Založ si blog

GDPR a e-shop

Dňa 25. mája 2018 vstúpilo v celej Európskej únii do platnosti Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR (General Data Protection Regulation). Cieľom bolo zjednotiť pohľad na spracúvanie a ochranu osobných údajov. V zmysle čl. 4 GDPR, e-shop je informačný systém, ktorý spracúva osobné údaje dotknutých osôb. Dotknuté osoby v e-shope sú zákazníci e-shopu. Prevádzkovateľ e-shopu, ešte pred jeho spustením je povinný:

  • prijať a zdokumentovať prijaté bezpečnostné opatrenia pre spracúvanie osobných údajov v e-shope – čl. 24 a čl. 32 GDPR
  • poučiť (poveriť) fyzické osoby spracúvaním osobných údajov čl. 32 GDPR
  • uzavrieť sprostredkovateľskú zmluvu – čl. 28 GDPR, ak využíva služby sprostredkovateľa (napr. účtovník, doručovacia služba, programátor / poskytovateľ e-shopu). Doručovacia služba alebo programátor môžu sprostredkovateľ alebo tretia strana. Ak programátor prichádza do styku s osobnými údajmi náhodne pri servise e-shopu, nie je sprostredkovateľ a treba s ním uzavrieť zmluvu o mlčanlivosti.
  • informovať zákazníkov v zmysle čl. 13 GDPR – musí uviesť všetky subjekty a dôvod, ktorým poskytuje osobné údaje (napr. spoločnostiam, zasielajúcim e-maily, Facebook)
  • vypracovať záznam o spracovateľskej činnosti pre e-shop v zmysle  čl. 30 GDPR. Osobné údaje prevádzkovateľ spracúva podľa čl. 6 ods. 1 písm. b) GDPR
  • vypracovať záznam o spracovateľskej činnosti pre verných zákazníkov (zľavy, klub…) v zmysle  čl. 30 GDPR. Osobné údaje spracúva podľa čl.  6 ods. 1 písm. a) GDPR a po poskytnutí zľavy aj podľa čl.  6 ods. 1 písm.  c) GDPR
  • vytvoriť “zaklikávacie okienko“ pre vyjadrenie súhlasu, ak zasiela newslettre. Nestačí implicitný súhlas (napísanie a odoslanie e-mailovej adresy)
  • vypracovať záznam o spracovateľskej činnosti pre súťaže v zmysle  čl. 30 GDPR, ak ich robí pravidelne. Osobné údaje spracúva podľa čl.  6 ods. 1 písm. a) GDPR
  • ak dôjde k úniku osobných údajov, podľa čl. 34 GDPR, je povinný zákazníka o tom informovať. Ak sú osobné údaje napr. šifrované, tak nemusí. Preto, ak prevádzkujete e-shop, šifrujte všetky údaje a zbavíte sa mnohých starosti. Pravdepodobnosť úniku osobných údajov vytlačených na papieri je oveľa nižšia, ako elektronických dát.

Zmyslom GDPR je chrániť osobné údaje. Nestačí zákazníka len informovať, ale treba prijať aj bezpečnostné opatrenia. Prevádzkovateľka e-shopu, žiadajúca o názor na jej e-shop a po vysvetlení, čo má podľa GDPR vykonať, napísala: “Tak už som našla nejaké hlody a dala ich na stránku.“  Tak ako ona, mnoho prevádzkovateľov chápu ochranu osobných údajov v e-shope, len ako nejaký text, ktorý dajú na stránku e-shopu. Preberajú informácie napr. z českých e-shopov, prípadne prenajímatelia šablón e-shopu majú informačný text ako súčasť šablóny. V ČR sa používa termín  “správca“ a v SR “prevádzkovateľ“. Autor článku našiel e-shop, kde prevádzkovateľ e-shopu zabudol vypísať prednastavený text v šablóne. Často sa informácie v zmysle čl. 13 GDPR nachádza v rámci Všeobecných obchodných podmienok (VOP). Je to hlúpe riešenie, pretože VOP sa musí vždy odsúhlasiť. Informácie v zmysle čl. 13 GDPR sa neodsúhlasujú, ale len berú na vedomie. Niektorí naviac pridajú, že zákazník súhlasí so zasielaním reklamy  čl. 6, ods. 1 písmeno a) . Ak je na stránke len text, môžeme teda hovoriť o nejakej ochrane osobných údajov?  Mnohí prevádzkovatelia e-shopov nepochopili, ako funguje GDPR v e-shope. Problém ochrany treba chápať komplexne. Nestačí vypísať nejakú šablónu s textom, či mať zabezpečený server s e-shopom. Prevádzkovateľ musí chrániť celý reťazec. Počnúc serverom, cez PC, sprostredkovateľov, tretie strany a končiac registratúrou, kde má uložené vytlačené objednávky a faktúry. Samozrejme, prevádzkovateľ e-shopu je povinný prijaté bezpečnostné opatrenia zdokumentovať a pri kontrole z ÚOOÚ ich predložiť. Ak nebude mať chránený počítač a hacker mu odchytí prístupové heslo pre manažment e-shopu, zneužije ho vo svoj prospech. Môže mu tak spôsobiť veľké škody a problémy. Ak prevádzkovateľ manažuje e-shop cez smartphone, musí chrániť aj smartphone, nielen server. Samozrejme, nie systémom, ako uvádza jeden prevádzkovateľ: “Vaše dáta sú spoľahlivo chránené. Smartphone máme chránený snímačom odtlačku prsta.“ Prevádzkovateľ ani len netuší, že smartphone sa dá ľahko hacknúť na diaľku a snímač odtlačku prsta je mu nanič. Napriek chabému zabezpečeniu slovenských e-shopov, zákazníci sa nemusia báť o svoje peniaze, lebo platby sa vykonávajú cez externé platobné spoločnosti. Samozrejme, k bezpečnosti niektorých zahraničných e-shopov sa nebudem vyjadrovať a odporúčam nenakupovať v nich. Treba nakupovať len v osvedčených e-shopoch a s platením cez spoľahlivé platobné brány. PayPal. Mnohí predajcovia tiež pre podporu predaja využívajú aj Facebook. Naopak, niektorí predajcovia neprevádzkujú e-shop, ale predávajú tovar cez Facebookovú stránku mysliac, že GDPR sa ich netýka. GDPR sa ich týka v plnom rozsahu. Rozdiel je len v tom, že FB nikto nekontroluje alebo sa predajcovia tvária ako občania, nepodnikatelia. Niektorí ani nedávajú daňový doklad, nedodržujú 14 dňovú dobu na výmenu tovaru. Môžu si to dovoliť, lebo SOI nekontroluje predaj cez sociálne siete.

 

GDPR a monitoring (špehovanie) ľudí

26.03.2020

GDPR a monitoring ľudí Každá vládnuca strana má snahu monitorovať určitých ľudí, aby získané informácie mohla zneužiť vo svoj prospech. Udávanie, špehovanie, vydieranie fungujú už stáročia. Prečo by to malo byť dnes inak? V celom svete zúri pandémia COVID-19 koronavírus. Je dobré, keď sa vláda snaží znížiť jeho šírenie rôznymi opatreniami. Je pravda, že [...]

GDPR a home office

17.03.2020

Koronavírus COVID-19 a opatrenia Krízového štábu opatrenia spôsobili, že mnohé firmy poslali zamestnancov domov. Aby firma neskolabovala, manažment firiem sa rozhodli, že zamestnanci budú doma pracovať. Oficiálne sa tomu hovorí homeoffice, po slovensky práca doma. Samozrejme, mnohé firmy a ani inštitúcie na niečo také nikdy neboli pripravení. Teraz odrazu vhupli do [...]

GDPR a koronavírus

13.03.2020

Koronavírus ohrozuje zdravie ľudí na celom svete, koronavírus ohrozuje aj GDPR vo firme. Poviete si, čo je to za hlúposť? Nie je to hlúposť! Koronavírus spôsobuje celosvetovú katastrofu a vlády prijímajú opatrenia, aby obmedzili jeho šírenie po krajine. Opatrenia prezentujú cez masmédia, SMS alebo e-mailami s pokynmi. Kybernetickí zločinci to využívajú a tiež posielajú [...]

borrell

Borrell v mene EÚ podporil verdikt súdu OSN v kauze izraelskej politiky. Židovský národ nie je okupant, bráni sa Netanjahu

20.07.2024 21:05

Vo svojom vyhlásení Borrel súčasne dodal, že stanovisko súdu "bude potrebné dôkladnejšie analyzovať, a to aj vzhľadom na jeho dôsledky pre politiku EÚ".

Motorkár, autonehoda pri Martine

Vážna nehoda pri Martine. Motorkára previezli s ťažkými zraneniami do nemocnice

20.07.2024 19:01

Z doposiaľ nezistených príčin došlo na ceste z obce Košťany nad Turcom do Martina k zrážke osobného automobilu a motocykla.

Robert Fico a Denys Šmyhal.

Fico Šmyhaľovi: Slovensko nemieni byť rukojemníkom ukrajinsko-ruských vzťahov. Kritizuje rozhodnutie Zelenského

20.07.2024 18:16, aktualizované: 18:36

Fico podľa úradu vlády v tejto veci komunikuje už niekoľko dní s relevantnými členmi vládneho kabinetu aj s predstaviteľmi maďarskej petrochemickej skupiny MOL.

Krasnodar, Rusko, protest

Kolaps v Krasnodare: Rusi vyšli do ulíc, starosta sa chcel pripútať k stĺpu. Umlčala ich až polícia

20.07.2024 18:02, aktualizované: 20:25

Problémy s elektrinou na juhu Ruska a na okupovanom ukrajinskom polostrove Krym sa začali 16. júla po skrate na Rostovskej jadrovej elektrárni.

Ľubomír Polčic

Vedieť znamená, byť o krok vpred.

Štatistiky blogu

Počet článkov: 27
Celková čítanosť: 67644x
Priemerná čítanosť článkov: 2505x

Autor blogu

Kategórie