POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU

 

 

 

Podľa § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z.^[1] Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) vydáva toto metodické usmernenie. 

 

ÚVOD  

           

Nákup tovarov a služieb sa v súčasnosti uskutočňuje v značnej miere prostredníctvom internetu. Internetový obchod (ďalej len „e-shop“) možno definovať ako predaj tovaru alebo služieb s využitím informačných a komunikačných technológií a webových aplikácií v prostredí internetu, kde na jednej strane tohto vzťahu je prevádzkovateľ e-shopu a na druhej zákazník e-shopu (ďalej len „zákazník“). Dochádza medzi nimi najčastejšie k uzavretiu kúpnej zmluvy realizovanej cez internet (zmluva uzavretá na diaľku). Súčasťou takejto zmluvy je aj získavanie informácií, vrátane osobných údajov zákazníka.

Vzhľadom na dynamickosť rozvoja informačných technológií je nemožné zohľadniť v tomto metodickom usmernení všetky eventuality, ktoré by mohli vzniknúť pri uplatňovaní Nariadenia^[2] prevádzkovateľom e-shopu, preto úrad uvádza nižšie len najbežnejšie prípady. Vzhľadom na konkrétne podmienky toho-ktorého spracúvania osobných údajov je možné, že prevádzkovateľ e-shopu bude môcť využiť napr. aj iný právny základ alebo iné nastavenia než je nižšie uvedené. Toto metodické usmernenie je len odporúčaním úradu, t. z. že nevylučuje aj iné nastavenie spracúvania osobných údajov za splnenia všetkých Nariadením ustanovených podmienok a povinností. 

Úvodom je tiež potrebné zdôrazniť, že na problematiku e-shopov sa vzťahujú aj ďalšie osobitné predpisy, napr. zákon č. 351/2011 Z. z.^[3] a zákon č. 22/2004 Z. z.^[4], ktoré je potrebné pri prevádzkovaní e-shopov zohľadniť. Tieto predpisy nepatria do vecnej pôsobnosti úradu. 

 

1. SPRACOVATEĽSKÉ ČINNOSTI PREVÁDZKOVATEĽA E-SHOPU A PRÁVNE ZÁKLADY SPRACÚVANIA OSOBNÝCH ÚDAJOV ZÁKAZNÍKOV Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu pravidiel ochrany osobných údajov spracúvaním osobných údajov zákazníka. Účelom takéhoto spracúvania je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti, ktoré pre prevádzkovateľa e-shopu vyplývajú najmä z právnych predpisov upravujúcich ochranu spotrebiteľa).

 

Je potrebné rozlišovať jednotlivé účely spracúvania osobných údajov zákazníkov prevádzkovateľom e-shopu. Vzhľadom na tieto účely môžeme identifikovať niekoľko najbežnejších spracovateľských činností, ktoré môžu spolu úzko súvisieť, ale majú odlišný právny základ.

 

Spracúvanie osobných údajov zákazníkov prevádzkovateľom e-shopu prebieha najmä na účely: 

objednávka tovaru/služieb (e-shop) → kúpna zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia (s tým súvisí aj následné uskutočnenie platby, dodanie tovaru alebo služby, vybavovanie reklamácie a pod.); spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov na účely plnenia zmluvy je konkrétna zmluva uzavretá na diaľku medzi zákazníkom a e-shopom,

marketingová komunikácia so zákazníkom → oprávnený záujem^[5] podľa čl. 6 ods. 1 písm.

1. f) Nariadenia (napr. zasielanie newslettera, iné formy priameho marketingu, a pod.); spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov (v nevyhnutnom rozsahu) je oprávnený záujem prevádzkovateľa e-shopu, napríklad informovanie zákazníka o novom tovare a službách daného e-shopu s cieľom podporiť ich predajnosť,

marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu→

predchádzajúci súhlas^[6]dotknutej osoby podľa čl. 6 ods. 1 písm. a) Nariadenia,

vernostný program → súhlas⁶ zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia, 

spotrebiteľská súťaž^[7] → súhlas⁶ zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia.

 

 

2.POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU

 

Dodržiavanie zásad spracúvania osobných údajov zákazníkov podľa čl. 5 Nariadenia

- na to, aby prevádzkovateľ mohol zákonne spracúvať osobné údaje zákazníkov na vyššie uvedené účely, musí disponovať primeraným právnym základom (viď. bod 1) (zásada zákonnosti)^[8],

- zákazníci majú právo byť informovaní o podmienkach spracúvania, o spôsobe, akým sa vybavujú ich žiadosti o výkon práv dotknutých osôb, a pod. (zásada transparentnosti)^[9],

- získané osobné údaje má prevádzkovateľ spracúvať len na konkrétne vymedzený, výslovne uvedený a legitímny účel, ďalej ich nemožno spracúvať spôsobom, ktorý nie je zlučiteľný s takýmto účelom (zásada obmedzenia účelu),

- prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie konkrétneho účelu spracúvania (zásada minimalizácie údajov), napríklad: 

• na uzavretie kúpnej zmluvy – napr. titul, meno, priezvisko, adresa bydliska, adresa dodania tovaru, ak je iná ako adresa bydliska, e-mailová adresa, telefónne číslo,
• na priamy marketing – titul, meno, priezvisko a e-mailová adresa,
• vernostný program – titul, meno, priezvisko, adresa bydliska alebo e-mailová adresa a prípadne ďalšie údaje (napríklad v závislosti od toho, akým spôsobom sú poskytované výhody plynúce z vernostného programu, resp. v závislosti od iných podmienok účasti vo vernostnom programe nastavených prevádzkovateľom),
• spotrebiteľská súťaž – zoznam spracúvaných osobných údajov závisíod podmienok súťaže uvedených v štatúte súťaže, o ktorých majú byť dotknuté osoby informované pred udelením súhlasu so spracúvaním ich osobných údajov na účel súťaže,

- prevádzkovateľ spracúva správne a aktualizované osobné údaje (zásada správnosti), 

- prevádzkovateľ uchováva osobné údaje len po nevyhnutnú dobu na dosiahnutie účelu spracúvania; dlhšie len pokiaľ je to nevyhnutné na iný účel (napríklad na účel archivácie) zlučiteľný s pôvodným účelom (zásada minimalizácie uchovávania), 

- prevádzkovateľ zaručuje primeranú bezpečnosť spracúvaných osobných údajov (zásada integrity a dôvernosti),

- prevádzkovateľ e-shopu musí byť schopný preukázať súlad s predchádzajúcimi zásadami spracúvania (zásada zodpovednosti).

 

 

Informačná povinnosť podľa čl. 13 a čl. 14 Nariadenia

- platí pre všetky spracovateľské činnosti uvedené v bode 1; informačná povinnosť smeruje od prevádzkovateľa e-shopu k dotknutej osobe (zákazníkovi e-shopu),

- poskytovanie informácií dotknutej osobe je povinnosťou prevádzkovateľa, teda prevádzkovateľ e-shopu je povinný ju plniť iniciatívne (nie na základe žiadosti dotknutej osoby),

- prevádzkovateľ dotknutej osobe poskytuje informácie ustanovené v čl. 13 ods. 1 až 3 Nariadenia, ak osobné údaje získal priamo od dotknutej osoby; podľa čl. 14 ods. 1 a 2

Nariadenia, ak osobné údaje nezískal priamo od dotknutej osoby

[príklad: osoba X objedná v e-shope ABC produkt, ktorý zakúpi ako darček pre osobu Z. E-shop ABC spracúva osobné údaje osoby X na zmluvnom právnom základe a plní si voči nej informačnú povinnosť podľa čl. 13 Nariadenia.E-shop ABC zároveň spracúva dodacie osobné údaje o osobe Z, ktorá nevie, že jej bude zaslaný darček, pričom medzi e-shopom ABC a osobou Z neexistuje priamy zmluvných vzťah. Právnym základomna spracúvanie osobných údajov osoby Z tak bude oprávnený záujem e-shopu ABC na účely plnenia zmluvy medzi e-shopom ABC a osobou X. E-shop ABC si zároveň bude voči osobe Z plniť informačnú povinnosť podľa čl. 14 Nariadenia. Nakoľko sa v tejto situácii uplatní výnimka podľa čl. 14 ods. 5 písm. b) Nariadenia („... alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania“), e-shop ABC si informačnú povinnosť podľa čl. 14 Nariadenia voči osobe Z splní až v momente doručenia darčeka, ktorý zakúpila osoba X],

- uplatniť výnimky z informačnej povinnosti len v rozsahu vymedzenom v čl. 13 ods. 4 a čl. 14 ods. 5 Nariadenia,

- vo vzťahu k novým zákazníkom odo dňa 25.05.2018 – splniť si uvedenú informačnú povinnosť najneskôr pri získavaní osobných údajov,

- vo vzťahu k už existujúcim zákazníkom spred 25.05.2018 (napr. pokiaľ ide o pokračujúci marketing, vernostný program) – povinnosť doplniť informáciu v rozsahu, v akom zákazník nedisponuje informáciami podľa čl. 13 a čl. 14 Nariadenia,

- informácie poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho,

- informovať možno rôznymi spôsobmi (aj kombinovane) – napr. na webovej stránke      e-shopu, zaslaním informácií do e-mailu, v listinnej forme v priestoroch „kamenného obchodu“, a pod.,

- prevádzkovateľ informuje svojich zákazníkov o ich právach v postavení dotknutej osoby (čl. 15 až čl. 22 Nariadenia), najmä o práve namietať voči spracúvaniu na účely priameho marketingu a o práve odvolať súhlas so spracúvaním,

- ak sa spracúvanie zakladá na oprávnenom záujme, prevádzkovateľ informuje zákazníka o tom, ktoré oprávnené záujmy sleduje; prevádzkovateľ je tiež povinný vykonať test proporcionality vždy, ak spracúva osobné údaje na tomto právnom základe. 

 

 

 

 

Vedenie záznamov o spracovateľských činnostiach

Každý prevádzkovateľ e-shopu je povinný viesť záznamy o spracovateľských činnostiach podľa čl. 30 Nariadenia vždy vo vzťahu k spracovateľským činnostiam: 

- objednávka tovaru/služieb 

- vernostný program 

- priamy marketing 

       - !  SPOTREBITEĽSKÁ SÚŤAŽ 

- ak pravidelne organizuje súťaže

- ak príležitostne organizuje súťaž -napr. 1x/rok a pod.(uplatní sa výnimka podľa čl. 30 ods. 5 Nariadenia a táto spracovateľská činnosť sa nemusí v zázname uvádzať)

- záznamy si prevádzkovateľ ponecháva u seba a nezasiela ich úradu, priprípadnej kontrole ich úradu predloží^[10]. 

 

Zodpovedná osoba

- povinnosť určiť zodpovednú osobu majú prevádzkovatelia e-shopov, ktorí spĺňajú podmienku podľa čl. 37 ods. 1 písm. b) Nariadenia^[11] – napr. ak sa vykonáva behaviorálna reklama,

- ak podmienka podľa čl.37 ods. 1 písm. b) Nariadenia nie je naplnená, prevádzkovateľ e-shopu nemá povinnosť určiť zodpovednú osobu; ak ju napriek tomu dobrovoľne určí, je povinný postupovať rovnako ako v prípade, ak by sa povinnosť určiť zodpovednú osobu naňho vzťahovala. 

 

Sprostredkovateľ

- prevádzkovateľ môže poveriť spracúvaním alebo časťou spracúvania sprostredkovateľa, napríklad pre účel vyhodnotenia súťaže organizovanej prevádzkovateľom, zasielania dotazníkov spokojnosti so zakúpeným tovarom a pod.,

- sprostredkovateľ spracúva osobné údaje podľa pokynov prevádzkovateľa, v rozsahu a podľa sprostredkovateľskej zmluvy alebo iného právneho aktu¹², ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi. Sprostredkovateľská zmluva a iný právny akt musia spĺňať náležitosti podľa čl. 28 ods. 3 Nariadenia,

- na účely uzatvorenia sprostredkovateľskej zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje. Pokiaľ ide o zákonnosť, sprostredkovateľ disponuje pre spracúvanie osobných údajov právnym základom prevádzkovateľa (napr. oprávnený záujem).

 

 

 

Bezpečnosť spracúvania osobných údajov

- prevádzkovateľ e-shopu je zodpovedný za bezpečnosť a ochranu osobných údajov po celý čas ich spracúvania a je povinný prijať primerané bezpečnostné opatrenia na ich ochranu,

- podľa čl. 25 Nariadenia je prevádzkovateľ e-shopu povinný zabezpečiť ochranu už v štádiu, kedy spracúvanie ešte nie je začaté, pričom zohľadní najnovšie poznatky a náklady na vykonanie opatrení ako aj povahu, rozsah, kontext a účely spracúvania. Opatrenia nastaví podľa potrieb vzhľadom na vlastné prostredie a zohľadní bezpečnostné štandardy, ktoré sú bežné pre tú-ktorú spracovateľskú činnosť – napr. zabezpečí počítač, v ktorom dochádza k spracúvaniu osobných údajov zákazníkov antivírusovým programom,

- podľa čl. 32 Nariadenia prevádzkovateľ e-shopu je povinný prijať vzhľadom na vyššie uvedené primerané technické a organizačné opatrenia:

• technické opatrenia – antivírus, firewall, zaheslovaný počítač, alarm, zabezpečenie objektu, zabezpečenie automatizovaných i neautomatizovaných prostriedkov a pod.
• organizačné opatrenia - pokyny prevádzkovateľa e-shopu adresované zamestnancom (ak nejakých má), určenie zodpovednej osoby (ak má povinnosť

ju určiť), poučenie zamestnancov zachovávať mlčanlivosť, režim vstupu              do priestorov, v ktorých sú spracúvané osobné údaje, kľúčová politika, pravidlá spracúvania osobných údajov vrátane pravidiel ich uchovávania a pod.

Uvedené opatrenia sú len príklady, nie je možné pre všetky e-shopy potrebné opatrenia zovšeobecniť^[12]

 

- prevádzkovateľ má povinnosť vykonať posúdenie vplyvu na ochranu údajov podľa       čl. 35 Nariadenia, ak napĺňa niektorú z podmienok ustanovených v tomto článku^[13], 

- ! prevádzkovateľ je v prípade porušenia ochrany osobných údajov, ktoré povedie k riziku pre práva a slobody fyzických osôb (napr. sprístupnenie databázy s osobnými údajmi zákazníkov neoprávneným osobám alebo poškodenie a nedostupnosť záloh prevádzkovateľa e-shopu) takéto porušenie do 72 hodín po tom ako sa o tejto skutočnosti dozvedel oznámiť úradu; v niektorých prípadoch aj dotknutej osobe, a to bez zbytočného odkladu.¹⁵

 

 

 

 

- Prevádzkovateľ e-shopu môže súlad s Nariadením a zákonom č. 18/2018 Z. z. preukazovať aj dodržiavaním kódexu správania alebo certifikátom, nie je však povinnosťou prevádzkovateľa sa k takémuto kódexu správania (ak existuje) pristúpiť, resp. požiadať o vydanie certifikátu.^[14]

 

Pokiaľ ide o ďalšie povinnosti upozorňujeme, že prevádzkovateľ e-shopu je tiež povinný plniť povinnosti v zmysle zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov (ďalej len „zákon č. 351/2011 Z. z.“). Na výklad ustanovení zákona č. 351/2011 Z. z. úrad nie je vecne príslušný, odporúčame obrátiť sa na gestora zákona.  

 

3.POSTAVENIE ZÁKAZNÍKA E-SHOPU AKO DOTKNUTEJ OSOBY 

 

Zákazník e-shopu je z pohľadu Nariadenia dotknutou osobou, teda fyzickou osobou, ktorej sa osobné údaje spracúvané prevádzkovateľom e-shopu týkajú. Dotknutá osoba má podľa Nariadenia svoje práva, ktoré si môže voči prevádzkovateľovi e-shopu kedykoľvek uplatniť. 

 

Aké má dotknutá osoba práva ?

- Právo na prístup k údajom (čl. 15)

- Právo na opravu (čl. 16) Právo na výmaz (čl. 17) 

- Právo na obmedzenie spracúvania (čl. 18)

- Právo na prenosnosť (čl. 20) 

- Právo namietať (čl. 21) 

• ak sa spracúvanie uskutočňuje na základe oprávneného záujmu prevádzkovateľa e-shopu ( na účely priameho marketingu), zákazník má právo kedykoľvek namietať proti takémuto spracúvaniu jeho osobných údajov,
• na právo namietať na účely priameho marketingu musí byť dotknutá osoba výslovne upozornená najneskôr pri prvej komunikácii s ňou a toto právo musí byť prezentované jasne a oddelene od akýchkoľvek iných informácií,
• po uplatnení námietky zákazníka je prevádzkovateľ e-shopu povinný ihneď ukončiť spracúvanie osobných údajov na účely priameho marketingu a tieto osobné údaje už na účely priameho marketingu nespracúvať.

-Právo odvolať súhlas 

• ak sa spracúvanie uskutočňuje na základe súhlasu zákazníka ( vernostný program, spotrebiteľská súťaž), zákazník môže kedykoľvek svoj súhlas          so spracúvaním odvolať a prevádzkovateľ e-shopu je povinný ukončiť spracúvanie osobných údajov, ktoré boli spracúvané na základe súhlasu, ak nedisponuje iným právnym základom,
• ak sa spracúvanie uskutočňuje na základe súhlasu zákazníka, o práve súhlas kedykoľvek odvolať musí byť zákazník podľa čl. 13 ods. 2 písm. c) Nariadenia prevádzkovateľom e-shopu vopred informovaný.

 

Ako má prevádzkovateľ postupovať pri vybavovaní žiadostí dotknutých osôb?

- odporúča sa pripraviť krátky, jasný a stručný interný postup ako bude prevádzkovateľ e-shopu vybavovať žiadosti dotknutých osôb (napr. formou internej smernice, pokynu), ktorý môže byť zverejnený na webovom sídle prevádzkovateľa e-shopu (prevádzkovateľ môže vytvoriť vzorový formulár),

- všetky informácie a oznámenia prevádzkovateľa smerom k dotknutej osobe musia byť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, musí sa zohľadniť kategória dotknutých osôb, ktorej sú oznámenia a informácie adresované,

- informácie a oznámenia by sa mali spravidla poskytovať rovnakým spôsobom, akým si dotknutá osoba uplatní svoje právo, ak nepožiada o iný spôsob,

- prevádzkovateľ e-shopu je povinný žiadosť dotknutej osoby vybaviť do 1 mesiaca od jej doručenia (v prípade potreby môže prevádzkovateľ predĺžiť vybavovanie žiadosti o ďalšie 2 mesiace, pričom o predĺžení lehoty je povinný dotknutú osobu upovedomiť).

 

4.TECHNICKÉ ASPEKTY PREVÁDZKOVANIA E-SHOPU V KONTEXTE OCHRANY OSOBNÝCH ÚDAJOV 

 

4.1Šablóna e-shopu

Prevádzkovateľ e-shopu môže pri výbere technického riešenia šablóny e-shopu (rozhrania, ktoré slúži na prehliadanie konkrétnych tovarov ponúkaných v e-shope alebona uskutočňovanie pridávania jednotlivých položiek do tzv. „košíka“) postupovať v zásade dvoma spôsobmi. Buď si šablónu e-shopu vytvorí sám alebo si môže (napr. prostredníctvom licenčnej zmluvy) zaobstarať šablónu e-shopu od iného subjektu. Vo väčšine prípadov z pohľadu ochrany osobných údajov nedochádza k spracúvaniu osobných údajov zo strany poskytovateľa takejto šablóny. 

 

4.2Webhosting e-shopu

V prípade, ak prevádzkovateľ nedisponuje vlastným webovým priestorom na technické prevádzkovanie e-shopu, najčastejšie vstupuje do zmluvného vzťahu so subjektom, ktorý mu takýto priestor poskytuje. Postavenie poskytovateľa webového priestoru bude potom závisieť od spôsobu nastavenia podmienok.  

Ak tento subjekt poskytuje pre prevádzkovateľa e-shopu webový priestor bez toho, aby z jeho strany dochádzalo k spracúvaniu osobných údajov zákazníkov e-shopu, ktoré prevádzkovateľ e-shopu spracúva, nebude potrebné upravovať ich vzájomný vzťah z pohľadu ochrany osobných údajov. 

Ak bude dochádzať k spracúvaniu osobných údajov zákazníkov e-shopu^[15] aj prostredníctvom poskytovateľa webového priestoru, bude tento poskytovateľ vystupovať v postavení sprostredkovateľa podľa čl. 4 ods. 8 Nariadenia, ak poskytovateľ webhostingu bude spracúvať osobné údaje v mene prevádzkovateľa. Vzájomný vzťah medzi prevádzkovateľom e-shopu a poskytovateľom webhostingu sa bude riadiť zmluvou alebo iným právnym aktom^[16] podľa čl. 28 ods. 3 Nariadenia. 

Poskytovateľ webového priestoru môže mať aj postavenie spoločného prevádzkovateľa, pokiaľ dochádza napr. k automatickému zálohovaniu údajov z e-shopu. V takom prípade sa    pri úprave vzťahu medzi spoločnými prevádzkovateľmi, teda vzťahu medzi prevádzkovateľom     e-shopu a poskytovateľom webového priestoru postupuje v zmysle čl. 26 Nariadenia^[17]. 

 

4.3Technická podpora poskytovaná prevádzkovateľovi e-shopu tretím subjektom 

 

Ak tretia strana zabezpečuje pre e-shop technickú podporu, kedy pri odstraňovaní technických problémov môže tento subjekt, resp. jeho zamestnanci vidieť osobné údaje zákazníkov e-shopu a nedochádza zo strany subjektu vykonávajúceho technickú podporu k ďalšiemu spracúvaniu osobných údajov (t. j. osobné údaje napr. len „vidí“, ale ďalej ich nespracúva) postačuje, aby bola v zmluve medzi prevádzkovateľom a poskytovateľom technickej podpory ustanovená povinnosť zachovávať mlčanlivosť a prijať primerané bezpečnostné opatrenia (organizačné a technické). Uvedené platí aj vo vzťahu k vykonávaniu technickej podpory prostredníctvom vzdialeného prístupu. 

 

5.ĎALŠIE EVENTUALITY SPRACÚVANIA OSOBNÝCH ÚDAJOV PRI PREVÁDZKOVANÍ E-SHOPU 

 

5.1Príjemcovia v prípade e-shopu

 

V prípade e-shopov sa za príjemcov považujú napr. kuriérske spoločnosti. Tieto môžu  doručovať zákazníkovi tovar objednaný v e-shopebuď vo vlastnom mene a na vlastnú zodpovednosť, kedy ako samostatní prevádzkovatelia musia disponovať primeraným právnym základom a dodržiavať ďalšie povinnosti podľa Nariadenia alebo v mene prevádzkovateľa        e-shopu, kedy vystupujú v postavení sprostredkovateľa. 

Pri postupe spracúvania osobných údajov zákazníkov týmito príjemcami na účely dodania objednaného tovaru je potrebné rozlišovať medzi tými, ktorí poskytujú svoje služby podľa zákona č. 324/2011 Z. z. o poštových službách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 324/2011 Z. z.“)^[18] a tými, ktorí podľa tohto zákona nepostupujú.  

 

Pri kuriéroch alebo doručovateľských spoločnostiach (ďalej spoločne len „doručovatelia“), ktorí nepostupujú podľa zákona č. 324/2011 Z. z., je potrebné rozlišovať situácie, 

- keď dochádza k objednaniu doručovateľskej/prepravnej služby priamo od dotknutej osoby, kedy právnym základom pre spracúvanie osobných údajov objednávateľa služby je zmluva medzi dotknutou osobou a doručovateľom (viď príklad č. 1), 

- keď dochádza k výkonu doručovateľskej/prepravnej služby na základe výberu takejto služby priamo v prostredí e-shopu za účelom dodania zakúpeného tovaru, kedy právnym základom doručovateľa bude súhlas kupujúceho (viď príklad č. 2) a 

- keď dochádza k doručovateľskej/prepravnej službe na základe pokynu e-shopu, kedy právnym základom je zmluva medzi zákazníkom a e-shopom (viď príklad č. 3). 

 

[príklad č. 1: e-shop KKK predáva oblečenie. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom KKK a zákazníkom. E-shop KKK ponúka na výber dva druhy dodania tovaru, a to osobné vyzdvihnutie na pobočke a doručenie doručovateľom Q alebo doručovateľom H. Zákazník má zlú skúsenosť s doručovateľom Q, a preto sa rozhodne využiť služby doručovateľa H. Nakoľko e-shop KKK a doručovateľ H majú nastavené zmluvné podmienky tak, že zákazník je priamo prelinkovaný na webovú stránku doručovateľa H, u ktorého si zákazník vyberie deň, čas doručenia ako aj reklamačné podmienky, právnym základom doručovateľa H bude zmluva a nie súhlas. Doručovateľ ako i e-shop KKK sú v tomto prípade samostatnými prevádzkovateľmi.]

 

[príklad č. 2: e-shop LUL predáva mobilné telefóny. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom LUL a zákazníkom. E-shop LUL ponúka na výber tri druhy dodania tovaru, a to osobné vyzdvihnutie na pobočke, doručovanie tovaru poštou alebo doručovateľom. Zákazník sa rozhodne, že doručovateľom mu bude dodaný tovar najrýchlejšie, a preto zaškrtne políčko, ktorým udelí súhlas doručovateľovi na spracúvanie osobných údajov za účelom výkonu doručovateľskej služby. Doručovateľ ako i e-shop LUL sú v tomto prípade samostatnými prevádzkovateľmi. Zmluvné dojednania o reklamačných podmienkach o poškodení tovaru pri preprave tovaru si upraví e-shop a doručovateľ osobitne.]

 

[príklad č. 3: e-shop WOW predáva počítačové doplnky. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom WOW a zákazníkom. E-shop WOW zároveň vykonáva aj dodanie tovaru prostredníctvom vlastných vozidiel, ale niekedy využíva aj externých doručovateľov. Zákazníkom pri objednávke tovaru však nedáva na výber, či mu má byť tovar doručený jeho vlastnými vozidlami alebo externým doručovateľom. E-shop WOW tak určil účel, podmienky zmluvy, zmluvné dojednania a prostriedky spracúvania osobných údajov zákazníka    na dodanie tovaru. Doručovateľ, ktorý občas vybavuje dodanie tovaru zákazníka spracúva osobné údaje zákazníka v mene prevádzkovateľa, ktorým je e-shop WOW, a na tom istom právnom základe (zmluva s dotknutou osobou). Doručovateľ vystupuje v postavení sprostredkovateľa e-shopu WOW.]

 

 

 

kuriér poskytujúci služby podľa zákona č. 324/2011 Z. z. – právny základ = oprávnený záujem, ktorý vyplýva z osobitného zákona č. 324/2011 Z. z. podľa čl. 6 ods. 1 písm. f) Nariadenia (platí len vo vzťahu k osobným údajom ustanoveným v § 11 ods. 1 zákona                   č. 324/2011 Z. z.)^[19]

kuriér neposkytujúci služby podľa zákona č. 324/2011 Z. z. – právny základ = môže byť súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia/zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia  /oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia; (ako bolo uvedené v príklade vyššie pri informačnej povinnosti) 

 

Ak kuriérska spoločnosť využíva na doručovanie zásielok okrem svojich zamestnancov aj kuriérov, ktorí sú živnostníkmi/samostatne zárobkovo činnými osobami, budú mať títo jednotliví kuriéri voči kuriérskej spoločnosti, v mene ktorej doručovanie vykonávajú postavenie sprostredkovateľov a je potrebné upraviť ich vzťah s kuriérskou spoločnosťou v zmysle čl. 28 Nariadenia. 

 

5.2 Cezhraničné spracúvanie/prenos osobných údajov zákazníkov e-shopu

 

Ak bude prevádzkovateľ e-shopu prenášať osobné údaje zákazníkov do tretích krajín, je potrebné tieto krajiny uviesť v zázname o spracovateľských činnostiach⁷ [čl. 30 ods. 1 písm.

1. e) Nariadenia] Členské štáty Európskej únie a štáty, ktoré sú zmluvnou stranou dohody o Európskom hospodárskom priestore, nie sú tretími krajinami, teda ich nie je potrebné v tejto časti uvádzať, uvádzajú sa len v časti „príjemcovia“ [čl. 30 ods. 1 písm. d) Nariadenia].

O týchto skutočnostiach je povinný prevádzkovateľ e-shopu dotknuté osoby informovať podľa čl. 13 ods. 1 a čl. 14 ods. 1 Nariadenia. 

 

 

5.3 Osobitné spôsoby spracúvania osobných údajov prevádzkovateľom e-shopu

           

Rozmachom rôznych technológií sa postupom času vyvinuli nové spôsoby spracúvania osobných údajov zákazníkov najmä väčších e-shopov. Nižšie uvádzame pár praktických príkladov spoločne s právnym základom spracúvania osobných údajov. 

wishlist

• registrovaný zákazník má možnosť zaradiť si vybraný tovar do tzv. wishlistu (zoznam prianí)
• zasielanie e-mailu s upozornením, že sa tovar zaradený do wishlistu predáva za zvýhodnenú cenu alebo je opäť dostupný 

ak je to v rámci marketingovej činnosti – právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia 

 

opustený košík

-registrovaný zákazník nedokončil svoj nákup, nedokončil platbu a zasiela sa mu e-mail s upozornením a obsahom košíku 

nedochádza zatiaľ k uzavretiu kúpnej zmluvy, právny základ = predzmluvné vzťahy podľa čl. 6 ods. 1 písm. b) Nariadenia 

 

sledovanie sviatkov zákazníka

                        -     právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia 

 

reaktivácia

-registrovaný zákazník dlhšie nevyvíja v e-shope aktivitu; prevádzkovateľ e-shopu mu so zámerom motivovať ho k ďalšiemu nákupu zašle kód so zľavou na ďalší nákup 

- ak to vyplýva/je dohodnuté v zmluve – právny základ = zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia 

- ak je to v rámci marketingovej činnosti – právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia 

 

segmentácia

• na základe toho, čo zákazník v e-shope nakúpi, sú zákazníkovi prevádzkovateľom e-shopu zasielané newslettre s informáciami o podobnom tovare, aký zákazník v e-shope nakupuje
• právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia

 

upselling

• na základe obsahu zákazníkovho košíku/prípadne na základe tovaru, ktorý už v danom e-shope nakúpil predtým, sa zákazníkovi pri dokončovaní jeho objednávky (v jej platobnom procese) zobrazí obchodníkom odporúčaný tovar k ďalšiemu nákupu
• právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia

 

cookies-nie je za každých okolností osobným údajom; osobným údajom je vtedy, ak je súčasťou reťazca ďalších údajov viažucich sa na konkrétnu fyzickú osobu,         na základe ktorých možno túto fyzickú osobu identifikovať

• cookies ako osobný údaj – v závislostí od okolností konkrétneho prípadu môže byť právnym základom súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia

oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia (marketingové účely)[20]

• súčasne platí aj povinnosť splniť podmienky podľa § 55 zákona

č. 351/2011 Z. z. 

• ak cookies nie je osobný údaj – povinnosť plniť podmienky podľa zákona č. 351/2011 Z. z.

 

ZÁVER  

 

Spracúvanie osobných údajov v e-shope je po pochopení základných princípov a pravidiel spracúvania osobných údajov pomerne jednoduché a prehľadné. Prevádzkovateľ    e-shopu nesmie opomenúť štyri základné okruhy, ak rieši spracúvanie osobných údajov; prvým okruhom je právny základ spracúvania, následne splnenie povinnosti viesť záznamy, plnenie informačnej povinnosti voči dotknutým osobám – zákazníkom a v neposlednom rade zaistenie bezpečnosti spracúvaných osobných údajov.

 

 

 

 

 

 

[1]Zákon č. 18/2018 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525ochrane osobných údajov a o zmene ahttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525doplnení niektorých zákonov.

[2]Nariadenie Európskeho parlamentu ahttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfRady (EÚ) 2016/679 zhttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf27. apríla 2016 ohttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfochrane fyzických osôb prihttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfspracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/EShttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf(všeobecné nariadenie ohttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfochrane údajov).

[3]Zákon č. 351/2011 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2011/351/elektronických komunikáciách v https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2011/351/znení neskorších predpisov.

[4]Zákon č. 22/2004 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101elektronickom obchode a o zmene ahttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101doplnení zákona č. 128/2002 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101štátnej kontrolehttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene ahttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101doplnení niektorých zákonov vhttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101znení zákona č.https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101284/2002 Z. z. https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101

[5]Prevádzkovateľom dávame do pozornosti, že v zmysle recitálu 47 Nariadenia si použitie oprávneného záujmu ako právneho základu vyžaduje dôkladné posúdenie vrátane posúdenia, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie jej osobných údajov na tento účel môže uskutočniť. Prevádzkovateľ má tiež povinnosť vykonať test proporcionality. 

[6]Pre bližšie informácie k súhlasu dotknutej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa súhlasuhttps://dataprotection.gov.sk/uoou/sites/default/files/usmernenia_k_suhlasu.pdfdotknutej osoby.

[7]Pre bližšie informácie k nastaveniu podmienok spotrebiteľskej súťaže pozrieť zákon č. 22/2004 Z. z.https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101

[8]Bližšie k zákonnosti pozri Metodické usmernenie č. 2/2018 – Zákonnosť spracúvania.

[9]Pre bližšie informácie k transparentnosti odporúčame pozrieť Usmernenie WP 29 týkajúce sa transparentnosti.https://dataprotection.gov.sk/uoou/sites/default/files/usmernenia_k_transparentnosti.pdf

[10]Vzor záznamu spoločne shttps://www.dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiachpokynmihttps://www.dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiachna jeho vyplnenie úrad zverejnil na svojom webovom sídle.

[11]Vo vzťahu k veľkému rozsahu dávame do pozornosti Usmernenie WP 29 týkajúce sa zodpovedných osôb, kde sa uvádzajú faktory, ktoré by sa mali zohľadňovať pri posúdení či ide alebo nejde o veľký rozsah.  ¹² Iným právnym aktom môže byť napríklad poverenie alebo plná moc a pod. 

[12]Výpočet niektorých bezpečnostných opatrení nájdu prevádzkovatelia aj v prílohe Vyhlášky úradu č. 158/2018https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/158/20180615Z: z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/158/20180615postupe pri posudzovaní vplyvu na ochranu osobných údajov.

[13]Bližšie k posudzovaniu vplyvu na ochranu osobných údajov vhttps://dataprotection.gov.sk/uoou/sk/content/prevadzkovatel-sprostredkovatel-cl-24-cl-43Usmernení WP 29 khttps://dataprotection.gov.sk/uoou/sk/content/prevadzkovatel-sprostredkovatel-cl-24-cl-43posúdeniu vplyvu.¹⁵ Bližšie podmienky stanovené v čl. 33 a čl. 34 GDPR; porušenie sa úradu oznamuje prostredníctvom formuláru, ktorý úrad zverejnil na svojom webovom sídle. 

[14]Bližšie ku kódexom správania v § 85 zákona č. 18/2018 Z. z. a k certifikátu v § 86 zákona č. 18/2018 Z. z. 

[15]Pozri legálnu definíciu pojmu spracúvanie osobných údajov podľa čl. 4 ods. 2 Nariadenia. Aj samotné uloženie, uchovávanie osobných údajov na serveroch poskytovateľa webhostingu je spracovateľskou operáciou s osobnými údajmi. 

[16]Iným právnym aktom možno rozumieť napr. plnú moc alebo poverenie, ak spĺňajú náležitosti podľa čl. 28   ods. 3 Nariadenia. 

[17]Podľa čl. 26 Nariadenia si spoloční prevádzkovatelia upravia transparentne svoje príslušné zodpovednosti           za plnenie povinností podľa Nariadenia. 

[18]Úrad pre reguláciu elektronických komunikácií a poštových služieb zverejňuje register subjektov poskytujúcichhttps://www.teleoff.gov.sk/zoznam-podnikov/poštové služby vhttps://www.teleoff.gov.sk/zoznam-podnikov/zmysle zákona č. 324/2011 Z. z.https://www.teleoff.gov.sk/zoznam-podnikov/na svojom webovom sídle.

[19]Vo vzťahu k uvedenému spracúvaniu bude musieť vykonať prevádzkovateľ test proporcionality v zmysle recitálu 47 Nariadenia. Spracúvanie e-mailovej adresy a telefónneho čísla nie je upravené v zákone č. 324/2011 Z.

z., preto nemožno z tohto zákona vychádzať. Prevádzkovateľ môže spracúvať e-mailovú adresu a telefónne číslo na základe oprávneného záujmu, tento však už nebude vyplývať zo zákona č. 324/2011 vzhľadom na uvedené. V teste proporcionality bude musieť zohľadniť aj nevyhnutnosť a primeranosť spracúvania týchto údajov vzhľadom na účel a vzhľadom na práva a slobody dotknutých osôb. 

[20]Vymazané z dôvodu vývoja právnych názorov Európskeho výboru pre ochranu údajov. Bližšie v Usmerneniach 2/2019 o spracúvaní osobných údajov podľa článku 6 ods. 1 písm. b) všeobecného nariadenia o ochrane údajov v súvislosti s poskytovaním on-line služieb dotknutým osobám, Body 47 a 55.

 

__________________________________________________________________________________________________________________________________

 

 

 

Prevádzkovateľ internetového obchodu www.movino.sk - Dokument na stiahnutie