530a8ad821802209518e48140ee094a1

GDPR – Prestashop a Woocommerce – orchana osobných údajov

Všeobecné nariadenie o ochrane údajov (GDPR) č.2016/679 z 27.4.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov vstúpi do platnosti 25.5.2018.

Čo to prinesie pre majiteľov webov ale hlavne eshopy?

 

Ak ste boli dôsledný už pri dodržiavaní pôvodného zákona o ochrane osobných údajov a o zmene a doplnení niektorých zákonov č 122/2013 Z.z. , tak z veľkej časti povinnosti vyplývajúce z GDPR už spĺňate. Implementáciu noviniek z GDPR má na starosti nový zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov č 18/2018 Z.z s účinnosťou od roku 25.5.2018.

Zákon je však veľmi všeobecný  a ani školitelia, s ktorými sa aktuálne roztrhlo vrece a organizujú školenia podľa GDPR nemajú jasno, ako sa budú jednotlivé body aplikovať v praxi.  V odbornej verejnosti prevláda názor, že sa bude musieť počkať na vykonávaciu smernicu, ktorú by mal vydať úrad na ochranu osobných údajov, kde by malo byť podrobnejšie vysvetlené ako si naši úradníci predstavujú jednotlivé body zákona a GDPR v praxi.

 

AkÉ povinnosti vás teda čakajú?

 

Skúsime ich rozobrať po jednotlivých oblastiach, tak ako ich aktuálne chápeme a vnímame my. Píšeme to primárne pre systém Prestashop, ale je to takmer identické aj pre systém Woocommerce pod WordPressom.

Čo sú osobné údaje? Rozumieme pod nimi údaje na identifikáciu osoby, ktorú možno identifikovať priamo alebo nepriamo, ako je napríklad meno, priezvisko, identifikačné číslo, RČ , lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu. Do týchto údajov, teda spadajú všetky údaje ktoré potrebuje k spracovaniu objednávok, ale patrí sem napr aj IP adresa.

Osobné údaje sa môžu získavať len na konkrétny účel a len v nevyhnutnom rozsahu. Archivácia osobných údajom by mala byť len čas, kým je to potrebné na účel, na ktorý boli osobné údaje poskytnuté.

Súhlas na spracovanie osobných údajov pre potreby spracovania objednávky, nie je potrebný., pretože vzniká právny základ na spracovanie osobných údajov. Ale údaje by ste teda okrem objednávkového procesu nemohli nikdy na nič iné využiť.  Preto odporúčame, samozrejme aby to bolo slobodné, súhlas vyžiadať.

 

Viac o súhlase či a kde je potrebný v tomto článku:

 

Informáciu o spracovaní osobných údajov by mala byť  v Obchodných podmienkach ale zvýraznená oproti ostatnému textu, aby to bolo odlíšené od ostatných obchodných podmienok, alebo urobiť zvlášť podstránku (dokument) venujúci sa ochrane osobných údajov.

 

V tejto informácií by malo byť uvedené na aký účel sa osobné informáciu spracovávané, akým tretím stranám na osobné informáciu poskytujú (kuriérske spoločnosti, splátkové spoločnosti, … ), ako dlho sú uchovávané v systéme, akým spôsobom sa osobné údaje zo systému likvidujú.

Zákazníci by mali mať právo na:

  • prístup k svojim osobným údajom
  • prenos/presun svojich údajov
  • opravu a/alebo vymazanie svojich osobných údajov
  • udelenie a odobratie súhlasu

V prestashope je prístup k svojim bezproblémoví, zákazník ich vie kontrolovať a editovať.  Prenos alebo vymazanie ale nie je cez samotný systém možný.  Udelenie súhlasu na napr marketingovými službami sa robí pri založení účtu. Odobratie súhlasu systém Prestashop je možné v Osobných údajoch v zákazníckom účte eshopu.  Zákon a GDRP hovoria jasne a to, že odobratie súhlasu so spracovaním OU, zmazanie OU, prípadne požiadanie o presun OU by malo byť tak jednoduché, ako je to pri ich zadávaní.

 

Toto potom kompletne riešia jedine moduly ako napríklad:

Tento modul (ako aj iné moduly tohto typu) spravia presne to, čo je potrebné a to aby zákazník vedel cez svoje prihlasovanie údaje nie len meniť osobné údaje, ale ich aj zmazať, požiadať o presun, odobrať súhlas so spracovaním údajov.

 

Súhlas na marketingové účely, t.j. na kampane, newslettre a pod musí byť slobodný a nesmie byť povinný pri registrácií zákazníka alebo pri uzatváraní objednávky. Súhlas by mal vedieť zákazník kedykoľvek zrušiť.

 

Vzniká povinnosť pre prevádzkovateľov eshopov overiť, že nakupujúci je starší ako 16 rokov. Pretože ak má osoba menej ako 16 rokov, potrebujete zákonného zástupcu pre spracovanie jeho osobných údajov. Čo je teda v podmienkach eshopov a internetových služieb nevykonateľné. Nakoľko nikto z nás nemá krištáľovú guľu, navrhujeme zapracovať do obchodných podmienok a tiež by sme to navrhovali zvýrazniť, že zákazník prehlasuje že má viac ako 16 rokov. To je to najjednoduchšie riešenie.  Ďalším riešením je zapracovať túto informáciu priamo do objednávkového formulára. Opäť nevieme čo na to vykonávacia smernica povie.

Primeraná bezpečnosť  osobných údajov. Počítač ako aj systém v ktorom pracujete s osobnými údajmi musí byť prístupný len po hesla, nesmie byť voľne prístupný.  PC musí byť vybavené antivírusovým programov.  Ak osobné informácie z nejakého dôvodu tlačíte  odporúčame tak robiť v miestnosti kde máte prístup len vy, ktorý je uzamykateľná, alebo ich mať aspoň v uzamykateľnom trezore, skrinke a pod, aby neoprávnené osoby nemali prístup k týmto údajom.

kto je oprávnená osoba? Každá osoba, ktorá je poverená alebo oprávnená vstupovať do eshopu alebo inak pracovať s osobnými údajmi. Oprávnená osoba musí byť náležite poučená prevádzkovateľom eshopu o spôsobe manipulácie s osobnými údajmi a o tomto poučení musí existovať písomný záznam. Odporúčal by som preto poučiť aj koderov, ktorý mám do eshopu chodia aktualizovať veci, udržiavať systém, a pod. Alebo im udeliť len také práva, ktoré im znemožnia vidieť  osobné údaje vašich zákazníkov. Prevádzkovateľ ako aj oprávnené osoby sú povinné zachovať mlčanlivosť o osobných údajoch, ktoré spracovávajú.

Vzniká nová povinnosť pre všetkých, ktorí spracovávajú osobné údaje a to oznámiť úradu porušenie ochrany osobných údajov do 72 hodín. T.j. ak by ste mali podozrenie o úniku osobných údajov, či už cez elektronický systém ,alebo fyzické osobné údaje. O tento skutočností musíte informovať aj dotknutú osobu / osoby.

 

Bezpečnostná dokumentácia

 

Bezpečnostná dokumentácia / bezpečnostný projekt sa podľa DGPR mení na Posúdenie vplyvu na ochranu údajov (DPIA – Data Protection Impact Assessment).  Budeme trocha citovať úrad na ochranu osobných údajov:

V zmysle novej právnej úpravy prevádzkovateľ už nemá povinnosť vypracovať bezpečnostný projekt podľa § 20 zákona; nová právna úprava zakotvila povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov podľa čl. 35 nariadenia, ktorý musí obsahovať aspoň:

  • systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane

prípadného oprávneného záujmu ako právneho základu podľa čl. 6 ods. 1 písm. f) nariadenia, ktorý sleduje prevádzkovateľ;

  • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;
  • posúdenie rizika pre práva a slobody dotknutých osôb vo vzťahu k rizikovým spracovateľským operáciám a
  • opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením, pričom sa zohľadnia práva a oprávnené záujmy dotknutých osôb a ďalších osôb, ktorých sa to týka. Vykonané posúdenie vplyvu prevádzkovateľom je povinný prehodnocovať, a to aspoň vtedy ak došlo k zmene rizika.

Kto má povinnosť vypracovať toto posúdenie?

 

Budem opäť trocha citovať úrad. Sú to firmy zamerané na:

  • Profilovanie dotknutých osôb,
  • Automatizované spracúvanie osobných údajov generujúce rozhodnutia s právnym účinkom na dotknutú osobu (napr. posudzovanie bonity veriteľskými registrami bankových či nebankových klientskych údajov, AML systémy vo finančnom sektore, systémy na obmedzenie prístupu k hazardu apod.);
  • Spracúvanie tzv. citlivých osobných údajov (napr. rasa, zdravotné údaje, biometrické údaje, náboženské vyznanie, členstvo v odboroch, rodné číslo apod.) vo veľkom rozsahu. Nie je však nikde doposiaľ určené čo je to veľký rozsah.
  • Systematické monitorovanie verejne prístupných miest vo veľkom rozsahu (napr. využívanie kamerových systémov, čipové systémy a pod),
  • Monitorovanie zamestnancov v práci (napr. dochádzkové systémy , elektronickej pošty, elektronická dochádzka apod.);
  • Vykonávanie cezhraničných prenosov dát obsahujúcich osobné údaje do krajín mimo EÚ;
  • Vykonávanie spracúvania osobných údajov, ktoré zasahuje citlivé skupiny dotknutých osôb (deti, zamestnanci, pacienti, zdravotne znevýhodnení apod.);
  • Využívanie inovatívnych technologických a organizačných riešení ako napr. odtlačok prsta a rozpoznávanie tváre pre kontroly fyzického prístupu do určených objektov.

 

 

Podľa úradu viď aj ich usmernenia (link ) viď bod B strana 9 je tiež vysvetlené že povinnosť vypracovať posúdenie majú projekty, kde „spracovateľné operácie pravdepodobne povedú k vysokému riziku“.

 

Eshopy ako také by mohli spadať do spracovanie veľkého citlivých údajov, však nie je jasné čo j veľký rozsah a eshopy zväčša nepracujú s citlivými údajmi (údaje o rasovom či etnickom pôvodu, politických názoroch, náboženskom nebo filozofickom vyznaní, členstvo v odboroch, o zdravotnom stavu, sexuálna orientácia a trestných deliktoch).

 

Keď nie je jasné, či sa má vyžadovať posúdenie vplyvu na ochranu údajov pri eshopch, odporúča sa, aby sa posúdenie napriek tomu vykonalo aj pri projektoch, ktoré nespadajú do vyššie uvedených statí, keďže je to užitočný nástroj, ako pomôcť prevádzkovateľom dodržiavať právne predpisy o ochrane údajov. Je lepšie mať aspoň niečo, aby by prišla kontrola.

Máte na trochu kopec firiem, ktoré sa vám o to postará ale stačí aj poprezerať internet najísť si nejaký vzor a ten aplikovať na svoje podmienky.

 

Taký všeobecný vzor Posúdenia vplyvu na ochranu údajov nájdete aj tu (link).

 

 

Podľa nového zákona odpadá povinnosť evidovať takéto posúdenie na úrade na ochranu osobných údajov, ako aj nutnosť mať zodpovednú osobu. Tá je potrebná až od 250 zamestnancov.

 

Dúfam, teda že sme vniesli aspoň trochu svetla do toho čo nový zákon a GDPR prináša do praxe. Ono veľa vecí sa ešte musí utriasť, musia ja dohodnúť aj na úrovni euro-parlamantu aj úrovni úradu na ochranu osobných údajov, čo sa bude ako vykonávať, čo ako aplikovať. Takže uvidíme  ako karty zamieša ešte vykonávacia smernica., prípadne iné usmernenia či nariadenia.