Ochrana osobných údajov v eshope

Jedným z hlavných problémov v internetovom obchode je bezpečnosť
prenášaných informácií, pretože subjekty, ktoré medzi sebou uzatvárajú obchody sa
navzájom nepoznajú. Práve preto musí prevádzkovateľ internetového obchodu dbať na
ochranu osobných údajov, pričom pod pojmom osobné údaje v internetovom obchode
rozumieme všetky údaje, ktoré nakupujúci zadá do administračného systému internetového obchodu. Takto získané osobné údaje sa automaticky ukladajú do databázy administračného systému, ktorú spravuje prevádzkovateľ internetového obchodu a ďalej spracúva na vymedzené účely.

oou

 

Podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“) sa „spracúvaním osobných údajov rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.“ Aby prevádzkovateľ internetového obchodu zabezpečil čo najsilnejšiu ochranu osobných údajov svojich zákazníkov, je povinný postupovať v súlade so zákonom
o ochrane osobných údajov, podľa ktorého je povinný:

  • vymedziť účel, na aký sa spracúvajú osobné údaje,
  • vytýčiť podmienky spracúvania osobných údajov,
  • získavať osobné údaje len na vymedzený účel,
  • zabezpečiť, aby sa spracúvali len osobné údaje v rozsahu a obsahovo zodpovedajúce účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
  • zaistiť, aby sa osobné údaje spracúvali a využívali len spôsobom, ktorý zodpovedá účelu, na ktorý boli získané,
  • spracúvať len osobné údaje, ktoré sú správne, úplné a podľa potreby aktualizované vo vzťahu k účelu spracúvania,
  • zaistiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
  • zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil,
  • osobné údaje spracúvať tak, aby to bolo v súlade s dobrými mravmi a konať spôsobom, ktorý neporušuje zákony.

Prevádzkovateľovi internetového obchodu zákon o ochrane osobných údajov rozširuje základné povinnosti vyplývajúce zo zákona o elektronickom obchode tým, že pridáva povinnosť sprístupniť na svojej webovej stránke spotrebiteľovi účel na aký spracúva osobné údaje a všetky doplňujúce informácie v rozsahu, v akom sú potrebné pre spotrebiteľa na zaručenie jeho práv, najmä právo byť informovaný o podmienkach spracúvania svojich osobných údajov. Spotrebiteľ, ktorý uzatvára obchod na diaľku prostredníctvom internetového obchodu nemusí mať prehľad v tom ako prevádzkovateľ nakladá s jeho osobnými údajmi. Preto zákon o ochrane osobných údajov ukladá právo spotrebiteľovi na základe písomnej žiadosti vyžadovať od prevádzkovateľa internetového obchodu tieto informácie:

  • potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané,
  •  informácie o priebežnom stave spracúvania svojich osobných údajov v informačnom systéme,
  • zdroj, z ktorého boli získané jej osobné informácie,
  • kópiu svojich osobných údajov z informačného systému,
  • korekciu svojich osobných údajov v informačnom systéme,
  • odstránenie svojich osobných údajov z informačného systému prevádzkovateľa, ak bol splnený účel ich spracúvania,
  • likvidáciu svojich osobných údajov, ak došlo k porušeniu zákona, blokovanie jej osobných údajov, z dôvodu odvolania súhlasu pred uplynutím času jeho platnosť, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby.“

bezpeconost-webu

Prevádzkovateľovi internetového obchodu, tak ako aj iným podnikateľským subjektom, vyplývajú zo zákona o ochrane osobných údajov 4 základné povinnosti:

  1. oznamovacia povinnosť voči Úradu na ochranu osobných údajov,
  2. poučenie oprávnených osôb,
  3. vypracovanie bezpečnostného projektu,
  4. zaistenie technických, organizačných a personálnych opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

Prevádzkovateľovi internetového obchodu, pred začatím činnosti, prislúcha povinnosť oznámiť úradu na ochranu osobných údajov informačný systém, ktorý zákon o ochrane osobných údajov definuje ako „informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.“
Oznámenie informačného systému musí prevádzkovateľ internetového obchodu
vyplniť písomne alebo elektronicky a doručiť úradu na ochranu osobných údajov.
Prevádzkovateľ internetového obchodu má povinnosť poučiť oprávnenú osobu o právach a povinnostiach ustanovených zákonom o ochrane osobných údajov a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Oprávnenou osobou môže byť akákoľvek osoba v pracovnoprávnom vzťahu s prevádzkovateľom, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru. Oprávnená osoba je viazaná mlčanlivosťou o osobných údajoch, s ktorými príde do styku a nesmie ich využiť pre osobnú potrebu. Oprávnená osoba bez súhlasu prevádzkovateľa internetového obchodu nemôže osobné údaje zverejniť a nikomu poskytnúť ani sprístupniť. Prevádzkovateľ internetového obchodu je povinný vyhotoviť záznam o poučení oprávnenej osoby.

privacy_policy

Prevádzkovateľ internetového obchodu je zodpovedný za výkon dohľadu nad ochranou spracúvaných osobných údajov, čo obnáša najmä dozor nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov. V prípade ak prevádzkovateľ internetového obchodu má 20 a viac oprávnených osôb, prostredníctvom ktorých spracúva osobné údaje, zákon o ochrane osobných údajov mu ukladá povinnosť poveriť zodpovednú osobu, alebo viaceré zodpovedné osoby výkonom dohľadu nad ochranou spracúvaných údajov. „Zodpovednou osobou je oprávnená osoba s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na plnenie jej úloh. Zodpovednou osobou
môže byť len fyzická osoba, ktorá ma spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu na ochranu osobných údajov o absolvovaní skúšky na výkon funkcie zodpovednej osoby“  Výkon dohľadu nad ochranou osobných údajov predstavuje viacero úloh a činností, ktoré je zodpovedná osoba povinná plniť, a to najmä:

  • súčinnosť s Úradom pre ochranu osobných údajov pri plnení úloh patriacich do jeho pôsobnosti,
  • posúdenie vzniku nebezpečenstva narušenia práv a slobôd dotknutých osôb pred začatím spracúvania osobných údajov v informačnom systéme prevádzkovateľa internetového obchodu,
  • dohľad nad plnením povinností prevádzkovateľa vyplývajúcich zo zákona o ochrane osobných údajov,
  • poučenie oprávnených osôb,
  • vybavovanie žiadostí dotknutých osôb,
  • prijímanie, aplikácia a aktualizácia bezpečnostných opatrení v súvislosti so spracúvaním osobných údajov,
  • dohľad nad výberom sprostredkovateľa, dohodnutie zmluvných podmienok so sprostredkovateľom a dohľad nad dodržiavaním zmluvných podmienok počas doby trvania zmluvného vzťahu,
  • dohľad nad cezhraničným prenosom osobných údajov.

Prevádzkovateľ internetového obchodu poverí zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov najneskôr do 60 dní od začatia ich spracúvania.

facebook-socialna-siet-like-chat-komunikacia-online-nestandard2

Bezpečnostné opatrenia týkajúce sa ochrany osobných údajov má povinnosť prevádzkovateľ internetového obchodu zdokumentovať v bezpečnostnom projekte informačného systému v prípade, ak je informačný systém prevádzkovateľa internetového obchodu:
– pripojený do siete internet,
– súčasťou počítačovej siete, ktorá je pripojená do siete internet.
V bezpečnostnom projekte ďalej prevádzkovateľ internetového obchodu vymedzí podľa zákona o osobných údajoch: „rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.“
Obsahové náležitosti bezpečnostného projektu vymedzuje Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácií bezpečnostných opatrení v znení neskorších predpisov. Tá stanovuje tieto body:

  • názov informačného systému, na ktorý sa vzťahuje,
  • bezpečnostný zámer,
  • analýzu bezpečnosti informačného systému,
  • závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného
    systému.

 

Spracúvanie osobných údajov prostredníctvom sprostredkovateľa

Prevádzkovateľ internetového obchodu môže poveriť spracúvaním osobných údajov aj sprostredkovateľa, pričom sprostredkovateľom rozumieme každého, kto spracúva osobné údaje v mene prevádzkovateľa internetového obchodu v rozsahu a za podmienok dojednaných v písomnej zmluve a v súlade so zákonom o ochrane osobných údajov. Pri výbere sprostredkovateľa musí prevádzkovateľ internetového obchodu dbať najmä na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, t.j. splní oznamovaciu povinnosť voči úradu na ochranu osobných údajov, vypracuje bezpečnostný projekt a poučí oprávnené osoby o právach a povinnostiach, zodpovednosti a mlčanlivosti.

Na účely poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutých osôb nevyžaduje, ale informačná povinnosť voči dotknutým osobám nie je narušená. Ak si prevádzkovateľ internetového obchodu so sprostredkovateľom dohodne, že spracúvanie osobných údajov bude vykonávať tretia osoba, tzv. subdodávateľ, je potrebné aby v zmluve zakotvili identifikačné údaje subdodávateľa, účel poskytovania osobných údajov a zoznam alebo rozsah osobných údajov,  ktorý chce sprostredkovateľ subdodávateľovi poskytnúť.

Slovenská legislatívna úprava v oblasti ochrany osobných údajov vychádza zo Smernice európskeho parlamentu a rady č. 95/46/EHS o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, avšak povinnosti vyplývajúce zo slovenskej legislatívnej úpravy v tejto oblasti výrazne prekračujú požiadavky vyplývajúce z tejto Smernice európskeho parlamentu a rady. V posledn