzajúceho súhlasu zákazníka. Je však potrebné dodržať, že zákazník bol o tejto činnosti vopred informovaný a vedel (alebo mal vedieť), že jeho údaje môže e-shop použiť aj na marketingové účely.
Čo by mal súhlas so spracovaním údajov obsahovať, ako by mal vyzerať a kde na stránke e-shopu by mal byť zverejnený?
Obsah súhlasu so spracúvaním osobných údajov sme uviedli už vyššie. V každom prípade by tento text mal byť oddelený od iných informácií a mal by byť prístupný ako link pri každom formulári na zber dát, pre ktoré sa vyžaduje súhlas a zároveň by mal byť k dispozícii v časti „Podmienky spracúvania osobných údajov“, kde bude okrem súhlasov aj informačná povinnosť e-shopu o všetkých účeloch a podmienkach spracúvania osobných údajov.
Táto podstránka by mala byť na web stránke e-shopu jednoducho prístupná a viditeľná, najvhodnejšie tam, kde to užívatelia najčastejšie očakávajú, tzn. buď v päte web stránky alebo pri obchodných podmienkach alebo všeobecných informáciách o nákupe a pod.
Ako má e-shop postupovať, ak mu zákazník neudelí súhlas so spracovaním osobných údajov?
Ak zákazník súhlas na spracúvanie osobných údajov neudelí, prevádzkovateľ e-shopu za žiadnych okolností na daný účel osobné údaje nesmie spracúvať, nakoľko by to bolo v rozpore s GDPR a vystavil by sa riziku sankcie zo strany Úradu na ochranu osobných údajov ako aj zo strany samotného zákazníka z dôvodu žaloby na náhradu škody spôsobenú neoprávneným nakladaním s osobnými údajmi.
Ak s osobnými údajmi pri e-shope nakladá tretia strana (napr. partnerská marketingová agentúra), ako by mal mať prevádzkovateľ ošetrenú túto spoluprácu?
Spracúvanie osobných údajov marketingovou agentúrou sa spravidla vykonáva v mene e-shopu a na jeho účely, kde marketingová agentúra vystupuje v pozícii sprostredkovateľa. Medzi prevádzkovateľom e-shopu a sprostredkovateľom musí byť uzatvorená písomná sprostredkovateľská zmluva s náležitosťami podľa čl. 28 GDPR.
Najmä je nevyhnutné, aby e-shop stanovil marketingovej agentúre ktoré údaje môže spracúvať, čo s nimi môže urobiť, ako dlho ich u seba môže spracúvať, a aké opatrenia má prijať v súvislosti s ich ochranou. E-shop je povinný si vybrať len takú agentúru – sprostredkovateľa, ktorý dokáže garantovať, že spracúvanie osobných údajov u neho bude dostatočne zabezpečené.
Ako postupovať pri požiadavke zákazníka o výmaz osobných údajov? Môžem jeho údaje zmazať aj v prípade, že ešte plynie lehota na možnú reklamáciu tovaru, ktorý si objednal?
Výkon práv dotknutých osôb, medzi ktoré patrí aj právo na výmaz osobných údajov, musí byť vykonávaný v súlade s GDPR. Je potrebné, aby každá žiadosť bola zo strany e-shopu vybavená v zásade do jedného mesiaca od uplatnenia práva. Nakoľko ide o pomerne krátku lehotu odporúčame, aby e-shopy mali na tento účel vytvorený efektívny systém vybavovania žiadostí, napríklad prostredníctvom zodpovednej osoby.
Pokiaľ ide o žiadosť o výmaz osobných údajov, e-shop je povinný tejto žiadosti vyhovieť len v prípade, že:
- osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali (napr. od objednávky tovaru uplynula reklamačná lehota ako aj 3-ročná premlčacia lehota a zákazník si iný tovar neobjednal, účel spracúvania údajov už pominul a údaje na tento účel už nie sú potrebné; osobné údaje teda nie je možné vymazať, ak ešte plynie reklamačná lehota);
- dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva a ak neexistuje iný právny základ pre spracúvanie (napr. osoba odvolala súhlas so spracúvaním na účely zasielania newslettra, tak e-shop je povinný jej údaje z databázy vymazať);
- dotknutá osoba namieta voči spracúvaniu a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu (pri spracúvaní osobných údajov na základe oprávneného záujmu môže dotknutá osoba namietať porušenie jej základných práv);
- osobné údaje sa spracúvali nezákonne (ak e-shop spracúva osobné údaje dotknutej osoby bez právneho základu, napr. bez súhlasu na účel, kde sa vyžaduje súhlas);
- osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa právnych predpisov;
- osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti dieťaťom.
Prevádzkovateľ e-shopu nie je povinný osobné údaje vymazať, pokiaľ je spracúvanie potrebné najmä:
- na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa právnych predpisov (napr. nie je možné vymazať údaje, ak sú potrebné na plnenie účtovných či daňových povinností);
- na účely archivácie vo verejnom záujme (archivácia podľa zákona o archívoch a registratúrach) či na štatistické účely, alebo
- na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov (údaje sú nevyhnutné na uplatnenie reklamácie alebo vymáhanie pohľadávky a pod.).
Osobné údaje teda nie je možné vymazať, ak ešte plynie reklamačná lehota.
Je potrebný súhlas s používaním cookies na stránke e-shopu podľa GDPR? Prečo?
Súhlas s použitím cookies upravuje zákon o elektronických komunikáciách. Ak súčasťou cookies sú aj osobné údaje, ich spracúvanie sa bude riadiť aj GDPR. Ak dochádza k spracúvaniu cookies nevyhnutných len na činnosť web stránky, nie je nevyhnutný samostatný súhlas na ich spracúvanie (spracúvanie osobných údajov prebieha na právnom základe oprávneného záujmu).
Pokiaľ ide o údaje (cookies) používané na analytické účely, existujú rôzne názory, či v tomto prípade je možné použitie oprávneného záujmu alebo je potrebný súhlas. Pre zvýšenie právnej istoty odporúčame aj analytické činnosti, pri ktorých dochádza k spracúvaniu osobných údajov, vykonávať len na základe súhlasu. Remarketing a retargeting ako invazívna forma reklamy, na základe ktorej dochádza k sledovaniu užívateľa, je podľa nášho názoru možná len na základe súhlasu dotknutej osoby so spracúvaním jej osobných údajov na tento účel.
Pravidlá pre používanie cookies však budú s konečnou platnosťou predmetom úpravy až nového európskeho nariadenia ePrivacy.
Viac informácií si môžete prečítať v článku Používanie cookies v súlade s GDPR.
Do akej miery sa GDPR týka zákazníckych recenzií? Napríklad ak zákazník v e-shope pod produktom uvádza svoj názor pod svojím menom, prípadne aj so svojou fotografiou.
Pravidlá spracúvania osobných údajov podľa GDPR sa týkajú aj zákazníckych recenzií, ak možno tieto recenzie priradiť ku konkrétnej fyzickej osobe alebo ak tieto recenzie obsahujú osobné údaje fyzických osôb. Na zákaznícku recenziu, ktorá je uvedená pod konkrétnym menom, prípadne aj fotkou recenzenta, sa vzťahuje GDPR a prevádzkovateľ e-shopu musí určiť vhodný právny základ spracúvania takýchto recenzií na web stránke svojho e-shopu, ktorým môže byť napríklad súhlas dotknutej osoby so zverejnením recenzie.
Súhlas je možné udeliť elektronicky alebo aj konkludentne zaslaním samotnej recenzie a ostatných osobných údajov. Nevyhnutnou podmienkou platnosti takéhoto súhlasu je okrem iného splnenie si informačnej povinnosti podľa čl. 13 GDPR zo strany prevádzkovateľa.
Ako hlavný zdroj informácií pre všetky e-shopy odporúčame Metodické usmernenie Úradu na ochranu osobných údajov SR č. 3/2018, Povinnosti prevádzkovateľa e-shopu z pohľadu ochrany osobných údajov.