eKasa ako nový inštitút pri evidovaní tržieb pri predaji tovaru alebo poskytovaní služieb vyvolal u podnikateľov rozsiahlu verejnú diskusiu o podmienkach jeho uplatnenia. V tomto článku sa budeme venovať parciálnej otázke, ktorá sa týka zasielania pokladničného dokladu kupujúcemu v elektronickej podobe z pohľadu ochrany osobných údajov.
eKasa a GDPR z pohľadu zákonov a praxe
Podľa zákona o používaní elektronickej registračnej pokladnice môže podnikateľ pokladničný doklad vyhotovený pokladnicou e-kasa zaslať alebo sprístupniť v elektronickej podobe, ak s tým kupujúci súhlasí a ak o to požiada pred vytlačením pokladničného dokladu, a podnikateľ pokladničný doklad fyzicky nevytlačí. Zákon zároveň výslovne uvádza, že na účely zaslania pokladničného dokladu vyhotoveného pokladnicou e-kasa v elektronickej podobe je podnikateľ oprávnený spracúvať osobný údaj kupujúceho, ktorým je adresa elektronickej pošty kupujúceho.
V zmysle GDPR sa aj e-mailová adresa za určitých okolností považuje za osobný údaj, a to v prípade, ak ju vieme priradiť k určitej fyzickej osobe alebo existujú prostriedky, ktoré nám to umožnia v budúcnosti. Tu je potrebné zdôrazniť, že e-mailová adresa nie je osobným údajom iba a výlučne v prípade, ak obsahuje meno a priezvisko dotknutej osoby, ale aj v prípade, ak je na základe iných identifikátorov prevádzkovateľ spôsobilý tento údaj priradiť k dotknutej osobe (napr. na základe jej známej prezývky alebo výslovného uvedenia, že ide o e-mailovú adresu fyzickej osoby).
Ak teda bude predávajúci získavať e-mailovú adresu od fyzickej osoby na účel zaslania pokladničného dokladu, tak pôjde o spracúvanie osobných údajov podľa GDPR. Dôležitou skutočnosťou však je, že na tento účel nie je potrebné od kupujúceho žiadať súhlas so spracúvaním jeho osobných údajov v zmysle GDPR (pozor, tu je potrebné si tento súhlas nezamieňať so súhlasom kupujúceho so zaslaním pokladničného dokladu, čo je požiadavkou podľa zákona o používaní elektronickej registračnej pokladnice a nie GDPR).
Vzhľadom na vyššie uvedené by mal byť právnym základom pre takéto spracúvanie osobných údajov oprávnený záujem predávajúceho, ktorý vychádza aj zo zákonnej úpravy, a to z § 8 zákona o používaní elektronickej registračnej pokladnice. K tomuto právnemu základu je preto vhodné vyhotoviť test proporcionality, pričom ak podnikateľ zamestnávajúci menej ako 250 zamestnancov nebude spracúvať osobné údaje na tento účel iba príležitostne, tak je potrebné ho uviesť aj v záznamoch o spracovateľských činnostiach.
