Dňa 25. mája 2018 vstúpilo v celej Európskej únii do platnosti Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR (General Data Protection Regulation). Cieľom bolo zjednotiť pohľad na spracúvanie a ochranu osobných údajov. V zmysle čl. 4 GDPR, e-shop je informačný systém, ktorý spracúva osobné údaje dotknutých osôb. Dotknuté osoby v e-shope sú zákazníci e-shopu. Prevádzkovateľ e-shopu, ešte pred jeho spustením je povinný dodržiavať zákon. Odporúčam prečítať si aj článok GDPR a e-shop na https://bezpecnost.blog.pravda.sk/2019/06/10/gdpr-a-e-shop
Prevádzkovateľ, okrem iného, je povinný poskytnúť dotknutej osobe informácie v zmysle čl. 13 GDPR. Často sa tieto informácie združujú s Všeobecnými obchodnými podmienkami (VOP). Alebo VOP a informácie v zmysle čl. 13 GDPR sú oddelené, ale pri registrácii sa vyžaduje súhlas s “Podmienkami ochrany osobných údajov“. Bez registrácie sa nakúpiť nedá. V obidvoch prípadoch je to hlúposť, lebo informácie v zmysle čl. 13 GDPR sa neodsúhlasujú, len sa berú na vedomie. Niektorí prevádzkovatelia vyžadujú súhlas so spracúvaním osobných údajov a v texte pridajú aj klauzulu, že registráciou zákazník súhlasí s so zasielaním newsletterov a s automatizovaným spracúvaním osobných údajov za účelom prispôsobovania reklám. Je to hrubé porušenie čl. 4 ods. 11 GDPR, pretože bez súhlasu sa dotknutá osoba
(zákazník) nemôže registrovať.
Zaškrtnutím políčka dotknutá osoba nedobrovoľne súhlasí s:
Alebo prevádzkovateľ chápe vyjadrenie súhlasu dotknutej osoby ako implicitné vyjadrene.
V tomto prípade je porušené ustanovenie čl. 7 ods. 1 GDPR, pretože dotknutá osoba nevyjadrila súhlas so spracúvaním osobných údajov, ale chce odoberať newsletter. Súhlas môže vyjadriť napr. zaškrtnutím okienka pre súhlas. Ale musí byť vyjadrený a dokladovateľný.
Zmyslom GDPR je chrániť osobné údaje. Nestačí zákazníka len informovať, ale treba prijať aj bezpečnostné opatrenia. Naviac, mnohí poskytovatelia e-shopov majú v e-shope hotovú „šablónu kecov o GDPR“, kde prevádzkovateľ len doplní svoje údaje. Niektorí prevádzkovatelia, žiaľ, šablónu nechajú prázdnu. Poskytovatelia e-shopov neupozorňujú (nemajú dôvod) a prevádzkovatelia si neuvedomujú, že nestačí si len splniť informačnú povinnosť. Nechápu, o čom je GDPR.
Prevádzkovateľ musí chrániť celý reťazec. Počnúc e-shopom, cez PC, cez poučenie zamestnancov (ak prevádzkovateľ nie je SZČO, tak aj seba samého) sprostredkovateľov, tretie strany a končiac ochrany registratúry, kde má uložené dokumenty s osobnými údajmi (napr. faktúry). Ak nebude mať chránený počítač a hacker mu odchytí prístupové heslo pre manažment e-shopu, zneužije ho vo svoj prospech. Taktiež aj zamestnanec môže spôsobiť veľké škody a problémy (často zamestnanci kradnú databázy zákazníkov pre komerčné účely). Prevádzkovateľ e-shopu je povinný, prijaté bezpečnostné opatrenia, zdokumentovať a pri kontrole z ÚOOÚ ich predložiť. Zákazníci by mali nakupovať len v spoľahlivých e-shopoch. Teda v tých, kde dbajú aj na ochranu dát, nielen osobných údajov.
Celá debata | RSS tejto debaty