GDPR a e-shopy – praktické rady (2/2)

Čo by ste ako prevádzkovatelia e-shopu mali urobiť najskôr?

  1. Povinnosť informovať zákazníka

Články 13 a 14 GDPR vám ukladajú povinnosť informovať zákazníka najneskôr v čase získania osobných údajov o týchto skutočnostiach:

  • O tom, kto bude jeho údaje spracovávať (tj. Vaše kontaktné údaje), prípadne údaje o “Zodpovednej osobe” (DPO), ak ste ho vymenovali.
  • Za akým účelom chcete údaje spracovávať (napríklad za účelom ponuky produktov a služieb e-shopu a spolupracujúcich osôb …) a na základe akého právneho titulu.

Príklad

Ak by ste si napríklad chceli viesť databázu zákazníkov, ktorí si u vás opakovane objednali a nevyzdvihol tovar (databázy nespoľahlivých zákazníkov), môžete tak urobiť na vlastné účely, tj. na ochranu svojich oprávnených záujmov, bez toho aby ste k tomu potrebovali súhlas vašich zákazníkov. Musíte však o tom zákazníka informovať predtým, ako vám svoje osobné údaje poskytne. Pokiaľ by ste chceli túto databázu zdieľať s inými e-shopmi, súhlas zákazníka (a to jednoznačný a konkrétny) potrebovať budete.

Vyššie uvedené informácie budete musieť stručne a zrozumiteľne spísať a transparentne, teda viditeľne ich na stránkach svojho e-shopu zverejniť.

 

  1. Súhlas so spracovaním osobných údajov

Ďalšia z vecí, nad ktorou sa určite zamýšľate, je, či a kedy budete na spracovanie osobných údajov potrebovať súhlas zákazníkov.

Súhlas budete potrebovať len v tých prípadoch, ak

  • nebudete spracovanie osobných údajov vykonávať na základe iného legitímneho dôvodu, napríklad na účely plnenia zmluvy (aby ste zákazníkovi mohli dodať tovar či službu), na účely splnenia právnej povinnosti alebo na základe oprávneného záujmu (vymáhanie pohľadávok).
  • ak budete spracovávať osobné údaje nad rámec týchto vymenovaných účelov spracovanie (napríklad ak budete údaje svojich zákazníkov poskytovať tretím osobám, napr. marketingovej agentúre, aby im posielala obchodné oznámenia).

Ak súhlasy svojich zákazníkov s nakladaním s ich osobnými údajmi máte (súhlasy získané v minulosti spĺňajúce kriteriá podľa čl. 7 GDPR), nemusíte zabezpečovať nové.

Ak osobné údaje spracovávate sami, len v nevyhnutnom rozsahu, po nevyhnutnú dobu, a to za účelom plnenia zmluvy, zákonné povinnosti alebo oprávneného záujmu, súhlas so spracovaním nepotrebujete.
Ak súhlas od zákazníkov potrebujete a požadujete, zásadne nesmie byť súčasťou obchodných podmienok a nesmiete ho požadovať ako podmienku pre poskytnutie služby alebo produktu. Môžete ale zákazníkovi za jeho udelenie poskytnúť nejakú výhodu (darčekovú poukážku, zľavu, drobný darček). Súhlasy poskytnuté v rozpore s GDPR bude potrebné nahradiť novými.

 

  1. Zabezpečenie osobných údajov

Ďalšie vaše kroky by mali smerovať k prevádzkovo-technickým zabezpečením osobných údajov zákazníkov.

Ako prevádzkovatelia e-shopu sa nutne budete musieť zamyslieť a vyhodnotiť, ako závažne by mohlo byť zasiahnuté do súkromia vašich zákazníkov, ako veľmi by mohla byť poškodená ich práva a ohrozené ich záujmy, pokiaľ by došlo k neautorizovaným, nezákonným zásahom do vašej databázy zákazníkov. Predovšetkým treba zabezpečiť automatizovanú softvérovú kontrolu práce s osobnými údajmi vo vašej zákazníckej databáze a zabrániť tomu, aby vaši zamestnanci či iní spolupracovníci skopírovali a vyniesli osobné údaje vašich zákazníkov.

Ak máte zamestnanca alebo spolupracovníkov, mali by ste stanoviť jasné pravidlá zaobchádzania s osobnými údajmi vašich klientov. V každom prípade budete musieť zabezpečiť databázu technicky (zabezpečené prístupy do PC, logovanie do systému, ochrana uložených dát, atď.).

 

  1. Ohlasovacia povinnosť

Tiež sa budete musieť pripraviť na povinnosť hlásiť narušenie ochrany dát zákazníkov dozornému orgánu a v určitých prípadoch aj samotným zákazníkom. Ďalšia z noviniek, ktorú GDPR do praxe života e-shopov prináša, je povinnosť hlásiť kybernetické útoky dozornému úradu a v prípade ohrozenia práv dotknutých osôb oznámiť tento útok aj dotknutým jednotlivcom (subjektom údajov). Úradu pre ochranu osobných údajov ste povinní hlásiť porušenie ochrany do 72 hodín od času, kedy ste sa o ňom dozvedeli. To so sebou nesie aj povinnosť technicky zabezpečiť konštantné monitorovanie databáz zákazníkov vášho internetového obchodu.

Aby ste kybernetický útok mohli nahlásiť, musíte byť schopní ho odhaliť. Ako prevádzkovatelia e-shopu máte povinnosť pristúpiť k takým opatreniam, aby riziká spracovanie bola pre vašich zákazníkov primeraná a spracovanie z vašej strany bezpečné. Medzi tým, aké údaje o zákazníkoch spracovávate čo do významu i rozsahu, a medzi zabezpečením databázy vašich zákazníkov by mala existovať priama úmera. Ak nechcete investovať do sofistikovaných ochranných systémov, mali by ste spracovávať len to najnutnejšie, čo k svojim obchodom potrebujete.

Na záver pridávame ešte zoznam základných dokumentov, ktoré by ste mali mať vytvorené (alebo upravené) tak, aby ste splnili povinnostiam plynúcim z GDPR:

  • Informačné memorandum
  • Súhlas so spracovaním osobných údajov na marketingové účely (prípadne aj iné, ďalšie účely, ktoré nie sú „pokryté“ iným právnym titulom)
  • Zmluva o spracovaní osobných údajov uzavretá medzi e-shopom (správcom) a napríklad marketingovou agentúrou (spracovateľom)
  • Interná smernica o ochrane osobných údajov
  • Záznamy o činnostiach spracovania
  • Vzory vyššie uvedených dokumentov si môžete zakúpiť na našom webe.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

 

V záujme neustáleho zlepšovania našich služieb využíva táto webová stránka cookies. Bližšie informácie o ich používaní ako aj možnosť odvolať svoj súhlas nájdete tu.