Košík
Váš nákupný košík je prázdny.
GDPR E-shop
E-SHOP AKO INFORMAČNÝ SYSTÉM OSOBNÝCH ÚDAJOV A PRÁVNY ZÁKLAD SPRACÚVANIA OSOBNÝCH ÚDAJOV V ŇOM
Informačný systém osobných údajov e-shop
Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu zákona spracúvaním jeho osobných údajov. Tým dochádza k vytvoreniu informačného systému osobných údajov[1] podľa zákona (ďalej aj „IS e-shop“ alebo „informačný systém e-shop“). Účelom tohto spracúvania osobných údajov zákazníka, fyzickej osoby, je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti vyplývajúce prevádzkovateľovi e-shopu najmä v súvislosti s právnymi predpismi upravujúcimi ochranu spotrebiteľa). Právnym základom spracúvania osobných údajov zákazníka v informačnom systéme e-shop je zákon 18/2018.
Informačný systém osobných údajov marketing e-shopu
Pri zasielaní newsletterov na e-mailové adresy zákazníkov tiež dochádza k spracúvaniu ich osobných údajov, no v menšom rozsahu a na iný účel, ako je tomu pri kúpe tovaru alebo služieb. Prevádzkovateľ e-shopu v takomto prípade vytvára nový informačný systém osobných údajov, marketing e-shopu (ďalej aj „IS marketing“). Právnym základom takéhoto spracúvania osobných údajov zákazníka je jeho súhlas.
Je potrebné si uvedomiť rozdielnosť účelov spracúvania osobných údajov, rozdielnosť právnych základov a rozdielnosť spracúvaných osobných údajov pri týchto dvoch podnikateľských a zároveň spracovateľských činnostiach.
Kým pri objednaní si tovaru alebo služby zákazníkom je právnym základom spracúvania jeho osobných údajov zákon, a teda sa uplatní § 10 ods. 3 písm. b) zákonaako právny základ spracúvania, čiže spracúvanie osobných údajov zákazníka prebieha bez jeho súhlasu, tak pri IS marketing je právnym základom spracúvania osobných údajov práve súhlas zákazníka.
Prevádzkovateľ by mal dobu uchovávania súhlasu stanoviť primerane účelu, na ktorý osobné údaje fyzickej osoby, zákazníka, spracúva. Taktiež by prevádzkovateľ nemal zabúdať, že dotknutá osoba, zákazník, má právo svoj súhlas kedykoľvek odvolať.
SUMÁR Právny základ IS e-shop (uzatváranie kúpnej zmluvy na diaľku) § 10 ods. 3 písm. b) zákona
Právny základ IS marketing súhlas zákazníka (dotknutej osoby) |
OZNAMOVACIA POVINNOSŤ A EVIDENČNÁ POVINNOSŤ PREVÁDZKOVATEĽA E-SHOPU
Podľa § 34 ods. 1 zákona sa oznamovacia povinnosť vzťahuje na všetky informačné systémy, v ktorých sa osobné údaje spracúvajú úplne alebo čiastočne automatizovanými prostriedkami spracúvania.
Prevádzkovateľ e-shopu, nemá povinnosť oznamovať IS E-shop úradu, nakoľko právnym základom spracúvania osobných údajov v ňom je § 10 ods. 3 písm. b) zákona, prevádzkovateľ si o IS e-shop vedie evidenciu v zákonom stanovenom rozsahu. Úrad zverejňuje na svojom webovom sídle tlačivo „Evidencia informačného systému osobných údajov“, ktoré po vyplnení prevádzkovateľ e-shopu na úrad nezasiela, ale si ho uschová u seba (tlačivo evidencie informačného systému osobných údajov).
Pri IS marketing daného e-shopu je právnym základom spracúvania súhlas dotknutej osoby, teda ak prevádzkovateľ e-shopu nemá poverenú zodpovednú osobu je povinný IS marketing daného e-shopu oznámiť úradu na príslušnom tlačive. Obdobne sa oznamovacia povinnosť vzťahuje na všetky IS e-shopu (napr.: IS zasielanie newsletter, IS spotrebiteľská súťaž, IS vernostné karty daného e-shopu), pri ktorých je právnym základom súhlas dotknutej osoby, a ak prevádzkovateľ nemá poverenú zodpovednú osobu.
SUMÁR IS e-shop IS e-shop evidenčný list IS e-shop (nezasiela sa úradu).
IS marketing/IS zasielanie newsletter/IS spotrebiteľská súťaž daného e-shopu Ak prevádzkovateľ e-shopu nemá poverenú zodpovednú osobu oznámenie k IS marketing/IS zasielanie newsletter/IS spotrebiteľská súťaž daného e-shopu (oznámenie/ oznámenia sa úradu zasielajú).
Ak prevádzkovateľ e-shopu má poverenú zodpovednú osobu evidenčný list IS marketing/IS zasielanie newsletter/IS spotrebiteľská súťaž daného e-shopu (evidenčné listy sa úradu nezasielajú). |
Prevádzkovateľ e-shopu môže začať reálne spracúvať osobné údaje zákazníkov odo dňa oznámenia informačného systému (IS marketing) úradu, prípadne odo dňa vyhotovenia evidenčného listu k týmto informačným systémom. Je potrebné dbať na to, aby reálny dátum začatia spracúvania osobných údajov nepredchádzal dátumu začiatku spracúvania osobných údajov uvedeného v oznámení alebo evidencii.
ZÁKAZNÍK E-SHOPU AKO DOTKNUTÁ OSOBA
Zákazník e-shopu je z pohľadu zákona dotknutou osobou, teda fyzickou osobou, ktorej sa osobné údaje týkajú. Je potrebné, aby prevádzkovateľ e-shopu na to po celú dobu spracúvania osobných údajov pamätal, pretože dotknutá osoba má podľa zákona svoje práva, ale aj povinnosti (oznámenie zmeny osobných údajov, napr. adresy, ak je to potrebné). Dotknutá osoba si voči prevádzkovateľovi e-shopu môže uplatniť svoje práva podľa § 28 zákona a nasledujúcich. Prevádzkovateľ e-shopu musí následne vybaviť žiadosť dotknutej osoby v súlade s § 29 zákona.[2]
Prevádzkovateľ e-shopu musí plniť informačnú povinnosť v zmysle § 15 ods. 1 zákona, a to oznámiť zákazníkovi, ako dotknutej osobe, istý rozsah informácií, ktoré súvisia so spracúvaním jej osobných údajov.
Účelnosť a nevyhnutnosť spracúvania osobných údajov zákazníka e-shopu
Prevádzkovateľ e-shopu je z pohľadu zákona prevádzkovateľom spracúvajúcim osobné údaje zákazníka. Je potrebné, aby spracúval iba osobné údaje nevyhnutné na uzavretie zmluvy. Za nevyhnutné osobné údaje pri objednaní tovaru (uzavretí zmluvy na diaľku) možno považovať najmä: titul, meno, priezvisko, adresa bydliska, prípadne adresa dodania tovaru, ak je iná ako adresa bydliska zákazníka, e-mail, telefónne číslo; pri platbe kartou sú potrebné aj osobné údaje zákazníka nevyhnutné na uskutočnenie platby cez internet.
Pri IS marketing za nevyhnutné osobné údaje zákazníka možno považovať najmä jeho meno a priezvisko spolu s e-mailovou adresou, na ktorú mu budú marketingové ponuky zasielané.
BEZPEČNOSŤ SPRACÚVANIA OSOBNÝCH ÚDAJOV V E-SHOPE
Prevádzkovateľ e-shopu je zodpovedný za bezpečnosť a ochranu osobných údajov po celý čas ich spracúvania a je povinný prijať také bezpečnostné opatrenia, aby boli osobné údaje dostatočne chránené. Primeraným bezpečnostným opatrením podľa zákona je najmä dostatočné zabezpečenie fyzickej, technickej a personálnej bezpečnosti vo vzťahu k spracúvaným osobným údajom a ich povahe.[3]
Z hľadiska personálneho zaistenia bezpečného spracúvania osobných údajov zákazníkov je potrebné, aby zamestnanci e-shopu spracúvajúci osobné údaje zákazníkov boli, ako oprávnené osoby prevádzkovateľa poučení v zmysle zákona (vzor „Poučenia“ je zverejnený na webovom sídle úradu). Pokiaľ e-shop prevádzkuje fyzická osoba – podnikateľ, ktorá nemá žiadnych zamestnancov a okrem nej samotnej neprichádza do styku s osobnými údajmi žiadna iná fyzická osoba, nie je potrebné, aby poučila samú seba. Za bezpečnosť osobných údajov v tomto prípade zodpovedá ona, ako prevádzkovateľ. V prípade, ak by prevádzkovateľom e-shopu bola jednoosobová spoločnosť s ručením obmedzeným, kde je totožná osoba spoločníka a konateľa, je potrebné, aby táto fyzická osoba bola poučená ako oprávnená osoba, nakoľko ide o osobu odlišnú od obchodnej spoločnosti, ktorá je prevádzkovateľom e-shopu.
Pod fyzickou ochranou osobných údajov je potrebné si predstaviť najmä opatrenia na zamedzenie prístupu nepovolaných osôb k výpočtovej technike a prostriedkom, ktorými je spracúvanie osobných údajov v priestoroch prevádzkovateľa vykonávané. V prípade, že sa spracúvanie realizuje čiastočne automatizovanou formou (prostredníctvom počítača) a čiastočne neautomatizovanou (zošity, knihy a pod.), je potrebné, aby aj neautomatizované prostriedky spracúvania osobných údajov boli dostatočne chránené (zámka na dverách, zabezpečovací systém, uzamykateľná bezpečnostná skriňa a pod.).
Z hľadiska bezpečnostnej dokumentácie vyžadovanej podľa § 19 zákona a nasledujúcich[4], ak prevádzkovateľ nespracúva v IS e-shop citlivé osobné údaje podľa § 13 zákona, ktorý je prepojený s verejne prístupnou počítačovou sieťou (sieť internet), je postačujúce, ak prijme primerané bezpečnostné opatrenia v základnom rozsahu. Nie je potrebné, aby bezpečnostné opatrenia zdokumentoval v bezpečnostnom projekte.
TECHNICKÉ ASPEKTY PREVÁDZKOVANIA E-SHOPU V KONTEXTE OCHRANY OSOBNÝCH ÚDAJOV
Šablóna e-shopu
Prevádzkovateľ e-shopu môže pri výbere technického riešenia šablóny e-shopu (rozhrania, ktoré slúži na prehliadanie konkrétnych tovarov ponúkaných v e-shope alebo na uskutočňovanie pridávania jednotlivých položiek do tzv. „košíka“) postupovať v zásade dvomi spôsobmi. Buď si šablónu e-shopu vytvorí sám alebo si môže, napr. prostredníctvom licenčnej zmluvy, zaobstarať šablónu e-shopu od iného subjektu. Vo väčšine prípadov z pohľadu ochrany osobných údajov nedochádza k spracúvaniu osobných údajov zo strany poskytovateľa takejto licencie.
Webhosting e–shopu
V prípade, ak prevádzkovateľ nedisponuje vlastným webovým priestorom na technické prevádzkovanie e-shopu, najčastejšie vstupuje do zmluvného vzťahu so subjektom, ktorý mu takýto priestor poskytuje. Ak tento subjekt poskytuje pre prevádzkovateľa e-shopu webový priestor bez toho, aby z jeho strany dochádzalo k spracúvaniu osobných údajov, ktoré prevádzkovateľ e-shopu spracúva vo svojom informačnom systéme (z hľadiska informačnokomunikačných technológií), nebude potrebné špeciálne upravovať ich vzájomný vzťah z pohľadu ochrany osobných údajov6. V takomto prípade dochádza väčšinou na webových serveroch poskytovateľa webového priestoru len k ukladaniu šablóny e-shopu bez ukladania osobných údajov zákazníkov e-shopu, ktoré sú uložené u prevádzkovateľa e-shopu.
V opačnom prípade, ak bude dochádzať k spracúvaniu osobných údajov zákazníkov eshopu[5] aj prostredníctvom poskytovateľa webového priestoru, bude tento vystupovať v postavení sprostredkovateľa podľa § 4 ods. 2 písm. d) zákona, nakoľko poskytovateľ webhostingu spracúva osobné údaje v mene prevádzkovateľa. Vzájomný vzťah medzi prevádzkovateľom e-shopu a poskytovateľom webhostingu bude potrebné vymedziť zmluvou podľa § 8 ods. 1 zákona.
Technická podpora poskytovaná prevádzkovateľovi e-shopu tretím subjektom
V prípade, ak dochádza zo strany tretieho subjektu[6] k vykonávaniu technickej podpory a k prípadnému odstraňovaniu technických porúch v informačných systémoch (z hľadiska informačno-komunikačných technológií), prostredníctvom ktorých prevádzkovateľ e-shopu spracúva osobné údaje v informačných systémoch osobných údajov (z hľadiska zákona) a nedochádza z jeho strany k systematickému spracúvaniu osobných údajov, sú zamestnanci tohto tretieho subjektu povinní dodržiavať povinnosť mlčanlivosti v zmysle § 22 ods. 3 zákona[7], ak by pri vykonávaní týchto technických činností prišli do styku s osobnými údajmi.
ĎALŠIE EVENTUALITY SPRACÚVANIA OSOBNÝCH ÚDAJOV PRI PREVÁDZKOVANÍ E-SHOPU
Tretie strany v prípade e-shopu
V prípade e-shopov sa za tretie strany považujú napr. kuriérske a doručovateľské spoločnosti, a to jednak tie, ktoré poskytujú svoje služby na základe osobitného zákona (napr. zákon č. 324/2011 Z. z. o poštových službách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon o poštových službách“)) a tiež tie, ktoré sa týmto alebo iným osobitným zákonom neriadia.
V oboch prípadoch však ide o subjekty, ktoré vo vlastnom mene a na vlastnú zodpovednosť dodajú zákazníkovi tovar objednaný v e-shope. Právnym základom spracúvania osobných údajov pri doručení a prípadnej kontrole totožnosti osoby pri preberaní tovaru je zákon (§ 10 ods. 3 písm. b) zákona - zmluva, ktorou si zákazník tovar objednal. Na spracúvanie osobných údajov zákazníka e-shopu na účel dodania tovaru prostredníctvom vybraného doručovateľa nie je potrebný jeho súhlas. Je potrebné dodať, že zákon o poštových službách10 je právnym základom na spracúvanie osobných údajov zákazníka na účely poskytovania poštových služieb (dodanie, vybranie alebo distribúcia zásielky) pre subjekty riadiace sa týmto zákonom.
Za tretie strany, ktorým sa osobné údaje ešte môžu poskytovať, možno považovať aj niektoré štátne orgány, ktoré podľa osobitných zákonov majú ustanovené kontrolné právomoci v oblasti elektronického obchodovania. Osobné údaje zákazníkov e-shopu im budú poskytované na základe osobitných zákonov, ktoré spĺňajú kvalitatívne predpoklady na poskytnutie osobných údajov podľa § 10 ods. 2 zákona.
Súťaže organizované prevádzkovateľom e-shopu
Nie je ničím výnimočným, ak prevádzkovateľ e-shopu organizuje súťaže, pri ktorých dochádza k spracúvaniu osobných údajov, ako napr. k zverejneniu osobných údajov zákazníkov (výhercov). V tomto prípade je potrebné, aby zákazník o takejto možnosti zverejnenia vedel, mal možnosť na základe svojho slobodného rozhodnutia vyjadriť súhlas s tým, aby jeho konkrétne osobné údaje (napr. meno a priezvisko) boli zverejnené na určitý čas na presne určenom mieste (webová stránka e-shopu).
Je potrebné, aby zákazníkov predchádzajúci súhlas so zverejnením jeho presne určených osobných údajov spĺňal náležitosti súhlasu podľa § 11 ods. 4 zákona.[8] V takom prípade dochádza k spracúvaniu osobných údajov zákazníkov v samostatnom informačnom systéme nazvanom napr. Spotrebiteľská súťaž daného e-shopu, ktorý je potrebné úradu oznámiť, ak prevádzkovateľ nemá poverenú zodpovednú osobu.[9] V prípade, ak prevádzkovateľ e-shopu chce organizovať viacero podobných súťaží, nie je potrebné, aby každú z nich oznamoval osobitne, ale môže na úrad zaslať oznámenie, ktorým zastreší organizovanie všetkých týchto súťaží.
Cezhraničný prenos osobných údajov zákazníkov e-shopu
Ak bude prevádzkovateľ e-shopu prenášať osobné údaje zákazníkov do tretích krajín13 je potrebné tieto krajiny uviesť v príslušnom tlačive (oznámenie, resp. evidencia). Krajiny Európskej únie a štáty, ktoré sú zmluvnou stranou Dohody o Európskom hospodárskom priestore, nie sú tretími krajinami, teda ich nie je potrebné uvádzať.
Zhrnutie
Spracúvanie osobných údajov v e-shope, ako informačnom systéme osobných údajov, je po pochopení základných princípov a pravidiel spracúvania osobných údajov pomerne jednoduché a prehľadné.
Prevádzkovateľ e-shopu nesmie opomenúť tri základné okruhy, ak rieši spracúvanie osobných údajov; prvým okruhom je právny základ spracúvania, druhým je to splnenie si oznamovacej alebo evidenčnej povinnosti a tretím zaistenie bezpečnosti spracúvaných osobných údajov.
---------------------------------------------------------------------------------------------------------------------------
Praktické príklady
Chcem prijímať od ...........................so sídlom v ......................... e-mail newsletter – obchodné informácie uvedené v zákone o poskytovaní elektornických služieb. Súhlasím so spracovaním mojich osobných údajov za účelom poskytnutia tejto služby. Oboznámil / a som sa informáciami spojenými s právom o ochrane osobných údajov (zobraziť obchodné podmienky). Súhlas je dobrovoľný a môže byť kedykoľvek odvolaný.
Chcem prijímať od ............................. so sídlom v ......................... SMS newsletter – obchodné informácie uvedené v zákone o poskytovaní elektronických služieb. Súhlasím so spracovaním mojich osobných údajov za účelom poskytnutia tejto služby. Oboznámil / a som sa informáciami spojenými s právom o ochrane osobných údajov (zobraziť obchodné podmienky). Súhlas je dobrovoľný a môže byť kedykoľvek odvolaný.
Súhlasím so spracovaním mojich osobných údajov spoločnosťou ....................... so sídlom v ............................................za účelom realizovania služieb na zásadách uvedených v Obchodných podmienkach. Oboznámil / a som sa s informáciami spojenými s právom o ochrane osobných údajov (pozri obchodné podmienky). Súhlas je dobrovoľný a môže byť kedykoľvek zrušený.
Súhlas s prispôsobením obsahu
Webové stránky ..................... používajú súbory cookies za účelom poskytovania služieb a tiež pre marketingové / štatistické účely. Udelenie súhlasu znamená, že Vaše osobné údaje budú uložené v súboroch cookies pre marketingové účely spoločnosti............................ a ich Dôverných Partnerov. Váš súhlas je dobrovoľný a môžete ho kedykoľvek odvolať, ale pamätajte si, že vďaka Vášmu súhlasu môžeme prispôsobiť obsah stránok Vašim záujmom. Navyše kliknutím na [iné možnosti] môžete udeliť súhlas so spracovaním údajov aj v oblasti profilovania, trhových a štatistických analýz, vďaka čomu jednoduchšie nájdete na stránkach obsah, ktorý Vás najviac zaujíma.
Chceme Vám predstaviť ponuku, čo najviac prispôsobenú Vašim preferenciám a záujmom. Udelením súhlasu na uvedené účely nám umožníte prezentáciu ponuky a zliav založených na analýze Vašej aktivity na Internete. Tieto ponuky môžu mať zásadný vplyv na Vaše nákupné rozhodnutie. Tento návrh je určený plnoletým osobám.
V prípade, že máte viac ako 18 rokov, môžete pre Vaše pohodlie kliknúť nižšie uvedené polia a tým udeliť súhlas s vyššie uvedenými podmienkami
Samozrejme môžete kedykoľvek zmeniť alebo stanoviť podmienky uchovávania / prístupu ku cookies vo Vašom prehliadači. Viac informácií nájdete v Politike súkromia a cookies
Pamätajte si, že udelenie súhlasu je dobrovoľné. Navyše môžete kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracovania vykonaného na základe súhlasu pred jeho odvolaním.
Aké údaje spracovávame?
......................................... používa technológiu, ktorá uchováva a sprístupňuje informácie o Vašom počítači alebo inom zariadení pripojenom k sieti (najmä pomocou súborov cookie), ktoré sa týkajú Vašej online aktivity, s cieľom prezentovať prispôsobenou reklamu a posúdiť niektoré z informácií o Vás tiež v rámci automatizovaného spracovania osobných údajov, tj. profilovanie (analyzujeme Vašu cielovú sk. vo všeobecným skupinám našich klientov, bez toho aby sme významne ovplyvnili ich rozhodnutie - ak neudelíte samostatný súhlas), trhové a štatistické analýzy a zlepšenie kvality poskytovaných informácií. Túto technológiu využívajú aj naši partneri, s ktorými spolupracujeme, a ktorí môžu tiež inštalovať súbory na Vašom zariadení počas používania našich služieb. Zoznam partnerov, s ktorými v tejto oblasti spolupracujeme, je k dispozícii v našej [Politike súkromia
Ak nesúhlasíte s tým, aby Vám cookies ukazovali reklamy prispôsobené vašim záujmom, neznamená to, že sa počas surfovania na našich alebo iných webových stránkach nestretnete so žiadnymi reklamami - v takom prípade sa Vám zobrazia rovnaký počet reklám, ktoré ale nebudú súvisieť s Vašou aktivitou na našich webových stránkach. Tieto nastavenia môžete upraviť vo Vašom webovom prehliadači, avšak niektoré časti nášho webu nebudú fungovať správne
[1] K pojmu „informačný systém osobných údajov“ pozri bližšie Metodické usmernenie úradu č. 5/2013.
[2] Jeho nečinnosť, prípadne neúplné vybavenie žiadosti dotknutej osoby môže mať za následok to, že táto dotknutá osoba sa následne obráti na úrad a môže podať návrh na začatie konania o ochrane osobných údajov podľa § 63 zákona. Poskytnutie informácie dotknutej osobe podľa § 29 je preto dôležitou súčasťou činností prevádzkovateľa, ktorú by nemal opomínať.
[3] „Bežné“ osobné údaje a „citlivé“ osobné údaje.
[4] Pozri tiež metodické usmernenie úradu č. 4/2016 Bezpečnostné opatrenie podľa § 19 ods. 1 zákona č. 122/2013 Z. z. 6 Zmluva podľa § 8 ods. 1 zákona.
[5] Pozri definíciu spracúvania osobných údajov podľa § 4 ods. 3 písm. a) zákona. Aj samotné uloženie, uchovávanie osobných údajov na serveroch poskytovateľa webhostingu je spracovateľskou operáciou osobných údajov.
[6] Subjekt poskytujúci opravu a údržbu techniky, prostredníctvom ktorej sú osobné údaje spracúvané.
[7] Táto povinnosť sa vzťahuje aj na iné fyzické osoby, ktoré prídu do styku s osobnými údajmi u sprostredkovateľa. 10 Register poštových podnikov dostupný na webovom sídle Úradu pre reguláciu elektronických komunikácií a poštových služieb; dostupný na http://www.teleoff.gov.sk/index.php?ID=8371.
[8] Pozri bližšie Metodické usmernenie úradu č. 1/2015 k súhlasu dotknutej osoby.
[9] Pozri bližšie kapitolu 2. tohto metodického usmernenia. 13 § 4 ods. 3 písm. l) zákona.
Vyhľadávanie
Galéria mix
Predaj akcia
