GDPR nariadenia sa vzťahujú na spoločnosti, ktoré zbierajú alebo spracúvajú osobné údaje. Toto nariadenie sa týka aj e-shopov v prípade, ak zhromažďujú osobné údaje pomocou newslettera, používajú súbory cookies na svojom webe alebo inak nakladajú s osobnými údajmi.
Na čo by sa mal zamerať taký e-shop, aby vykonával svoju činnosť v súlade s legislatívou GDPR?
Ako by mal postupovať prevádzkovateľ e-shopu?
Máte povinnosť informovať vášho zákazníka. Nariadenia GDPR v článkoch 13 a 14 píšu o povinnosti informovať vašich zákazníkov v dobe nadobudnutia osobných údajov o týchto náležitostiach:
- informovať o tom, kto bude nakladať s vašimi osobnými údajmi v prípade, ak je vymenovaná zodpovedná osoba – DPO tak jej údaje,
- oboznámiť zákazníka o účele zhromažďovania údajov napríklad, ak chcete ponúkať produkty alebo služby e-shopu. Taktiež treba oboznámiť základ právneho titulu.
V prípade, že chcete mať svoju databázu zákazníkov, ktorí opakovane nakupovali cez váš e-shop a neprebrali tovar, môžete tak spraviť pre vlastné účely.
To znamená na takzvanú ochranu svojich oprávnených záujmov a to bez súhlasu vášho zákazníka. Avšak musíte zákazníka oboznámiť predtým, ako vám jeho osobné dáta poskytne. Ak by ste sa rozhodli databázu zazdieľať s druhými e-shopmi, budete potrebovať súhlas od zákazníka a to konkrétny a jednoznačný.
Nezabúdajte na súhlas so spracovaním osobných dát
Dôležitá otázka je, že v ktorých prípadoch bude potrebný súhlas zákazníka na spracovanie osobných údajov. Súhlas je potrebný len v prípadoch ak:
- nebude vykonávané spracovanie osobných dát na základe iného legitímneho dôvodu, ako napríklad pre dôvod plnenia zmluvy, za účelom splnenia právnej povinnosti či kvôli oprávnenému záujmu,
- v prípade ak budú spracovávané osobné dáta nad rámec týchto menovaných účelov. Napríklad ak budú poskytnuté osobné dáta zákazníkov tretím stranám – marketingovej agentúre aby odosielala obchodné ponuky.
Ak ste v minulosti nadobudli súhlasy na spracovanie osobných údajov, podľa článku 7 GDPR nebudú potrebné nové.
V prípade ak osobné dáta spracovávate sami v nevyhnutnom rozsahu a po nevyhnutnú dobu, kvôli cieľu plnenia zmluvy, zákonnej povinnosti či oprávnenému záujmu, súhlas na spracovanie osobných údajov nie je potrebný. Ak sa rozhodnete zbierať súhlasy od svojich zákazníkov, tento súhlas nemôže byť zakomponovaný do obchodných podmienok alebo podmieňovať v súvislosti poskytnutia služieb alebo produktu.
Povolené je dať istú výhodu, ako napríklad zľavu, malý darček či poukážku. V prípade ak ste v minulosti získali súhlas v rozpore s GDPR, je nutné ich nahradiť novými.
Povinnosť zabezpečiť osobné údaje
Dôležitým prvkom je myslieť na prevádzkovo-technické zabezpečenie osobných dát vašich zákazníkov.
Ak prevádzkujete e-shop, je nevyhnutné sa zamyslieť a zhodnotiť, aký by mal dopad, ak by došlo k neautorizovanému či nezákonnému zásahu do vašej databázy s osobnými údajmi. Treba podniknúť opatrenia, aby sa zamedzilo odcudzeniu dát vašimi zamestnancami či spolupracovníkmi vhodným softvérom alebo krokmi, ktoré zabezpečia prístup len povolaným osobám.
Vo vašom e-shope by mali byť jasne definované pravidlá ohľadom nakladania s osobnými dátami vašich zákazníkov v prípade, ak máte zamestnancov či spolupracovníkov. Databáza osobných údajov by mala byť dostatočne zabezpečená, či už zabezpečením prístupom do PC, heslom alebo šifrovaním.
Ohlasovacia povinnosť dozornému orgánu, ale aj dotknutým zákazníkov
V prípade ak nastane narušenie ochrany osobných údajov klientov, je nevyhnutné nahlásiť túto skutočnosť dozornému orgánu a v niektorých prípadoch aj vašim klientom. Ak nastane kybernetický útok a sú ohrozené práva dotknutých osôb, je nevyhnutné oznámiť tento incident dozornému orgánu, ale aj dotknutým jednotlivcom. Do 72 hodín od zistenia kybernetického útoku je nutné oboznámiť Úrad pre ochranu osobných údajov o tejto záležitosti.
Aby bolo možné oznámiť hackerský útok orgánu, je nutné ho vedieť aj odhaliť. Ak prevádzkujete e-shop, máte úlohu zabezpečiť také opatrenia, aby dáta boli dostatočne chránené. Odporúča sa nakladať iba s nevyhnutnými osobnými údajmi, ktoré potrebujete ku vášmu podnikaniu, ak nechcete investovať nemalé finančné prostriedky do softvérov na ochranu dát.