E-shopy a ochrana osobných údajov

Nakupovať a predávať tovar alebo služby cez internet je už dnes samozrejmosťou. Pri predaji tovaru na diaľku vznikajú prevádzkovateľom e-shopov zákonné povinnosti. Takými je napríklad povinnosť informovať zákazníka o jeho právach v súvislosti s možnosťou odstúpenia od zmluvy, vrátenia tovaru, či uplatnenia reklamácie, ale i povinnosti súvisiace s tzv. spracúvaním osobných údajov zákazníka.

Založenie e-shopu a ochrana osobných údajov

V prvom rade je potrebné povedať, že každý prevádzkovateľ e-shopu prichádza do styku s osobnými údajmi svojich zákazníkov, ako sú: meno a priezvisko, adresa bydliska, dodacia adresa, telefónne číslo, emailová adresa, prípadne ďalšie, či už v rámci objednania tovaru, alebo pri zasielaní newsletterov či organizovaní rôznych súťaží.

Uzavretie zmluvy na diaľku

povinnosti-e-shopovObjednaním tovaru zákazníkom a následným potvrdením objednávky dochádza medzi predávajúcim a kupujúcim zákazníkom k uzavretiu zmluvy na diaľku. V takomto prípade je právnym základom spracúvania osobných údajov zmluva, a preto prevádzkovateľ e-shopu nie je povinný vyžiadať si súhlas zákazníka so spracúvaním jeho údajov, ako sú predovšetkým údaje za účelom zaslania tovaru /meno, priezvisko, adresa bydliska, dodacia adresa, telefónne číslo, e-mailová adresa/. Keďže však údaje zákazníka ostávajúce v databáze e-shopu, je prevádzkovateľ e-shopu povinný splniť si oznamovaciu povinnosť voči úradu na ochranu osobných údajov, a to zaregistrovať informačný systém /IS e-shop/ na Úrade na ochranu osobných údajov ešte pred prvým spracúvaním takýchto údajov /najlepšie pred spustením predaja tovarov cez e-shop. Oznámenie informačného systému je pomerne jednoduchý proces realizovaný cez online formulár nachádzajúci sa na webovej stránke Úradu na ochranu osobných údajov https://dataprotection.gov.sk/uoou/sk/content/oznamovanie-informacnych-systemov. Po oznámení informačného systému môže prevádzkovateľ e-shopu začať reálne spracúvať vyššie uvedené osobné údaje zákazníka. Oznámenie informačného systému je bezplatné. 

Zasielanie newsletterov zákazníkom

K spracúvaniu osobných údajov v e-shope, aj keď v menšom rozsahu /meno, priezvisko, e-mailová adresa zákazníka/, dochádza i v prípade, keď prevádzkovateľ e-shopu pravidelne alebo nepravidelne zasiela svojim zákazníkom newslettery prostredníctvom e-mailu. V takomto prípade je prevádzkovateľ e-shopu povinný vyžiadať si od zákazníka súhlas so spracúvaním osobných údajov, a to ešte pred zasielaním newslettera. I v tomto prípade vzniká prevádzkovateľovi e-shopu povinnosť oznámiť úradu informačný systém s názvom „IS marketing“ obdobne, ako je tomu v prípade vyššie uvedeného informačného systému „IS e-shop“.

Súťaže organizované e-shopom

V rámci marketingovej stratégie organizujú e-shopy rôzne súťaže, napríklad aj prostredníctvom facebooku typu „zdieľaj a lajkuj“. V takomto prípade je prevádzkovateľ e-shopu opätovne povinný oznámiť úradu informačný systém nazvaný ako „IS spotrebiteľská súťaž“ cez online formulár nachádzajúci sa na webovej stránke Úradu na ochranu osobných údajov. V prípade pravidelného organizovania spotrebiteľský súťaží už následne nemusí jednotlivo oznamovať tento informačný systém, nakoľko ho úradu oznámil pred organizovaním prvej súťaže. V tejto súvislosti je potrebné upozorniť na skutočnosť, že ak meno výhercu súťaže bude uverejnené na webovej stránke e-shopu, je prevádzkovateľ povinný vyžiadať si súhlas výhercu so zverejnením jeho údajov.

Zákazník e-shopu ako dotknutá osoba

Zákazník e-shopu je z pohľadu zákona dotknutou osobou, ktorá má svoje práva. Napríklad požadovať od prevádzkovateľa e-shopu informáciu, či spracúva jej osobné údaje, akým spôsobom ich spracúva; požadovať likvidáciu jej osobných údajov, v prípade, že účel, na ktorý boli osobné údaje spracúvané sa skončil, odvolať súhlas i pred uplynutím času, na ktorý bol súhlas so spracúvaním osobných údajov udelený a pod.. V tejto súvislosti má následne prevádzkovateľ povinnosť žiadosť zákazníka ako dotknutej osoby vybaviť.

Bezpečné spracúvanie osobných údajov v e-shope

V súvislosti s osobnými údajmi zákazníkov je prevádzkovateľ e-shopu zodpovedný za ich bezpečnosť a ochranu po celý čas ich spracúvania, pričom za týmto účelom je povinný prijať také bezpečnostné opatrenia, aby boli osobné údaje dostatočne chránené pred napr. poškodením, zničením, stratou, neoprávneným zverejnením a pod.

Aké sú tieto bezpečnostné opatrenia?

Je málo pravdepodobné, že prevádzkovateľ e-shopu bude spracovávať okrem bežných osobných údajov ako sú meno, priezvisko, telefónne číslo, e-mail, dodacia adresa aj iné tzv. citlivé osobné údaje ako je napr. rodné číslo. Z toho dôvodu nie je potrebné, aby mal e-shop vypracovaný tzv. bezpečnostný projekt. Prevádzkovateľ e-shopu však musí zabezpečiť tzv. fyzickú, technickú a personálnu bezpečnosť v súvislosti so spracúvaním osobných údajov, a to:

  • zamestnanci e-shopu, ktorý prichádzajú do styku s osobnými údajmi musia byť ako tzv. oprávnené osoby poučené. Vzor poučenia je zverejnený na webovom sídle úradu: https://dataprotection.gov.sk/uoou/sk/content/vzory-pouceni-opravnenej-osoby-0 /Poznámka: Ak e-shop prevádzkuje živnostník, tento nemusí sám seba poučiť./

  • prijať opatrenia na zamedzenie prístupu nepovolaných osôb k počítačom a iným prostriedkom, ktorými je spracovávanie osobných údajov vykonávané.

Autor: ZK

Posted in e-shopy.