Povinnosti prevádzkovateľa

 

Povinnosti prevádzkovateľa e-shopu

Dodržiavanie zásad spracúvania osobných údajov zákazníkov podľa čl. 5 Nariadenia 

Na to, aby prevádzkovateľ mohol zákonne spracúvať osobné údaje zákazníkov na uvedené účely v bezpečnostnej smernici, musí disponovať primeraným právnym základom (zásada zákonnosti).

Zákazníci majú právo byť informovaní o podmienkach spracúvania, o spôsobe, akým sa vybavujú ich žiadosti o výkon práv dotknutých osôb, a pod. (zásada transparentnosti).

Získané osobné údaje má prevádzkovateľ spracúvať len na konkrétne vymedzený, výslovne uvedený a legitímny účel, ďalej ich nemožno spracúvať spôsobom, ktorý nie je zlučiteľný s takýmto účelom (zásada obmedzenia účelu).

Prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie konkrétneho účelu spracúvania (zásada minimalizácie údajov), napríklad:

  • na uzavretie kúpnej zmluvy –(titul, meno, priezvisko, adresa bydliska, adresa dodania tovaru, ak je iná ako adresa bydliska, e-mailová adresa, telefónne číslo, )
  • na priamy marketing – (titul, meno, priezvisko a e-mailová adresa,)
  • vernostný program – (titul, meno, priezvisko, adresa bydliska alebo e-mailová adresa a prípadne ďalšie údaje v závislosti od toho, akým spôsobom sú poskytované výhody plynúce z vernostného programu, resp. v závislosti od iných podmienok účasti vo vernostnom programe nastavených prevádzkovateľom),
  • spotrebiteľská súťaž – zoznam spracúvaných osobných údajov závisí od podmienok súťaže uvedených v štatúte súťaže, o ktorých majú byť dotknuté osoby informované pred udelením súhlasu so spracúvaním ich osobných údajov na účel súťaže,

Prevádzkovateľ spracúva správne a aktualizované osobné údaje (zásada správnosti). 

Prevádzkovateľ uchováva osobné údaje len po nevyhnutnú dobu na dosiahnutie účelu spracúvania; dlhšie len pokiaľ je to nevyhnutné na iný účel (napríklad na účel archivácie) zlučiteľný s pôvodným účelom (zásada minimalizácie uchovávania). 

Prevádzkovateľ zaručuje primeranú bezpečnosť spracúvaných osobných údajov (zásada integrity a dôvernosti).

Prevádzkovateľ e-shopu musí byť schopný preukázať súlad s predchádzajúcimi zásadami spracúvania (zásada zodpovednosti).

 

Informačná povinnosť podľa čl. 13 a čl. 14 Nariadenia

Platí pre všetky spracovateľské činnosti, informačná povinnosť smeruje od prevádzkovateľa e-shopu k dotknutej osobe (zákazníkovi e-shopu), 

poskytovanie informácií dotknutej osobe je povinnosťou prevádzkovateľa, teda prevádzkovateľ e-shopu je povinný ju plniť iniciatívne (nie na základe žiadosti dotknutej osoby), 

prevádzkovateľ dotknutej osobe poskytuje informácie ustanovené v čl. 13 ods. 1 až 3 Nariadenia, ak osobné údaje získal priamo od dotknutej osoby; podľa čl. 14 ods. 1 a 2 Nariadenia, ak osobné údaje nezískal priamo od dotknutej osoby. 

 [príklad: osoba X objedná v e-shope spoločnosti produkt, ktorý zakúpi ako darček pre osobu Z. E-shop spracúva osobné údaje osoby X na zmluvnom právnom základe a plní si voči nej informačnú povinnosť podľa čl. 13 Nariadenia. E-shop zároveň spracúva dodacie osobné údaje o osobe Z, ktorá nevie, že jej bude zaslaný darček, pričom medzi e-shopom a osobou Z neexistuje priamy zmluvných vzťah. Právnym základomna spracúvanie osobných údajov osoby Z tak bude oprávnený záujem e-shopu na účely plnenia zmluvy medzi e-shopom a osobou X. E-shop si zároveň bude voči osobe Z plniť informačnú povinnosť podľa čl. 14 Nariadenia. Nakoľko sa v tejto situácii uplatní výnimka podľa čl. 14 ods. 5 písm. b) Nariadenia („... alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania“), e-shop si informačnú povinnosť podľa čl. 14 Nariadenia voči osobe Z splní až v momente doručenia darčeka, ktorý zakúpila osoba X],

 

uplatniť výnimky z informačnej povinnosti len v rozsahu vymedzenom v čl. 13 ods. 4 a čl. 14 ods. 5 Nariadenia

vo vzťahu k novým zákazníkom odo dňa 25.05.2018 – splniť si uvedenú informačnú povinnosť najneskôr pri získavaní osobných údajov, 

vo vzťahu k už existujúcim zákazníkom spred 25.05.2018 (napr. pokiaľ ide o pokračujúci marketing, vernostný program) – povinnosť doplniť informáciu v rozsahu, v akom zákazník nedisponuje informáciami podľa čl. 13 a čl. 14 Nariadenia,

informácie poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, informovať možno rôznymi spôsobmi (aj kombinovane) – napr. na webovej stránke e-shopu, zaslaním informácií do e-mailu, v listinnej forme v priestoroch „kamenného obchodu“, a pod.,

 

prevádzkovateľ informuje svojich zákazníkov o ich právach v postavení dotknutej osoby (čl. 15 až čl. 22 Nariadenia), najmä o práve namietať voči spracúvaniu na účely priameho marketingu a o práve odvolať súhlas so spracúvaním,

 

ak sa spracúvanie zakladá na oprávnenom záujme, prevádzkovateľ informuje zákazníka o tom, ktoré oprávnené záujmy sleduje; prevádzkovateľ je tiež povinný vykonať test proporcionality vždy, ak spracúva osobné údaje na tomto právnom základe.

 

Vedenie záznamov o spracovateľských činnostiach

Prevádzkovateľ e-shopu je povinný viesť záznamy o spracovateľských činnostiach podľa čl. 30 Nariadenia vždy vo vzťahu k spracovateľským činnostiam:

- objednávka tovaru/služieb

- vernostný program

- priamy marketing

! SPOTREBITEĽSKÁ SÚŤAŽ

- ak pravidelne organizuje súťaže

- ak príležitostne organizuje súťaž – napr. 1x/rok a pod. (uplatní sa výnimka podľa čl. 30 ods. 5 Nariadenia a táto spracovateľská činnosť sa nemusí v zázname uvádzať)

Záznamy si prevádzkovateľ ponecháva u seba a nezasiela ich úradu, pri prípadnej kontrole ich úradu predloží.

 

Zodpovedná osoba

Povinnosť určiť zodpovednú osobu majú prevádzkovatelia e-shopov, ktorí spĺňajú podmienku podľa čl. 37 ods. 1 písm. b) Nariadenianapr. ak sa vykonáva behaviorálna reklama

ak podmienka podľa čl.37 ods. 1 písm. b) Nariadenia nie je naplnená, prevádzkovateľ e-shopunemá povinnosť určiť zodpovednú osobu; ak ju napriek tomu dobrovoľne určí, je povinný postupovať rovnako ako v prípade, ak by sa povinnosť určiť zodpovednú osobu naňho vzťahovala.

Prevádzka – prevádzkovateľ internetového obchodu nemá určenú zodpovednú osobu.

 

Sprostredkovateľ

- Prevádzkovateľ môže poveriť spracúvaním alebo časťou spracúvania sprostredkovateľa, napríklad pre účel vyhodnotenia súťaže organizovanej prevádzkovateľom, zasielania dotazníkov spokojnosti so zakúpeným tovarom a pod.,

- sprostredkovateľ spracúva osobné údaje podľa pokynov prevádzkovateľa, v rozsahu a podľa - sprostredkovateľskej zmluvy alebo iného právneho aktu, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi. Sprostredkovateľská zmluva a iný právny akt musia spĺňať náležitosti podľa čl. 28 ods. 3 Nariadenia.

Na účely uzatvorenia sprostredkovateľskej zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje. Pokiaľ ide o zákonnosť, sprostredkovateľ disponuje pre spracúvanie osobných údajov právnym základom prevádzkovateľa (napr. oprávnený záujem).

 

Prevádzkovateľ, poveril sprostredkovateľov na účely:

  1. a) Spracovania objednávky, komunikáciu so zákazníkom a marketingové služby
  2. b) Spracovanie účtovníckej a mzdovej agendy.

 

Sprostredkovateľská zmluva medzi prevádzkovateľom a sprostredkovateľmi spĺňa náležitosti podľa čl. 28 ods. 3 Nariadenia a je súčasťou tejto dokumentácie.

 

Ako má prevádzkovateľ postupovať pri vybavovaní žiadostí dotknutých osôb?

Odporúča sa pripraviť krátky, jasný a stručný interný postup ako bude prevádzkovateľ e-shopu vybavovať žiadosti dotknutých osôb (napr. formou internej smernice, pokynu), ktorý môže byť zverejnený na webovom sídle prevádzkovateľa e-shopu (prevádzkovateľ môže vytvoriť vzorový formulár).

Všetky informácie a oznámenia prevádzkovateľa smerom k dotknutej osobe musia byť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, musí sa zohľadniť kategória dotknutých osôb, ktorej sú oznámenia a informácie adresované, 

informácie a oznámenia by sa mali spravidla poskytovať rovnakým spôsobom, akým si dotknutá osoba uplatní svoje právo, ak nepožiada o iný spôsob,

prevádzkovateľ e-shopu je povinný žiadosť dotknutej osoby vybaviť do 1 mesiaca od jej doručenia (v prípade potreby môže prevádzkovateľ predĺžiť vybavovanie žiadosti o ďalšie 2 mesiace, pričom o predĺžení lehoty je povinný dotknutú osobu upovedomiť).

 

Webhosting e-shopu

V prípade, ak prevádzkovateľ nedisponuje vlastným webovým priestorom na technické prevádzkovanie e-shopu, najčastejšie vstupuje do zmluvného vzťahu so subjektom, ktorý mu takýto priestor poskytuje. Postavenie poskytovateľa webového priestoru bude potom závisieť od spôsobu nastavenia podmienok. 

Ak tento subjekt poskytuje pre prevádzkovateľa e-shopu webový priestor bez toho, aby z jeho strany dochádzalo k spracúvaniu osobných údajov zákazníkov e-shopu, ktoré prevádzkovateľ e-shopu spracúva, nebude potrebné upravovať ich vzájomný vzťah z pohľadu ochrany osobných údajov. 

Ak bude dochádzať k spracúvaniu osobných údajov zákazníkov e-shopu[1] aj prostredníctvom poskytovateľa webového priestoru, bude tento poskytovateľ vystupovať v postavení sprostredkovateľa podľa čl. 4 ods. 8 Nariadenia, ak poskytovateľ webhostingu bude spracúvať osobné údaje v mene prevádzkovateľa. Vzájomný vzťah medzi prevádzkovateľom e-shopu a poskytovateľom webhostingu sa bude riadiť zmluvou alebo iným právnym aktom[2] podľa čl. 28 ods. 3 Nariadenia. 

Poskytovateľ webového priestoru môže mať aj postavenie spoločného prevádzkovateľa, pokiaľ dochádza napr. k automatickému zálohovaniu údajov z e-shopu. V takom prípade sa pri úprave vzťahu medzi spoločnými prevádzkovateľmi, teda vzťahu medzi prevádzkovateľom e-shopu a poskytovateľom webového priestoru postupuje v zmysle čl. 26 Nariadenia

 

Príjemcovia e-shopu

V prípade e-shopov sa za príjemcov považujú napr. kuriérske spoločnosti. Tieto môžu doručovať zákazníkovi tovar objednaný v e-shope buď vo vlastnom mene a na vlastnú zodpovednosť, kedy ako samostatní prevádzkovatelia musia disponovať primeraným právnym základom a dodržiavať ďalšie povinnosti podľa Nariadenia alebo v mene prevádzkovateľa e-shopu, kedy vystupujú v postavení sprostredkovateľa.

Pri postupe spracúvania osobných údajov zákazníkov týmito príjemcami na účely dodania objednaného tovaru je potrebné rozlišovať medzi tými, ktorí poskytujú svoje služby podľa zákona č. 324/2011 Z. z. o poštových službách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 324/2011 Z. z.)[3] a tými, ktorí podľa tohto zákona nepostupujú. 

Pri kuriérskych alebo doručovateľských spoločnostiach (ďalej spoločne len „doručovatelia“), ktorí nepostupujú podľa zákona č. 324/2011 Z. z., je potrebné rozlišovať situácie,

- keď dochádza k objednaniu doručovateľskej/prepravnej služby priamo od dotknutej osoby, kedy právnym základom pre spracúvanie osobných údajov objednávateľa služby je zmluva medzi dotknutou osobou a doručovateľom (viď príklad č. 1),

- keď dochádza k výkonu doručovateľskej/prepravnej služby na základe výberu takejto služby priamo v prostredí e-shopu za účelom dodania zakúpeného tovaru, kedy právnym základom doručovateľa bude súhlas kupujúceho (viď príklad č. 2) a

- keď dochádza k doručovateľskej/prepravnej službe na základe pokynu e-shopu, kedy právnym základom je zmluva medzi zákazníkom a e-shopom.

 

Príjemca (tretia strana) prevádzkovateľa je:

  1. Slovenská pošta, a.s., Partizánska cesta 9, 975 99 Banská Bystrica, IČO: 36 631 124
  2. TOPTRANS EU, a.s., Na Priehon 50 949 05 Nitra, IČO: 36 703 923

 

príklad č. 1: e-shop KKK predáva oblečenie. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom KKK a zákazníkom. E-shop KKK ponúka na výber dva druhy dodania tovaru, a to osobné vyzdvihnutie na pobočke a doručenie doručovateľom Q alebo doručovateľom H. Zákazník má zlú skúsenosť s doručovateľom Q, a preto sa rozhodne využiť služby doručovateľa H. Nakoľko e-shop KKK a doručovateľ H majú nastavené zmluvné podmienky tak, že zákazník je priamo prelinkovaný na webovú stránku doručovateľa H, u ktorého si zákazník vyberie deň, čas doručenia ako aj reklamačné podmienky, právnym základom doručovateľa H bude zmluva a nie súhlas. Doručovateľ ako i e-shop KKK sú v tomto prípade samostatnými prevádzkovateľmi.]

príklad č. 2: e-shop LUL predáva mobilné telefóny. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom LUL a zákazníkom. E-shop LUL ponúka na výber tri druhy dodania tovaru, a to osobné vyzdvihnutie na pobočke, doručovanie tovaru poštou alebo doručovateľom. Zákazník sa rozhodne, že doručovateľom mu bude dodaný tovar najrýchlejšie, a preto zaškrtne políčko, ktorým udelí súhlas doručovateľovi na spracúvanie osobných údajov za účelom výkonu doručovateľskej služby. Doručovateľ ako i e-shop LUL sú v tomto prípade samostatnými prevádzkovateľmi. Zmluvné dojednania o reklamačných podmienkach o poškodení tovaru pri preprave tovaru si upraví e-shop a doručovateľ osobitne.]

[príklad č. 3: e-shop WOW predáva počítačové doplnky. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom WOW a zákazníkom. E-shop WOW zároveň vykonáva aj dodanie tovaru prostredníctvom vlastných vozidiel, ale niekedy využíva aj externých doručovateľov. Zákazníkom pri objednávke tovaru však nedáva na výber, či mu má byť tovar doručený jeho vlastnými vozidlami alebo externým doručovateľom. E-shop WOW tak určil účel, podmienky zmluvy, zmluvné dojednania a prostriedky spracúvania osobných údajov zákazníkana dodanie tovaru. Doručovateľ, ktorý občas vybavuje dodanie tovaru zákazníka spracúva osobné údaje zákazníka v mene prevádzkovateľa, ktorým je e-shop WOW, a na tom istom právnom základe (zmluva s dotknutou osobou). Doručovateľ vystupuje v postavení sprostredkovateľa e-shopu WOW.]

  • Kuriérska spoločnosť poskytujúca služby podľa zákona č. 324/2011 Z. z. – právny základ = oprávnený záujem, ktorý vyplýva z osobitného zákona č. 324/2011 Z. z. podľa čl. 6 ods. 1 písm. f)

Nariadenia (platí len vo vzťahu k osobným údajom ustanoveným v § 11 ods. 1 zákona č. 324/2011 Z. z.)[4]

 

  • Kuriérska spoločnosť neposkytujúca služby podľa zákona č. 324/2011 Z. z. – právny základ = môže byť súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia/zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia/oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia; (ako bolo uvedené v príklade vyššie pri informačnej povinnosti)

 

[1] Pozri legálnu definíciu pojmu spracúvanie osobných údajov podľa čl. 4 ods. 2 Nariadenia. Aj samotné uloženie, uchovávanie osobných údajov na serveroch poskytovateľa webhostingu je spracovateľskou operáciou s osobnými údajmi.

[2]Iným právnym aktom možno rozumieť napr. plnú moc alebo poverenie, ak spĺňajú náležitosti podľa čl. 28 ods. 3 Nariadenia.

[3]Úrad pre reguláciu elektronických komunikácií a poštových služieb zverejňuje register subjektov poskytujúcich poštové služby v zmysle zákona č. 324/2011 Z. z. na svojom webovom sídle.

[4]Vo vzťahu k uvedenému spracúvaniu bude musieť vykonať prevádzkovateľ test proporcionality v zmysle recitálu 47 Nariadenia. Spracúvanie e-mailovej adresy a telefónneho čísla nie je upravené v zákone č. 324/2011 Z.

z., preto nemožno z tohto zákona vychádzať. Prevádzkovateľ môže spracúvať e-mailovú adresu a telefónne číslo na základe oprávneného záujmu, tento však už nebude vyplývať zo zákona č. 324/2011 vzhľadom na uvedené. V teste proporcionality bude musieť zohľadniť aj nevyhnutnosť a primeranosť spracúvania týchto údajov vzhľadom na účel a vzhľadom na práva a slobody dotknutých osôb.