GDPR A INTERNETOVÉ OBCHODY
Zmena legislatívy ochrany osobných údajov sa dotkne aj internetových obchodov, alebo iných webstránok, ktoré spracúvajú osobné údaje. Okrem povinnej dokumentácie, si musia dávať pozor aj na určité špecifiká, ktoré sa ich týkajú.
1. Vyžaduje GDPR, aby zákazník poskytol súhlas so spracovaním osobných údajov za účelom spracovania objednávky? ANO
Pri spracúvaní objednávky je právny základ spracovania článok 6, ods. 1 písmeno b) spracúvanie je nevyhnutné na plnenie zmluvy (kúpnej zmluvy) a tiež na základe zákona č. 18/2018 Z.z. o ochrane osobných údajov § 13 ods. 1 písmeno c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu (zákon o DPH).
2. Vyžaduje GDPR, aby zákazník poskytol súhlas so spracovaním osobných údajov za účelom zasielania newsletteru? ÁNO
V procese nákupu na vašej stránke musí užívateľ so spracovaním osobných údajov za účelom zasielania newsletteru výslovne súhlasiť. Napríklad zaškrtnutím políčka „súhlasím so spracovaním osobných údajov za účelom zasielania newsletteru“ Toto políčko ale nemôže byť prednastavené ako „zaškrtnuté“. Užívateľ ho musí sám zaškrtnúť, pretože podľa recitálu (32) GDPR sa tzv. „mlčanie“ nepovažuje za dostatočný súhlas so spracovaním osobných údajov. Napr. formulácia „uskutočnením objednávky užívateľ súhlasí so zasielaním newsletteru“ nie je v súlade s GDPR.
Ak máte na stránke napríklad možnosť zadania emailovej adresy na zasielanie marketingových informácií, aj tu musí byť „tlačítko" na súhlas s newsletterom.
To isté platí pre spracovanie cookies, ktoré sa tiež považujú za osobné údaje. Užívateľ musí jednoznačne súhlasiť s ich spracovaním kliknutím na tlačítko „súhlasím/rozumiem“. Formulácia typu „Prezerením webstránky užívateľ súhlasí s používaním cookies“ nie je v súlade s GDPR.
3. Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby (článok 13 GDPR, bod 7.1 v organizačnej smernici našej dokumentácie)
Dotknutá osoba musí byť pri spracovaní osobných údajov informovaná o určitých informáciách, ktoré sú uvedené v článku 13 GDPR. Pri internetovom obchode dotknutú osobu informujete buď v obchodných podmienkach v časti o ochrane osobných údajoch, alebo môžete vytvoriť zvlášť podstránku, ktorá sa bude venovať len ochrane osobných údajov. Môže vyzerať nasledovne:
Všeobecné informácie k spracovaniu osobných údajov
Prevádzkovateľ stránky zodpovedná za spracúvania osobných údajov podľa nariadenia európskeho parlamentu a rady (EÚ) 2016/679, z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, (ďalej len GDPR)
1. Dotknutá osoba – kupujúci/návštevník webstránky, prevádzkovateľ – prevádzkovateľ internetového obchodu
2. Príjemcovia osobných údajov:- Mr. Company, s.r.o. , Slovenská pošta.
3. Dotknutá osoba je povinná poskytnúť pravdivé a aktuálne osobné údaje. Práva dotknutej osoby upravuje kapitola 3 GDPR. Ide napr. o právo podať sťažnosť dozornému orgánu, o práva namietať proti spracúvaniu, právo požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, právo na opravu alebo vymazanie alebo obmedzenie spracúvania osobných údajov, ako aj právo na prenosnosť údajov.
Spracovanie osobných údajov na účely uskutočnenia objednávky
1. Účely spracúvania osobných údajov: vystavenie daňového dokladu, kontaktovanie zákazníka ohľadom objednávky, plnenie zmluvy.
2. Právny základ spracúvania osobných údajov: a) Spracúvanie osobných údajov (meno, priezvisko, titul, ulica a číslo, PSČ, mesto) je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Predovšetkým podľa zákona č. 222/2004 Z. z. o dani z pridanej hodnoty. b) Spracúvanie osobných údajov (email, telefónny kontakt) je nevyhnutné na plnenie zmluvy.
3. Doba uchovávania osobných údajov – 5 rokov
Spracovanie osobných údajov na účely zasielania marketingových informácií
Pre spracovanie osobných údajov na účely zasielania marketingových informácií, platia všeobecné informácie k spracovaniu osobných údajov uvedené vyššie, a taktiež:
1. Účely spracúvania osobných údajov: zasielanie marketingových informácií
2. Právny základ spracúvania osobných údajov: článok 6 ods. 1 písm. a) GDPR - dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
3. Doba uchovávania osobných údajov – 5 rokov
Spracovanie osobných údajov na účely spracovania cookies
Pre spracovanie osobných údajov na účely spracovania cookies, platia všeobecné informácie k spracovaniu osobných údajov uvedené vyššie, a taktiež:
1. Účely spracúvania osobných údajov: poskytovanie služieb, personalizácia reklám, analýza návštevnosti, adwords, google analytics, heureka a najnakup ...
Cookies su malé množstvo dát, ktoré servery pošlú prehliadaču. Ten ich uloží na počítači užívateľa. Pri každej ďalšej návšteve stránok potom prehliadač tieto dáta posiela späť serveru.
2. Právny základ spracúvania osobných údajov: článok 6 ods. 1 písm. a) GDPR - dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
3. Doba uchovávania osobných údajov – Súbory cookie používané na našich stránkach je možné z hľadiska ich trvanlivosti rozdeliť na dva základné typy. Krátkodobé tzv. „session cookie,“ ktoré sú iba dočasné a zostávajú uložené vo vašom prehliadači iba do tej doby, pokiaľ prehliadač zavriete, a dlhodobé tzv. „persistent cookie“, ktoré zostávajú uložené vo vašom zariadení dlhšiu dobu alebo do doby, kým ich manuálne neodstránite, pričom doba ponechania súborov cookie vo vašom zariadení závisí od nastavenia samotnej cookie a nastavenia Vášho prehliadača.
4. Automatizované individuálne rozhodovanie vrátane profilovania (článok 22 GDPR, časť 7.9 v organizačnej smernici našej dokumentácie)
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú.
Ak teda napr. cielite reklamu/newsletter na základe predchádzajúcich nákupov, je potrebné aj toto právo zahrnúť do obchodných podmienok.
PODMIENKY OCHRANY OSOBNÝCH ÚDAJOV
Článok I.
Úvodné ustanovenia
Prevádzkovateľom je spoločnosť Rybár s.r.o.
Vyšehradská 4, 851 06 Bratislava
IČO: 47160420
IČ DPH: SK2023852919
Kontaktné údaje prevádzkovateľa: Roman Czirók
Mobil: 0903722593
E-mail: obchod@rybar.sk
Web: www.rybar.sk
Prevádzkovateľ zodpovedná za spracúvania osobných údajov podľa nariadenia európskeho parlamentu a rady (EÚ) 2016/679, z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, (ďalej len GDPR)
Prevádzkovateľ prijal všetky vhodné technické a organizačné opatrenia k zabezpečeniu ochrany osobných údajov.
Prevádzkovateľ neurčuje zodpovednú osobu.
Prevádzkovateľ nezamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii.
„Osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby
Článok II.
Účely spracúvania, právne základy spracúvania, kategórie dotknutých osôb, doba uchovávania OÚ, príjemcovia OÚ
|
Účel spracúvania OÚ |
Právny základ na spracovanie |
Kategórie dotknutých osôb |
Kategória OÚ |
Doba uchovávania OÚ |
Katogória príjemcov OÚ |
|
vystavenie daňového dokladu |
článok 6 ods. 1 písmeno c) GDPR |
zákazníci |
bežné osobné údaje |
podľa zákona uvedeného v právnom základe |
účtovnícka spoločnosť, pošta, kuriér |
|
zmluvné a predzmluvné vzťahy |
článok 6 ods. 1 písmeno b) GDPR |
zákazníci |
bežné osobné údaje |
lehota uvedená v zmluve |
Prevádzkovateľ,účtovnícka spoločnosť, |
|
reklamácie |
článok 6 ods. 1 písmeno c) GDPR |
zákazníci |
bežné osobné údaje |
podľa zákona uvedeného v právnom základe |
prevádzkovateľ |
|
ochrana práv a majetku kamerovým systémom |
článok 6, ods. 1. písmeno f) GDPR |
zamestnanci, návštevníci predajne, ... |
bežné osobné údaje |
14 dní |
žiadni príjemcovia |
|
zasielanie marketingových materiálov |
článok 6, ods. 1. písmeno a) GDPR |
zákazníci |
bežné osobné údaje |
? |
mailchimp |
|
identifikácia užívateľa webstránky |
článok 6, ods. 1. písmeno a) GDPR |
návštevníci webstránky |
bežné osobné údaje |
? |
Google, Facebook |
|
prihlásenie sa užívateľa do online služieb |
článok 6, ods. 1. písmeno a) GDPR |
návštevníci webstránky |
bežné osobné údaje |
počas trvania registrácie |
žiadni príjemcovia |
Pri poskytovaní osobných údajov, ktoré sú zákonnou alebo zmluvnou požiadavkou je dotknutá osoba povinná poskytnúť tieto osobné údaje. Bez poskytnutia osobných údajov nie je možné vybavenie objednávky.
Článok III
Práva dotknutej osoby
Práva dotknutej osoby vymedzuje kapitola 3 GDPR.
Ide o právo požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby, práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov.
Máte tiež právo podať sťažnosť dozornému orgánu (Úrad na ochranu osobných údajov Slovenskej republiky, Hraničná 12, 820 07 Bratislava 27, Tel: 02/ 32 31 3214, E-mail: statny.dozor@pdp.gov.sk)
Ak sa osobné údaje spracúvajú na základe písomného súhlasu, dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.
Informácie ohľadom ochrany osobných údajov, ako aj kvôli uplatneniu vašich práv ako dotknutej osoby nás prosím kontaktujte:
Roman Czirók
Mobil: +421 903722593
E-mail: roman@rybar.sk