Kedy je e-shop povinný preukázať oprávnené spracovanie osobných údajov?

Elektronické obchody (e-shopy) v Slovenskej republike sú pri spracúvaní osobných údajov zákazníkov viazané prísnymi pravidlami na ochranu údajov podľa zákona o ochrane osobných údajov a nariadenia GDPR (General Data Protection Regulation). V praxi to znamená, že ak e-shop spracúva osobné údaje, musí byť schopný kedykoľvek a preukázateľne doložiť, že tak robí oprávnene a v súlade so zákonom. Toto oprávnenie je viazané na existenciu právneho základu a rešpektovanie zásad spracúvania údajov.

V tomto článku nájdete odpovede na otázky súvisiace s tým, kedy a za akých okolností je e-shop povinný preukázať oprávnenosť spracovania osobných údajov, na čo si musí dať pozor, aké dokumenty musí mať pripravené a čo v prípade kontroly zo strany Úradu na ochranu osobných údajov. Článok vám poskytne praktický prehľad a návod, ako splniť zákonné povinnosti a predísť potenciálnym sankciám.

Právny rámec spracovania osobných údajov v e-shope

Každý e-shop, ktorý spracúva osobné údaje zákazníkov, napríklad pri registrácii, objednávkach či marketingových aktivitách, musí dodržiavať požiadavky platnej legislatívy, konkrétne:

• GDPR (Nariadenie EÚ 2016/679) – základný právny akt o ochrane osobných údajov platný vo všetkých členských štátoch EÚ.
• Zákon č. 18/2018 Z. z. – slovenský zákon o ochrane osobných údajov, ktorý dopĺňa a konkretizuje niektoré ustanovenia nariadenia GDPR.

Právne základy spracúvania môžu byť rôzne – e-shop môže spracúvať osobné údaje na základe zmluvy, zákonnej povinnosti, oprávneného záujmu alebo súhlasu dotknutej osoby. V každom prípade je nevyhnutné, aby vedel preukázať, na akom právnom základe dané údaje spracúva a že tak robí transparentne a bezpečne.

Kedy vzniká povinnosť e-shopu preukázať oprávnené spracovanie osobných údajov

Povinnosť preukázať oprávnenosť spracovania môže vzniknúť e-shopu v rôznych situáciách. Medzi najčastejšie patria:

• Na žiadosť dotknutej osoby – zákazník má právo vedieť, ako a prečo sú jeho údaje spracúvané, a e-shop mu to musí vedieť relevantne vysvetliť.
• V prípade kontroly zo strany Úradu na ochranu osobných údajov – úrad má právo vyžadovať všetky dôkazy potrebné na overenie zákonnosti spracovania údajov.
• Pri vybavovaní žiadostí, výmazov alebo obmedzenia spracúvania – pri uplatnení práv zákazníka podľa GDPR (napr. práva na výmaz), musí e-shop preukázať, že mal oprávnený dôvod na spracúvanie údajov.

Je dôležité, aby e-shop mal kompletnú a aktuálnu dokumentáciu, ktorá počas týchto situácií slúži ako dôkaz oprávneného spracovania.

Dokumentácia potrebná na preukázanie oprávneného spracovania údajov

Na preukázanie oprávneného spracovania údajov musí e-shop disponovať súborom dokumentov. Tieto dokumenty by mali byť vypracované odborne, aktuálne a prístupné v prípade potreby:

• Záznamy o spracovateľských činnostiach – podľa článku 30 GDPR musí každý prevádzkovateľ mať vedené záznamy o tom, aké údaje spracúva, na aký účel, kto k nim má prístup, ako dlho ich uchováva, atď.
• Informovaný súhlas – ak sa spracúvanie zakladá na súhlase, musí byť tento súhlas dokumentovaný, odvolateľný a preukázateľný.
• Interné smernice a politiky ochrany údajov – napríklad smernica o evidencii bezpečnostných incidentov, alebo politika uchovávania údajov.
• Analýza oprávneného záujmu – ak e-shop spracúva údaje na základe tzv. oprávneného záujmu (napr. zabezpečenie prevádzky, analytika), musí mať vypracovanú tzv. LIA (Legitimate Interest Assessment).

Bez tejto dokumentácie môže e-shop čeliť problémom pri akomkoľvek spochybnení zákonnosti jeho spracovateľských činností.

Najčastejšie právne základy, ktoré e-shopy používajú

E-shopy často spracúvajú najrôznejšie kategórie osobných údajov – od bežných údajov typu meno a adresa, až po údaje o nákupných zvyklostiach. Každé z týchto spracovaní musí byť oprávnené:

Zmluvné spracovanie údajov

Ak zákazník vytvára objednávku, poskytuje svoje údaje v súvislosti so zmluvným vzťahom (napr. kupná zmluva). Toto spracovanie je zákonné bez súhlasu zákazníka, no je potrebné informovať ho o spracovaní.

Zákonná povinnosť

Napríklad povinnosť uchovávať faktúry a účtovné doklady na účely kontroly zo strany daňového úradu (v súlade so zákonom o účtovníctve).

Oprávnený záujem

Umožňuje spracúvanie bez súhlasu, ak je záujem e-shopu primeraný voči právam zákazníka, napríklad:

• Odosielanie pripomienok o návrate do nákupného košíka.
• Prevencia podvodov.
• Zabezpečenie bezpečnosti systému.

Dobrovoľný súhlas

Napríklad pri zasielaní newsletterov. V tomto prípade musí byť súhlas jasný, preukázateľný a odvolateľný.

Kontrola zo strany Úradu na ochranu osobných údajov

Úrad na ochranu osobných údajov SR má právomoci preveriť každého prevádzkovateľa – teda aj bežný e-shop. Môže vyžiadať:

• Preukázanie právneho základu pre spracovanie.
• Prístup k dokumentácii a údajom.
• Spôsob zabezpečenia údajov, ochranu pred neoprávneným prístupom.
• Postupy pri výkone práv dotknutých osôb (napr. vymazanie údajov, prístup k údajom).

V prípade zistenia porušení môže úrad uložiť sankcie až do 4 % z ročného obratu alebo do výšky 20 miliónov eur – podľa toho, ktorá suma je vyššia.

Najčastejšie chyby e-shopov pri spracovaní údajov

Rizikom pre e-shop nie je len zlá dokumentácia, ale aj:

• Nenaplnenie zásady minimalizácie údajov – zber nadbytočných údajov.
• Neposkytnutie povinných informácií zákazníkovi počas nákupu.
• Chýbajúci súhlas alebo nevhodným spôsobom získaný súhlas.
• Neaktualizovaná dokumentácia – napríklad po zmene poskytovateľa e-mail marketingu.
• Neschopnosť reagovať do jedného mesiaca na žiadosť dotknutej osoby.

Odporúčania pre prevádzkovateľov e-shopov

Pre minimalizáciu rizík a compliance s legislatívou odporúčame e-shopom:

• Vykonať GDPR audit – zmapovať všetky spracovania a ich účel.
• Viesť a pravidelne aktualizovať spracovateľské záznamy.
• Pripraviť si vzory súhlasov, interných smerníc a analýz oprávneného záujmu.
• Školiť zamestnancov v oblasti spracovania osobných údajov.
• Mít plán reakcie na žiadosti dotknutých osôb.

Ak si e-shop nie je istý správnosťou svojich postupov, je vhodné spolupracovať s odborníkom na ochranu údajov, prípadne poveriť osobu zodpovednú za túto agendu (tzv. zodpovedná osoba – DPO).

Záver

Každý e-shop je povinný byť schopný preukázať oprávnenosť spracovania osobných údajov kedykoľvek, najmä pri kontrole alebo žiadosti od zákazníka. Táto povinnosť vyplýva z GDPR a súvisí s princípom „zodpovednosti“ – teda schopnosti preukázať súlad s legislatívou. Bez dôkladnej dokumentácie, správneho výberu právneho základu a pri nedodržiavaní zásad transparentnosti sa e-shop vystavuje značným rizikám. Prevencia a pripravenosť na kontrolu sú kľúčom k úspešnému a dôveryhodnému podnikaniu v online priestore.