Pri prevádzkovaní e-shopu dochádza k spracovaniu osobných údajov. Aké povinnosti súvisiace s GDPR z toho pre prevádzkovateľov vyplývajú a aké práva majú zákazníci?
Pri prevádzkovaní e-shopu nevyhnutne dochádza i k spracovaniu osobných údajov. Každý prevádzkovateľ preto nevyhnutne musí dbať, okrem iných povinností, o ktorých sa bližšie dočítate napríklad v článku Základné povinnosti e-shopu, aj na dodržiavanie pravidiel ochrany osobných údajov, tzv. GDPR. V roku 2018 bol v Slovenskej republike prijatý nový zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorým boli zmenené mnohé zaužívané štandardy. Dnes už napríklad neplatí, že k spracovaniu osobných údajov prichádza až vtedy, ak ide o minimálne tri rôzne osobné údaje.
Aké povinnosti pre prevádzkovateľov e-shopov teda dnes platia? V prvom rade je potrebné si uvedomiť, že spracúvaním osobných údajov sa rozumie už ich získanie, uchovávanie, vyhľadávanie, zaznamenávanie, využívanie, poskytovanie, šírenie a pod. Možno skonštatovať, že ide o akékoľvek nakladanie s osobnými údajmi.
Osobné údaje v e-shope
Osobným údajom je identifikačný údaj, ktorý umožňuje konkretizovať určitú osobu. V praxi je potrebné si pod tým predstaviť takú informáciu, na základe ktorej vieme jednoznačne určiť, koho sa týka. Ak napríklad v kancelárii pracuje jediná Ivana, postačí aj len jej krstné meno na to, aby sme ju vedeli bez akýchkoľvek pochybností identifikovať, preto pôjde o taký osobný údaj, na ktorého spracovanie je nevyhnutné dodržiavať zákonom uložené pravidlá.
Prevádzkovatelia e-shopov spracúvajú najmä tie osobné údaje, ktoré získajú pri registrácii svojich zákazníkov, resp. pri uzatváraní zmlúv na diaľku, ako meno, priezvisko, dátum narodenia, adresa, osobné telefónne číslo, súkromný e-mail a pod. Keďže aj e-mailová adresa je považovaná za osobný údaj, aj s danou informáciou musí prevádzkovateľ pracovať len v súlade s pravidlami GDPR.
Právny základ spracúvania osobných údajov (GDPR) v e-shope
Zákon o ochrane osobných údajov vytvára okruh základných princípov, splnením ktorých dôjde k legálnemu spracúvaniu osobných údajov. Jedným z týchto princípov je spracúvanie osobných údajov na právnom základe. V prípade prevádzkovateľa e-shopu môže ísť najmä o nasledujúce prípady:
Súhlas na zasielanie newslettra musí byť možné kedykoľvek odvolať.
- na základe zmluvy za účelom jej plnenia, k čomu dôjde, keď zákazník vyplní svoje údaje na stránke e-shopu a pristúpi k uzatvoreniu zmluvy,
- na základe súhlasu zákazníka, napríklad súhlasu so zasielaním informačných letákov a pod., ktorý však zákazník musí mať možnosť kedykoľvek slobodne odvolať a na toto právo musí byť už pri udeľovaní súhlasu upovedomený; prevádzkovateľ musí klásť dôraz na to, aby bol udeľovaný súhlas formulovaný dostatočne jasne a zrozumiteľne, pričom jeho udelenie musí byť oddelené od iných položiek, teda nemôže byť len všeobecne uvedené v obchodných podmienkach,
- na základe oprávneného záujmu, ktorý vzniká napríklad pri poskytovaní informácií o dodaní tovaru, o ktorý zákazník v minulosti prejavil záujem a sám požiadal o poskytnutie informácie o jeho dostupnosti,
- zo zákona, t. j. ak priamo zákon ukladá povinnosť spracúvať určité osobné údaje.
Rozsah a doba spracúvania osobných údajov (GDPR) v e-shope
Každý prevádzkovateľ e-shopu, ktorý spracúva osobné údaje, si musí dávať pozor na to, na aký účel a v akom rozsahu tieto operácie realizuje. Účel spracovania osobných údajov vyplýva priamo z právneho základu. Ak zákazník poskytne osobné údaje uzatvorením kúpnej zmluvy znamená to, že oprávneným účelom, na aký prevádzkovateľ e-shopu môže narábať s jeho osobnými údajmi, je výlučne kúpno-predajný vzťah. Pokiaľ by takémuto zákazníkovi začal bez ďalšieho zasielať informačné letáky, porušoval by zákon o ochrane osobných údajov.
Osobné údaje získané za účelom uzatvorenia zmluvy možno spracúvať výlučne na účel danej zmluvy a s ňou súvisiacich zákonných povinností (napríklad pri reklamácii tovaru). Ak prevádzkovateľ chce zasielať svojim zákazníkom letáky či iné marketingové produkty, musí disponovať súhlasom, ktorý zákazníci udelia priamo na daný účel.
Aj na uzatvorenie zmluvy však nemožno požadovať akékoľvek osobné údaje, ale len také, ktoré sú nevyhnutné pre riadne identifikovanie zákazníka, prípadne za účelom vystavenia daňového dokladu o kúpe tovaru a pod. Ide o limity, ktorých prekročením by prevádzkovateľ e-shopu porušil pravidlá ochrany osobných údajov. Kým na zasielanie newslettra stačí poskytnutie e-mailovej adresy, na uzatvorenie zmluvy je nevyhnutné poskytnúť rad ďalších osobných údajov. Nemožno však, napríklad, požadovať vloženie fotografie kupujúceho, pretože taký osobný údaj nie je pre uzatvorenie zmluvy bezprostredne nevyhnutný. Znamená to, že prevádzkovateľ e-shopu môže spracúvať osobné údaje zákazníkov len v takom rozsahu, aký je nevyhnutný na to, aby bol účel ich spracovania splnený.
Rozsah spracúvaných osobných údajov, teda to, koľko osobných údajov môže prevádzkovateľ od zákazníka požadovať, uchovávať a ďalej inak spracúvať, úzko súvisí s účelom, na aký ich spracúva. S tým súvisí aj doba, po ktorú je prevádzkovateľ oprávnený osobné údaje spracúvať. Napríklad odvolaním súhlasu na zasielanie informačných letákov je prevádzkovateľ povinný ukončiť daný spôsob spracúvania osobných údajov. Súčasná právna úprava tak neumožňuje svojvoľné vytváranie databáz potenciálnych zákazníkov, ktorých by bolo možné v budúcnosti osloviť aj bez nimi priamo vyjadreného záujmu, resp. súhlasu.
Dôvernosť a správnosť osobných údajov (GDPR) v e-shope
Osobné údaje je nevyhnutné spracúvať v ich správnej a úplnej forme spôsobom, ktorý zaručí ich primeranú bezpečnosť a ochranu pred ich zneužitím. Čo to v praxi znamená? Prevádzkovateľ e-shopu bude povinný technicky a organizačne vytvoriť taký spôsob uchovávania a spracúvania osobných údajov, ktorý zabráni tomu, aby sa premiešali s inými osobnými údajmi či boli neoprávnene poskytnuté cudzím osobám. Neoprávneným poskytnutím je napríklad odoslanie faktúry obsahujúcej údaje jedného zákazníka na e-mail inému zákazníkovi, rozposlanie e-mailu, v ktorého kópii je vidieť rad osobných e-mailových adries iných zákazníkov a pod. Za neoprávnené poskytnutie možno považovať aj predaj databázy e-mailových adries na marketingové účely bez súhlasu ich vlastníkov so spracovaním na daný účel.
Práva zákazníkov e-shopu ako dotknutých osôb
Na povinnosti prevádzkovateľov, ktoré im vyplývajú zo zákona o ochrane osobných údajov, nadväzujú oprávnenia zákazníkov ako dotknutých osôb. Zákazníci majú právo vedieť, či a na aký účel sú ich osobné údaje spracované. Pokiaľ zistia, že prevádzkovateľ tieto nespracúva v správnej forme, môžu požiadať o opravu, či doplnenie, ktorú je prevádzkovateľ povinný bezodkladne realizovať. Na čas, kým si prevádzkovateľ overí správnosť osobných údajov môže zákazník žiadať obmedzenie ich spracúvania. Rovnako má každá dotknutá osoba právo na výmaz osobných údajov. Toto právo je však limitované účelom spracúvania osobných údajov a právnym základom. Ak totiž zákon ukladá povinnosť archivovať dokumenty obsahujúce osobné údaje, či doposiaľ nedošlo k splneniu záväzku z uzatvorenej zmluvy, účel spracúvania osobných údajov trvá a prevádzkovateľ ich vymazať ani nebude môcť. Uvedené práva sa v aktuálnej praxi javia ako tie, ktoré zákazníci uplatňujú voči prevádzkovateľom najčastejšie.
Informácie o kategóriách spracúvaných osobných údajov, ako aj o spôsobe a účele ich spracúvania musí vedieť prevádzkovateľ e-shopu svojim zákazníkom kedykoľvek, t.j. už pri ich získavaní, poskytnúť. Ideálnym miestom na preukázanie splnenia tejto povinnosti sú obchodné podmienky trvale zverejnené na stránke e-shopu.
Porušenie povinností prevádzkovateľa pri spracúvaní osobných údajov môže viesť k vážnemu porušeniu ochrany osobných údajov. Pokiaľ by takéto porušenie mohlo znamenať riziko pre práva fyzickej osoby, prevádzkovateľ musí informovať tak dotknutého zákazníka, ako aj Úrad na ochranu osobných údajov. Aké náležitosti musí oznámenie obsahovať nájdete v článku Oznamovacia povinnosť pri porušení ochrany osobných údajov.
Za porušenie povinností upravených zákonom o ochrane osobných údajov hrozia prevádzkovateľom vysoké pokuty. Je preto dôvodné dbať na zabezpečenie riadnej ochrany osobných údajov zákazníkov či registrovaných osôb značný dôraz a spracúvanie osobných údajov nijak nepodceniť. Úrad na ochranu osobných údajov ukladá pokuty v závislosti od okolností každého jednotlivého prípadu, pričom ich výška sa môže pohybovať až do 10 000 000 eur, alebo v prípade podniku do 2% celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.