GDPR sa týka každého jedného e-shopu, v praxi sa stále objavujú prípady, kedy GDPR nie je dodržiavané, resp. jeho úprava úplne chýba. Takže na čo by ste mali u GDPR vždy pamätať?
V minulom článku sme si načrtli základné povinnosti, na ktoré by si každý prevádzkovateľ e-shopu mal dať pozor. Jednou z hlavných oblastí bola aj úprava ochrany osobných údajov (GDPR). V tomto článku, ktorý pripravila advokátska kancelária MATHISON legal, si bližšie rozoberieme na čo všetko si dať pozor v rámci ochrany osobných údajov, resp. aké praktické dopady má GDPR na prevádzkovanie e-shopu.
Príchod GDPR v máji 2018 urobil vo viacerých oblastiach veľkú búrku. Inak tomu nebolo ani pri prevádzkovaní e-shopov, ktoré nevyhnutne spracúvajú desiatky až stovky osobných údajov denne. Napriek tomu, že GDPR sa týka každého jedného e-shopu, v praxi sa stále objavujú prípady, kedy GDPR nie je dodržiavané, resp. jeho úprava úplne chýba.
Prvé, čo si musí každý prevádzkovateľ e-shopu vyjasniť, je jeho pozícia pri spracúvaní osobných údajov, t.j. či je vo vzťahu k spracúvaným osobným údajom prevádzkovateľom alebo sprostredkovateľom.
Prevádzkovateľom bude vždy, keď určí účel, pre ktorý osobné údaje spracúva a zároveň aj prostriedky, prostredníctvom ktorých ich spracúva. V praxi teda platí, že pokiaľ spracúvate osobné údaje kvôli potrebe uzatvorenia zmluvy so zákazníkom alebo zasielate svojim zákazníkom newsletter, tak budete v pozícii prevádzkovateľa.
Sprostredkovateľom naopak ste vtedy, keď spracúvate osobné údaje v mene iného prevádzkovateľa. V týchto prípadoch teda nerozhodujete o tom, aké osobné údaje sa spracúvajú a ani na aké účely ich spracúvate, pretože toto rozhodnutie urobil iný subjekt a vás iba poveril už konkrétnym spracúvaním osobných údajov v jeho mene.
Na to, aby mohli byť osobné údaje spracúvané zákonne, prevádzkovateľ musí mať jeden z právnych základov. GDPR upravuje 6 rôznych právnych základov, avšak pre prevádzkovateľa e-shopu sú podstatné iba tieto 4:
Výber právneho základu bude vždy závisieť od typu spracovateľskej činnosti a jej povahy.
Ak je prevádzkovateľ povinný zo zákona spracúvať niektoré osobné údaje, tak najvhodnejší bude práve právny základ plnenia zákonnej povinnosti.
V prípade plnenia zmluvy uzatvorenej medzi zákazníkom a prevádzkovateľom e-shopu to bude právny základ plnenia zmluvy, resp. predtým než príde k jej uzatvoreniu to budú opatrenia pred uzavretím tejto zmluvy.
Oprávnené záujmy využije prevádzkovateľ e-shopu napríklad pri zabezpečení komunikácie medzi potencionálnym zákazníkom, ktorý ho kontaktoval prostredníctvom kontaktného formuláru na webovej stránke.
Súhlas so spracúvaním osobných údajov je zasa vhodným právnym základom na účely priameho marketingu, ak neexistuje predošlý vzťah medzi osobou, voči ktorej sa priamy marketing vykonáva a prevádzkovateľom e-shopu.
Zároveň je potrebné pamätať na to, že hoci každý jeden právny základ má rovnakú „silu“, tak súhlas so spracúvaním osobných údajov by sa mal využiť vždy až ako posledná možnosť, ak neexistuje iný vhodný právny základ. V prípade, ak by prevádzkovateľ túto povinnosť porušil, môže byť takéto spracúvanie osobných údajov vyhodnotené ako nezákonné a to napriek tomu, že súhlas bol udelený zákonne.
Každý prevádzkovateľ je povinný splniť si svoje informačnú povinnosť podľa GDPR. Informačnou povinnosťou je poskytnutie viacerých vopred určených informácií osobám, ktorých osobné údaje prevádzkovateľ spracúva.
Najzákladnejšími informáciami sú identifikácia prevádzkovateľa, účely spracúvania osobných údajov, právny základ spracúvania osobných údajov a práva osôb, ktorých osobné údaje sa spracúvajú. Prevádzkovateľ je povinný poskytnúť aj ďalšie informácie v zmysle GDPR ako sú napríklad kategórie príjemcov osobných údajov, doba uchovávania osobných údajov a pod.
Ide teda o základnú povinnosť v zmysle GDPR, ktorú musí splniť prevádzkovateľ. V praxi teda každý prevádzkovateľ e-shopu musí mať na webovej stránke uvedené tieto informácie, pričom nesplnenie tejto povinnosti môže mať závažné právne následky ako je napríklad pokuta zo strany Úradu na ochranu osobných údajov Slovenskej republiky.
Najčastejším nástrojom priameho marketingu je práve zasielanie newslettru, v rámci ktorého prevádzkovateľ e-shopu prezentuje svoje produkty alebo služby.
V praxi sa ale opakovane vyskytuje jedna a tá istá chyba, ktorou je výber právneho základu pri zasielaní newsletterov (resp. všeobecne pri priamom marketingu). Riešenie tohto problému sa pritom skrýva v jednoduchom pravidle.
Ak ide o priamy marketing vlastných podobných tovarov a služieb a ak kontaktné údaje na doručenie elektronickej pošty získal prevádzkovateľ e-shopu v súvislosti s predajom tovaru alebo služieb osobe, ktorej má v pláne zaslať newsletter, tak vhodným právnym základom je oprávnený záujem prevádzkovateľa e-shopu.
Vo všetkých ostatných prípadoch musí prevádzkovateľ e-shopu disponovať súhlasom tejto osoby.
Cookies sú malé textové súbory, ktoré pri návšteve webovej stránky ukladá webový prehliadač v počítači alebo inom zariadení návštevníka webovej stránky. Cookies umožňujú webovej stránke napríklad rozpoznať návštevníka a zapamätať si určité informácie o jeho návštevách ako aj zvolených nastaveniach, čím sa zlepšuje komfort návštevníka na webovej stránke. Čítajte aj článok na blogu Shoptet.
V praxi bude každý jeden prevádzkovateľ e-shopu využívať na svojej webovej stránke rôzne druhy cookies, ako sú najmä analytické a reklamné cookies.
Pri cookies treba pamätať vždy na dve základné veci:
Takže na čo by ste mali u GDPR vždy pamätať?
Napísať komentár