ÚRAD NA OCHRANU OSOBNÝCH ÚDAJOV SLOVENSKEJ REPUBLIKY
Hraničná 12, 820 07 Bratislava 27
_____________________________________________________________________________________________________
č.: 00204/2018-Op-3
Metodické usmernenie č. 3/2018
Povinnosti prevádzkovateľa e-shopu z pohľadu ochrany osobných údajov
Podľa § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z. Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) vydáva toto metodické usmernenie.
ÚVOD
Nákup tovarov a služieb sa v súčasnosti uskutočňuje v značnej miere prostredníctvom internetu. Internetový obchod (ďalej len „e-shop“) možno definovať ako predaj tovaru alebo služieb s využitím informačných a komunikačných technológií a webových aplikácií v prostredí internetu, kde na jednej strane tohto vzťahu je prevádzkovateľ e-shopu a na druhej zákazník e-shopu (ďalej len „zákazník“). Dochádza medzi nimi najčastejšie k uzavretiu kúpnej zmluvy realizovanej cez internet (zmluva uzavretá na diaľku). Súčasťou takejto zmluvy je aj získavanie informácií, vrátane osobných údajov zákazníka.
Vzhľadom na dynamickosť rozvoja informačných technológií je nemožné zohľadniť v tomto metodickom usmernení všetky eventuality, ktoré by mohli vzniknúť pri uplatňovaní NariadeniaNariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). prevádzkovateľom e-shopu, preto úrad uvádza nižšie len najbežnejšie prípady. Vzhľadom na konkrétne podmienky toho-ktorého spracúvania osobných údajov je možné, že prevádzkovateľ e-shopu bude môcť využiť napr. aj iný právny základ alebo iné nastavenia než je nižšie uvedené. Toto metodické usmernenie je len odporúčaním úradu, t. z. že nevylučuje aj iné nastavenie spracúvania osobných údajov za splnenia všetkých Nariadením ustanovených podmienok a povinností.
Úvodom je tiež potrebné zdôrazniť, že na problematiku e-shopov sa vzťahujú aj ďalšie osobitné predpisy, napr. zákon č. 351/2011 Z. z. a zákon č. 22/2004 Z. z., ktoré je potrebné pri prevádzkovaní e-shopov zohľadniť. Tieto predpisy nepatria do vecnej pôsobnosti úradu.
1. SPRACOVATEĽSKÉ ČINNOSTI PREVÁDZKOVATEĽA E-SHOPU A PRÁVNE ZÁKLADY SPRACÚVANIA OSOBNÝCH ÚDAJOV ZÁKAZNÍKOV
Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu pravidiel ochrany osobných údajov spracúvaním osobných údajov zákazníka. Účelom takéhoto spracúvania je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti, ktoré pre prevádzkovateľa e-shopu vyplývajú najmä z právnych predpisov upravujúcich ochranu spotrebiteľa).
Je potrebné rozlišovať jednotlivé účely spracúvania osobných údajov zákazníkov prevádzkovateľom e-shopu. Vzhľadom na tieto účely môžeme identifikovať niekoľko najbežnejších spracovateľských činností, ktoré môžu spolu úzko súvisieť, ale majú odlišný právny základ.
| Spracúvanie osobných údajov zákazníkov prevádzkovateľom e-shopu prebieha najmä na účely:
- objednávka tovaru/služieb (e-shop)→ kúpna zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia (s tým súvisí aj následné uskutočnenie platby, dodanie tovaru alebo služby, vybavovanie reklamácie a pod.); spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov na účely plnenia zmluvy je konkrétna zmluva uzavretá na diaľku medzi zákazníkom a e-shopom,
- marketingová komunikácia so zákazníkom → oprávnený záujem Prevádzkovateľom dávame do pozornosti, že v zmysle recitálu 47 Nariadenia si použitie oprávneného záujmu ako právneho základu vyžaduje dôkladné posúdenie vrátane posúdenia, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie jej osobných údajov na tento účel môže uskutočniť. Prevádzkovateľ má tiež povinnosť vykonať test proporcionality podľa čl. 6 ods. 1 písm. f) Nariadenia (napr. zasielanie newslettera, iné formy priameho marketingu, a pod.);
spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov (v nevyhnutnom rozsahu) je oprávnený záujem prevádzkovateľa e-shopu, napríklad informovanie zákazníka o novom tovare a službách daného e-shopu s cieľom podporiť ich predajnosť,
- marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu → predchádzajúci súhlasPre bližšie informácie k súhlasu dotknutej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa súhlasu dotknutej osoby. dotknutej osoby podľa čl. 6 ods. 1 písm. a) Nariadenia,
- vernostný program → súhlas Pre bližšie informácie k súhlasu dotknutej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa súhlasu dotknutej osoby. zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia,
- spotrebiteľská súťaž Pre bližšie informácie k nastaveniu podmienok spotrebiteľskej súťaže pozrieť zákon č. 22/2004 Z. z. → súhlas Pre bližšie informácie k súhlasu dotknutej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa súhlasu dotknutej osoby. zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia.
|
2. POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU
Dodržiavanie zásad spracúvania osobných údajov zákazníkov podľa čl. 5 Nariadenia
- na to, aby prevádzkovateľ mohol zákonne spracúvať osobné údaje zákazníkov na vyššie uvedené účely, musí disponovať primeraným právnym základom (viď. bod 1) (zásada zákonnosti) Bližšie k zákonnosti pozri Metodické usmernenie č. 2/2018 – Zákonnosť spracúvania
- zákazníci majú právo byť informovaní o podmienkach spracúvania, o spôsobe, akým sa vybavujú ich žiadosti o výkon práv dotknutých osôb, a pod. (zásada transparentnosti) Pre bližšie informácie k transparentnosti odporúčame pozrieť Usmernenie WP 29 týkajúce sa transparentnosti
- získané osobné údaje má prevádzkovateľ spracúvať len na ...
Súvisiace právne predpisy ZZ SR
Súhlas s použitím cookies
Vlastné nastavenie cookies