Ochrana osobných údajov
Na základe akého právneho základu sú spracúvané osobné údaje v e-shope?
V každom e-shope sú zaznamenávané osobné údaje zákazníkov. Spracúvajú sa za účelom uzavretia kúpnej zmluvy a následného dodania tovaru.
Spracúvanie osobných údajov je podľa GDPR zákonné iba vtedy a v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,
- spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
- spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
- spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.
- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely,
Právnym základom spracúvania osobných údajov zákazníkov v e-shope je kúpna zmluva.
Prevádzkovateľ nepotrebuje na účel spracovania objednávky a dodania tovaru súhlas dotknutej osoby, lebo spracúvanie osobných údajov je nevyhnutné na plnenie kúpnej zmluvy.
Prevádzkovateľ e-shopu je povinný poučiť svojich zamestnancov
Z hľadiska zaistenia bezpečného spracúvania osobných údajov zákazníkov je potrebné, aby zamestnanci e-shopu, spracúvajúci osobné údaje zákazníkov boli, ako oprávnené osoby prevádzkovateľa, poučení v zmysle GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Ak prevádzkovateľom e-shopu je jednoosobová spoločnosť s ručením obmedzeným, je potrebné, aby fyzická osoba - konateľ bola poučená ako oprávnená osoba, nakoľko ide o osobu odlišnú od obchodnej spoločnosti, ktorá je prevádzkovateľom e-shopu.
Prevádzkovateľ e-shopu si musí splniť informačnú povinnosť voči zákazníkom
Prevádzkovateľ je povinný podľa Čl. 13 GDPR informovať svojich potenciálnych zákazníkov a zákazníkov o tom, ako budú spracúvané ich osobné údaje. Informačnú povinnosť si môže splniť dvomi spôsobmi:
- informácie zapracuje do obchodných podmienok alebo
- informácie o spracúvaní osobných údajov uvedie do samostatnej sekcie v rámci webu.
V prípade, že má prevádzkovateľ vymenovanú zodpovednú osobu, GDPR stanovuje povinnosť uverejniť na webovej stránke (v e-shope) na ňu kontakt, aby sa zákazník v prípade potreby mohol na ňu obrátiť a kontaktovať ju.
Aké základné bezpečnostné opatrenia musí prevádzkovateľ zabezpečiť
Ak prevádzkovateľ nespracúva v informačnom systéme e – shop citlivé osobné údaje alebo nevyužíva profilovanie zákazníkov, stačí, ak prijme bezpečnostné opatrenia v základnom rozsahu, t. j.:
- splní si informačnú povinnosť voči dotknutým osobám (návštevníkom e-shopu),
- zabezpečí dôvernosť (zamedzí prístupu nepovolaných osôb k údajom), integritu (celistvosť a nemennosť uchovávaných alebo prenášaných údajov) a dostupnosť (systém chráni proti výpadkom, napr. zálohovaným napájaním servera a zálohovaním údajov) spracúvaných osobných údajov,
- poučí oprávnené osoby a zaviaže mlčanlivosťou osoby, ktoré sa podieľajú na spracúvaní osobných údajov.
Bezpečnostné opatrenia v prípade profilovania zákazníkov
Profilovanie je v súčasnosti bežne používaný marketingový nástroj pri maloobchodnom predaji cez internet. Ide o automatizované spracovanie veľkého množstva údajov rozličných osôb, ktoré pozostáva z analýzy a kombinovania dát prostredníctvom zložitých algoritmov, za účelom hľadania presne definovaných vzťahov.
Prevádzkovatelia e-shopov profilujú svojich návštevníkov za účelom lepšieho cielenia reklamy. Výsledkom tohto procesu sú profily aplikovateľné na skupiny ľudí.
Ak prevádzkovateľ e-shopu vykonáva profilovanie svojich zákazníkov, musí splniť tieto bezpečnostné opatrenia:
- vykonať posúdenie vplyvu na ochranu osobných údajov (t. j. vypracovať tzv. DPIA analýzu, pozn. z angličtiny Data Protection Impact Assesment),
- musí informovať dotknutú osobu o použitom postupe a účele profilovania,
- pri profilovaní je potrebný súhlas profilovanej osoby.