You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

E-shopy a GDPR podľa Českej advokátskej komory

Pripravte svoj e-shop na GDPR

Pravidlá o spracovaní osobných údajov, ktoré prináša všeobecné nariadenie o ochrane údajov (ďalej v texte budeme o ňom hovoriť len ako o nariadení) sú pre niektorých prevádzkovateľov e-shopov úplnou novinkou.  Poradíme, čo znamená právny základ spracovania, kedy vyžadovať súhlas a čo by mal správny súhlas so spracovaním osobných údajov obsahovať.

Je nutné získavať od zákazníkov súhlas so spracovaním OÚ za účelom spracovania objednávky?

Začneme príkladom:

Firma predáva tovar prostredníctvom elektronického obchodu – e-shopu. Pre objednanie tovaru a jeho dodanie je nevyhnutné, aby zákazník poskytol svoje osobné údaje, ktorými sú meno, priezvisko, adresa, telefonický a e-mailový kontakt.

Je potrebné, aby firma (prevádzkovateľ e-shopu) získavala od svojich zákazníkov súhlas so spracúvaním týchto osobných údajov?

Nie, prevádzkovateľ spracúva osobné údaje za účelom spracovania objednávky a dodania tovaru bez súhlasu zákazníka.

Prečo je to tak?

Jednou zo základných zásad spracúvania osobných údajov, ktorú je nutné dodržiavať za každých okolností, je zásada zákonnosti. Táto hovorí o tom, že spracúvanie osobných údajov je možné vykonávať len na základe jedného z definovaných právnych základov spracúvania tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

Nariadenie vo svojom článku 6 rozlišuje celkovo 6 právnych základov pre spracúvanie osobných údajov. Ide o akési oprávnenia, ktoré prevádzkovateľovi:

  • umožňujú
  • alebo ho zaväzujú

spracúvať osobné údaje.

Všetky právne základy sú rovnocenné, ani jeden z nich nie je len doplnkovým.

V podmienkach prevádzkovateľov e-shopov sú najčastejšie používané tieto tri:

  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
  • spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
  • spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je členský štát viazaný.

 

Často iba zjednodušene hovoríme, že osobné údaje spracúvame na základe: súhlasu, zmluvy alebo osobitného predpisu.

Takže, keď sa vrátime späť k nášmu prvému príkladu, potom už môžeme povedať, že právnym základom spracúvania tých osobných údajov, ktoré sú nevyhnutné pre dodanie tovaru alebo služby prevádzkovateľom e-shopu, je zmluva. Nie súhlas so spracúvaním.

Je preto nesprávne, keď prevádzkovateľ prostredníctvom svojich obchodných podmienok informuje svojich zákazníkov o spracúvaní osobných údajov napríklad takto:

Kupujúci odoslaním vyplneného objednávkového formulára čestne prehlasuje, že dáva súhlas v zmysle zákona o ochrane osobných údajov, aby predávajúci spracúval jeho osobné údaje za účelom uzavretia kúpnej zmluvy.

A nesprávne je to aj takto:

Odoslaním objednávky, zákazník dobrovoľne súhlasí so spracúvaním jeho osobných údajov z dôvodu predmetu plnenia zmluvy.

Preto v situácii, keď sú osobné údaje zákazníka nevyhnutné k tomu, aby ste mu dodali produkt (či už je ním tovar alebo služba), nevyžadujete súhlas so spracúvaním.

Vloženie súhlasu so spracúvaním do zmluvy akoby „pre istotu“ nie je považované len za akúsi drobnosť či kozmetickú chybu. Ide o nesprávne zvolený právny základ a prevádzkovatelia e-shopov týmto postupom porušujú pravidlá spracúvania osobných údajov.

V prípade spracúvania osobných údajov za účelom realizácie dodania tovaru (kedy postupujeme bez súhlasu zákazníka) je potrebné preukázateľne zabezpečiť plnenie informačnej povinnosti o tom, ako budú osobné údaje zákazníka spracúvané (článok 13 nariadenia).

V tomto prípade má prevádzkovateľ na výber:

  • či informácie uvedie do obchodných podmienok (stále ale hovoríme o situácii, kedy nevyžaduje prevádzkovateľ súhlas so spracúvaním; osobné údaje sú využívané len v súvislosti s dodaním tovaru),
  • alebo všetky informácie o tom, ako bude osobné údaje zákazníkov spracúvať uvedie napríklad na samostatnú stránku webu, ktorá bude zameraná výhradne na ochranu osobných údajov; na túto stránku bude odkazovať napríklad z objednávkového formuláru, prípadne iným spôsobom tak, aby sa zákazník mohol s informáciami oboznámiť.

Samotnú informáciu o tom, že budeme spracúvať osobné údaje bez súhlasu, nie je potrebné uvádzať. Ale, podľa článku 13 ods. 2 písm. e) nariadenia – zákazníka informujeme aj o tom, že jeho osobné údaje sú nevyhnutné k tomu, aby sme s ním mohli uzavrieť zmluvu a v prípade, ak nám osobné údaje (meno, priezvisko, adresa dodania atď.) neposkytne, potom s ním nemôžeme uzatvoriť zmluvu.

Preto odporúčam, pozrieť si článok 13 nariadenia, prechádzať jednotlivé body a preverovať, či zákazníka o tom informujeme alebo nie.
(Samozrejme, článok 14 sa tiež týka informačnej povinnosti, ale v situácii, keď osobné údaje nie sú získané od dotknutej osoby, napríklad od inej osoby, z inej organizácie atď.)

Ochrana osobných údajov a newsletter

Prevádzkovateľ e-shopu chce zasielať svojim potenciálnym zákazníkom emailový newsletter. Prostredníctvom neho bude informovať o zľavách, novom tovare a rôznych iných novinkách. Potrebuje k tomu iba emailovú adresu príjemcu. Je potrebný súhlas so spracúvaním e-mailovej adresy?

Áno, v tomto prípade je súhlas so spracúvaním nevyhnutný a je právnym základom pre získanie a ďalšie spracúvanie osobných údajov z dôvodu zasielanie newslettra.  A to bez ohľadu na to, či bude prevádzkovateľ spracúvať len emailovú adresu príjemcu alebo napríklad aj jeho meno alebo priezvisko. Spracúvaniesamotných emailových adries všeobecne považujeme za spracúvanie osobných údajov.

Samozrejme môžeme namietať, že nie každá emailová adresa, ktorú prevádzkovateľ e-shopu získa, je automaticky osobným údajom. Ale s ohľadom na samotnú definíciu osobných údajov, ktorými sú:

„akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby,“

je veľmi pravdepodobné, že získané emailové adresy budú väčšinou považované za osobné údaje.

Ako získať súhlas so spracúvaním, ktorý bude v súlade s nariadením?

Aby bol súhlas udelený v súlade s nariadením, je nevyhnutné, aby ním bol slobodný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby (v tomto prípade príjemcu e-mailovej správy), ktorým potvrdzuje, že súhlasí s tým, aby boli jeho osobné údaje spracúvané.

Je preto nesprávne,  keď prevádzkovateľ získava súhlas so spracúvaním, a to prostredníctvom svojich obchodných podmienok takto:

Odoslaním záväznej objednávky udeľuje zákazník predávajúcemu súhlas so spracúvaním jeho emailovej adresy, a to za účelom zasielania newslettera.

Takto získaný súhlas so spracúvaním osobných údajov je v rozpore s nariadením (dokonca i s platným zákonom o ochrane osobných údajov). Je to z toho dôvodu, že nie je  udelený slobodne. Dotknutá osoba – zákazník nemá možnosť slobodne sa rozhodnúť či súhlas udelí, alebo nie. Hovoríme, že súhlas je vynútený, a preto je v rozpore s legislatívou. Prevádzkovateľovi e-shopu sa síce databáza odberateľov jeho newsletterov  utešene rozrastá, a to priamoúmerne počtu jeho zákazníkov, tieto súhlasy však nie sú platné.

Tak isto je nesprávne, keď prevádzkovateľ pod objednávací formulár umiestni zaškrtávacie políčko a vedľa neho text „súhlasím so zaradením mojej emailovej adresy do databázy odberateľov newslettra“, pričom je však zaškrtávacie políčko už dopredu označené (zaškrtnuté). Ani takto získaný súhlas so spracúvaním nie je platný. Zaškrtávacie políčko nesmie byť dopredu označené.

Správne získaný súhlas so spracúvaním emailovej adresy za účelom zasielania newslettera by mohol byť získavaný napríklad takto:

❯❯❯ Prevádzkovateľ vytvorí samostatný formulár, pre získavanie emailových adries. K tomu uvedie jednoznačnú informáciu, že vložením emailovej adresy dotknutá osoba súhlasí s prijímaním newsletterových správ.

Podobné pravidlo platí aj v súvislosti s členstvom vo vernostnom programe. Spracúvanie osobných údajov z dôvodu poskytovania zliav, bonusov či iných výhod členom vernostného programu je možné len vtedy, ak k tomu dotknutá osoba udelí samostatný súhlas. Aj v tomto prípade ide o iný účel spracúvania, ktorý je odlišný od spracúvania údajov z dôvodu plnenia predmetu zmluvy  (dodanie tovaru alebo služby).

Nesprávne by preto bolo, keby prevádzkovateľ eshopu svojich zákazníkov automaticky považoval za členov svojho vernostného programu, a to napríklad takouto informáciou v obchodných podmienkach:

Vyplnením a odoslaním objednávkového formulára sa zákazník automaticky stáva členom nášho vernostného programu, ktorý mu prinesie množstvo zaujímavých výhod.

Súhlas so spracúvaním osobných údajov pre účely členstva vo vernostnom programe je preto potrebné získať oddelene od ostatných účelov spracúvania (kúpna zmluva a newsletter).

 

Čo by mal súhlas so spracúvaním obsahovať?

Získavanie osobných údajov od dotknutých osôb, ako úvodná fáza spracúvania, je späté s povinnou informačnou povinnosťou voči týmto osobám. Vyplýva to z článku 13 nariadenia. Z tohto dôvodu je preto potrebné, aby váš súhlas so spracúvaním obsahoval napríklad tieto informácie:

  • identifikačné údaje vás ako prevádzkovateľa,
  • účel alebo dôvod spracúvania osobných údajov, pre ktorý vyžadujete súhlas,
  • príjemcov alebo kategórie príjemcov (podľa čl. 4 ods. 9 nariadenia), ktorým budete osobné údaje poskytovať,
  • ak budete osobné údaje vyvážať do tretej krajiny, potom informáciu o primeraných zárukách (napríklad ako rozhodnutie Európskej komisie, či pristúpenie organizácie k tzv. bezpečnému štítu),
  • informáciu o tom, že súhlas je možné kedykoľvek odvolať.

Informácie je potrebné dotknutej osobe poskytnúť zrozumiteľným a dostupným  spôsobom, a to napríklad elektronicky – ako podmienky spracúvania osobných údajov zverejnené na webstránke či e-shope.

Skontrolujte si preto:

  • Či súhlas so spracúvaním nie je súčasťou obchodných podmienok, ktoré zverejňujete prostredníctvom webových stránok.
  • Či súhlas so spracúvaním nie je súčasťou zmluvy s dotknutou osobou tak, že dotknutá osoba nemá možnosť súhlas neudeliť resp. nemá priestor pre vyjadrenie nesúhlasu.
  • Či je súhlas udelený dotknutou osobou skutočne slobodný, že dotknutá osoba sa naozaj sama dobrovoľne rozhoduje o tom, či jej osobné údaje budú spracúvané.
  • Či nepoužívate vopred zaškrtnuté políčka o udelenom súhlase.
  • Či získavate súhlas so spracúvaním pre istý účel oddelene od iných účelov (napríklad samostatne pre newsletter, samostatne pre vernostný program, samostatne pre spotrebiteľskú súťaž).
  • Či v čase získavania osobných údajov na základe súhlasu dostatočne informujete dotknuté osoby o tom, ako budú ich údaje spracúvané.
  • Či viete udelený súhlas preukázať.
  • Či má dotknutá osoba naozaj možnosť kedykoľvek udelený súhlas jednoducho odvolať.

Všeobecné nariadenie na ochranu osobných údajov (GDPR) nadobudne platnosť 25. mája 2018.

Zdroj: Ing. Martina Kroupová, https://blog.biznisweb.sk/