GDPR a e-shop

Prevádzkovateľ osobných údajov

V zmysle čl. 4 odst. 7 Nariadenia GDPR je prevádzkovateľom fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov. Prevádzkovateľ je zodpovedný mimo iného za to, že osobne údaje spracováva iba zákonným spôsobom.


Základné GDPR povinnosti

  • Právny základ spracúvania osobných údajov
  • Plnenie informačnej povinnosti voči dotknutým osobám (zákazníkom)
  • Povinnosť zachovávať záznamy o spracovateľských činnostiach
  • Minimalizácia spracovania a uchovávania osobných údajov

  • Zaistenie bezpečnosti osobných údajov
  • Vybavovanie práv dotknutých osôb
  • Vypracovanie GDPR bezpečnostnej dokumentácie
  • TEST PROPORCIONALITY k oprávneným záujmom prevádzkovateľa

Popísané praktiky niektorých internetových obchodov

  • Za účelom predaja tovaru nie je potrebný súhlas zákazníka
  • Podľa GDPR nie je možne, aby súhlas so spracovaním OÚ a informačná povinnosť bola súčasťou všeobecných obchodných podmienok

  •  V praxi nie je neobvyklé, že internetové obchody neakceptujú objednávku zákazníka, pokiaľ nezaškrtne, že súhlasí so spracovaním osobných údajov. To je ale v priamom rozpore s čl.7 ods. 4 nariadenia, ktoré výslovne zakazuje, aby bolo plnenie, podľa zmluvy, podmienené súhlasom so spracovaním OÚ

Informačná povinnosť prevádzkovateľa internetového obchodu

Platí pre všetky spracovateľské činnosti. Informačná povinnosť smeruje od prevádzkovateľa e-shopu k dotknutej osobe (zákazníkovi). Poskytovanie informácií dotknutej osobe je povinnosťou prevádzkovateľa, inými slovami prevádzkovateľ e-shopu je povinný ju plniť iniciatívne (nie na základe žiadosti dotknutej osoby). Všetky informácie musia byť podané v čase ich získania OÚ.

Právny základ spracúvania osobných údajov

V súvislosti so zaznamenávaním osobných údajov, pri prevádzkovaní internetového obchodu, môžeme identifikovať viacero bežných spracovateľských činností s odlišným právnym základom. Právny základ predstavuje „podklad“, na základe ktorého prevádzkovateľ internetového obchodu príde do styku s osobnými údajmi zákazníka a následne musí riešiť ochranu osobných údajov v súlade s predpismi. V zásade ich môžeme rozdeliť na dve skupiny, a to tie, pri ktorých sa súhlas zákazníka vyžaduje, a tie, pri ktorých súhlas zákazníka nie je potrebný:

Bez súhlasu zákazníka

  • Objednávka tovaru/služieb
  • Evidencia odstúpení od zmluvy z e-shopu
  • Marketingová komunikácia so zákazníkom
  • Wishlist
  • Segmentácia
  • Upselling

So súhlasom zákaznika

  • Marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu
  • Vernostný program
  • Spotrebiteľská súťaž
  • Registrácia zákazníckeho účtu