Kúpna zmluva a GDPR: Ochrana osobných údajov v online obchode

Ochrana osobných údajov je v súčasnosti veľmi diskutovanou témou, obzvlášť v kontexte online nakupovania a prevádzkovania e-shopov. Všeobecné nariadenie o ochrane údajov (GDPR) prinieslo pre prevádzkovateľov internetových obchodov nové pravidlá a povinnosti, ktorých cieľom je zabezpečiť ochranu súkromia zákazníkov. Tento článok sa zaoberá problematikou ochrany osobných údajov v kontexte kúpnych zmlúv uzatváraných online, právnymi základmi spracúvania osobných údajov, povinnosťami prevádzkovateľov e-shopov a právami zákazníkov.

Právny základ spracúvania osobných údajov

GDPR stanovuje, že spracúvanie osobných údajov je zákonné len vtedy, ak existuje jeden zo šiestich právnych základov uvedených v článku 6 ods. 1 písm. a) až f). Pre prevádzkovateľov e-shopov sú najčastejšie relevantné tieto právne základy:

  • Súhlas dotknutej osoby: Zákazník udelil súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel.
  • Plnenie zmluvy: Spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby. Pri objednávke tovaru alebo služieb predstavuje právny základ spracúvania osobných údajov konkrétna zmluva uzavretá na diaľku medzi zákazníkom a prevádzkovateľom internetového obchodu. Vyplýva to z ustanovenia čl. 6 ods. b) Nariadenia.
  • Oprávnený záujem: Spracúvanie osobných údajov je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov. Podľa čl. 6 ods. 1 písm f) Nariadenia.

Kedy je potrebný súhlas so spracúvaním osobných údajov?

Prevádzkovatelia internetových obchodov získali vďaka nariadeniu GDPR možnosť, že nemusia od zákazníkov získavať súhlas so spracovaním osobných údajov pri každom spracúvaní osobných údajov. Má to ale určité pravidlá a za určitých okolností je súhlas potrebný.

Na hlavnú činnosť internetového obchodu - vybavenie objednávky, nie je potrebný súhlas so spracovaním osobných údajov. Na marketingovú komunikáciu so zákazníkom, ktorý už v internetovom obchode spravil objednávku sa tiež nevyžaduje jeho súhlas. Súhlas so spracovaním osobných údajov je ale pri prevádzkovaní internetového obchodu potrebný ak chce e-shop marketingovo komunikovať s potenciálnym zákazníkom, ktorý si u neho ešte neobjednal tovar. Súhlas sa vyžaduje napr. pri prihlásení sa na odber newslettera.

Súhlas so spracúvaním osobných údajov pre účely členstva vo vernostnom programe je potrebné získať oddelene od ostatných účelov spracúvania (kúpna zmluva a newsletter).

Prečítajte si tiež: Podmienky kúpnej zmluvy bytu

Ako získať platný súhlas so spracúvaním osobných údajov?

Súhlas so spracúvaním osobných údajov musí byť slobodný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým dáva súhlas na spracúvanie svojich osobných údajov na konkrétny účel. To znamená, že:

  • Súhlas nesmie byť súčasťou obchodných podmienok, ktoré zverejňujete prostredníctvom webových stránok.
  • Súhlas nesmie byť súčasťou zmluvy s dotknutou osobou tak, že dotknutá osoba nemá možnosť súhlas neudeliť resp. nemá priestor pre vyjadrenie nesúhlasu.
  • Súhlas musí byť udelený dotknutou osobou skutočne slobodne, že dotknutá osoba sa naozaj sama dobrovoľne rozhoduje o tom, či jej osobné údaje budú spracúvané.
  • Je zakázané používať vopred zaškrtnuté políčka o udelenom súhlase.
  • Je potrebné získavať súhlas so spracúvaním pre istý účel oddelene od iných účelov (napríklad samostatne pre newsletter, samostatne pre vernostný program, samostatne pre spotrebiteľskú súťaž).
  • V čase získavania osobných údajov na základe súhlasu dostatočne informovať dotknuté osoby o tom, ako budú ich údaje spracúvané.
  • Udelený súhlas musí byť preukázateľný.
  • Dotknutá osoba musí mať možnosť kedykoľvek udelený súhlas jednoducho odvolať.

Čo by mal súhlas so spracúvaním obsahovať?

Získavanie osobných údajov od dotknutých osôb, ako úvodná fáza spracúvania, je späté s povinnou informačnou povinnosťou voči týmto osobám. Vyplýva to z článku 13 nariadenia. Z tohto dôvodu je preto potrebné, aby váš súhlas so spracúvaním obsahoval napríklad tieto informácie:

  • identifikačné údaje vás ako prevádzkovateľa,
  • účel alebo dôvod spracúvania osobných údajov, pre ktorý vyžadujete súhlas,
  • príjemcov alebo kategórie príjemcov (podľa čl. 4 ods. 9 nariadenia), ktorým budete osobné údaje poskytovať,
  • ak budete osobné údaje vyvážať do tretej krajiny, potom informáciu o primeraných zárukách (napríklad ako rozhodnutie Európskej komisie, či pristúpenie organizácie k tzv. bezpečnému štítu),
  • informáciu o tom, že súhlas je možné kedykoľvek odvolať.

Informácie je potrebné dotknutej osobe poskytnúť zrozumiteľným a dostupným spôsobom, a to napríklad elektronicky - ako podmienky spracúvania osobných údajov zverejnené na webstránke či e-shope.

Práva dotknutých osôb (zákazníkov)

Zákazník internetového obchodu sa podľa Nariadenia považuje za dotknutú osobu. Ide o fyzickú osobu, ktorej sa týkajú osobné údaje spracúvané prevádzkovateľom e-shopu. V súvislosti s osobnými údajmi, ktoré spracúva prevádzkovateľ, má zákazník nasledovné práva:

  • Právo na prístup, opravu a doplnenie: Zákazník má právo kedykoľvek požadovať potvrdenie o tom, či jeho osobné údaje spracúvame, a ak tomu tak je, má právo získať prístup k týmto údajom (kópiu osobných údajov) a informácie o podmienkach ich spracúvania. V prípade nesprávnych alebo neúplných údajov má zákazník právo požiadať o ich opravu alebo doplnenie.
  • Právo na výmaz a obmedzenie spracúvania: Okrem odvolania súhlasu má zákazník právo za určitých okolností (napr. ak osobné údaje už nie sú potrebné na účel, na ktorý sa získali) požiadať o výmaz svojich osobných údajov alebo o obmedzenie ich spracúvania.
  • Právo na prenosnosť: Osobné údaje zákazníka, ktoré poskytol pre účely plnenia zmluvy alebo na základe súhlasu a ktoré sa spracúvajú automatizovanými prostriedkami, môže nechať preniesť inému prevádzkovateľovi, pokiaľ je to technicky možné.
  • Právo namietať: Zákazník má právo namietať z dôvodov týkajúcich sa jeho konkrétnej situácie proti spracúvaniu osobných údajov, ktoré je vykonávané na právnom základe oprávneného záujmu. Zákazník má právo namietať proti spracúvaniu osobných údajov na účely priameho marketingu, vrátane profilovania.

Špecifické situácie v e-shopoch a GDPR

Neustály rozvoj sveta technológií prináša so sebou aj nové spôsoby spracúvania osobných údajov prevádzkovateľmi internetových obchodov. Medzi bežné spracovateľské činnosti patria:

Prečítajte si tiež: Dôležité aspekty kúpnej zmluvy s doživotným užívaním

  • Wishlist (zoznam prianí): Funkcionalita, prostredníctvom ktorej si zákazník vie uložiť vybranú vec, ktorá sa mu páči, aby ju už neskôr nemusel hľadať. Právnym základom pre zasielanie informácií o znížení ceny za tovar uložený priamo vo wishliste alebo o tom, že tovar je opäť na sklade v internetovom obchode je oprávnený záujem.
  • Opustený košík: Ide o prípady, kedy má klient položky vybrané v internetovom obchode v nákupnom košíku, ale zatiaľ nepristúpil k platbe. Právnym základom pre zasielanie pripomienok o nedokončenej objednávke je tzv. predzmluvný vzťah v súvislosti s čl. 6 ods. 1 písm. b) Nariadenia.
  • Sledovanie sviatkov zákazníka: Právnym základom je opäť oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia.
  • Reaktivácia: Zákazník dlhšie nenavštevuje webovú stránku internetového obchodu alebo nevyužíva ním poskytované služby. V prípade ak táto činnosť vyplýva z už uzavretej zmluvy, právnym základom pre spracúvanie osobných údajov je práve táto zmluva.
  • Upselling: Zobrazovanie/ponúkanie podobného tovaru zákazníkom na základe už nimi zakúpeného tovaru. Informácie sa zasielajú najčastejšie formou newsletteru.
  • Cookies: Nie vždy sa považujú za osobný údaj. Osobným údajom sa stávajú a teda aj ochrane osobných údajov podliehajú v prípade ak predstavujú súčasť ďalších konkrétnych údajov viažucich sa k dotknutej osobe. Je dôležité rozoznať, či na základe týchto údajov je možné fyzickú osobu identifikovať. V prípade, že nie, vzniká povinnosť plniť podmienky podľa zákona č. 351/2011.

Bezpečnostné opatrenia

Na ochranu osobných údajov pred neoprávneným prístupom alebo manipuláciou je potrebné prijať potrebné technické a organizačné opatrenia. Tieto opatrenia zahŕňajú napríklad šifrovanie nazbieraných dát a bezpečný prenos pomocou SSL certifikátu. Tieto bezpečnostné opatrenia sú pravidelne prispôsobované a priebežne optimalizované tak, aby udržali krok s technologickým pokrokom.

Zásady ochrany osobných údajov

Prevádzkovateľ je povinný podľa Čl. 13 GDPR informovať svojich potenciálnych zákazníkov a zákazníkov o tom, ako budú spracúvané ich osobné údaje. Zásady ochrany osobných údajov by mali byť ľahko dostupné na webovej stránke e-shopu a mali by obsahovať všetky relevantné informácie o spracúvaní osobných údajov, vrátane účelu spracúvania, právneho základu, príjemcov údajov a práv dotknutých osôb.

Prečítajte si tiež: Vzor kúpnej zmluvy pre dve osoby

tags: #kúpna #zmluva #gdpr #ochrana #osobných #údajov

Ďalšie články