Často sa stretávam s otázkou, čo všetko v rámci GDPR sa týka malých firiem, ak prevádzkujú e-shopy, majú jedného zamestnanca a väčšinu činnosti (účtovníctvo, logistiku) zabezpečujú pomocou externých partnerov.

Na úvod musím  povedať, že to je že e-shop malý, neznamená že sa neho vzťahuje iba malá časť GDPR, skôr naopak, povinností v prípade e-shopov je viac ako v prípade iných malých firiem. Ale poďme po poriadku.

Informačná povinnosť

Je asi najviac viditeľná záležitosť týkajúca sa GDPR, ktorá by mala byť prítomná na webe, je podstránka venovaná kompletným informáciám ochrane osobných údajov. Obsah je v nariadení uvedený v čl 13. (http://www.privacy-regulation.eu/sk/13.htm).

Povinnosťou každého prevádzkovateľa (teda aj firmy s e-shopom), je informovať dotknuté osoby predovšetkým (ale nie len) zákazníkov o spracúvaní osobných údajov vždy, keď od nich osobné údaje získavajú. (Napríklad pri registrácii a zakladaní účtu, pri objednávke, pri udelení súhlasu na zasielanie newslettra a pod.)

Na túto stránku sa potom môžu odkazovať iné časti e-shopu, pätička newsletra, a pod. tak aby zákazníci informácie o spracúvaní osobných údajov ľahko našli.

Netreba zabúdať, aj na informácie o používaní cookies a zoznam príjemcov osobných údajov, počnúc vaším účtovníkom a dopravcom, cez webhostingovú spoločnosť, alebo emailovú aplikáciu končiac poskytovateľmi analytických kódov pre online reklamu. To všetko sú príjemcovia, ktorý čiastočne vo vašom mene spracúvajú osobné údaje návštevníkov vášho webu.

Asi chápete, že sa informačná povinnosť nedá opísať z nejakého konkurenčného e-shopu, treba si údaje a systémy ktoré zbierate prostredníctvom vašej stránky reálne zmapovať.

Výkon práv dotknutých osôb

E-shopy sú viac a častejšie, než ostatné firmy, kontaktované požiadavkami na prístup k údajom, opravu údajov, ich vymazanie, alebo obmedzenie spracúvania. Každý e-shop by mal mať preto vypracované postupy, ako bude požiadavky dotknutých osôb evidovať, a vybavovať. Na to je ideálna vnútropodniková smernica, s ktorou oboznámite vašich zamestnancov, alebo partnerov ktorí vám s prevádzkou e-shopu pomáhajú. Ak sa na váš e-shop obráti zákazník s požiadavkou o opravu adresy, je nutné ju aplikovať do všetkých súvisiacich systémov (e-shop, fakturačný program, e-mailový program a pod.) Ak vám tieto služby poskytujú externisti, treba si s nimi dohodnúť aktualizáciu údajov a keď všetko prebehne, treba do 30 dní dotknutú osobu informovať o výsledku spracovania jej žiadosti.

 

Ohlasovanie bezpečnostných incidentov

Aj v prípade bezpečnosti a pokusov o prienik k osobným údajov sú e-shopy viac zraniteľné aké iné typy podnikov. E-shopy sa nemôžu spoliehať na to, že im bezpečnosť zabezpečuje firma poskytujúca webhosting. Zodpovednosť za porušenie ochrany (napríklad nabúranie sa do e-shopu a skopírovanie kontaktov zákazníkov, alebo ich prihlasovacích údajov) nesie prevádzkovateľ, t.j. vy ako firma ktorá prevádzkuje e-shop, nie sprostredkovateľ, či dátové centrum v ktorom je hosting.

Bezpečnostným incidentom je ale aj dlhšia nedostupnosť e-shopu v prípade poruchy, chybné zaslanie osobných údajov na inú adresu, strata údajov ak nie je dostupná kompletná záloha a pod.

Bezpečnostné incidenty je potrebné evidovať  a pokiaľ predstavujú riziko pre dotknuté osoby (zákazníkov) tak ich aj ohlasovať. Ak sa vám niekto niekto nabúra do e-shopu, tak je vašou povinnosťou oznámiť to Úradu pre ochranu osobných údajov a to predstavuje vysoké riziko, tak aj zákazníkom, ktorých údaje boli ohrozené. Asi tušíte že to za vás dátové centrum neurobí. Preto musíte mať vypracované vlastné postupy a dohodnutú súčinnosť s partnermi napr. poskytovateľom hostingu.

Poučení zamestnanci a zmluvní partneri

Ako už iste chápete z predošlého textu, na splnenie GDPR treba viac, ako iba umiestnenie textov na web. Splniť si povinnosti týkajúce sa výkonu práv dotknutých osôb a ohlasovania bezpečnostných incidentov vyžaduje, aby ste s uvedenými pravidlami oboznámili zamestnancov, a dali im pokyny ako majú postupovať a zároveň si tieto povinnosti zmluvne ošetrili aj s vašimi partnermi, ktoréí sprostredkovane spracúvajú osobné údaje vo vašom mene a to formou zmluvných sprostredkovateľských doložiek.

Záznamy o spracovateľských činnostiach

Aj ten najmenší e-shop okrem uvedených dokumentov (smerníc a zmlúv) musí viesť evidenciu o tom aké osobné údaje a na aký účel spracúva, komu ich sprístupňuje a ako riadi ich bezpečnosť.  Obsah záznamu je predpísaný v čl. 30 (http://www.privacy-regulation.eu/sk/30.htm). Jeho vzor vo forme excelovskej tabuľky zverejnil Úrad (https://dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiach).

Typickým spracovateľskými činnosťami sú:

  • Evidencia (registrácia) zákazníkov,
  • Marketing pomocou newslettra,
  • Účtovná evidencia,
  • Evidencia reklamácií,
  • Obchodná agenda (kúpne zmluvy),
  • Povinná je aj evidencia pošty (tzv. registratúra)
  • a GDPR zaviedlo aj povinnosť Evidovať žiadosti dotknutých osôb.

Ako vidieť aj malý e-shop z pohľadu osobných údajov spracúva údaje pre 5-7 účelov zväčša aby si plnil zákonnú povinnosť.

Správne vypracovať záznamy o spracovateľských činnostiach opäť predpokladá dobre sa zamyslieť a zanalyzovať to aké údaje, e-shop spracúva, odkiaľ pochádzajú, kde sú uložené, kto k nim má prístup a ako sú zabezpečené.

Bezpečnostné opatrenia – smernica na ochranu dát

Aj keď GDPR vyžaduje splnenie množstva formálnych požiadaviek, požiadavky na bezpečnosť sú všeobecne popísané v čl. 32 (http://www.privacy-regulation.eu/sk/32.htm) tak samotné zabezpečenia osobných údajov môže počas zavádzania GDPR do firmy byť tou najťažšou úlohou.

Vyriešiť bezpečnosť údajov v prípade e-shopu znamená spojiť sily vás ako prevádzkovateľa, vášho IT administrátora, ktorý sa stará o lokálne PC, poskytovateľa hostingu a dohodnúť si pravidlá pre bezpečnú výmenu dát t.j. šifrovanú komunikáciu, zálohovanie a obnovovanie údajov a aj pravidelné testovanie obnovy záloh (ktorá sa v praxi často podceňuje), priebežné monitorovanie pokusov o narušenie bezpečnosti (prevencia útokov), pravidelné kontrolovanie zraniteľností, pravidlá inštalácie updatov, politika mien a hesiel a úroveň oprávnení jednotlivých používateľov a pod.

Zatiaľ, čo zvyšné smernice možno pripraviť z dostupných vzorov, tak Bezpečnostná smernica a opatrenia na elimináciu rizík  musia byť „ušité“ pre každý e-shop samostatne, nedajú sa skopírovať. Zároveň je potrebné tak ako sa systémy a aplikácie počas doby používania menia, priebežne bezpečnostné pravidlá dopĺňať a aktualizovať.

Zoznam GDPR dokumentácie (nie len) pre malý e-shop

Pre preukázanie súladu spracúvania osobných údajov s nariadením GDPR by malým firmám prevádzkovateľom e-shopov nemali chýbať tieto dokumenty:

  1. Záznamy o spracovateľských činnostiach
  2. Smernice ako postupovať pri plnení informačnej povinnosti, výkone práv dotknutých osôb, oznamovaní porušenia ochrany
  3. Zmluvy so sprostredkovateľmi hostingových služieb, vedenia účtovníctva  pod.
  4. Poučenia zamestnancov z pohľadu ochrany osobných údajov
  5. Vzorové texty informácií o ochrane osobných údajov pre zákazníkov na web, pre zamestnancov z dôvodu spracúvania miezd, pre obchodných partnerov,
  6. Vzory súhlasov pre zasielanie newslettra, alebo na marketingové účely (napr. pre zverejňovanie na sociálnych sieťach a pod.)
  7. Bezpečnostná smernica obsahujúca popis konkrétnych opatrení pre elimináciu rizík pri spracpvaní osobných údajov

Samozrejme v prípade väčšieho spracúvania osobných údajov, ak máte aj kamenné predajne, kamerové systémy, marketing na základe oprávneného záujmu, bude aj zoznam potrebnej dokumentácie väčší.

Riešite GDPR vo vašej firme?

 

Dušan Peško
Data Protection Officer

Secutreo, s.r.o.