• Tel.: 048 472 42 22
  • Email office@akpp.sk

Blog

  2. Hlavná stránka
  3. Blog
  4. GDPR a majitelia e-shopu 1. časť

GDPR a majitelia e-shopu 1. časť

Blog

V poslednej dobe je stále častejšie počuť o „GDPR“ – málokto však vie presne, čo tieto štyri písmenká znamenajú, a najmä, čo prinášajú z praktickej stránky pre život podnikateľov. V tomto článku prinášame úvodné informácie pre majiteľov e-shopov, ktoré by mali slúžiť na lepšie pochopenie a orientáciu v nie úplne jednoduchej právnej úprave.

General Data Protection Regulation je skrátený názov Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Dotkne sa každého jedného podnikateľa, ktorý spracováva osobné údaje, čo je v podstate každý, kto má, zjednodušene povedané, buď vlastných zamestnancov alebo vystavuje faktúry fyzickým osobám nepodnikateľom. Doterajší zákon i GDPR ich pomenúvajú zhodne ako prevádzkovateľov. Tento článok je zameraný na prevádzkovateľov, ktorými sú majitelia e-shopov. V inom článku sa venujeme prevádzkovateľom, ktorí sú podnikateľmi (bez špecifického zamerania podnikania) a/alebo zamestnávateľmi. 

Úvodom

Takže čo GDPR prinesie majiteľom e-shopov? Asi nikoho neprekvapí, že to budú opäť zmeny spočívajúce v nových povinnostiach. Tie budú následne znamenať úpravu všetkých dokumentov, súvisiacich s ochranou osobných údajov. Aby sme boli spravodliví, musíme uviesť, že GDPR prináša aj zmeny, ktoré znamenajú oproti súčasnej úprave určité (malé) úľavy. 

V prvom rade je potrebné povedať, že ide o úplne novú úpravu ochrany osobných údajov, ktorá bude  na Slovensku priamo účinná od 25.mája 2018. Bude v celosti nahrádzať právnu úpravu, ktorá platí dnes – zákon č. 122/2013 Z.z. o ochrane osobných údajov a súvisiaca vykonávacia vyhláška budú týmto dňom zrušené. 

V januári t.r. bol prijatý nový zákon č. 18/2018 Z.z. o ochrane osobných údajov (ďalej aj ako „zákon“) , avšak tento zákon sa z väčšej časti vzťahuje na spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu, jednoducho povedané na účely trestného konania.

Z nového zákona č. 18/2018 Z.z. sa na majiteľov e-shopov vzťahujú úvodné ustanovenia (§ 1, § 3 a § 4), potom až ustanovenia od § 78. 

Preto je potrebné riadiť sa priamo textom GDPR, ktoré ukladá prevádzkovateľom povinnosti priamo a je záväzné s rovnakou právnou silou ako národný zákon. Pri všetkých dokumentoch, ktoré budú majitelia e-shopov koncipovať, musí byť uvedený ako právne východisko nielen zákon č. 18/2018 Z. z., ale aj GDPR, pretože práve GDPR upravuje tie základné ustanovenia, a práva a povinnosti, ktoré sú pre majiteľov e-shopov ako prevádzkovateľov dôležité. 

Čo urobiť ako prvé

V každom aktívnom e-shope sa osobné údaje spracovávajú, o tom nie je pochybnosť. V prvom rade je teda potrebné určiť si aké osobné údaje spracovávate (čo spracovávam?), za akým účelom ich spracovávate (prečo spracovávam?), právny základ spracovania (na základe čoho spracovávam?) a kto konkrétne ich spracováva. Toto sú základné pojmy a úkony, ktoré si musíte uvedomiť (príp. si urobiť  ich zoznam).  Po tejto prvotnej rýchlej analýze si následne musíte na základe zákona a GDPR určiť, aké všetky povinnosti sú s tým pre vás spojené.

Čo je osobný údaj  (Čo spracovávam?)

V zmysle čl. 4 ods. 1 GDPR osobnými údajmi sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Zjednodušene povedané, môže to byť jeden alebo viacero údajov, ktoré postačujú na identifikáciu určitej osoby. V prípade e-shopov to najčastejšie bude: meno, priezvisko a e-mailová adresa. V prípade, že dôjde k nákupu, vystavujete faktúru, takže spracovávate osobné: údaje meno, priezvisko, adresa. 

Kto spracováva osobné údaje

Od identifikácie subjektov, ktorí vo Vašom e-shope spracovávajú osobné údaje závisí aj úprava vzťahov s týmito osobami. 

Najčastejšie v e-shope spracováva osobné údaje zákazníkov jeho majiteľ, prípadne ním poverená osoba (zamestnanec), ktorá so zákazníkmi komunikuje, vystavuje faktúry a pod. Následne to môže byť účtovník, ktorý spracováva účtovníctvo, správca siete, administrátor stránky, web-hostingová spoločnosť a pod.

V prípade, že prevádzkovateľ e-shopu má zamestnancov, je potrebné myslieť na to, že okrem osobných údajov zákazníkov, ako prevádzkovateľ e-shopu spracovávate i osobné údaje Vašich zamestnancov. 

Účel spracovania (Prečo spracovávam?) 

V zmysle čl. 5 ods. 1 písm. b) GDPR osobné údaje musia byť získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.

Primárny účel spracovania osobných údajov v e-shope je logicky uzatvorenie zmluvy, kde majiteľ e-shopu je predávajúci a zákazník, poskytujúci osobné údaje, je kupujúci.

V niektorých e-shopoch prichádza do úvahy i ďalší účel spracovania – marketing - to je zasielanie newsletterov, akciových ponúk, informácií o produktoch a pod. 

Taktiež v e-shopoch môžete organizovať rôzne súťaže alebo vernostné programy s cieľom zvýšiť predajnosť produktov alebo povedomie o vašej značke.

Je dôležité mať na pamäti, že jeden účel spracovania vedie k vzniku samostatného informačného systému (napr. IS e-shop, IS marketing, IS vernostný program, IS súťaž a pod.) a musí mať samostatne určený právny základ spracovania osobných údajov (t.j. musí byť presne určené, na základe čoho môžete údaje spracovávať). V prípade, že právnym základom spracovania osobných údajov je súhlas dotknutých osôb, tento musí byť udelený dotknutou osobou na každý jeden účel samostatne. 

Právny základ spracúvania osobných údajov podľa GDPR (Na základe čoho spracovávam?)

Oproti súčasne platnému zákonu č. 122/2013 Z.z. o ochrane osobných údajov dochádza k zmene právnych základov spracovania osobných údajov. Článok 6 GDPR uvádza spracovanie osobných údajov ako zákonné iba vtedy a v tom rozsahu, ak je splnená aspoň jedna z nasledujúcich podmienok:

a) dotknutá osoba vyjadrila súhlas so spracovaním osobných údajov na jeden alebo viaceré konkrétne účely, 
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, 
c) spracúvanie je nevyhnutné na plnenie zákonnej povinnosti prevádzkovateľa,
d) spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
e) spracúvanie je nevyhnutné na splnenie úlohy vo verejnom záujme, 
f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby.

Právny základ je teda tým právnym titulom, na základe ktorého môžete osobné údaje spracovávať. Ak si neviete „odôvodniť“ spracovanie osobných údajov niektorou z vyššie uvedených možností, osobné údaje spracovávať nemôžete. V e-shopoch sa budete stretávať najčastejšie s právnym základom ad a/ a ad b/. 

V prvom rade uzatvárate so zákazníkom kúpnu zmluvu, na základe ktorej  mu vy predávate, on kupuje. Na tento účel  Vám zákazník poskytne svoje meno, priezvisko, adresu, na ktorú máte tovar doručiť (príp. fakturačnú adresu), prípadne telefónne číslo. Tieto osobné údaje svojich klientov budete spracovávať ako nevyhnutné na plnenie zmluvy, ktorej je zákazník zmluvnou stranou. Táto skutočnosť predstavuje pre Vás právny základ spracovania vyššie uvedených osobných údajov, a teda na toto spracovanie nepotrebujete jeho súhlas. 

Pokiaľ však chcete spracovať (použiť) osobné údaje zákazníka – meno, priezvisko, email – na zasielanie akciových ponúk (newsletterov) tomuto zákazníkovi mailom, nejde o spracovanie nevyhnutné na plnenie zmluvy a musíte mať od zákazníka na to výslovný súhlas. Právnym základom spracovania osobných údajov zákazníkov na účely marketingu vo Vašom e-shope je ust. čl. 6 písm. a) GDPR - súhlas dotknutej osoby.

V nasledujúcich častiach série článkov o GDPR uvedieme ďalšie prípady, kedy je taktiež nevyhnutné mať na spracovanie osobných údajov súhlas dotknutej osoby. Budeme sa zaoberať náležitosťami súhlasu, informačnou povinnosťou majiteľa e-shopu voči zákazníkom ako dotknutým osobám, právami dotknutých osôb, na čo sa zmenia evidenčné listy, ktoré v súčasnosti musia byť povinne založené pre každý informačný systém a ďalšími súvisiacimi otázkami. Taktiež uvedieme ktoré konkrétne povinnosti musia majitelia e-shopov splniť, aby dodržali ustanovenia GDPR. 

logo Advokátska kancelária Patajová Pataj

Sme efektívny tím, v ktorom sa každý špecializuje na určitú oblasť a zároveň, v prípade potreby, zadania klientov riešime spoločne. Viac ako 10 rokov poskytujeme profesionalitu a vysokú odbornosť, skúsenosti a spoľahlivosť.

Z nášho blogu

Kontakty

J. Chalupku 8, 974 01 Banská Bystrica

Tel.: ++421 48 472 42 22

Fax: ++421 48 472 42 42

E-mail: Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

Ochrana osobných údajov