GDPR a e-shop

Dňa 25. mája 2018 vstúpilo v celej Európskej únii do platnosti Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, známe pod skratkou GDPR (General Data Protection Regulation). Cieľom bolo zjednotiť pohľad na spracúvanie a ochranu osobných údajov. V zmysle čl. 4 GDPR, e-shop je informačný systém, ktorý spracúva osobné údaje dotknutých osôb. Dotknuté osoby v e-shope sú zákazníci e-shopu. Prevádzkovateľ e-shopu, ešte pred jeho spustením je povinný:

  • prijať a zdokumentovať prijaté bezpečnostné opatrenia pre spracúvanie osobných údajov v e-shope – čl. 24 a čl. 32 GDPR
  • poučiť (poveriť) fyzické osoby spracúvaním osobných údajov čl. 32 GDPR
  • uzavrieť sprostredkovateľskú zmluvu – čl. 28 GDPR, ak využíva služby sprostredkovateľa (napr. účtovník, doručovacia služba, programátor / poskytovateľ e-shopu). Doručovacia služba alebo programátor môžu sprostredkovateľ alebo tretia strana. Ak programátor prichádza do styku s osobnými údajmi náhodne pri servise e-shopu, nie je sprostredkovateľ a treba s ním uzavrieť zmluvu o mlčanlivosti.
  • informovať zákazníkov v zmysle čl. 13 GDPR – musí uviesť všetky subjekty a dôvod, ktorým poskytuje osobné údaje (napr. spoločnostiam, zasielajúcim e-maily, Facebook)
  • vypracovať záznam o spracovateľskej činnosti pre e-shop v zmysle  čl. 30 GDPR. Osobné údaje prevádzkovateľ spracúva podľa čl. 6 ods. 1 písm. b) GDPR
  • vypracovať záznam o spracovateľskej činnosti pre verných zákazníkov (zľavy, klub…) v zmysle  čl. 30 GDPR. Osobné údaje spracúva podľa čl.  6 ods. 1 písm. a) GDPR a po poskytnutí zľavy aj podľa čl.  6 ods. 1 písm.  c) GDPR
  • vytvoriť “zaklikávacie okienko“ pre vyjadrenie súhlasu, ak zasiela newslettre. Nestačí implicitný súhlas (napísanie a odoslanie e-mailovej adresy)
  • vypracovať záznam o spracovateľskej činnosti pre súťaže v zmysle  čl. 30 GDPR, ak ich robí pravidelne. Osobné údaje spracúva podľa čl.  6 ods. 1 písm. a) GDPR
  • ak dôjde k úniku osobných údajov, podľa čl. 34 GDPR, je povinný zákazníka o tom informovať. Ak sú osobné údaje napr. šifrované, tak nemusí. Preto, ak prevádzkujete e-shop, šifrujte všetky údaje a zbavíte sa mnohých starosti. Pravdepodobnosť úniku osobných údajov vytlačených na papieri je oveľa nižšia, ako elektronických dát.

Zmyslom GDPR je chrániť osobné údaje. Nestačí zákazníka len informovať, ale treba prijať aj bezpečnostné opatrenia. Prevádzkovateľka e-shopu, žiadajúca o názor na jej e-shop a po vysvetlení, čo má podľa GDPR vykonať, napísala: “Tak už som našla nejaké hlody a dala ich na stránku.“  Tak ako ona, mnoho prevádzkovateľov chápu ochranu osobných údajov v e-shope, len ako nejaký text, ktorý dajú na stránku e-shopu. Preberajú informácie napr. z českých e-shopov, prípadne prenajímatelia šablón e-shopu majú informačný text ako súčasť šablóny. V ČR sa používa termín  “správca“ a v SR “prevádzkovateľ“. Autor článku našiel e-shop, kde prevádzkovateľ e-shopu zabudol vypísať prednastavený text v šablóne. Často sa informácie v zmysle čl. 13 GDPR nachádza v rámci Všeobecných obchodných podmienok (VOP). Je to hlúpe riešenie, pretože VOP sa musí vždy odsúhlasiť. Informácie v zmysle čl. 13 GDPR sa neodsúhlasujú, ale len berú na vedomie. Niektorí naviac pridajú, že zákazník súhlasí so zasielaním reklamy  čl. 6, ods. 1 písmeno a) . Ak je na stránke len text, môžeme teda hovoriť o nejakej ochrane osobných údajov?  Mnohí prevádzkovatelia e-shopov nepochopili, ako funguje GDPR v e-shope. Problém ochrany treba chápať komplexne. Nestačí vypísať nejakú šablónu s textom, či mať zabezpečený server s e-shopom. Prevádzkovateľ musí chrániť celý reťazec. Počnúc serverom, cez PC, sprostredkovateľov, tretie strany a končiac registratúrou, kde má uložené vytlačené objednávky a faktúry. Samozrejme, prevádzkovateľ e-shopu je povinný prijaté bezpečnostné opatrenia zdokumentovať a pri kontrole z ÚOOÚ ich predložiť. Ak nebude mať chránený počítač a hacker mu odchytí prístupové heslo pre manažment e-shopu, zneužije ho vo svoj prospech. Môže mu tak spôsobiť veľké škody a problémy. Ak prevádzkovateľ manažuje e-shop cez smartphone, musí chrániť aj smartphone, nielen server. Samozrejme, nie systémom, ako uvádza jeden prevádzkovateľ: “Vaše dáta sú spoľahlivo chránené. Smartphone máme chránený snímačom odtlačku prsta.“ Prevádzkovateľ ani len netuší, že smartphone sa dá ľahko hacknúť na diaľku a snímač odtlačku prsta je mu nanič. Napriek chabému zabezpečeniu slovenských e-shopov, zákazníci sa nemusia báť o svoje peniaze, lebo platby sa vykonávajú cez externé platobné spoločnosti. Samozrejme, k bezpečnosti niektorých zahraničných e-shopov sa nebudem vyjadrovať a odporúčam nenakupovať v nich. Treba nakupovať len v osvedčených e-shopoch a s platením cez spoľahlivé platobné brány. PayPal. Mnohí predajcovia tiež pre podporu predaja využívajú aj Facebook. Naopak, niektorí predajcovia neprevádzkujú e-shop, ale predávajú tovar cez Facebookovú stránku mysliac, že GDPR sa ich netýka. GDPR sa ich týka v plnom rozsahu. Rozdiel je len v tom, že FB nikto nekontroluje alebo sa predajcovia tvária ako občania, nepodnikatelia. Niektorí ani nedávajú daňový doklad, nedodržujú 14 dňovú dobu na výmenu tovaru. Môžu si to dovoliť, lebo SOI nekontroluje predaj cez sociálne siete.

 

GDPR a monitoring (špehovanie) ľudí

26.03.2020

GDPR a monitoring ľudí Každá vládnuca strana má snahu monitorovať určitých ľudí, aby získané informácie mohla zneužiť vo svoj prospech. Udávanie, špehovanie, vydieranie fungujú už stáročia. Prečo by to malo byť dnes inak? V celom svete zúri pandémia COVID-19 koronavírus. Je dobré, keď sa vláda snaží znížiť jeho šírenie rôznymi opatreniami. Je pravda, že [...]

GDPR a home office

17.03.2020

Koronavírus COVID-19 a opatrenia Krízového štábu opatrenia spôsobili, že mnohé firmy poslali zamestnancov domov. Aby firma neskolabovala, manažment firiem sa rozhodli, že zamestnanci budú doma pracovať. Oficiálne sa tomu hovorí homeoffice, po slovensky práca doma. Samozrejme, mnohé firmy a ani inštitúcie na niečo také nikdy neboli pripravení. Teraz odrazu vhupli do [...]

GDPR a koronavírus

13.03.2020

Koronavírus ohrozuje zdravie ľudí na celom svete, koronavírus ohrozuje aj GDPR vo firme. Poviete si, čo je to za hlúposť? Nie je to hlúposť! Koronavírus spôsobuje celosvetovú katastrofu a vlády prijímajú opatrenia, aby obmedzili jeho šírenie po krajine. Opatrenia prezentujú cez masmédia, SMS alebo e-mailami s pokynmi. Kybernetickí zločinci to využívajú a tiež posielajú [...]

benjamin netanjahu

Izraelská prokuratúra nariadila vyšetrovať Saru Netanjahuovú. Údajne pracovala na diskreditácii oponentov

26.12.2024 22:36

Netanjahu je obžalovaný z korupcie, podvodu a zneužitia dôvery. Ide o tri rôzne kauzy.

Fiala

Cesta na východ alebo lepší život? Fiala Čechov varoval pred autoritárstvom

26.12.2024 21:21

Cieľom "predavačov strachu" je podľa premiéra vyvolať v ľuďoch pochybnosti, aby neverili sebe a ani druhým.

Lichačov

Náhrada za Dánov. Ruský Rosatom spustil nový závod na výrobu lopatiek do turbín

26.12.2024 21:05

Vestas zatvoril svoj závod v meste Uljanovsk v roku 2022, teda v prvom roku vojny na Ukrajine.

jemen

Izrael ostreľoval letisko v Saná v čase, keď sa tam nachádzal aj šéf WHO

26.12.2024 19:34

Na letisku boli údajne zabití dvaja ľudia. Poškodená bola riadiaca veža, odletová hala a aj pristávacia dráha.

Ľubomír Polčic

Vedieť znamená, byť o krok vpred.

Štatistiky blogu

Počet článkov: 27
Celková čítanosť: 70636x
Priemerná čítanosť článkov: 2616x

Autor blogu

Kategórie