BezpečnosťManažmentOchrana osobných údajov/GDPR xa Publikované 19. decembra 2017 zobraziť celý profil

Právny základ – súčasná platná legislatíva:
 – Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Pre e-shop sú z praxe charakteristické tieto informačné systémy (ďalej len „IS“), samozrejme môže byť ich viac alebo menej, je potrebné presne vyšpecifikovať predmetné IS, v ktorých sa osobné údaje spracovávajú u daného prevádzkovateľa (prevádzkovateľ, ktorý prevádzkuje E-shop môže mať a nemusí mať zamestnanca).
Všeobecné povinnosti prevádzkovateľa:

  • Spracúvať OÚ v súlade so zákonom na vymedzený účel.
  • Poskytovanie informácií o spracovávaných osobných údajoch (ďalej len „OÚ“).
  • Získať súhlas dotknutej osoby.
  • Oznámiť IS Úradu na ochranu OÚ.
  • Viesť evidenčný list.
  • Poučiť oprávnené osoby.
  • Uzatvoriť zmluvu so sprostredkovateľom, ak existuje.
  • Zdokumentovať prijaté bezpečnostné opatrenia. 

INFORMAČNÉ SYSTÉMY typické pre E-shop

  • Informačný systém  E-shop

Pre E-SHOP bola povinnosť do 18.7.2016 pri  IS e-shop oznámiť na Úrade na ochranu OÚ, aktuálne podľa nového metodického usmernenia platí, že stačí viesť iba evidenciu t.j. evidenčný list.  Týmto však agenda nekončí. Je potrebné si ujasniť, kto prichádza do styku s OÚ pri e-shope, či len samotný správca (majiteľ) e-shopu, alebo jeho zamestnanec alebo tretia osoba. V týchto prípadoch pokaľ ide o zamestnanca a správcu (majiteľa) e-shopu je potrebné poučenie oprávnených osôb a v prípade tretích osôb napr. správca siete (externý subjekt), ktorý má prístup týmto údajom je potrebné mať s ním uzavretú sprostredkovateľskú  zmluvu.
Agenda:

» Evidenčný list.

» Poučenie oprávnených osôb.

» Nie je potrebný súhlas dotknutej osoby, nakoľko ide o uzatvorenie zmluvy na diaľku t.j. zmluvný vzťah.

  • Informačný systém Marketing

Robíte marketing vo vašom e-shope? Posielate napr. ponuky, newslettre, zľavy za účelom, realizácie marketingových aktivít? Tu je dôležité podotknúť, že potrebujete súhlas dotknutej osoby.
POZOR však nato, že tento súhlas by nemal byť dopredu daný t.j. webové rozhranie, kde sa vkladá súhlas dotknutá osoba  (check box) by mal byť prázdny. Zákazník musí byť aktívny a dať tam OPT – IN (klik).
Vynucovanie súhlasu dotknutej osoby pri objednávke pre IS marketing je neprípustné.
Agenda:

» Oznámenie úradu IS Marketing.

» Poučenie oprávnených osôb (zamestnanec).

» Sprostredkovateľská zmluva (tretia osoba napr. externý subjekt).

» Súhlas dotknutej osoby.

  • Informačný systém Vernostný program

Ponúkate rôzne, vernostné produkty, bonusy, poskytovanie zliav? Vyžaduje sa tu súhlas dotknutej osoby za účelom vedenia vernostného programu. Tento informačný systém podlieha oznámeniu Úradu na ochranu osobných údajov.
Agenda:

» Oznámenie úradu IS Vernostný program.

» Poučenie oprávnených osôb (zamestnanec).

» Sprostredkovateľská zmluva (tretia osoba napr. externý subjekt, nemusí byť).

» Súhlas dotknutej osoby.

  • Informačný systém Súťaže (spotrebiteľské)

Robíte rôzne súťaže? Súťaž je samostatný informačný systém, ktorý podlieha oznámeniu Úradu na ochranu OÚ a vyžaduje sa súhlas dotknutej osoby.
Agenda:

» Oznámenie úradu IS Súťaže.

» Poučenie oprávnených osôb (zamestnanec).

» Sprostredkovateľská zmluva (tretia osoba napr. externý subjekt, nemusí byť).

» Súhlas dotknutej osoby.

Toto sú základné informačné systémy (IS) pre e-shop, samozrejme, je potrebné pre každý e-shop samostatne určiť aké IS využíva.
Všeobecne, každá obchodná spoločnosť (prevádzkovateľ) má IS účtovné doklady, v prípade zamestnancov je to IS mzdy a personalistika, v prípade kontaktných formulárov je to IS registratúra. Je dôležité pripomenúť, že e-shop by mal viesť aj evidenciu reklamácií a tento by mal byť samostatným IS. Niektoré IS napr. mzdy a personalistika alebo účtovné doklady prevádzkovateľov spracovávajú externé subjekty, v tom prípade by mal mať prevádzkovateľ uzatvorenú sprostredkovateľskú zmluvu s externým subjektom (sprostredkovateľom).

Čo sa týka otázok ohľadom bezpečnostného projektu, je potrebné ho mať v prípade, ak e-shop má čo i len jedného zamestnanca. Odporúčame,  pri každom IS mať vypracovanú bezpečnostnú smernicu.

Prevádzkovateľ nemusí oznamovať IS (marketing, vernostný program, súťaže) v tom prípade, ak má prevádzkovateľ vymenovanú zodpovednú osobu.

Nezabúdajme na COOKIES!

Právny rámec:

  • Smernica č. 2002/58 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií.
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách.

» zjednodušujú prácu podnikateľom za účelom marketingových aktivít, sú to identifikátory zariadení, mikrodáta ukladané internetovou stránkou alebo aplikáciou, keď užívateľ vstupuje na stránku z webového rozhrania alebo mobilného zariadenia,

» rozoznávajú sa aktivity užívateľa,

» https://www.google.com/policies/technologies/cookies/?hl=sk.

Povinnosťou prevádzkovateľa:

» zrozumiteľné informovať užívateľa o účele používania cookies.

» je potrebný SÚHLAS.

Informácie o cookies musia obsahovať:

» definícia cookies,

» typy cookies  napr. https://www.google.com/intl/sk/policies/technologies/types/,

» účel uchovávania cookies,

» poskytovanie a sprístupňovanie cookies,

» odvolanie súhlasu s používaním cookies,

» ochrana súkromia,

ZMENY PODĽA GDPR

Súhlas dotknutej osoby.

Právny základ spracúvania OÚ podľa nariadenie čl. 7 a č. 8
Článok 7 – Podmienky vyjadrenia súhlasu.

1. Ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich OÚ.
2. Ak dá dotknutá osoba súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho. Akákoľvek časť takéhoto vyhlásenia, ktorá predstavuje porušenie tohto nariadenia, nie je záväzná.
3. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním. Pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.
4. Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa v čo najväčšej miere okrem iného zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

Článok 8 – Podmienky uplatniteľné na súhlas dieťaťa v súvislosti so službami informačnej spoločnosti.
1. Ak sa uplatňuje článok 6 ods. 1 písm. a), v súvislosti s ponukou služieb informačnej spoločnosti adresovanou priamo dieťaťu je spracúvanie osobných údajov dieťaťa zákonné, len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností.
Táto veková hranica 16 rokov sa nebude dotýkať len sociálnych sietí, ale aj e-shopov.  Pri dieťati mladšom  ako 16 rokov, spracovanie osobných údajov bude zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.
Zákon č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z.
Z návrhu zákona … § 15 ods. 2 Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.
Informovanie dotknutých osôb (kupujúci) na webe je potrebné vytvoriť časť (pod odsek) ochrana osobných údajov a pridať tieto informácie:

V návrhu zákona v § 19 ods. 1 a 2

Prevádzkovateľ je  povinný poskytnúť dotknutej osobe pri ich získavaní:

  • identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ako bol poverený,
  • kontaktné údaje zodpovednej osoby, ak je určená,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa OÚ spracúvajú podľa § 13 ods. 1 písm. f) návrhu zákona,
  • identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť OÚ do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo, v prípade prenosov uvedených v článku 46 alebo 47 či v čl. 49 ods. 1 druhom pod odseku odkaz na primerané alebo vhodné záruky a prostriedky na získanie ich kópie, alebo kde boli poskytnuté.

Prevádzkovateľ je  povinný pri získavaní osobných údajov poskytnúť dotknutej osobe aj ďalšie informácie o:

  • dobe uchovávania OÚ; ak to nie je možné, informácie o kritériách jej určenia,
  • práve požadovať od prevádzkovateľa prístup k OÚ týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie OÚ alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
  • práve kedykoľvek svoj súhlas odvolať,
  • práve podať návrh na začatie konania dozornému orgánu (Úrad na ochranu OÚ v aktuálne platnom zákone),
  • tom, či je poskytovanie OÚ zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy a o tom či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 návrhu zákona; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania OÚ pre dotknutú osobu.

Práva dotknutej osoby

Novou právnou úpravou sa rozšírili s presnili jednotlivé práva dotknutých osôb:

  • právo na opravu – § 22 návrh zákona.

Dotknutá osoba má právo, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne OÚ, ktoré sa týkajú dotknutej osoby a doplnenie neúplných OÚ.

  • právo na výmaz ( právo na „zabudnutie“ čl. 17 GPDR) –§ 23 návrh zákona. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal OÚ, ktoré sa jej týkajú. Prevádzkovateľ je povinný bez zbytočného odkladu vymazať tieto OÚ, ak je splnený niektorý z týchto dôvodov:

» OÚ už nie sú potrebné na účel, na ktorý sa získal alebo spracúval,

» dotknutá osoba odvolá súhlas na spracovanie OÚ aspoň na 1 konkrétny účel alebo dotknutá osoba odvolá súhlas na spracovanie OÚ aspoň na 1 konkrétny účel, súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,

» dotknutá osoba namieta spracúvanie OÚ podľa (§ 27 ods. 1 návrh zákona) a neprevažujú žiadne oprávnené dôvody na spracúvanie OÚ alebo dotknutá osoba namieta spracúvanie osobných údajov podľa ( návrh § 27 ods. 2 návrh zákona) týka sa to priameho marketingu vrátane profilovania

» OÚ sa spracúvajú nezákonne,

» je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo

» sa OÚ získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa (§ 15 ods. 1. návrh zákona) dotknutá osoba má menej ako 16 rokov.

Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie, za účelom informovania ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.
Právo na výmaz sa neuplatňuje, ak je spracúvanie osobných údajov potrebné pre účely:

  • na uplatnenie práva na slobodu prejavu alebo práva na informácie,
  • na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,  alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
  • z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s (§ 16 ods. 2 písm. h) až j ) návrh zákona,
  • na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8 návrh zákona, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
  • na uplatnenie právneho nároku.

» právo na obmedzenie spracúvania – dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak:

  • dotknutá osoba namieta správnosť OÚ, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť OÚ,
  • spracúvanie OÚ je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
  • prevádzkovateľ už nepotrebuje OÚ na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
  • dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 návrhu zákona, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

» právo na prenosnosť údajov – dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak:

a) sa osobné údaje spracúvajú na základe súhlasu dotknutej osoby, na základe zmluvy a na základe súhlasu dotknutej osoby, ktorý je neplatný ak jeho poskytnutie vylučuje osobitný predpis,

b) spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.

» právo namietať – napr. dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu profilovania v rozsahu, v akom súvisí s  priamym marketingom, prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na jej práva najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií. Dotknutá osoba svoje právo namietať môže uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.
» právo namietať automatizované individuálne rozhodovanie a profilovanie

Právo dotknutej osoby na prístup k k údajom článok 15 nariadenia (§ 28 v súčasnom platnom zákone), v návrhu zákona  § 21:

Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o:

» účele spracúvania osobných údajov,

» kategórii spracúvaných osobných údajov,

» identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,

» dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,

» práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,

» právo podať návrh na začatie konania,

» zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,

» existencii automatizovaného individuálneho rozhodovania vrátane profilovania v týchto prípadoch poskytne prevádzkovateľ dotknutej informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu.

Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.

AUTOR: JUDr. Katarína Kročková, KROČKA & PARTNERS s.r.o.



Katarína Kročková – vyštudovala Právnickú fakultu Univerzity Komenského v Bratislave, desať rokov pracovala ako firemný právnik pre výrobnú spoločnosť. Počas materskej dovolenky pociťovala potrebu naďalej napredovať a učiť sa nové veci a to bol podnet pre založenie si vlastnej spoločnosti.
Katarína sa zameriava na oblasti pracovnoprávneho poradenstva pre zamestnávateľov i zamestnancov, obchodného práva – zabezpečenie pohľadávok (vo všetkých štádiách pred, počas aj po ukončí zmluvného vzťahu), komplexnou agendou ohľadom pozemkov a nehnuteľností, mediácii (mimosúdnemu riešeniu sporov) aj poradenstvom vo veci ochrany osobných údajov GDPR (napr. pre E-shop), ktoré sú medzi podnikateľmi často zanedbávané napriek tomu, že sú častým dôvodom ukladania finančných sankcií štátnymi orgánmi.

KONTAKT: www.krockapartners.sk