S novým nariadením GDPR prišli aj nové povinnosti pre prevádzkovateľov e-shopov. Je dôležité, aby prevádzkovateľ e-shopu premietol GDPR do všetkých činností, v ktorých vykonáva spracovanie osobných údajov. Ak prevádzkovateľ e-shopu spracováva osobné údaje pre účely uzatvorenia a plnenia kúpnej zmluvy, teda k uskutočneniu nákupu zákazníka cez internet, nie je nutné obstarávať súhlas so spracovaním osobných údajov.
Potrebujete súhlas?
Obstaranie súhlasu sa bude týkať napríklad tých prevádzkovateľov e-shopu, ktorí budú spracovávať vernostný program pre svojich zákazníkov alebo na základe ktorých bude dochádzať k profilovaniu zákazníkov. Nariadenie GDPR v preambule stanovuje, že doteraz získané súhlasy zostávajú i naďalej platné. Inými slovami, ak je spracovanie založené na základe skoršieho súhlasu, nie je nutné, aby bol súhlas udelený znovu, ak je spôsob udelenia daného súhlasu v súlade s podmienkami nariadenia GDPR. Súhlas ale nesmie byť súčasťou obchodných podmienok. Súhlas so spracovaním osobných údajov môže byť udelený elektronicky, ale musí byť vykonaný aktívnym zaškrtnutím možnosti áno pre konkrétny spôsob spracovania. Musí byť daný slobodne a na konkrétny účel. Tento účel musí byť jednoznačne špecifikovaný a musí byť preukázateľne doložený po celú dobu spracovania.
Zákazník na prvom mieste
Základom je jednoduchá a zrozumiteľná komunikácia. E-shop pri predaji tovarov alebo služieb uzatvára so zákazníkom tzv. spotrebiteľskú zmluvu, ktorá je uzatvorená automaticky odoslaním a potvrdením objednávky. Pre plnenie zmluvy, teda pre doručenie objednaného tovaru zo strany e-shopu je nutné, aby zákazník poskytol svoje osobné údaje, ako napríklad meno, priezvisko, adresu pre doručenie, telefón, e-mail. Ak e-shop spracováva osobné údaje za účelom plnenia spotrebiteľskej zmluvy, môže osobné údaje spracúvať vo svojom systéme aj bez súhlasu zákazníka. Zákazník ale musí vedieť, kto spracováva jeho osobné údaje, nutná identifikácia prevádzkovateľa e-shopu, musí vedieť, prečo jeho osobné údaje spracováva, napríklad za účelom nákupu tovaru, ako dlho ich bude uchovávať, prevádzkovateľ e-shopu by mal zmazať dáta, sa ktorými nepracuje a kto ďalší získa jeho osobné údaje – externá firma.
Informačné povinnosti
GDPR sa neobmedzuje iba na úpravu súhlasu so spracovaním osobných údajov. V praxi sa často zamieňa súhlas s informačnou povinnosťou. Aj keď prevádzkovateľ e-shopu nebude potrebovať na spracovanie osobných údajov zákazníka jeho súhlas, pretože ich bude spracovávať na základe iného zákonného dôvodu, musí vždy zákazníka informovať o tom, aké osobné údaje a na aký účel bude spracovávať, a tiež, pokiaľ možno, po akú dobu ich bude spracovávať. Ďalej musí prevádzkovateľ e-shopu zákazníka informovať o jeho právach ako subjektu údajov podľa GDPR a o kontaktných údajoch poverenca pre ochranu osobných údajov, ak ho prevádzkovateľ internetového obchodu vymenoval. Aj keď nepotrebujete súhlas zákazníka na spracovanie jeho osobných údajov, v súvislosti s ochranou osobných údajov by ste si mali splniť určité informačné povinnosti.
Zákazník sa musí dozvedieť:
- identifikačné údaje prevádzkovateľa e-shopu,
- na aký účel sa osobné údaje zákazníka spracúvajú, teda pre plnenie spotrebiteľskej zmluvy,
- zoznam alebo rozsah osobných údajov, napr. meno, priezvisko, titul, adresa, adresa pre doručenie, telefón, e-mail…,
- tretie strany, ktorým poskytnete osobné údaje, teda kuriérske spoločnosti, Slovenská pošta a pod.,
- poučenie o právach zákazníka v súvislosti s ochranou osobných údajov.