Home Aktuality Pozor pred nepochopeným GDPR – tieto chyby vám môžu priniesť pokutu

Pozor pred nepochopeným GDPR – tieto chyby vám môžu priniesť pokutu

by Rebecca Fritzmanová

Neznalosť zákona neospravedlňuje. Právne predpisy, ktoré upravujú problematiku ochrany osobných údajov je dôležité vedieť si správne vyložiť. Ak prevádzkujete e-shop, mali by ste si dať pozor na nasledovné veci.

Zľavy za vernosť zákazníka

V prípade, ak napríklad zákazník e-shopu udelí súhlas so spracovaním osobných údajov na konkrétne obdobie (napríklad za účelom odoberania newslettera v procese registrácie svojho zákazníckeho účtu), v prípade uplynutia tohto obdobia GDPR ukladá prevádzkovateľom povinnosť vyžiadať si od nich opätovné udelenie súhlasu. Súhlas so spracovaním osobných údajov sa nikdy nemôže udeliť na dobu neurčitú.

Čo v prípade vernostného programu?

Vo všeobecnosti platí, že členstvo vo vernostnom programe sa zakladá súhlasom dotknutej osoby so spracovaním osobných údajov. Platí ale, že takýto súhlas nesmie byť vynútený – napríklad, ak prevádzkovateľ prehlási, že pokiaľ sa zákazník nestane členom vernostného klubu, v jeho e-shope si nemôže kúpiť žiaden produkt.

Ako správne naplniť požiadavky GDPR?

Jednou zo základných požiadaviek, ktoré kladie GDPR na prevádzkovateľov je plnenie si informačnej povinnosti voči dotknutým osobám. To znamená, že prevádzkovatelia sú ešte pred samotným spracovaním osobných údajov povinní poskytnúť dotknutej osobe informácie v zmysle čl. 13 GDPR (eventuálne v zmysle čl. 14 GDPR, ak osobné údaje nezískavajú priamo od dotknutej osoby).

Pokiaľ komunikujete so zákazníkom vyslovene elektronickou formou (napríklad v prípade e-shopu), musíte si rovnakou formou plniť informačnú povinnosť, a teda elektronicky. Najideálnejšie je dotknutej osobe poslať všetky potrebné informácie v sprievodnom e-maile hneď po jej zaregistrovaní sa na portáli, prípadne po zrealizovaní objednávky.

Zákazník sa nesmie zavádzať

V praxi sa často možno stretnúť aj vydieračskou taktikou, ktorá nie je v poriadku. Niektorí prevádzkovatelia sprostredkovanie služby udelením súhlasu so spracovaním osobných údajov. Takéto jednanie je neprípustné.

Súhlas možno kedykoľvek odvolať

Jedným zo základných práv dotknutej osoby je právo kedykoľvek odvolať udelený súhlas so spracovaním osobných údajov. Dotknutá osoba by pritom mala mať možnosť odvolať súhlas jednoducho tak, ako ho udelila. Odvolanie súhlasu má za následok vznik povinnosti prevádzkovateľa ukončiť spracúvanie osobných údajov založenom na tomto súhlase, čo vo väčšine prípadov vedie automaticky k povinnosti vymazať osobné údaje dotknutej osoby.

Ak by bolo poskytnutie služby podmienené udelením súhlasu, v praxi by nastal neriešiteľný stav – zákazník by po zrealizovaní objednávky svoj súhlas odvolal, na čo by prevádzkovateľ musel automaticky vymazať jeho osobné údaje.

S takouto situáciou GDPR počíta. Z tohto dôvodu je napríklad proces realizácie objednávky alebo e-shopu (uzavretie kúpnej zmluvy) založený na právnom základe, ktorým je čl. 6 ods.1 písm. b) GDPR. Osobné údaje sa spracúvajú na účely plnenia zmluvy, hoci konkrétna zmluva je uzatvorená na diaľku.

POSTREH ODBORNÍKA 

Elektronický obchod je na vzostupe. V období, ktorému čelí v súčasnosti celý svet sa predpokladá, že elektronický obchod a poskytovanie služieb elektronickou formou bude postupne nahrádzať fyzický kontakt so zákazníkom. Všeobecné nariadenie o ochrane údajov reflektuje aj takýto spôsob spracovania osobných údajov.

Prevádzkovatelia e-shopov a poskytovatelia služieb na diaľku musia prijať rovnaké opatrenia ako každý iný prevádzkovateľ. Čo sa týka bezpečnostných opatrení, musia dbať najmä na povinnosti týkajúce sa zabezpečenia elektronickej komunikácie so zákazníkom, vytváranie databáz zákazníkov, zasielanie marketingových správ a mnoho ďalších.

Nariadenie GDPR kladie vo vzťahu k informačnej povinnosti dôraz najmä na aktívne konanie zo strany Prevádzkovateľa. To znamená, že Prevádzkovateľ musí dotknuté osoby informovať o spracúvaní ich osobných údajov z vlastnej iniciatívy a nie až keď ho o to požiadajú. Nariadenie GDPR síce nepredpisuje, akým spôsobom má byť informačná povinnosť splnená, spôsob je ponechaný na fantázii Prevádzkovateľa, ale ak vychádzame zo skutočnosti, že dotknutá osoba má byť včasne a úplne informovaná, môžeme povedať, že určité spôsoby informovania predsa len existujú. Nasvedčuje tomu aj doterajšia prax dozorných orgánov. Pokiaľ Prevádzkovateľ vykonáva činnosť, ktorou spracúva osobné údaje v elektronickej podobe (napríklad v e-shope), je povinný informovať dotknutú osobu pri prvom kontakte – potrebné informácie jej môže poskytnúť napríklad prostredníctvom prvého kontaktného e-mailu. Pokiaľ však Prevádzkovateľ prichádza do osobného kontaktu s dotknutou osobou, na splnenie informačnej povinnosti elektronické informovanie nepostačuje.

Pri elektronickom informovaní treba brať do úvahy aj tú skutočnosť, že nie každá dotknutá osoba (napríklad kategória seniorov) má prístup k elektronickým komunikačným prostriedkom. Podľa môjho názoru je preto potrebné zabezpečiť informovanosť viacerými spôsobmi – ideálne elektronicky aj papierovo. Prevádzkovateľovi nič nebráni v tom, aby dotknuté osoby písomne informoval pri prvom osobnom kontakte s nimi, informačnú povinnosť mal zároveň dostupnú na svojom webovom sídle (napríklad vo forme privacy policy obchodnej spoločnosti) a túto mal v písomnej podobe k dispozícii k nahliadnutiu umiestnenú na recepcii, kancelárii prvého kontaktu, HR oddelení a podobne.

Ďalšou požiadavkou je včasnosť informovania dotknutej osoby. To znamená, že Prevádzkovateľ musí dotknutú osobu informovať o spracúvaní jej osobných údajov ešte predtým než ich vôbec začne spracúvať. Pokiaľ dotknutú osobu neinformuje pred prvým spracúvaním jej osobných údajov, dopúšťa sa porušenia čl. 13 Nariadenia GDPR. Preto Prevádzkovatelia, ktorí sú zároveň zamestnávateľmi, a ktorí prichádzajú do styku s osobnými údajmi už pri vyberaní vhodného kandidáta na konkrétnu pracovnú pozíciu, musia informovať kandidáta o plánovanom spracúvaní jeho osobných údajov ešte predtým než začnú spracúvať jeho osobné údaje, teda predtým než vôbec začnú čítať životopis, ktorý im priniesol alebo poslal.

Z informačnej povinnosti však platí jedna výnimka, v zmysle ktorej, ak dotknutej osobe už boli poskytnuté informácie v zmysle čl. 13 Nariadenia GDPR, Prevádzkovateľ nie je povinný opätovne jej poskytnúť vyššie uvedené informácie. Takáto situácia môže nastať napríklad v prípade, ak pre Prevádzkovateľa vykonáva činnosť Sprostredkovateľ a ten poskytne dotknutej osobe všetky požadované informácie v čl. 13. Tak tomu môže byť napríklad v prípade marketingovej kampane vo forme robenia prieskumu spokojnosti so službami, ktoré poskytuje Prevádzkovateľ.

JUDr. Samuel Matejovič, právnik

 

Related Posts

Leave a Comment