Nariadenie GDPR sa dotýka všetkých, ktorí spracovávajú osobné údaje. S príchodom tohto nariadenia pribudlo podnikateľom zopár nových povinností, ktoré je treba dodržať aby sa vyhli vysokým pokutám. Práca s osobnými údajmi si vyžaduje bezpodmienečné zabezpečenie. Ako je to v prípade, že si firma vedie evidenciu, ktorá obsahuje kontakty na zákazníka, ktorý si u nej objednal produkt, informácie o samotnej objednávke a jej realizáciu, prípadne fakturačné údaje?
Papierovú evidenciu nahradila elektronická
Mnoho malých firiem zvolí pre zjednodušenie svojich povinností elektronickú evidenciu pred tou papierovou. Doteraz ku každému obchodnému prípadu bol vedený papierový spis. Ten obsahoval všetky kontakty na klienta, jeho objednávku, všetky informácie o realizácii zákazky a konečnú faktúru vrátane prípadných nárokov z vád výrobkov či iných reklamácií. Netreba však zabúdať, že každý kto získava, spracováva alebo inak zhromažďuje osobné údaje sa stáva spracovateľom týchto osobných údajov. Na správu takejto databázy osobných údajov o zákazníkoch je potrebný ich súhlas. Ten je možné vyžiadať priamo v písomnej zmluve alebo súhlas pripojiť k tlačidlu na odoslanie objednávky. Pri každom takomto súhlase so spracovaním osobných údajov musí byť uvedené, aké údaje sa budú spracovávať, za akým účelom a v akom rozsahu. Rovnako treba uvádzať, že takýto súhlas môže zákazník kedykoľvek odvolať. Súhlas musí byť slobodne daný, dobrovoľný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby a nesmie byť skrytý.
Právo na zabudnutie
GDPR prináša aj novinku v podobe práva na zabudnutie. Keď niektorý zo zákazníkov či iných fyzických osôb toto právo využije, spracovatelia budú musieť všetky jeho osobné údaje jednoducho vymazať. Uchovávať osobné údaje nemožno dlhšie, než je to nevyhnutné. Každý e-shop by si preto mal stanoviť dobu, po uplynutí ktorej budú uchované údaje vymazané. Tak isto musí zabezpečiť možnosť preskúmania ich správnosti a opravy pri nesprávnych údajov. GDPR prinieslo aj zásadu minimalizácie osobných údajov. Spracovávať ich bude možné len v nevyhnutnom rozsahu a na určitý účel.
Prvoradá je ochrana
Každý, kto pracuje s osobnými údajmi musí zabezpečiť ich ochranu v súlade s nariadením GDPR. Firmy a spracovatelia musia zabezpečiť dôvernosť osobných údajov, a tiež prijať opatrenia na zamedzenie k neoprávnenému prístupu. Osobné údaje by mali byť zoskupené do určitých skupín, databáz, a to podľa účelu, na ktorý sa spracúvajú. Tieto skupiny, databázy či zoznamy sa označujú ako informačné systémy.
E-shop môže mať informačný systém, ktorý zhromažďuje údaje o zákazníkoch, personálny a mzdový informačný systém zhromažďujúci informácie o zamestnancoch. Každý spracovateľ alebo e-shop, musí o jednotlivých informačných systémoch viesť písomnú evidenciu. Registrácia týchto informačných systémov sa síce po novom nevyžaduje, no určité povinnosti si prevádzkovateľ voči Úradu na ochranu osobných údajov musí splniť.
Pozor
Prevádzkovateľ nepotrebuje na účel spracovania objednávky a dodania tovaru súhlas dotknutej osoby, lebo spracovanie osobných údajov je bohužiaľ nevyhnutné na plnenie zmluvy. Niektorí prevádzkovatelia e-shopov si však vyžiadajú súhlas tak povediac pre istotu. Neodporúča sa tento postup, pretože ide o nesprávne zvolený právny základ, čo môže prípadná kontrola považovať za porušenie pravidiel spracovania osobných údajov podľa GDPR. Nariadenie GDPR jasne požaduje, aby bola konzistentná evidencia pri spracovaní osobných údajov, pri ich správnosti a úplnosti a súčasne aj zodpovedajúca miera zabezpečenia.