Prehľad základných povinností prevádzkovateľa e-shopu v zmysle zákona o ochrane osobných údajov.
E-shop a ochrana osobných údajov
Každý prevádzkovateľ e-shopu má k dispozícii základné informácie o svojich zákazníkoch – meno, priezvisko, adresu zákazníka, prípadne jeho e-mail, telefónne číslo alebo číslo účtu, teda ich osobné údaje. Zákon priamo nevymenúva, čo všetko je osobným údajom, za osobné údaje však považuje všetko, prostredníctvom čoho môžeme identifikovať osobu.
Každý e-shop získava tieto údaje a časť z týchto údajov aj následne zhromažďuje – niekedy len pre odoslanie tovaru zákazníkovi, inokedy aj pre neskoršie zasielanie reklám či newsletterov. Stáva sa tým spracovateľom osobných údajov.
Ako spracovateľ má e-shop zákonom stanovené povinnosti. Najdôležitejšou povinnosťou e-shopu je povinnosť mlčanlivosti o osobných údajoch, ochrana týchto údajov a zabránenie prístupu tretím osobám bez súhlasu zákazníka, ktorého sa osobné údaje týkajú. Zákon však stanovuje aj ďalšie povinnosti, a to ako voči zákazníkom, tak aj voči Úradu na ochranu osobných údajov.
Informácie o ochrane osobných údajov v súlade s GDPR prinášame prostredníctvom právnej expertky na GDPR Lucie Semančínovej v článku GDPR a e-shop – ako má e-shop spracúvať osobné údaje?
Čo musím urobiť predtým, ako spustím prevádzku e-shopu?
Predtým, ako spustíte e-shop, kde budete ponúkať svoj tovar, a teda pri prvých zákazníkoch začnete spracovávať osobné údaje, máte povinnosť vytvoriť tzv. IS e-shop – informačný systém, kde budete evidovať osobné údaje o svojich zákazníkoch. Dôležitou informáciou pre prípadnú registráciu vášho informačného systému je, ako ďalej plánujete využívať zákazníkom poskytnuté osobné údaje. Vaše povinnosti sa budú líšiť podľa toho, či poskytnuté osobné údaje budete využívať pre marketingové účely alebo nie.
Musí e-shop registrovať informačný systém na Úrade pre ochranu osobných údajov, ak nezasiela zákazníkom reklamu?
Ak neplánujete osobné údaje svojich zákazníkov ďalej využívať pre zasielanie reklamy alebo newsletterov vo svojom e-shope, nemáte povinnosť sa registrovať na Úrade na ochranu osobných údajov.
Zo zákona máte však povinnosť si na webových stránkach Úradu na ochranu osobných údajov stiahnuť formulár „Evidencia informačného systému osobných údajov“, ktorý si vyplníte a takto vyplnený si ho u seba uschováte, nemusíte ho nikam posielať.
Musí e-shop informačný systém registrovať, ak plánuje svojim zákazníkom posielať reklamné e-maily?
Ak osobné údaje svojich zákazníkov zhromažďujete pre marketingové účely, informačný systém svojho e-shopu musíte registrovať na Úrade na ochranu osobných údajov ako tzv. IS Marketing (marketingový informačný systém). Túto povinnosť máte, ak zákazníkom plánujete zasielať reklamné e-maily, newslettery alebo informácie o novinkách.
Oznámenie o IS Marketingu môže prevádzkovateľ e-shopu urobiť elektronickou formou na stránkach Úradu na ochranu osobných údajov. V oznámení musíte vyplniť identifikačné údaje spoločnosti, štatutárny orgán, prípadne údaje o web hostingu, na ktorom prevádzkujete svoj e-shop. Vyplnením a odoslaním formuláru si splníte svoju zákonnú oznamovaciu povinnosť. Nezabúdajte, že toto oznámenie musíte odoslať aj pri zmene údajov a ukončení používania informačného systému. Za odoslanie oznámenia sa neplatí žiadny správny poplatok.
Čo ak majú v e-shope prístup k osobným údajom viaceré osoby?
Každá osoba, ktorá u vás príde do kontaktu so spracovanými osobnými údajmi, musí podpísať poučenie oprávnenej osoby a musí byť poučená o povinnostiach pri spracovaní osobných údajov. O tomto poučení musíte spísať záznam a ten si uschovať.
Aké povinnosti má e-shop voči zákazníkom, ktorých osobné údaje spracúva?
Pokiaľ spracúvate osobné údaje za účelom predaja tovaru na svojom e-shope, teda za účelom plnenia spotrebiteľskej zmluvy, nepotrebujete súhlas zákazníka so spracovaním osobných údajov. V praxi teda nepotrebujete mať na stránkach e-shopu zaškrtávacie políčko pre zákazníkov, ktorým vám potvrdia svoj súhlas so spracovaním osobných údajov. Pozor, ak chcete zákazníkovi e-shopu posielať reklamné e-maily alebo newslettere, potrebujete výslovný súhlas zákazníka so zasielaním takýchto správ, teda napríklad zaškrtávacie políčko, ktorým zákazník vyjadrí svoj súhlas. Bez tohto výslovného súhlasu nemôže e-shop zákazníkovi posielať žiadne e-maily, ktoré sa nevzťahujú k uskutočnenému predaju tovaru.
Napriek tomu však musíte mať na stránkach e-shopu pre zákazníkov dostupné informácie o spracovaní osobných údajov. Dostatočným zverejnením je uvedenie tejto informácie ako súčasti obchodných podmienok dostupných na stránkach vášho e-shopu.
V tejto informácii musíte uviesť:
- identifikačné údaje prevádzkovateľa e-shopu,
- účel, na ktorý spracúvate osobné údaje, teda plnenie zo spotrebiteľskej zmluvy alebo pre marketingové účely,
- zoznam spracovaných osobných údajov (meno, priezvisko, titul, adresa, e-mail, telefónne číslo),
- informácia, či poskytnete údaje ďalším osobám, napríklad či poskytnete tieto údaje kuriérskej službe, ktorá vám tovar doručí,
- poučenie o právach zákazníka v súvislosti s ochranou osobných údajov.
Dokumentácia k e-shopu pri ochrane osobných údajov
Zákon teda vyžaduje, aby mal prevádzkovateľ e-shopu u seba uschovanú túto dokumentáciu:
- vyplnený formulár „Evidencia informačného systému osobných údajov“
- písomný záznam o poučení oprávnenej osoby, teda ktoréhokoľvek vášho zamestnanca, ktorý má prístup k spracovaným osobným údajom,
- záznamy z kontrolnej činnosti zameranej na dodržiavanie bezpečnosti informačného systému,
- záznamy o zistených bezpečnostných incidentoch a záznamy o postupoch, ktorými opätovne zaistíte bezpečnosť osobných údajov.