Dokumentácia pre e-shop

Aké povinnosti má prevádzkovateľ internetového obchodu z pohľadu zákona o ochrane osobných údajov? Spoločnosť chce spustiť e-shop len na predaj zdravotníckych pomôcok a zdravotníckeho materiálu bez marketingových aktivít a aj bez zasielania propagačných materiálov. Bude potrebovať len meno a adresu dotknutej osoby? Stačí mať len evidenčný list IS alebo je potrebné oznámenie na úrad?

Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu zákona spracúvaním jeho osobných údajov. Tým dochádza k vytvoreniu informačného systému osobných údajov podľa zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z. (ďalej len „zákon o ochrane osobných údajov“) (ďalej aj „IS e-shop“ alebo „informačný systém e-shop“). Účelom tohto spracúvania osobných údajov zákazníka, fyzickej osoby, je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti vyplývajúce prevádzkovateľovi e-shopu najmä v súvislosti s právnymi predpismi upravujúcimi ochranu spotrebiteľa).

Právnym základom spracúvania osobných údajov zákazníka v informačnom systéme e-shop je § 10 ods. 3 písm. b) citovaného zákona. Prevádzkovateľ e-shopu nemá povinnosť oznamovať IS e-shop úradu, pretože právnym základom spracúvania osobných údajov v ňom je § 10 ods. 3 písm. b) citovaného zákona, prevádzkovateľ si o IS e-shop vedie evidenciu v zákonom stanovenom rozsahu. Úrad zverejňuje na svojom webovom sídle tlačivo „Evidencia informačného systému osobných údajov", ktoré po vyplnení prevádzkovateľ e-shopu na úrad nezasiela, ale si ho uschová u seba (tlačivo evidencie informačného systému osobných údajov). Prevádzkovateľ e-shopu musí plniť informačnú povinnosť v zmysle § 15 ods. 1 zákona, a to oznámiť zákazníkovi, ako dotknutej osobe, istý rozsah informácií, ktoré súvisia so spracúvaním jej osobných údajov. Informačnú povinnosť môže zapracovať do Všeobecných obchodných podmienok. Z hľadiska personálneho zaistenia bezpečného spracúvania osobných údajov zákazníkov je potrebné, aby zamestnanci e-shopu spracúvajúci osobné údaje zákazníkov boli, ako oprávnené osoby prevádzkovateľa, poučení v zmysle zákona (vzor „Poučenia“ je zverejnený na webovom sídle úradu).

Pokiaľ e-shop prevádzkuje fyzická osoba – podnikateľ, ktorá nemá žiadnych zamestnancov a okrem nej samotnej neprichádza do styku s osobnými údajmi žiadna iná fyzická osoba, nie je potrebné, aby poučila samu seba. Za bezpečnosť osobných údajov v tomto prípade zodpovedá ona ako prevádzkovateľ. V prípade, ak by prevádzkovateľom e-shopu bola jednoosobová spoločnosť s ručením obmedzeným, kde je totožná osoba spoločníka a konateľa, je potrebné, aby táto fyzická osoba bola poučená ako oprávnená osoba, pretože ide o osobu odlišnú od obchodnej spoločnosti, ktorá je prevádzkovateľom e-shopu. Z hľadiska bezpečnostnej dokumentácie vyžadovanej podľa § 19 zákona a nasledujúcich, ak prevádzkovateľ nespracúva v IS e-shop citlivé osobné údaje podľa § 13 zákona, ktorý je prepojený s verejne prístupnou počítačovou sieťou (sieť internet), je postačujúce, ak prijme primerané bezpečnostné opatrenia v základnom rozsahu. Nie je potrebné, aby bezpečnostné opatrenia zdokumentoval v bezpečnostnom projekte. Bezpečnostný projekt je prevádzkovateľ povinný vypracovať vždy, ak si napríklad spracúva personálnu a mzdovú agendu sám. V prípade, ak personalistiku a mzdy alebo aj účtovníctvo spracúva externá spoločnosť, ide o sprostredkovateľa a prevádzkovateľ je povinný vypracovať zmluvu podľa § 8 ods. 4 zákona o ochrane osobných údajov.

 

Poznámka redakcie:
§ 15 ods. 1, § 34, § 43 zákona č. 122/2013 Z. z.

Súvisiace právne predpisy ZZ SR

Súvisiace príklady z praxe

Súvisiace interné firemné predpisy


Autori

  • JUDr. Marcela Macová, PhD.

Právny stav od

  • 1. 4. 2014

Dátum publikácie

  • 23. 11. 2016

S-EPI, s.r.o. © 2010-2017, všetky práva vyhradené