GDPR a e-shop

Dňa 25. mája 2018 vstúpilo v celej Európskej únii do platnosti Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR (General Data Protection Regulation). Cieľom bolo zjednotiť pohľad na spracúvanie a ochranu osobných údajov. V zmysle čl. 4 GDPR, e-shop je informačný systém, ktorý spracúva osobné údaje dotknutých osôb. Dotknuté osoby v e-shope sú zákazníci e-shopu. Prevádzkovateľ e-shopu, ešte pred jeho spustením je povinný:

  • prijať a zdokumentovať prijaté bezpečnostné opatrenia pre spracúvanie osobných údajov v e-shope – čl. 24 a čl. 32 GDPR
  • poučiť (poveriť) fyzické osoby spracúvaním osobných údajov čl. 32 GDPR
  • uzavrieť sprostredkovateľskú zmluvu – čl. 28 GDPR, ak využíva služby sprostredkovateľa (napr. účtovník, doručovacia služba, programátor / poskytovateľ e-shopu). Doručovacia služba alebo programátor môžu sprostredkovateľ alebo tretia strana. Ak programátor prichádza do styku s osobnými údajmi náhodne pri servise e-shopu, nie je sprostredkovateľ a treba s ním uzavrieť zmluvu o mlčanlivosti.
  • informovať zákazníkov v zmysle čl. 13 GDPR – musí uviesť všetky subjekty a dôvod, ktorým poskytuje osobné údaje (napr. spoločnostiam, zasielajúcim e-maily, Facebook)
  • vypracovať záznam o spracovateľskej činnosti pre e-shop v zmysle  čl. 30 GDPR. Osobné údaje prevádzkovateľ spracúva podľa čl. 6 ods. 1 písm. b) GDPR
  • vypracovať záznam o spracovateľskej činnosti pre verných zákazníkov (zľavy, klub…) v zmysle  čl. 30 GDPR. Osobné údaje spracúva podľa čl.  6 ods. 1 písm. a) GDPR a po poskytnutí zľavy aj podľa čl.  6 ods. 1 písm.  c) GDPR
  • vytvoriť “zaklikávacie okienko“ pre vyjadrenie súhlasu, ak zasiela newslettre. Nestačí implicitný súhlas (napísanie a odoslanie e-mailovej adresy)
  • vypracovať záznam o spracovateľskej činnosti pre súťaže v zmysle  čl. 30 GDPR, ak ich robí pravidelne. Osobné údaje spracúva podľa čl.  6 ods. 1 písm. a) GDPR
  • ak dôjde k úniku osobných údajov, podľa čl. 34 GDPR, je povinný zákazníka o tom informovať. Ak sú osobné údaje napr. šifrované, tak nemusí. Preto, ak prevádzkujete e-shop, šifrujte všetky údaje a zbavíte sa mnohých starosti. Pravdepodobnosť úniku osobných údajov vytlačených na papieri je oveľa nižšia, ako elektronických dát.

Zmyslom GDPR je chrániť osobné údaje. Nestačí zákazníka len informovať, ale treba prijať aj bezpečnostné opatrenia. Prevádzkovateľka e-shopu, žiadajúca o názor na jej e-shop a po vysvetlení, čo má podľa GDPR vykonať, napísala: “Tak už som našla nejaké hlody a dala ich na stránku.“  Tak ako ona, mnoho prevádzkovateľov chápu ochranu osobných údajov v e-shope, len ako nejaký text, ktorý dajú na stránku e-shopu. Preberajú informácie napr. z českých e-shopov, prípadne prenajímatelia šablón e-shopu majú informačný text ako súčasť šablóny. V ČR sa používa termín  “správca“ a v SR “prevádzkovateľ“. Autor článku našiel e-shop, kde prevádzkovateľ e-shopu zabudol vypísať prednastavený text v šablóne. Často sa informácie v zmysle čl. 13 GDPR nachádza v rámci Všeobecných obchodných podmienok (VOP). Je to hlúpe riešenie, pretože VOP sa musí vždy odsúhlasiť. Informácie v zmysle čl. 13 GDPR sa neodsúhlasujú, ale len berú na vedomie. Niektorí naviac pridajú, že zákazník súhlasí so zasielaním reklamy  čl. 6, ods. 1 písmeno a) . Ak je na stránke len text, môžeme teda hovoriť o nejakej ochrane osobných údajov?  Mnohí prevádzkovatelia e-shopov nepochopili, ako funguje GDPR v e-shope. Problém ochrany treba chápať komplexne. Nestačí vypísať nejakú šablónu s textom, či mať zabezpečený server s e-shopom. Prevádzkovateľ musí chrániť celý reťazec. Počnúc serverom, cez PC, sprostredkovateľov, tretie strany a končiac registratúrou, kde má uložené vytlačené objednávky a faktúry. Samozrejme, prevádzkovateľ e-shopu je povinný prijaté bezpečnostné opatrenia zdokumentovať a pri kontrole z ÚOOÚ ich predložiť. Ak nebude mať chránený počítač a hacker mu odchytí prístupové heslo pre manažment e-shopu, zneužije ho vo svoj prospech. Môže mu tak spôsobiť veľké škody a problémy. Ak prevádzkovateľ manažuje e-shop cez smartphone, musí chrániť aj smartphone, nielen server. Samozrejme, nie systémom, ako uvádza jeden prevádzkovateľ: “Vaše dáta sú spoľahlivo chránené. Smartphone máme chránený snímačom odtlačku prsta.“ Prevádzkovateľ ani len netuší, že smartphone sa dá ľahko hacknúť na diaľku a snímač odtlačku prsta je mu nanič. Napriek chabému zabezpečeniu slovenských e-shopov, zákazníci sa nemusia báť o svoje peniaze, lebo platby sa vykonávajú cez externé platobné spoločnosti. Samozrejme, k bezpečnosti niektorých zahraničných e-shopov sa nebudem vyjadrovať a odporúčam nenakupovať v nich. Treba nakupovať len v osvedčených e-shopoch a s platením cez spoľahlivé platobné brány. PayPal. Mnohí predajcovia tiež pre podporu predaja využívajú aj Facebook. Naopak, niektorí predajcovia neprevádzkujú e-shop, ale predávajú tovar cez Facebookovú stránku mysliac, že GDPR sa ich netýka. GDPR sa ich týka v plnom rozsahu. Rozdiel je len v tom, že FB nikto nekontroluje alebo sa predajcovia tvária ako občania, nepodnikatelia. Niektorí ani nedávajú daňový doklad, nedodržujú 14 dňovú dobu na výmenu tovaru. Môžu si to dovoliť, lebo SOI nekontroluje predaj cez sociálne siete.

 

GDPR a monitoring (špehovanie) ľudí

26.03.2020

GDPR a monitoring ľudí Každá vládnuca strana má snahu monitorovať určitých ľudí, aby získané informácie mohla zneužiť vo svoj prospech. Udávanie, špehovanie, vydieranie fungujú už stáročia. Prečo by to malo byť dnes inak? V celom svete zúri pandémia COVID-19 koronavírus. Je dobré, keď sa vláda snaží znížiť jeho šírenie rôznymi opatreniami. Je pravda, že [...]

GDPR a home office

17.03.2020

Koronavírus COVID-19 a opatrenia Krízového štábu opatrenia spôsobili, že mnohé firmy poslali zamestnancov domov. Aby firma neskolabovala, manažment firiem sa rozhodli, že zamestnanci budú doma pracovať. Oficiálne sa tomu hovorí homeoffice, po slovensky práca doma. Samozrejme, mnohé firmy a ani inštitúcie na niečo také nikdy neboli pripravení. Teraz odrazu vhupli do [...]

GDPR a koronavírus

13.03.2020

Koronavírus ohrozuje zdravie ľudí na celom svete, koronavírus ohrozuje aj GDPR vo firme. Poviete si, čo je to za hlúposť? Nie je to hlúposť! Koronavírus spôsobuje celosvetovú katastrofu a vlády prijímajú opatrenia, aby obmedzili jeho šírenie po krajine. Opatrenia prezentujú cez masmédia, SMS alebo e-mailami s pokynmi. Kybernetickí zločinci to využívajú a tiež posielajú [...]

Brexit

Ruská agresia a návrat Trumpa menia Britom názor: Väčšina podporovateľov brexitu chce naspäť voľný pohyb

13.12.2024 16:30

Invázia proti Ukrajine a návrat Trumpa zásadne zmenili kontext, v ktorom Briti vidia vzťahy medzi Spojeným kráľovstvom a EÚ.

Praha / Policie CZ /

Polícia odhalila najväčší zbierkový podvod v Česku, vyzýva ľudí na obozretnosť

13.12.2024 15:53

Skupina desiatich podvodníkov vybrala na vymyslenú charitu viac než 64 miliónov korún a podviedla tak najmenej 40 000 ľudí.

Hama / Tank / Syrian opposition /

Utekali sýrski vojaci, utekali Rusi. Ako Moskva nechala Asada napospas povstalcom a podrazila ho

13.12.2024 15:45

Rusi podľa všetkého nemali v úmysle ochrániť sýrskeho prezidenta.

Peter Pellegrini

Pellegrini podpísal zákon, ktorý lekárov prinúti pracovať aj pod hrozbou väzenia

13.12.2024 15:29, aktualizované: 16:03

Zákon, ktorý prešiel parlamentom, podpísal aj napriek kritike a otvoreným listom od zdravotníkov.

Ľubomír Polčic

Vedieť znamená, byť o krok vpred.

Štatistiky blogu

Počet článkov: 27
Celková čítanosť: 70461x
Priemerná čítanosť článkov: 2610x

Autor blogu

Kategórie