Prevádzkovateľ internetového obchodu www.kronikazivota.sk (ďalej len „Prevádzkovateľ“)

PLUTOS COMPANY, s. r. o.

Východná 6968/26

911 08 Trenčín

IČO: 45 373 841

Prevádzkovateľ v súlade s nariadením EPaR EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:

Spracovania objednávky, vystavenia daňového dokladu a vedenia reklamácii v internetovom obchode www.kronikazivota.sk v rozsahu: PLUTOS COMPANY, s. r. o., Východná 6968/26, 911 08 Trenčín, IČO: 45 373 841, plutos.company@gmail.com , 0911 512 484, číslo bankového účtu…………………., podpis………………….

Predávajúci týmto oznamuje kupujúcemu, že spracúvanie osobných údajov je povolené v zmysle Článku 6 ods.1 písm. b) všeobecného Nariadenia EP a R (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.

V zmysle Článku 6 ods.1 písm. b) všeobecného Nariadenia EP a R (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov bude predávajúci ako prevádzkovateľ v procese uzatvárania kúpnej zmluvy spracúvať osobné údaje kupujúceho bez jeho súhlasu ako dotknutej osoby, keďže spracúvanie osobných údajov kupujúceho bude vykonávané predávajúcim v predzmluvných vzťahoch s kupujúcim a spracúvanie osobných údajov kupujúceho je nevyhnutné na plnenie z kúpnej zmluvy, v ktorej vystupuje kupujúci ako jedna zo zmluvných strán.

1. Marketingu a to formou:
   • Zasielania newsletter správ na e-mailovú adresu a to prihlásením sa zákazníka do mailing listu na stránkach internetového obchodu kronikazivota.sk v rozsahu: (titul, meno, priezvisko, e-mailová adresa).
   • Účasti na reklamných kampaniach (akciách), vedených na stránkach internetového obchodu PLUTOS COMPANY, s. r. o. alebo formou letákov v rozsahu: (titul, meno, priezvisko, poštová adresa, e-mailová adresa, telefón, podpis).
   • Návštevník internetového obchodu sa môže prihlásiť k odberu noviniek priamo zadaním svojej e-mailovej adresy do políčka „Prihláste sa na odber noviniek…“ uvedenom na stránkach kronikazivota.sk alebo ako kupujúci môže zaškrtnutím príslušného políčka pred odoslaním objednávky vyjadriť svoj súhlas v zmysle Článku 6 ods.1 písm. a) všeobecného Nariadenia EP a R (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, aby predávajúci spracoval a uschovával jeho osobné údaje, najmä tie, ktoré sú uvedené vyššie a/alebo ktoré sú potrebné pri činnosti predávajúceho týkajúcej sa zasielania informácií o nových produktoch, zľavách a akciách na ponúkaných tovaroch a spracovával ich vo všetkých svojich informačných systémoch, týkajúcich sa zasielania informácií o nových produktoch, zľavách a akciách na ponúkaných tovaroch. Kupujúci udeľuje predávajúcemu tento súhlas na dobu určitú do splnenia účelu spracúvania osobných údajov kupujúceho. Predávajúci po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných údajov kupujúceho. Súhlas so spracovaním osobných údajov môže kupujúci odvolať kedykoľvek písomnou formou. Zrušenie súhlasu pri zasielaní newsletter správ je možné vykonať aj elektronicky a to odhlásením sa z mailing listu. Automatické odhlásenie je zobrazené v spodnej časti newsletter správy, ktorá vám príde na vami zadanú e-mailovú adresu. Súhlas zanikne v lehote 1 mesiaca od doručenia odvolania súhlasu kupujúcim predávajúcemu.

Prevádzkovateľ prehlasuje, že:

1. Spracované osobné údaje dotknutých osôb použije len na vyššie uvedené účely v rámci svojich obchodných aktivít.
2. Nevyužívaním zasielania newsletter správ nevzniká hrozba odmietnutia zmluvného vzťahu.

Spoločné ustanovenia:

Osobné údaje, ktoré poskytujete prevádzkovateľovi prostredníctvom registračného formulára alebo priamej objednávky musia byť pravdivé, a v prípade ich zmeny ste povinný o ich zmene bezodkladne informovať aj prevádzkovateľa.

Ochrana vašich osobných údajov sa spravuje ustanoveniami zákona o ochrane osobných údajov, pričom vaše práva sú upravené všeobecnom Nariadení EP a R (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov napr. právo na základe písomnej žiadosti požadovať:

Právo na prístup

Máte právo na poskytnutie kópie osobných údajov, ktoré o Vás máme k dispozícii, ako aj na informácie o tom, ako Vaše osobné údaje používame. Vo väčšine prípadov vám budú Vaše osobné údaje poskytnuté v písomnej listinnej forme, pokiaľ nie je z Vašej strany požadované inak. Ak ste o poskytnutie týchto informácií požiadali elektronickými prostriedkami, budú vám poskytnuté elektronicky, ak to bude technicky možné.

Právo na nápravu

Prijímame primerané opatrenia, aby sme zabezpečili presnosť, úplnosť a aktuálnosť informácií, ktoré o Vás máme k dispozícii. Ak si myslíte, že údaje, ktorými disponujeme, sú nepresné, neúplné alebo neaktuálne, prosím, neváhajte nás požiadať, aby sme tieto informácie upravili, aktualizovali alebo doplnili.

Právo na vymazanie

Za určitých okolností máte právo nás požiadať o vymazanie Vašich osobných údajov, napríklad v prípade, ak osobné údaje, ktoré sme o Vás získali, už viac nie sú potrebné na naplnenie pôvodného účelu spracovania alebo v prípade, ak odvoláte svoj súhlas so spracovaním. Vaše právo je však potrebné posúdiť z pohľadu všetkých relevantných okolností. Napríklad, môžeme mať určité právne a regulačné povinnosti, čo znamená, že nebudeme môcť Vašej žiadosti vyhovieť.

Právo na obmedzenie spracovania

Za určitých okolností ste oprávnený nás požiadať, aby sme prestali používať Vaše osobné údaje. Ide napríklad o prípady, keď si myslíte, že osobné údaje, ktoré o Vás máme, môžu byť nepresné alebo keď si myslíte, že už Vaše osobné údaje nepotrebujeme využívať.

Právo na prenosnosť údajov

Za určitých okolností máte právo požiadať nás o prenos osobných údajov, ktoré ste nám poskytli, na inú tretiu stranu podľa Vášho výberu. Právo na prenosnosť sa však týka len osobných údajov, ktoré sme od Vás získali na základe súhlasu alebo na základe zmluvy, ktorej ste jednou zo zmluvných strán.

Právo namietať

Máte právo namietať voči spracovaniu údajov, ktoré je založené na našich legitímnych oprávnených záujmoch (napríklad osobné údaje spracúvame na účel bezpečnosti siete a infraštruktúry). V prípade, ak nemáme presvedčivý legitímny oprávnený dôvod na spracovanie a vy podáte námietku, nebudeme Vaše osobné údaje ďalej spracúvať.

Práva súvisiace s automatizovaným rozhodovaním

Máte právo odmietnuť automatizované rozhodovanie, vrátane profilovania, z ktorého pre Vás vyplynie právny alebo podobný významný dôsledok. Spoločnosť zvyčajne nepoužíva v kontexte zamestnávania automatizované rozhodovanie alebo profilovanie.

 

Právo odvolať súhlas

Vo väčšine prípadov Vaše osobné údaje nespracúvame na základe Vášho súhlasu. Môže sa však stať, že v konkrétnych prípadoch o Váš súhlas požiadame. V prípadoch, kedy to urobíme, máte právo odvolať svoj súhlas s ďalším používaním Vašich osobných údajov. ( napr. Fotografia)

Právo podať sťažnosť

Ak chcete podať sťažnosť na spôsob, akým sú vaše osobné údaje spracúvané, vrátane uplatnenia vyššie uvedených práv, môžete sa obrátiť na linke: 0911 512 484 poslaním e-mailu na adresu: plutos.company@gmail.com alebo písomnou žiadosťou zaslanou do sídla prevádzkovateľa: PLUTOS COMPANY, s. r. o., Východná 6968/26, 911 08 Trenčín,  IČO: 45 373 841.

Ak nie ste spokojní s našou odpoveďou, alebo sa domnievate, že vaše osobné údaje spracúvame nespravodlivo alebo nezákonne, môžete podať sťažnosť na dozorný orgán, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky, https://dataprotection.gov.sk, Hraničná 12, 820 07 Bratislava 27; tel. číslo: +421 /2/ 3231 3214; E-mail: statny.dozor@pdp.gov.sk.

Tretie strany:

Vaše osobné údaje môžu byť poskytnuté tretím stranám a sprostredkovateľom, t.j. subjektom spolupracujúcim s prevádzkovateľom, ktorými sú napríklad prepravné a doručovacie spoločnosti. Aktuálny zoznam týchto subjektov je nasledujúci:

Názov	Účel spracovania	Rozsah poskytovaných osobných údajov	Právny základ
Facebook	Marketingové účely: Online reklama, cielenie reklamy	Cookies (FB Pixel)	Podľa čl. 6 ods. 1 písm. a) Nariadenia GDPR, Súhlas Zákon č. 452/2021 Z. z. Zákon o elektronických komunikáciách
Instagram	Marketingové účely: Online reklama, cielenie reklamy	Cookies (FB Pixel)	Podľa čl. 6 ods. 1 písm. a) Nariadenia GDPR, Súhlas Zákon č. 452/2021 Z. z. Zákon o elektronických komunikáciách
YouTube	Marketingové účely: Online reklama, cielenie reklamy	Cookies (FB Pixel)	Podľa čl. 6 ods. 1 písm. a) Nariadenia GDPR, Súhlas Zákon č. 452/2021 Z. z. Zákon o elektronických komunikáciách
Slovak Parcel Service s.r.o.	Príjem, spracovanie a doručovanie zásielok, notifikácia príjemcu zásielky	Meno, priezvisko, adresa doručenia, emailová adresa, telefón	Podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR –  Plnenie zmluvných vzťahov  medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva
Slovenská pošta, a.s.	Príjem, spracovanie a doručovanie zásielok, notifikácia príjemcu zásielky	Meno, priezvisko, adresa doručenia, emailová adresa, telefón	Podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR –  Plnenie zmluvných vzťahov  medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva
Shipmall Slovensko s.r.o.	Príjem, spracovanie a doručovanie zásielok, notifikácia príjemcu zásielky	Meno, priezvisko, adresa doručenia, emailová adresa, telefón	Podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR –  Plnenie zmluvných vzťahov  medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva
GOPAY s.r.o.	Platobná brána	IP adresa, platobné údaje	Podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR –  Plnenie zmluvných vzťahov  medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva
ComGate Payments, a.s.	Platobná brána	IP adresa, platobné údaje	Podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR –  Plnenie zmluvných vzťahov  medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva
PayPal	Platobná brána	IP adresa, platobné údaje	Podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR –  Plnenie zmluvných vzťahov  medzi prevádzkovateľom a sprostredkovateľom -sprostredkovateľská zmluva

POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU

Podľa § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z.^[1] Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) vydáva toto metodické usmernenie. 

ÚVOD  

Nákup tovarov a služieb sa v súčasnosti uskutočňuje v značnej miere prostredníctvom internetu. Internetový obchod (ďalej len „e-shop“) možno definovať ako predaj tovaru alebo služieb s využitím informačných a komunikačných technológií a webových aplikácií v prostredí internetu, kde na jednej strane tohto vzťahu je prevádzkovateľ e-shopu a na druhej zákazník e-shopu (ďalej len „zákazník“). Dochádza medzi nimi najčastejšie k uzavretiu kúpnej zmluvy realizovanej cez internet (zmluva uzavretá na diaľku). Súčasťou takejto zmluvy je aj získavanie informácií, vrátane osobných údajov zákazníka.

Vzhľadom na dynamickosť rozvoja informačných technológií je nemožné zohľadniť v tomto metodickom usmernení všetky eventuality, ktoré by mohli vzniknúť pri uplatňovaní Nariadenia^[2] prevádzkovateľom e-shopu, preto úrad uvádza nižšie len najbežnejšie prípady. Vzhľadom na konkrétne podmienky toho-ktorého spracúvania osobných údajov je možné, že prevádzkovateľ e-shopu bude môcť využiť napr. aj iný právny základ alebo iné nastavenia než je nižšie uvedené. Toto metodické usmernenie je len odporúčaním úradu, t. z. že nevylučuje aj iné nastavenie spracúvania osobných údajov za splnenia všetkých Nariadením ustanovených podmienok a povinností. 

Úvodom je tiež potrebné zdôrazniť, že na problematiku e-shopov sa vzťahujú aj ďalšie osobitné predpisy, napr. zákon č. 351/2011 Z. z.^[3] a zákon č. 22/2004 Z. z.^[4], ktoré je potrebné pri prevádzkovaní e-shopov zohľadniť. Tieto predpisy nepatria do vecnej pôsobnosti úradu. 

1. SPRACOVATEĽSKÉ ČINNOSTI PREVÁDZKOVATEĽA E-SHOPU A PRÁVNE ZÁKLADY SPRACÚVANIA OSOBNÝCH ÚDAJOV ZÁKAZNÍKOV Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu pravidiel ochrany osobných údajov spracúvaním osobných údajov zákazníka. Účelom takéhoto spracúvania je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti, ktoré pre prevádzkovateľa e-shopu vyplývajú najmä z právnych predpisov upravujúcich ochranu spotrebiteľa).

Je potrebné rozlišovať jednotlivé účely spracúvania osobných údajov zákazníkov prevádzkovateľom e-shopu. Vzhľadom na tieto účely môžeme identifikovať niekoľko najbežnejších spracovateľských činností, ktoré môžu spolu úzko súvisieť, ale majú odlišný právny základ.

Spracúvanie osobných údajov zákazníkov prevádzkovateľom e-shopu prebieha najmä na účely: 

objednávka tovaru/služieb (e-shop) → kúpna zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia (s tým súvisí aj následné uskutočnenie platby, dodanie tovaru alebo služby, vybavovanie reklamácie a pod.); spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov na účely plnenia zmluvy je konkrétna zmluva uzavretá na diaľku medzi zákazníkom a e-shopom,

marketingová komunikácia so zákazníkom → oprávnený záujem^[5] podľa čl. 6 ods. 1 písm.

1. f) Nariadenia (napr. zasielanie newslettera, iné formy priameho marketingu, a pod.); spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov (v nevyhnutnom rozsahu) je oprávnený záujem prevádzkovateľa e-shopu, napríklad informovanie zákazníka o novom tovare a službách daného e-shopu s cieľom podporiť ich predajnosť,

marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu→

predchádzajúci súhlas^[6]dotknutej osoby podľa čl. 6 ods. 1 písm. a) Nariadenia,

vernostný program → súhlas⁶ zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia, 

spotrebiteľská súťaž^[7] → súhlas⁶ zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia.

2.POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU

Dodržiavanie zásad spracúvania osobných údajov zákazníkov podľa čl. 5 Nariadenia

– na to, aby prevádzkovateľ mohol zákonne spracúvať osobné údaje zákazníkov na vyššie uvedené účely, musí disponovať primeraným právnym základom (viď. bod 1) (zásada zákonnosti)^[8],

– zákazníci majú právo byť informovaní o podmienkach spracúvania, o spôsobe, akým sa vybavujú ich žiadosti o výkon práv dotknutých osôb, a pod. (zásada transparentnosti)^[9],

– získané osobné údaje má prevádzkovateľ spracúvať len na konkrétne vymedzený, výslovne uvedený a legitímny účel, ďalej ich nemožno spracúvať spôsobom, ktorý nie je zlučiteľný s takýmto účelom (zásada obmedzenia účelu),

– prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie konkrétneho účelu spracúvania (zásada minimalizácie údajov), napríklad: 

• na uzavretie kúpnej zmluvy – napr. titul, meno, priezvisko, adresa bydliska, adresa dodania tovaru, ak je iná ako adresa bydliska, e-mailová adresa, telefónne číslo,
• na priamy marketing – titul, meno, priezvisko a e-mailová adresa,
• vernostný program – titul, meno, priezvisko, adresa bydliska alebo e-mailová adresa a prípadne ďalšie údaje (napríklad v závislosti od toho, akým spôsobom sú poskytované výhody plynúce z vernostného programu, resp. v závislosti od iných podmienok účasti vo vernostnom programe nastavených prevádzkovateľom),
• spotrebiteľská súťaž – zoznam spracúvaných osobných údajov závisíod podmienok súťaže uvedených v štatúte súťaže, o ktorých majú byť dotknuté osoby informované pred udelením súhlasu so spracúvaním ich osobných údajov na účel súťaže,

– prevádzkovateľ spracúva správne a aktualizované osobné údaje (zásada správnosti), 

– prevádzkovateľ uchováva osobné údaje len po nevyhnutnú dobu na dosiahnutie účelu spracúvania; dlhšie len pokiaľ je to nevyhnutné na iný účel (napríklad na účel archivácie) zlučiteľný s pôvodným účelom (zásada minimalizácie uchovávania), 

– prevádzkovateľ zaručuje primeranú bezpečnosť spracúvaných osobných údajov (zásada integrity a dôvernosti),

– prevádzkovateľ e-shopu musí byť schopný preukázať súlad s predchádzajúcimi zásadami spracúvania (zásada zodpovednosti).

Informačná povinnosť podľa čl. 13 a čl. 14 Nariadenia

– platí pre všetky spracovateľské činnosti uvedené v bode 1; informačná povinnosť smeruje od prevádzkovateľa e-shopu k dotknutej osobe (zákazníkovi e-shopu),

– poskytovanie informácií dotknutej osobe je povinnosťou prevádzkovateľa, teda prevádzkovateľ e-shopu je povinný ju plniť iniciatívne (nie na základe žiadosti dotknutej osoby),

– prevádzkovateľ dotknutej osobe poskytuje informácie ustanovené v čl. 13 ods. 1 až 3 Nariadenia, ak osobné údaje získal priamo od dotknutej osoby; podľa čl. 14 ods. 1 a 2

Nariadenia, ak osobné údaje nezískal priamo od dotknutej osoby

[príklad: osoba X objedná v e-shope ABC produkt, ktorý zakúpi ako darček pre osobu Z. E-shop ABC spracúva osobné údaje osoby X na zmluvnom právnom základe a plní si voči nej informačnú povinnosť podľa čl. 13 Nariadenia.E-shop ABC zároveň spracúva dodacie osobné údaje o osobe Z, ktorá nevie, že jej bude zaslaný darček, pričom medzi e-shopom ABC a osobou Z neexistuje priamy zmluvných vzťah. Právnym základomna spracúvanie osobných údajov osoby Z tak bude oprávnený záujem e-shopu ABC na účely plnenia zmluvy medzi e-shopom ABC a osobou X. E-shop ABC si zároveň bude voči osobe Z plniť informačnú povinnosť podľa čl. 14 Nariadenia. Nakoľko sa v tejto situácii uplatní výnimka podľa čl. 14 ods. 5 písm. b) Nariadenia („… alebo pokiaľ je pravdepodobné, že povinnosť uvedená v odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania“), e-shop ABC si informačnú povinnosť podľa čl. 14 Nariadenia voči osobe Z splní až v momente doručenia darčeka, ktorý zakúpila osoba X],

– uplatniť výnimky z informačnej povinnosti len v rozsahu vymedzenom v čl. 13 ods. 4 a čl. 14 ods. 5 Nariadenia,

– vo vzťahu k novým zákazníkom odo dňa 25.05.2018 – splniť si uvedenú informačnú povinnosť najneskôr pri získavaní osobných údajov,

– vo vzťahu k už existujúcim zákazníkom spred 25.05.2018 (napr. pokiaľ ide o pokračujúci marketing, vernostný program) – povinnosť doplniť informáciu v rozsahu, v akom zákazník nedisponuje informáciami podľa čl. 13 a čl. 14 Nariadenia,

– informácie poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho,

– informovať možno rôznymi spôsobmi (aj kombinovane) – napr. na webovej stránke      e-shopu, zaslaním informácií do e-mailu, v listinnej forme v priestoroch „kamenného obchodu“, a pod.,

– prevádzkovateľ informuje svojich zákazníkov o ich právach v postavení dotknutej osoby (čl. 15 až čl. 22 Nariadenia), najmä o práve namietať voči spracúvaniu na účely priameho marketingu a o práve odvolať súhlas so spracúvaním,

– ak sa spracúvanie zakladá na oprávnenom záujme, prevádzkovateľ informuje zákazníka o tom, ktoré oprávnené záujmy sleduje; prevádzkovateľ je tiež povinný vykonať test proporcionality vždy, ak spracúva osobné údaje na tomto právnom základe. 

 

 

 

Vedenie záznamov o spracovateľských činnostiach

Každý prevádzkovateľ e-shopu je povinný viesť záznamy o spracovateľských činnostiach podľa čl. 30 Nariadenia vždy vo vzťahu k spracovateľským činnostiam: 

– objednávka tovaru/služieb 

– vernostný program 

– priamy marketing 

       – !  SPOTREBITEĽSKÁ SÚŤAŽ 

– ak pravidelne organizuje súťaže

– ak príležitostne organizuje súťaž –napr. 1x/rok a pod.(uplatní sa výnimka podľa čl. 30 ods. 5 Nariadenia a táto spracovateľská činnosť sa nemusí v zázname uvádzať)

– záznamy si prevádzkovateľ ponecháva u seba a nezasiela ich úradu, priprípadnej kontrole ich úradu predloží^[10]. 

Zodpovedná osoba

– povinnosť určiť zodpovednú osobu majú prevádzkovatelia e-shopov, ktorí spĺňajú podmienku podľa čl. 37 ods. 1 písm. b) Nariadenia^[11] – napr. ak sa vykonáva behaviorálna reklama,

– ak podmienka podľa čl.37 ods. 1 písm. b) Nariadenia nie je naplnená, prevádzkovateľ e-shopu nemá povinnosť určiť zodpovednú osobu; ak ju napriek tomu dobrovoľne určí, je povinný postupovať rovnako ako v prípade, ak by sa povinnosť určiť zodpovednú osobu naňho vzťahovala. 

Sprostredkovateľ

– prevádzkovateľ môže poveriť spracúvaním alebo časťou spracúvania sprostredkovateľa, napríklad pre účel vyhodnotenia súťaže organizovanej prevádzkovateľom, zasielania dotazníkov spokojnosti so zakúpeným tovarom a pod.,

– sprostredkovateľ spracúva osobné údaje podľa pokynov prevádzkovateľa, v rozsahu a podľa sprostredkovateľskej zmluvy alebo iného právneho aktu¹², ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi. Sprostredkovateľská zmluva a iný právny akt musia spĺňať náležitosti podľa čl. 28 ods. 3 Nariadenia,

– na účely uzatvorenia sprostredkovateľskej zmluvy a poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje. Pokiaľ ide o zákonnosť, sprostredkovateľ disponuje pre spracúvanie osobných údajov právnym základom prevádzkovateľa (napr. oprávnený záujem).

Bezpečnosť spracúvania osobných údajov

– prevádzkovateľ e-shopu je zodpovedný za bezpečnosť a ochranu osobných údajov po celý čas ich spracúvania a je povinný prijať primerané bezpečnostné opatrenia na ich ochranu,

– podľa čl. 25 Nariadenia je prevádzkovateľ e-shopu povinný zabezpečiť ochranu už v štádiu, kedy spracúvanie ešte nie je začaté, pričom zohľadní najnovšie poznatky a náklady na vykonanie opatrení ako aj povahu, rozsah, kontext a účely spracúvania. Opatrenia nastaví podľa potrieb vzhľadom na vlastné prostredie a zohľadní bezpečnostné štandardy, ktoré sú bežné pre tú-ktorú spracovateľskú činnosť – napr. zabezpečí počítač, v ktorom dochádza k spracúvaniu osobných údajov zákazníkov antivírusovým programom,

– podľa čl. 32 Nariadenia prevádzkovateľ e-shopu je povinný prijať vzhľadom na vyššie uvedené primerané technické a organizačné opatrenia:

• technické opatrenia – antivírus, firewall, zaheslovaný počítač, alarm, zabezpečenie objektu, zabezpečenie automatizovaných i neautomatizovaných prostriedkov a pod.
• organizačné opatrenia – pokyny prevádzkovateľa e-shopu adresované zamestnancom (ak nejakých má), určenie zodpovednej osoby (ak má povinnosť

ju určiť), poučenie zamestnancov zachovávať mlčanlivosť, režim vstupu              do priestorov, v ktorých sú spracúvané osobné údaje, kľúčová politika, pravidlá spracúvania osobných údajov vrátane pravidiel ich uchovávania a pod.

Uvedené opatrenia sú len príklady, nie je možné pre všetky e-shopy potrebné opatrenia zovšeobecniť^[12]

– prevádzkovateľ má povinnosť vykonať posúdenie vplyvu na ochranu údajov podľa       čl. 35 Nariadenia, ak napĺňa niektorú z podmienok ustanovených v tomto článku^[13], 

– ! prevádzkovateľ je v prípade porušenia ochrany osobných údajov, ktoré povedie k riziku pre práva a slobody fyzických osôb (napr. sprístupnenie databázy s osobnými údajmi zákazníkov neoprávneným osobám alebo poškodenie a nedostupnosť záloh prevádzkovateľa e-shopu) takéto porušenie do 72 hodín po tom ako sa o tejto skutočnosti dozvedel oznámiť úradu; v niektorých prípadoch aj dotknutej osobe, a to bez zbytočného odkladu.¹⁵

– Prevádzkovateľ e-shopu môže súlad s Nariadením a zákonom č. 18/2018 Z. z. preukazovať aj dodržiavaním kódexu správania alebo certifikátom, nie je však povinnosťou prevádzkovateľa sa k takémuto kódexu správania (ak existuje) pristúpiť, resp. požiadať o vydanie certifikátu.^[14]

Pokiaľ ide o ďalšie povinnosti upozorňujeme, že prevádzkovateľ e-shopu je tiež povinný plniť povinnosti v zmysle zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov (ďalej len „zákon č. 351/2011 Z. z.“). Na výklad ustanovení zákona č. 351/2011 Z. z. úrad nie je vecne príslušný, odporúčame obrátiť sa na gestora zákona.  

3.POSTAVENIE ZÁKAZNÍKA E-SHOPU AKO DOTKNUTEJ OSOBY 

Zákazník e-shopu je z pohľadu Nariadenia dotknutou osobou, teda fyzickou osobou, ktorej sa osobné údaje spracúvané prevádzkovateľom e-shopu týkajú. Dotknutá osoba má podľa Nariadenia svoje práva, ktoré si môže voči prevádzkovateľovi e-shopu kedykoľvek uplatniť. 

Aké má dotknutá osoba práva ?

– Právo na prístup k údajom (čl. 15)

– Právo na opravu (čl. 16) Právo na výmaz (čl. 17) 

– Právo na obmedzenie spracúvania (čl. 18)

– Právo na prenosnosť (čl. 20) 

– Právo namietať (čl. 21) 

• ak sa spracúvanie uskutočňuje na základe oprávneného záujmu prevádzkovateľa e-shopu ( na účely priameho marketingu), zákazník má právo kedykoľvek namietať proti takémuto spracúvaniu jeho osobných údajov,
• na právo namietať na účely priameho marketingu musí byť dotknutá osoba výslovne upozornená najneskôr pri prvej komunikácii s ňou a toto právo musí byť prezentované jasne a oddelene od akýchkoľvek iných informácií,
• po uplatnení námietky zákazníka je prevádzkovateľ e-shopu povinný ihneď ukončiť spracúvanie osobných údajov na účely priameho marketingu a tieto osobné údaje už na účely priameho marketingu nespracúvať.

–Právo odvolať súhlas 

• ak sa spracúvanie uskutočňuje na základe súhlasu zákazníka ( vernostný program, spotrebiteľská súťaž), zákazník môže kedykoľvek svoj súhlas so spracúvaním odvolať a prevádzkovateľ e-shopu je povinný ukončiť spracúvanie osobných údajov, ktoré boli spracúvané na základe súhlasu, ak nedisponuje iným právnym základom,
• ak sa spracúvanie uskutočňuje na základe súhlasu zákazníka, o práve súhlas kedykoľvek odvolať musí byť zákazník podľa čl. 13 ods. 2 písm. c) Nariadenia prevádzkovateľom e-shopu vopred informovaný.

Ako má prevádzkovateľ postupovať pri vybavovaní žiadostí dotknutých osôb?

– odporúča sa pripraviť krátky, jasný a stručný interný postup ako bude prevádzkovateľ e-shopu vybavovať žiadosti dotknutých osôb (napr. formou internej smernice, pokynu), ktorý môže byť zverejnený na webovom sídle prevádzkovateľa e-shopu (prevádzkovateľ môže vytvoriť vzorový formulár),

– všetky informácie a oznámenia prevádzkovateľa smerom k dotknutej osobe musia byť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, musí sa zohľadniť kategória dotknutých osôb, ktorej sú oznámenia a informácie adresované,

– informácie a oznámenia by sa mali spravidla poskytovať rovnakým spôsobom, akým si dotknutá osoba uplatní svoje právo, ak nepožiada o iný spôsob,

– prevádzkovateľ e-shopu je povinný žiadosť dotknutej osoby vybaviť do 1 mesiaca od jej doručenia (v prípade potreby môže prevádzkovateľ predĺžiť vybavovanie žiadosti o ďalšie 2 mesiace, pričom o predĺžení lehoty je povinný dotknutú osobu upovedomiť).

4.TECHNICKÉ ASPEKTY PREVÁDZKOVANIA E-SHOPU V KONTEXTE OCHRANY OSOBNÝCH ÚDAJOV 

4.1Šablóna e-shopu

Prevádzkovateľ e-shopu môže pri výbere technického riešenia šablóny e-shopu (rozhrania, ktoré slúži na prehliadanie konkrétnych tovarov ponúkaných v e-shope alebona uskutočňovanie pridávania jednotlivých položiek do tzv. „košíka“) postupovať v zásade dvoma spôsobmi. Buď si šablónu e-shopu vytvorí sám alebo si môže (napr. prostredníctvom licenčnej zmluvy) zaobstarať šablónu e-shopu od iného subjektu. Vo väčšine prípadov z pohľadu ochrany osobných údajov nedochádza k spracúvaniu osobných údajov zo strany poskytovateľa takejto šablóny. 

4.2Webhosting e-shopu

V prípade, ak prevádzkovateľ nedisponuje vlastným webovým priestorom na technické prevádzkovanie e-shopu, najčastejšie vstupuje do zmluvného vzťahu so subjektom, ktorý mu takýto priestor poskytuje. Postavenie poskytovateľa webového priestoru bude potom závisieť od spôsobu nastavenia podmienok.  

Ak tento subjekt poskytuje pre prevádzkovateľa e-shopu webový priestor bez toho, aby z jeho strany dochádzalo k spracúvaniu osobných údajov zákazníkov e-shopu, ktoré prevádzkovateľ e-shopu spracúva, nebude potrebné upravovať ich vzájomný vzťah z pohľadu ochrany osobných údajov. 

Ak bude dochádzať k spracúvaniu osobných údajov zákazníkov e-shopu^[15] aj prostredníctvom poskytovateľa webového priestoru, bude tento poskytovateľ vystupovať v postavení sprostredkovateľa podľa čl. 4 ods. 8 Nariadenia, ak poskytovateľ webhostingu bude spracúvať osobné údaje v mene prevádzkovateľa. Vzájomný vzťah medzi prevádzkovateľom e-shopu a poskytovateľom webhostingu sa bude riadiť zmluvou alebo iným právnym aktom^[16] podľa čl. 28 ods. 3 Nariadenia. 

Poskytovateľ webového priestoru môže mať aj postavenie spoločného prevádzkovateľa, pokiaľ dochádza napr. k automatickému zálohovaniu údajov z e-shopu. V takom prípade sa    pri úprave vzťahu medzi spoločnými prevádzkovateľmi, teda vzťahu medzi prevádzkovateľom     e-shopu a poskytovateľom webového priestoru postupuje v zmysle čl. 26 Nariadenia^[17]. 

4.3Technická podpora poskytovaná prevádzkovateľovi e-shopu tretím subjektom 

Ak tretia strana zabezpečuje pre e-shop technickú podporu, kedy pri odstraňovaní technických problémov môže tento subjekt, resp. jeho zamestnanci vidieť osobné údaje zákazníkov e-shopu a nedochádza zo strany subjektu vykonávajúceho technickú podporu k ďalšiemu spracúvaniu osobných údajov (t. j. osobné údaje napr. len „vidí“, ale ďalej ich nespracúva) postačuje, aby bola v zmluve medzi prevádzkovateľom a poskytovateľom technickej podpory ustanovená povinnosť zachovávať mlčanlivosť a prijať primerané bezpečnostné opatrenia (organizačné a technické). Uvedené platí aj vo vzťahu k vykonávaniu technickej podpory prostredníctvom vzdialeného prístupu. 

5.ĎALŠIE EVENTUALITY SPRACÚVANIA OSOBNÝCH ÚDAJOV PRI PREVÁDZKOVANÍ E-SHOPU 

5.1Príjemcovia v prípade e-shopu

V prípade e-shopov sa za príjemcov považujú napr. kuriérske spoločnosti. Tieto môžu  doručovať zákazníkovi tovar objednaný v e-shopebuď vo vlastnom mene a na vlastnú zodpovednosť, kedy ako samostatní prevádzkovatelia musia disponovať primeraným právnym základom a dodržiavať ďalšie povinnosti podľa Nariadenia alebo v mene prevádzkovateľa        e-shopu, kedy vystupujú v postavení sprostredkovateľa. 

Pri postupe spracúvania osobných údajov zákazníkov týmito príjemcami na účely dodania objednaného tovaru je potrebné rozlišovať medzi tými, ktorí poskytujú svoje služby podľa zákona č. 324/2011 Z. z. o poštových službách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 324/2011 Z. z.“)^[18] a tými, ktorí podľa tohto zákona nepostupujú.  

Pri kuriéroch alebo doručovateľských spoločnostiach (ďalej spoločne len „doručovatelia“), ktorí nepostupujú podľa zákona č. 324/2011 Z. z., je potrebné rozlišovať situácie, 

– keď dochádza k objednaniu doručovateľskej/prepravnej služby priamo od dotknutej osoby, kedy právnym základom pre spracúvanie osobných údajov objednávateľa služby je zmluva medzi dotknutou osobou a doručovateľom (viď príklad č. 1), 

– keď dochádza k výkonu doručovateľskej/prepravnej služby na základe výberu takejto služby priamo v prostredí e-shopu za účelom dodania zakúpeného tovaru, kedy právnym základom doručovateľa bude súhlas kupujúceho (viď príklad č. 2) a 

– keď dochádza k doručovateľskej/prepravnej službe na základe pokynu e-shopu, kedy právnym základom je zmluva medzi zákazníkom a e-shopom (viď príklad č. 3). 

[príklad č. 1: e-shop KKK predáva oblečenie. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom KKK a zákazníkom. E-shop KKK ponúka na výber dva druhy dodania tovaru, a to osobné vyzdvihnutie na pobočke a doručenie doručovateľom Q alebo doručovateľom H. Zákazník má zlú skúsenosť s doručovateľom Q, a preto sa rozhodne využiť služby doručovateľa H. Nakoľko e-shop KKK a doručovateľ H majú nastavené zmluvné podmienky tak, že zákazník je priamo prelinkovaný na webovú stránku doručovateľa H, u ktorého si zákazník vyberie deň, čas doručenia ako aj reklamačné podmienky, právnym základom doručovateľa H bude zmluva a nie súhlas. Doručovateľ ako i e-shop KKK sú v tomto prípade samostatnými prevádzkovateľmi.]

[príklad č. 2: e-shop LUL predáva mobilné telefóny. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom LUL a zákazníkom. E-shop LUL ponúka na výber tri druhy dodania tovaru, a to osobné vyzdvihnutie na pobočke, doručovanie tovaru poštou alebo doručovateľom. Zákazník sa rozhodne, že doručovateľom mu bude dodaný tovar najrýchlejšie, a preto zaškrtne políčko, ktorým udelí súhlas doručovateľovi na spracúvanie osobných údajov za účelom výkonu doručovateľskej služby. Doručovateľ ako i e-shop LUL sú v tomto prípade samostatnými prevádzkovateľmi. Zmluvné dojednania o reklamačných podmienkach o poškodení tovaru pri preprave tovaru si upraví e-shop a doručovateľ osobitne.]

[príklad č. 3: e-shop WOW predáva počítačové doplnky. Právnym základom pre spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom WOW a zákazníkom. E-shop WOW zároveň vykonáva aj dodanie tovaru prostredníctvom vlastných vozidiel, ale niekedy využíva aj externých doručovateľov. Zákazníkom pri objednávke tovaru však nedáva na výber, či mu má byť tovar doručený jeho vlastnými vozidlami alebo externým doručovateľom. E-shop WOW tak určil účel, podmienky zmluvy, zmluvné dojednania a prostriedky spracúvania osobných údajov zákazníka    na dodanie tovaru. Doručovateľ, ktorý občas vybavuje dodanie tovaru zákazníka spracúva osobné údaje zákazníka v mene prevádzkovateľa, ktorým je e-shop WOW, a na tom istom právnom základe (zmluva s dotknutou osobou). Doručovateľ vystupuje v postavení sprostredkovateľa e-shopu WOW.]

kuriér poskytujúci služby podľa zákona č. 324/2011 Z. z. – právny základ = oprávnený záujem, ktorý vyplýva z osobitného zákona č. 324/2011 Z. z. podľa čl. 6 ods. 1 písm. f) Nariadenia (platí len vo vzťahu k osobným údajom ustanoveným v § 11 ods. 1 zákona                   č. 324/2011 Z. z.)^[19]

kuriér neposkytujúci služby podľa zákona č. 324/2011 Z. z. – právny základ = môže byť súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia/zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia  /oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia; (ako bolo uvedené v príklade vyššie pri informačnej povinnosti) 

Ak kuriérska spoločnosť využíva na doručovanie zásielok okrem svojich zamestnancov aj kuriérov, ktorí sú živnostníkmi/samostatne zárobkovo činnými osobami, budú mať títo jednotliví kuriéri voči kuriérskej spoločnosti, v mene ktorej doručovanie vykonávajú postavenie sprostredkovateľov a je potrebné upraviť ich vzťah s kuriérskou spoločnosťou v zmysle čl. 28 Nariadenia. 

5.2 Cezhraničné spracúvanie/prenos osobných údajov zákazníkov e-shopu

Ak bude prevádzkovateľ e-shopu prenášať osobné údaje zákazníkov do tretích krajín, je potrebné tieto krajiny uviesť v zázname o spracovateľských činnostiach⁷ [čl. 30 ods. 1 písm.

1. e) Nariadenia] Členské štáty Európskej únie a štáty, ktoré sú zmluvnou stranou dohody o Európskom hospodárskom priestore, nie sú tretími krajinami, teda ich nie je potrebné v tejto časti uvádzať, uvádzajú sa len v časti „príjemcovia“ [čl. 30 ods. 1 písm. d) Nariadenia].

O týchto skutočnostiach je povinný prevádzkovateľ e-shopu dotknuté osoby informovať podľa čl. 13 ods. 1 a čl. 14 ods. 1 Nariadenia. 

 

5.3 Osobitné spôsoby spracúvania osobných údajov prevádzkovateľom e-shopu

Rozmachom rôznych technológií sa postupom času vyvinuli nové spôsoby spracúvania osobných údajov zákazníkov najmä väčších e-shopov. Nižšie uvádzame pár praktických príkladov spoločne s právnym základom spracúvania osobných údajov. 

wishlist

• registrovaný zákazník má možnosť zaradiť si vybraný tovar do tzv. wishlistu (zoznam prianí)
• zasielanie e-mailu s upozornením, že sa tovar zaradený do wishlistu predáva za zvýhodnenú cenu alebo je opäť dostupný 

ak je to v rámci marketingovej činnosti – právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia 

opustený košík

-registrovaný zákazník nedokončil svoj nákup, nedokončil platbu a zasiela sa mu e-mail s upozornením a obsahom košíku 

nedochádza zatiaľ k uzavretiu kúpnej zmluvy, právny základ = predzmluvné vzťahy podľa čl. 6 ods. 1 písm. b) Nariadenia 

sledovanie sviatkov zákazníka

                        –     právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia 

reaktivácia

-registrovaný zákazník dlhšie nevyvíja v e-shope aktivitu; prevádzkovateľ e-shopu mu so zámerom motivovať ho k ďalšiemu nákupu zašle kód so zľavou na ďalší nákup 

– ak to vyplýva/je dohodnuté v zmluve – právny základ = zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia 

– ak je to v rámci marketingovej činnosti – právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia 

segmentácia

• na základe toho, čo zákazník v e-shope nakúpi, sú zákazníkovi prevádzkovateľom e-shopu zasielané newslettre s informáciami o podobnom tovare, aký zákazník v e-shope nakupuje
• právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia

upselling

• na základe obsahu zákazníkovho košíku/prípadne na základe tovaru, ktorý už v danom e-shope nakúpil predtým, sa zákazníkovi pri dokončovaní jeho objednávky (v jej platobnom procese) zobrazí obchodníkom odporúčaný tovar k ďalšiemu nákupu
• právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia

cookies-nie je za každých okolností osobným údajom; osobným údajom je vtedy, ak je súčasťou reťazca ďalších údajov viažucich sa na konkrétnu fyzickú osobu,         na základe ktorých možno túto fyzickú osobu identifikovať

• cookies ako osobný údaj – v závislostí od okolností konkrétneho prípadu môže byť právnym základom súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia

oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia (marketingové účely)[20]

• súčasne platí aj povinnosť splniť podmienky podľa § 55 zákona

č. 351/2011 Z. z. 

• ak cookies nie je osobný údaj – povinnosť plniť podmienky podľa zákona č. 351/2011 Z. z.

ZÁVER  

Spracúvanie osobných údajov v e-shope je po pochopení základných princípov a pravidiel spracúvania osobných údajov pomerne jednoduché a prehľadné. Prevádzkovateľ    e-shopu nesmie opomenúť štyri základné okruhy, ak rieši spracúvanie osobných údajov; prvým okruhom je právny základ spracúvania, následne splnenie povinnosti viesť záznamy, plnenie informačnej povinnosti voči dotknutým osobám – zákazníkom a v neposlednom rade zaistenie bezpečnosti spracúvaných osobných údajov.

[1]Zákon č. 18/2018 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525ochrane osobných údajov a o zmene ahttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525doplnení niektorých zákonov.

[2]Nariadenie Európskeho parlamentu ahttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfRady (EÚ) 2016/679 zhttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf27. apríla 2016 ohttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfochrane fyzických osôb prihttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfspracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/EShttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdf(všeobecné nariadenie ohttps://www.dataprotection.gov.sk/uoou/sites/default/files/nariadenie_2016_679_text_sk.pdfochrane údajov).

[3]Zákon č. 351/2011 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2011/351/elektronických komunikáciách vhttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2011/351/znení neskorších predpisov.

[4]Zákon č. 22/2004 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101elektronickom obchode a o zmene ahttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101doplnení zákona č. 128/2002 Z. z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101štátnej kontrolehttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene ahttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101doplnení niektorých zákonov vhttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101znení zákona č.https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101284/2002 Z. z.https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101

[5]Prevádzkovateľom dávame do pozornosti, že v zmysle recitálu 47 Nariadenia si použitie oprávneného záujmu ako právneho základu vyžaduje dôkladné posúdenie vrátane posúdenia, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie jej osobných údajov na tento účel môže uskutočniť. Prevádzkovateľ má tiež povinnosť vykonať test proporcionality. 

[6]Pre bližšie informácie k súhlasu dotknutej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa súhlasuhttps://dataprotection.gov.sk/uoou/sites/default/files/usmernenia_k_suhlasu.pdfdotknutej osoby.

[7]Pre bližšie informácie k nastaveniu podmienok spotrebiteľskej súťaže pozrieť zákon č. 22/2004 Z. z.https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/22/20150101

[8]Bližšie k zákonnosti pozri Metodické usmernenie č. 2/2018 – Zákonnosť spracúvania.

[9]Pre bližšie informácie k transparentnosti odporúčame pozrieť Usmernenie WP 29 týkajúce sa transparentnosti.https://dataprotection.gov.sk/uoou/sites/default/files/usmernenia_k_transparentnosti.pdf

[10]Vzor záznamu spoločne shttps://www.dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiachpokynmihttps://www.dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiachna jeho vyplnenie úrad zverejnil na svojom webovom sídle.

[11]Vo vzťahu k veľkému rozsahu dávame do pozornosti Usmernenie WP 29 týkajúce sa zodpovedných osôb, kde sa uvádzajú faktory, ktoré by sa mali zohľadňovať pri posúdení či ide alebo nejde o veľký rozsah.  ¹² Iným právnym aktom môže byť napríklad poverenie alebo plná moc a pod. 

[12]Výpočet niektorých bezpečnostných opatrení nájdu prevádzkovatelia aj v prílohe Vyhlášky úradu č. 158/2018https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/158/20180615Z: z. ohttps://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/158/20180615postupe pri posudzovaní vplyvu na ochranu osobných údajov.

[13]Bližšie k posudzovaniu vplyvu na ochranu osobných údajov vhttps://dataprotection.gov.sk/uoou/sk/content/prevadzkovatel-sprostredkovatel-cl-24-cl-43Usmernení WP 29 khttps://dataprotection.gov.sk/uoou/sk/content/prevadzkovatel-sprostredkovatel-cl-24-cl-43posúdeniu vplyvu.¹⁵ Bližšie podmienky stanovené v čl. 33 a čl. 34 GDPR; porušenie sa úradu oznamuje prostredníctvom formuláru, ktorý úrad zverejnil na svojom webovom sídle. 

[14]Bližšie ku kódexom správania v § 85 zákona č. 18/2018 Z. z. a k certifikátu v § 86 zákona č. 18/2018 Z. z. 

[15]Pozri legálnu definíciu pojmu spracúvanie osobných údajov podľa čl. 4 ods. 2 Nariadenia. Aj samotné uloženie, uchovávanie osobných údajov na serveroch poskytovateľa webhostingu je spracovateľskou operáciou s osobnými údajmi. 

[16]Iným právnym aktom možno rozumieť napr. plnú moc alebo poverenie, ak spĺňajú náležitosti podľa čl. 28   ods. 3 Nariadenia. 

[17]Podľa čl. 26 Nariadenia si spoloční prevádzkovatelia upravia transparentne svoje príslušné zodpovednosti           za plnenie povinností podľa Nariadenia. 

[18]Úrad pre reguláciu elektronických komunikácií a poštových služieb zverejňuje register subjektov poskytujúcichhttps://www.teleoff.gov.sk/zoznam-podnikov/poštové služby vhttps://www.teleoff.gov.sk/zoznam-podnikov/zmysle zákona č. 324/2011 Z. z.https://www.teleoff.gov.sk/zoznam-podnikov/na svojom webovom sídle.

[19]Vo vzťahu k uvedenému spracúvaniu bude musieť vykonať prevádzkovateľ test proporcionality v zmysle recitálu 47 Nariadenia. Spracúvanie e-mailovej adresy a telefónneho čísla nie je upravené v zákone č. 324/2011 Z.

z., preto nemožno z tohto zákona vychádzať. Prevádzkovateľ môže spracúvať e-mailovú adresu a telefónne číslo na základe oprávneného záujmu, tento však už nebude vyplývať zo zákona č. 324/2011 vzhľadom na uvedené. V teste proporcionality bude musieť zohľadniť aj nevyhnutnosť a primeranosť spracúvania týchto údajov vzhľadom na účel a vzhľadom na práva a slobody dotknutých osôb. 

[20]Vymazané z dôvodu vývoja právnych názorov Európskeho výboru pre ochranu údajov. Bližšie v Usmerneniach 2/2019 o spracúvaní osobných údajov podľa článku 6 ods. 1 písm. b) všeobecného nariadenia o ochrane údajov v súvislosti s poskytovaním on-line služieb dotknutým osobám, Body 47 a 55.

Žiadosť dotknutej osoby na uplatnenie jej práv

v zmysle článkov 15, 16, 17, 18, 20 a 21 Nariadenia Európskeho parlamentu a rady (EÚ) 2016/679 (ďalej len Nariadenie EÚ)

 

Adresát (prevádzkovateľ):

Názov:

Adresa:

IČO:

 

Prevádzkovateľ môže obmedziť rozsah práv dotknutej osoby v zmysle článku 23 Nariadenia EÚ, ak je takéto obmedzenie ustanovené s cieľom zaistiť najmä ochranu práv dotknutej osoby alebo iných osôb a uplatnenie vymáhania občianskoprávnych nárokov.

 

Žiadateľ(dotknutá osoba)

Titul, Meno, Priezvisko:

Korešpondenčná adresa:

E-mailová adresa:

Ďalšie údaje o dotknutej osobe, ak ich považujete za dôležité pre dohľadanie v systémoch prevádzkovateľa (dátum narodenia, osobné číslo zamestnanca a pod.):

 

(Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie  totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá túto žiadosť podáva. Ak Prevádzkovateľ preukáže, že dotknutú osobu nie je schopný identifikovať, môže odmietnuť konať na základe tejto žiadosti pri výkone práv dotknutej osoby.)

Požadovaný spôsob vybavenia žiadosti: (vyznačiť jednu možnosť)

(Prevádzkovateľ je povinný poskytnúť žiadateľovi informácie v listinnej alebo elektronickej podobe, spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to žiadateľ požiada, informácie môže Prevádzkovateľ poskytnúť aj ústne, ak žiadateľ preukáže svoju totožnosť iným spôsobom.)

• v listinnej forme o    e-mailom                           o ústne

Právo, ktoré si v zmysle Nariadenia EÚ dotknutá osoba svojou žiadosťou uplatňuje

(vyznačiť,  možnosť viacerých volieb)

• článok 15- prístup k osobným údajom

(prístup nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb)

• článok 16- oprava a doplnenie osobných údajov
• článok 17- výmaz osobných údajov (právo na zabudnutie)

(zverejnené OU/nepotrebné OU/nezákonne spracúvané OU/OU spracúvané na účely priameho marketingu/OU po odvolaní súhlasu na spracovanie, ak neexistuje iný právny základ spracúvania; toto právo sa neuplatňuje pri údajoch spracúvaných  pri výkone verejnej moci zverenej prevádzkovateľovi, spracúvaných na účel archivácie, vedecký/štatistický účel, historický výskum, na uplatnenie práva na slobodu prejavu a práva na informácie, na preukazovanie a uplatňovanie právnych nárokov)

• článok 18 -obmedzenie spracúvania osobných údajov

(počas opravy nesprávnych údajov, počas overenia či pri spracúvaní pri výkone verejnej moci/na základe oprávnených záujmov prevádzkovateľa neprevažujú záujmy dotknutej osoby, ak dotknutá osoba namieta výmaz údajov a požaduje ho nahradiť obmedzením spracúvania, ak prevádzkovateľ údaje už nepotrebuje a potrebuje ich dotknutá osoba na uplatnenie právneho nároku)

• článok 20 -prenesenie osobných údajov spracúvaných automatizovanými prostriedkami

(pri spracúvaní údajov na základe súhlasu dotknutej osoby/zmluvy medzi prevádzkovateľom a dotknutou osobou; neuplatňuje sa pri údajoch spracúvaných pri výkone verejnej moci zverenej prevádzkovateľovi)

• článok 21 – namietanie spracúvania osobných údajov

(pri spracúvaní pre potreby verejného záujmu/ výkonu verejnej moci zverenej prevádzkovateľovi/oprávnených záujmov prevádzkovateľa – ak prevádzkovateľ bude pokračovať v spracúvaní, poskytne odôvodnenie/pri spracúvaní na účely priameho marketingu – prevádzkovateľ ihneď pozastaví spracúvanie)

 

Bližšie informácie k vašej žiadosti:

 

Prevádzkovateľ poskytuje dotknutej osobe podľa článku 13 Nariadenia EÚ nasledujúce informácie:

Právnym základom pre spracúvanie osobných údajov získaných od žiadateľa a uvedených v tejto žiadosti je Nariadenie EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Prevádzkovateľ tieto údaje uchováva po dobu trvania účelu spracovania a po dobu trvania úložnej lehoty registratúrneho záznamu, ktorá je v zmysle Registratúrneho poriadku prevádzkovateľa päť rokov.

Účelom spracúvania týchto údajov je evidencia a vybavenie žiadosti dotknutej osoby na uplatnenie jej práv v súlade s platnou legislatívou. Prevádzkovateľ má v súlade so Nariadením EÚ určenú zodpovednú osobu poverenú dohľadom nad ochranou osobných údajov (ďalej len „zodpovedná osoba“).

Príjemcami osobných údajov v súlade s týmto účelom sú prevádzkovateľ, dotknutá osoba, prípadne Úrad na ochranu osobných údajov Slovenskej republiky voči ktorému má Prevádzkovateľ oznamovaciu povinnosť a príjemcovia, ktorým je Prevádzkovateľ povinný v zmysle článku 19 Nariadenia EÚ oznámiť opravu/vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov.

Dotknutá osoba má právo na poskytnutie informácie, právo na prístup k osobným údajom, právo na opravu a má právo podať návrh na začatie konania podľa § 100 zákona č. 18/2018 Z. z. o ochrane osobných údajov. Bližšie informácie o právach dotknutej osoby sú uvedené v Nariadení EÚ a tiež na webovej stránke prevádzkovateľa(v časti Ochrana osobných údajov).

Dotknutá osoba/žiadateľ prehlasuje, že sa s týmito informáciami oboznámila pred odoslaním formulára „Žiadosť dotknutej osoby na uplatnenie jej práv podľa Nariadenia EÚ“.

…………………………………………….

Dátum a podpis dotknutej osoby

(žiadateľa)

Namietanie spracúvania osobných údajov dotknutou osobou

 

Dolu podpísaný/-á Meno a priezvisko:  …………………………………………………………………………………………………

Bydlisko: …………………………………………………………………………………………………

týmto namietam spracúvanie mojich osobných údajov PLUTOS COMPANY, s. r. o., Východná 6968/26, 911 08 Trenčín, IČO: 45 373 841, za účelom:

/doplňte na aký účel spracúvame Vaše osobné údaje, ktoré namietate/ ……………………………………………………………………………………………………………………………………. Spracúvanie mojich osobných údajov namietam z nasledovných dôvodov: /popíšte dôvody, prečo nechcete, aby sme Vaše osobné údaje spracúvali/ ……………………………………………………………………………………………………………………………………. ……………………………………………………………………………………………………………………………………. ……………………………………………………………………………………………………………………………………. Žiadam o poskytnutie oznámenia o spôsobe vybavenia žiadosti týmto spôsobom: rovnakým spôsobom, ako podávam túto žiadosť; iným spôsobom: …………………………………………….

Poučenie: Vašu žiadosť vybavíme bez zbytočného odkladu, najneskôr do jedného mesiaca. Túto lehotu môžeme predĺžiť o ďalšie dva mesiace, o čom Vás budeme informovať.

Pokiaľ Vašu žiadosť nevybavíme v tejto lehote, môžete podať sťažnosť na Úrad na ochranu osobných údajov SR a žiadať o nápravu na súde. Oznámenie o spôsobe vybavenia žiadosti Vám poskytneme rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ nepožiadate o iný spôsob. V prípade kladného vybavenia žiadosti, Vaše osobné údaje nebudeme ďalej spracúvať na daný účel. Vašu žiadosť vybavujeme bezplatne. Pri opakovanej zjavne neopodstatnenej alebo neprimeranej žiadosti môžeme požadovať primeraný administratívny poplatok alebo odmietnuť konať.

V ……………………….., dňa ………………..

…………………………………….

Podpis dotknutej osoby

Odvolanie súhlasu so spracúvaním osobných údajov

 

 Dolu podpísaný/-á Meno a priezvisko: ………………………………………………………………………………………………………..

Bydlisko:  

……………………………………………………………………………………………………………………..

týmto odvolávam svoj súhlas, ktorý som poskytol/a PLUTOS COMPANY, s. r. o., Východná 6968/26, 911 08 Trenčín, IČO: 45 373 841, na spracúvanie mojich osobných údajov na nasledovný účel:

……………………………………………………………………………………………………………………………. …………………………………………………………………………………………………………………………….

Beriem na vedomie, že odvolanie nemá vplyv na zákonnosť spracúvania mojich osobných údajov prevádzkovateľom pred týmto odvolaním.

 

V …………………….., dňa ………………..

 

Podpis dotknutej osoby

 …………………………………….

Žiadosť dotknutej osoby týkajúca sa jej osobných údajov

 

Dolu podpísaný/-á Meno a priezvisko: ……………………………………………………………….  

Bydlisko: …………………………………………………………………………………………………………

týmto žiadam PLUTOS COMPANY, s. r. o., Východná 6968/26, 911 08 Trenčín,                 IČO: 45 373 841 /začiarknite o čo žiadate/

 

prístup k mojim osobným údajom (na základe Vašej žiadosti vydáme potvrdenie s informáciami o spracúvaní Vašich osobných údajov);

 

opravu mojich osobných údajov (na základe Vašej žiadosti opravíme alebo doplníme nesprávne alebo neaktuálne osobné údaje, ktoré spracúvame);

vymazanie mojich osobných údajov (na základe Vašej žiadosti vymažeme Vaše osobné údaje, pokiaľ sú splnené zákonné podmienky);

obmedzenie spracúvania mojich osobných údajov (na základe Vašej žiadosti budeme Vaše osobné údaje len uchovávať a ďalej s nimi pracovať nebudeme, pokiaľ sú splnené zákonné podmienky);

prenos mojich osobných údajov (na základe Vašej žiadosti Vám poskytneme Vaše osobné údaje v elektronickej forme ako súbor XML).

Žiadam o poskytnutie oznámenia o spôsobe vybavenia žiadosti týmto spôsobom:

 rovnakým spôsobom, ako podávam túto žiadosť;  

iným spôsobom: ………………………………………………

Poučenie: Vašu žiadosť vybavíme bez zbytočného odkladu najneskôr do jedného mesiaca. Túto lehotu môžeme predĺžiť o ďalšie dva mesiace, o čom Vás budeme informovať. Pokiaľ Vašu žiadosť nevybavíme v tejto lehote, môžete podať sťažnosť na Úrad na ochranu osobných údajov SR a žiadať o nápravu na súde. Oznámenie o spôsobe vybavenia žiadosti Vám poskytneme rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ nepožiadate o iný spôsob. Vašu žiadosť vybavujeme bezplatne. Pri opakovanej zjavne neopodstatnenej alebo neprimeranej žiadosti môžeme požadovať primeraný administratívny poplatok alebo odmietnuť konať.

 V …………………….., dňa ………………..

 

Podpis dotknutej osoby :                                                             …………………………………….