Prevádzkovateľ

Bublina print s.r.o., Mudroňova 1747/56, 
811 03 Bratislava - mestská časť Staré mesto,
IČO: 51 105 489

POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU

Podľa § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z. 1 Úrad na ochranu osobných údajov
Slovenskej republiky (ďalej len „úrad“) vydáva toto metodické usmernenie.
ÚVOD
Nákup tovarov a služieb sa v súčasnosti uskutočňuje v značnej miere prostredníctvom
internetu. Internetový obchod (ďalej len „e-shop“) možno definovať ako predaj tovaru alebo
služieb s využitím informačných a komunikačných technológií a webových aplikácií v
prostredí internetu, kde na jednej strane tohto vzťahu je prevádzkovateľ e-shopu a na druhej
zákazník e-shopu (ďalej len „zákazník“). Dochádza medzi nimi najčastejšie k uzavretiu
kúpnej zmluvy realizovanej cez internet (zmluva uzavretá na diaľku). Súčasťou takejto
zmluvy je aj získavanie informácií, vrátane osobných údajov zákazníka.
Vzhľadom na dynamickosť rozvoja informačných technológií je nemožné
zohľadniť v tomto metodickom usmernení všetky eventuality, ktoré by mohli vzniknúť
pri uplatňovaní Nariadenia 2 prevádzkovateľom e-shopu, preto úrad uvádza nižšie len
najbežnejšie prípady. Vzhľadom na konkrétne podmienky toho-ktorého spracúvania
osobných údajov je možné, že prevádzkovateľ e-shopu bude môcť využiť napr. aj iný
právny základ alebo iné nastavenia než je nižšie uvedené. Toto metodické usmernenie je
len odporúčaním úradu, t. z. že nevylučuje aj iné nastavenie spracúvania osobných
údajov za splnenia všetkých Nariadením ustanovených podmienok a povinností.
Úvodom je tiež potrebné zdôrazniť, že na problematiku e-shopov sa vzťahujú aj ďalšie
osobitné predpisy, napr. zákon č. 351/2011 Z. z. 3 a zákon č. 22/2004 Z. z. 4 , ktoré je potrebné
pri prevádzkovaní e-shopov zohľadniť. Tieto predpisy nepatria do vecnej pôsobnosti úradu.

1. SPRACOVATEĽSKÉ ČINNOSTI PREVÁDZKOVATEĽA E-SHOPU A
PRÁVNE ZÁKLADY SPRACÚVANIA OSOBNÝCH ÚDAJOV ZÁKAZNÍKOV
Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu pravidiel
ochrany osobných údajov spracúvaním osobných údajov zákazníka. Účelom takéhoto
spracúvania je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie
tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné
povinnosti, ktoré pre prevádzkovateľa e-shopu vyplývajú najmä z právnych predpisov
upravujúcich ochranu spotrebiteľa).
Je potrebné rozlišovať jednotlivé účely spracúvania osobných údajov zákazníkov
prevádzkovateľom e-shopu. Vzhľadom na tieto účely môžeme identifikovať niekoľko
najbežnejších spracovateľských činností, ktoré môžu spolu úzko súvisieť, ale majú odlišný
právny základ.
Spracúvanie osobných údajov zákazníkov prevádzkovateľom e-shopu prebieha najmä
na účely:
objednávka tovaru/služieb (e-shop) → kúpna zmluva podľa čl. 6 ods. 1 písm. b)
Nariadenia (s tým súvisí aj následné uskutočnenie platby, dodanie tovaru alebo služby,
vybavovanie reklamácie a pod.); spracúvanie osobných údajov zákazníka prebieha bez
súhlasu zákazníka, nakoľko právnym základom spracúvania jeho osobných údajov na účely
plnenia zmluvy je konkrétna zmluva uzavretá na diaľku medzi zákazníkom a e-shopom,
marketingová komunikácia so zákazníkom → oprávnený záujem 5 podľa čl. 6 ods. 1 písm.
f) Nariadenia (napr. zasielanie newslettera, iné formy priameho marketingu, a pod.);
spracúvanie osobných údajov zákazníka prebieha bez súhlasu zákazníka, nakoľko právnym
základom spracúvania jeho osobných údajov (v nevyhnutnom rozsahu) je oprávnený záujem
prevádzkovateľa e-shopu, napríklad informovanie zákazníka o novom tovare a službách
daného e-shopu s cieľom podporiť ich predajnosť,
marketingová komunikácia s dotknutou osobou bez predchádzajúceho vzťahu→
predchádzajúci súhlas 6 dotknutej osoby podľa čl. 6 ods. 1 písm. a) Nariadenia,
vernostný program → súhlas 6 zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia,
spotrebiteľská súťaž 7 → súhlas 6 zákazníka podľa čl. 6 ods. 1 písm. a) Nariadenia.

2.POVINNOSTI PREVÁDZKOVATEĽA E-SHOPU
Dodržiavanie zásad spracúvania osobných údajov zákazníkov podľa čl. 5 Nariadenia
- na to, aby prevádzkovateľ mohol zákonne spracúvať osobné údaje zákazníkov na vyššie
uvedené účely, musí disponovať primeraným právnym základom (viď. bod 1) (zásada
zákonnosti) 8 ,
- zákazníci majú právo byť informovaní o podmienkach spracúvania, o spôsobe, akým sa
vybavujú ich žiadosti o výkon práv dotknutých osôb, a pod. (zásada transparentnosti) 9 ,
- získané osobné údaje má prevádzkovateľ spracúvať len na konkrétne vymedzený, výslovne
uvedený a legitímny účel, ďalej ich nemožno spracúvať spôsobom, ktorý nie je zlučiteľný s
takýmto účelom (zásada obmedzenia účelu),
- prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie
konkrétneho účelu spracúvania (zásada minimalizácie údajov), napríklad:
- na uzavretie kúpnej zmluvy – napr. titul, meno, priezvisko, adresa bydliska,
adresa dodania tovaru, ak je iná ako adresa bydliska, e-mailová adresa,
telefónne číslo,
- na priamy marketing – titul, meno, priezvisko a e-mailová adresa,
- vernostný program – titul, meno, priezvisko, adresa bydliska alebo e-mailová
adresa a prípadne ďalšie údaje (napríklad v závislosti od toho, akým spôsobom
sú poskytované výhody plynúce z vernostného programu, resp. v závislosti od
iných podmienok účasti vo vernostnom programe nastavených
prevádzkovateľom),
- spotrebiteľská súťaž – zoznam spracúvaných osobných údajov závisíod
podmienok súťaže uvedených v štatúte súťaže, o ktorých majú byť dotknuté
osoby informované pred udelením súhlasu so spracúvaním ich osobných údajov
na účel súťaže,
- prevádzkovateľ spracúva správne a aktualizované osobné údaje (zásada správnosti),
- prevádzkovateľ uchováva osobné údaje len po nevyhnutnú dobu na dosiahnutie účelu
spracúvania; dlhšie len pokiaľ je to nevyhnutné na iný účel (napríklad na účel archivácie)
zlučiteľný s pôvodným účelom (zásada minimalizácie uchovávania),
- prevádzkovateľ zaručuje primeranú bezpečnosť spracúvaných osobných údajov (zásada
integrity a dôvernosti),
- prevádzkovateľ e-shopu musí byť schopný preukázať súlad s predchádzajúcimi zásadami
spracúvania (zásada zodpovednosti).

Informačná povinnosť podľa čl. 13 a čl. 14 Nariadenia
- platí pre všetky spracovateľské činnosti uvedené v bode 1; informačná povinnosť smeruje
od prevádzkovateľa e-shopu k dotknutej osobe (zákazníkovi e-shopu),
- poskytovanie informácií dotknutej osobe je povinnosťou prevádzkovateľa, teda
prevádzkovateľ e-shopu je povinný ju plniť iniciatívne (nie na základe žiadosti dotknutej
osoby),
- prevádzkovateľ dotknutej osobe poskytuje informácie ustanovené v čl. 13 ods. 1 až 3
Nariadenia, ak osobné údaje získal priamo od dotknutej osoby; podľa čl. 14 ods. 1 a 2
Nariadenia, ak osobné údaje nezískal priamo od dotknutej osoby
[príklad: osoba X objedná v e-shope ABC produkt, ktorý zakúpi ako darček pre osobu Z. E-
shop ABC spracúva osobné údaje osoby X na zmluvnom právnom základe a plní si voči nej
informačnú povinnosť podľa čl. 13 Nariadenia.E-shop ABC zároveň spracúva dodacie osobné
údaje o osobe Z, ktorá nevie, že jej bude zaslaný darček, pričom medzi e-shopom ABC a
osobou Z neexistuje priamy zmluvných vzťah. Právnym základomna spracúvanie osobných
údajov osoby Z tak bude oprávnený záujem e-shopu ABC na účely plnenia zmluvy medzi e-
shopom ABC a osobou X. E-shop ABC si zároveň bude voči osobe Z plniť informačnú
povinnosť podľa čl. 14 Nariadenia. Nakoľko sa v tejto situácii uplatní výnimka podľa čl. 14
ods. 5 písm. b) Nariadenia („... alebo pokiaľ je pravdepodobné, že povinnosť uvedená v
odseku 1 tohto článku znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto
spracúvania“), e-shop ABC si informačnú povinnosť podľa čl. 14 Nariadenia voči osobe Z
splní až v momente doručenia darčeka, ktorý zakúpila osoba X],
- uplatniť výnimky z informačnej povinnosti len v rozsahu vymedzenom v čl. 13 ods. 4 a čl.
14 ods. 5 Nariadenia,
- vo vzťahu k novým zákazníkom odo dňa 25.05.2018 – splniť si uvedenú informačnú
povinnosť najneskôr pri získavaní osobných údajov,
- vo vzťahu k už existujúcim zákazníkom spred 25.05.2018 (napr. pokiaľ ide o pokračujúci
marketing, vernostný program) – povinnosť doplniť informáciu v rozsahu, v akom
zákazník nedisponuje informáciami podľa čl. 13 a čl. 14 Nariadenia,
- informácie poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme,
formulované jasne a jednoducho,
- informovať možno rôznymi spôsobmi (aj kombinovane) – napr. na webovej stránke e-
shopu, zaslaním informácií do e-mailu, v listinnej forme v priestoroch „kamenného
obchodu“, a pod.,
- prevádzkovateľ informuje svojich zákazníkov o ich právach v postavení dotknutej osoby (čl.
15 až čl. 22 Nariadenia), najmä o práve namietať voči spracúvaniu na účely priameho
marketingu a o práve odvolať súhlas so spracúvaním,
- ak sa spracúvanie zakladá na oprávnenom záujme, prevádzkovateľ informuje zákazníka o
tom, ktoré oprávnené záujmy sleduje; prevádzkovateľ je tiež povinný vykonať test
proporcionality vždy, ak spracúva osobné údaje na tomto právnom základe.

Vedenie záznamov o spracovateľských činnostiach
Každý prevádzkovateľ e-shopu je povinný viesť záznamy o spracovateľských činnostiach
podľa čl. 30 Nariadenia vždy vo vzťahu k spracovateľským činnostiam:
- objednávka tovaru/služieb
- vernostný program
- priamy marketing
- ! SPOTREBITEĽSKÁ SÚŤAŽ
- ak pravidelne organizuje súťaže
- ak príležitostne organizuje súťaž -napr. 1x/rok a pod.(uplatní sa výnimka
podľa čl. 30 ods. 5 Nariadenia a táto spracovateľská činnosť sa nemusí v
zázname uvádzať)
- záznamy si prevádzkovateľ ponecháva u seba a nezasiela ich úradu, priprípadnej kontrole
ich úradu predloží 10 .
Zodpovedná osoba
- povinnosť určiť zodpovednú osobu majú prevádzkovatelia e-shopov, ktorí spĺňajú
podmienku podľa čl. 37 ods. 1 písm. b) Nariadenia 11 – napr. ak sa vykonáva behaviorálna
reklama,
- ak podmienka podľa čl.37 ods. 1 písm. b) Nariadenia nie je naplnená, prevádzkovateľ e-
shopu nemá povinnosť určiť zodpovednú osobu; ak ju napriek tomu dobrovoľne určí, je
povinný postupovať rovnako ako v prípade, ak by sa povinnosť určiť zodpovednú osobu
naňho vzťahovala.
Sprostredkovateľ
- prevádzkovateľ môže poveriť spracúvaním alebo časťou spracúvania sprostredkovateľa,
napríklad pre účel vyhodnotenia súťaže organizovanej prevádzkovateľom, zasielania
dotazníkov spokojnosti so zakúpeným tovarom a pod.,
- sprostredkovateľ spracúva osobné údaje podľa pokynov prevádzkovateľa, v rozsahu a podľa
sprostredkovateľskej zmluvy alebo iného právneho aktu 12 , ktorý zaväzuje sprostredkovateľa
voči prevádzkovateľovi. Sprostredkovateľská zmluva a iný právny akt musia spĺňať
náležitosti podľa čl. 28 ods. 3 Nariadenia,
- na účely uzatvorenia sprostredkovateľskej zmluvy a poverenia sprostredkovateľa
spracúvaním osobných údajov sa súhlas dotknutej osoby nevyžaduje. Pokiaľ ide o
zákonnosť, sprostredkovateľ disponuje pre spracúvanie osobných údajov právnym základom
prevádzkovateľa (napr. oprávnený záujem).

Bezpečnosť spracúvania osobných údajov
- prevádzkovateľ e-shopu je zodpovedný za bezpečnosť a ochranu osobných údajov po celý
čas ich spracúvania a je povinný prijať primerané bezpečnostné opatrenia na ich ochranu,
- podľa čl. 25 Nariadenia je prevádzkovateľ e-shopu povinný zabezpečiť ochranu už v štádiu,
kedy spracúvanie ešte nie je začaté, pričom zohľadní najnovšie poznatky a náklady na
vykonanie opatrení ako aj povahu, rozsah, kontext a účely spracúvania. Opatrenia nastaví
podľa potrieb vzhľadom na vlastné prostredie a zohľadní bezpečnostné štandardy, ktoré sú
bežné pre tú-ktorú spracovateľskú činnosť – napr. zabezpečí počítač, v ktorom dochádza k
spracúvaniu osobných údajov zákazníkov antivírusovým programom,
- podľa čl. 32 Nariadenia prevádzkovateľ e-shopu je povinný prijať vzhľadom na vyššie
uvedené primerané technické a organizačné opatrenia:
- technické opatrenia – antivírus, firewall, zaheslovaný počítač, alarm,
zabezpečenie objektu, zabezpečenie automatizovaných i neautomatizovaných
prostriedkov a pod.
- organizačné opatrenia - pokyny prevádzkovateľa e-shopu adresované
zamestnancom (ak nejakých má), určenie zodpovednej osoby (ak má povinnosť
ju určiť), poučenie zamestnancov zachovávať mlčanlivosť, režim vstupu
do priestorov, v ktorých sú spracúvané osobné údaje, kľúčová politika,
pravidlá spracúvania osobných údajov vrátane pravidiel ich uchovávania a
pod.

Uvedené opatrenia sú len príklady, nie je možné pre všetky e-shopy potrebné opatrenia
zovšeobecniť 12
- prevádzkovateľ má povinnosť vykonať posúdenie vplyvu na ochranu údajov podľa čl. 35
Nariadenia, ak napĺňa niektorú z podmienok ustanovených v tomto článku 13 ,
- ! prevádzkovateľ je v prípade porušenia ochrany osobných údajov, ktoré povedie k riziku
pre práva a slobody fyzických osôb (napr. sprístupnenie databázy s osobnými údajmi
zákazníkov neoprávneným osobám alebo poškodenie a nedostupnosť záloh prevádzkovateľa
e-shopu) takéto porušenie do 72 hodín po tom ako sa o tejto skutočnosti dozvedel oznámiť
úradu; v niektorých prípadoch aj dotknutej osobe, a to bez zbytočného odkladu. 15

- Prevádzkovateľ e-shopu môže súlad s Nariadením a zákonom č. 18/2018 Z. z.
preukazovať aj dodržiavaním kódexu správania alebo certifikátom, nie je však
povinnosťou prevádzkovateľa sa k takémuto kódexu správania (ak existuje) pristúpiť,
resp. požiadať o vydanie certifikátu. 14
Pokiaľ ide o ďalšie povinnosti upozorňujeme, že prevádzkovateľ e-shopu je tiež povinný plniť
povinnosti v zmysle zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení
neskorších predpisov (ďalej len „zákon č. 351/2011 Z. z.“). Na výklad ustanovení zákona č.
351/2011 Z. z. úrad nie je vecne príslušný, odporúčame obrátiť sa na gestora zákona.
3.POSTAVENIE ZÁKAZNÍKA E-SHOPU AKO DOTKNUTEJ OSOBY
Zákazník e-shopu je z pohľadu Nariadenia dotknutou osobou, teda fyzickou osobou,
ktorej sa osobné údaje spracúvané prevádzkovateľom e-shopu týkajú. Dotknutá osoba má
podľa Nariadenia svoje práva, ktoré si môže voči prevádzkovateľovi e-shopu kedykoľvek
uplatniť.
Aké má dotknutá osoba práva ?
- Právo na prístup k údajom (čl. 15)
- Právo na opravu (čl. 16) Právo na výmaz (čl. 17)
- Právo na obmedzenie spracúvania (čl. 18)
- Právo na prenosnosť (čl. 20)
- Právo namietať (čl. 21)
- ak sa spracúvanie uskutočňuje na základe oprávneného záujmu
prevádzkovateľa e-shopu (napr. na účely priameho marketingu), zákazník má
právo kedykoľvek namietať proti takémuto spracúvaniu jeho osobných údajov,
- na právo namietať na účely priameho marketingu musí byť dotknutá osoba
výslovne upozornená najneskôr pri prvej komunikácii s ňou a toto právo musí
byť prezentované jasne a oddelene od akýchkoľvek iných informácií,
- po uplatnení námietky zákazníka je prevádzkovateľ e-shopu povinný ihneď
ukončiť spracúvanie osobných údajov na účely priameho marketingu a tieto
osobné údaje už na účely priameho marketingu nespracúvať.
-Právo odvolať súhlas
- ak sa spracúvanie uskutočňuje na základe súhlasu zákazníka (napr. vernostný
program, spotrebiteľská súťaž), zákazník môže kedykoľvek svoj súhlas
so spracúvaním odvolať a prevádzkovateľ e-shopu je povinný ukončiť
spracúvanie osobných údajov, ktoré boli spracúvané na základe súhlasu, ak
nedisponuje iným právnym základom,
- ak sa spracúvanie uskutočňuje na základe súhlasu zákazníka, o práve súhlas
kedykoľvek odvolať musí byť zákazník podľa čl. 13 ods. 2 písm. c) Nariadenia
prevádzkovateľom e-shopu vopred informovaný.

Ako má prevádzkovateľ postupovať pri vybavovaní žiadostí dotknutých osôb?
- odporúča sa pripraviť krátky, jasný a stručný interný postup ako bude prevádzkovateľ e-
shopu vybavovať žiadosti dotknutých osôb (napr. formou internej smernice, pokynu), ktorý
môže byť zverejnený na webovom sídle prevádzkovateľa e-shopu (prevádzkovateľ môže
vytvoriť vzorový formulár),
- všetky informácie a oznámenia prevádzkovateľa smerom k dotknutej osobe musia byť v
stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a
jednoducho, musí sa zohľadniť kategória dotknutých osôb, ktorej sú oznámenia a informácie
adresované,
- informácie a oznámenia by sa mali spravidla poskytovať rovnakým spôsobom, akým si
dotknutá osoba uplatní svoje právo, ak nepožiada o iný spôsob,
- prevádzkovateľ e-shopu je povinný žiadosť dotknutej osoby vybaviť do 1 mesiaca od jej
doručenia (v prípade potreby môže prevádzkovateľ predĺžiť vybavovanie žiadosti o ďalšie 2
mesiace, pričom o predĺžení lehoty je povinný dotknutú osobu upovedomiť).

4.TECHNICKÉ ASPEKTY PREVÁDZKOVANIA E-SHOPU V KONTEXTE

OCHRANY OSOBNÝCH ÚDAJOV
4.1 Šablóna e-shopu
Prevádzkovateľ e-shopu môže pri výbere technického riešenia šablóny e-shopu
(rozhrania, ktoré slúži na prehliadanie konkrétnych tovarov ponúkaných v e-shope alebona
uskutočňovanie pridávania jednotlivých položiek do tzv. „košíka“) postupovať v zásade
dvoma spôsobmi. Buď si šablónu e-shopu vytvorí sám alebo si môže (napr. prostredníctvom
licenčnej zmluvy) zaobstarať šablónu e-shopu od iného subjektu. Vo väčšine prípadov z
pohľadu ochrany osobných údajov nedochádza k spracúvaniu osobných údajov zo strany
poskytovateľa takejto šablóny.
4.2 Webhosting e-shopu
V prípade, ak prevádzkovateľ nedisponuje vlastným webovým priestorom na
technické prevádzkovanie e-shopu, najčastejšie vstupuje do zmluvného vzťahu so subjektom,
ktorý mu takýto priestor poskytuje. Postavenie poskytovateľa webového priestoru bude potom
závisieť od spôsobu nastavenia podmienok.
Ak tento subjekt poskytuje pre prevádzkovateľa e-shopu webový priestor bez toho,
aby z jeho strany dochádzalo k spracúvaniu osobných údajov zákazníkov e-shopu, ktoré
prevádzkovateľ e-shopu spracúva, nebude potrebné upravovať ich vzájomný vzťah z pohľadu
ochrany osobných údajov.
Ak bude dochádzať k spracúvaniu osobných údajov zákazníkov e-shopu 15 aj
prostredníctvom poskytovateľa webového priestoru, bude tento poskytovateľ vystupovať v
postavení sprostredkovateľa podľa čl. 4 ods. 8 Nariadenia, ak poskytovateľ webhostingu bude
spracúvať osobné údaje v mene prevádzkovateľa. Vzájomný vzťah medzi prevádzkovateľom
e-shopu a poskytovateľom webhostingu sa bude riadiť zmluvou alebo iným právnym aktom 16
podľa čl. 28 ods. 3 Nariadenia.
Poskytovateľ webového priestoru môže mať aj postavenie spoločného
prevádzkovateľa, pokiaľ dochádza napr. k automatickému zálohovaniu údajov z e-shopu. V
takom prípade sa pri úprave vzťahu medzi spoločnými prevádzkovateľmi, teda vzťahu
medzi prevádzkovateľom e-shopu a poskytovateľom webového priestoru postupuje v
zmysle čl. 26 Nariadenia 17 .
4.3Technická podpora poskytovaná prevádzkovateľovi e-shopu tretím subjektom
Ak tretia strana zabezpečuje pre e-shop technickú podporu, kedy pri odstraňovaní
technických problémov môže tento subjekt, resp. jeho zamestnanci vidieť osobné údaje
zákazníkov e-shopu a nedochádza zo strany subjektu vykonávajúceho technickú podporu k
ďalšiemu spracúvaniu osobných údajov (t. j. osobné údaje napr. len „vidí“, ale ďalej ich
nespracúva) postačuje, aby bola v zmluve medzi prevádzkovateľom a poskytovateľom
technickej podpory ustanovená povinnosť zachovávať mlčanlivosť a prijať primerané
bezpečnostné opatrenia (organizačné a technické). Uvedené platí aj vo vzťahu k vykonávaniu
technickej podpory prostredníctvom vzdialeného prístupu.

5.ĎALŠIE EVENTUALITY SPRACÚVANIA OSOBNÝCH ÚDAJOV PRI
PREVÁDZKOVANÍ E-SHOPU
5.1Príjemcovia v prípade e-shopu
V prípade e-shopov sa za príjemcov považujú napr. kuriérske spoločnosti. Tieto môžu
doručovať zákazníkovi tovar objednaný v e-shopebuď vo vlastnom mene a na vlastnú
zodpovednosť, kedy ako samostatní prevádzkovatelia musia disponovať primeraným
právnym základom a dodržiavať ďalšie povinnosti podľa Nariadenia alebo v mene
prevádzkovateľa e-shopu, kedy vystupujú v postavení sprostredkovateľa.
Pri postupe spracúvania osobných údajov zákazníkov týmito príjemcami na účely
dodania objednaného tovaru je potrebné rozlišovať medzi tými, ktorí poskytujú svoje služby
podľa zákona č. 324/2011 Z. z. o poštových službách a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov (ďalej len „zákon č. 324/2011 Z. z.“) 18 a tými, ktorí
podľa tohto zákona nepostupujú.
Pri kuriéroch alebo doručovateľských spoločnostiach (ďalej spoločne len
„doručovatelia“), ktorí nepostupujú podľa zákona č. 324/2011 Z. z., je potrebné rozlišovať
situácie,
- keď dochádza k objednaniu doručovateľskej/prepravnej služby priamo od dotknutej
osoby, kedy právnym základom pre spracúvanie osobných údajov objednávateľa
služby je zmluva medzi dotknutou osobou a doručovateľom (viď príklad č. 1),
- keď dochádza k výkonu doručovateľskej/prepravnej služby na základe výberu
takejto služby priamo v prostredí e-shopu za účelom dodania zakúpeného tovaru,
kedy právnym základom doručovateľa bude súhlas kupujúceho (viď príklad č. 2) a
- keď dochádza k doručovateľskej/prepravnej službe na základe pokynu e-shopu,
kedy právnym základom je zmluva medzi zákazníkom a e-shopom (viď príklad č.
3).
[príklad č. 1: e-shop K predáva oblečenie. Právnym základom pre spracúvanie
fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-shopom K a
zákazníkom. E-shop K ponúka na výber dva druhy dodania tovaru, a to
osobné vyzdvihnutie na pobočke a doručenie doručovateľom Q alebo doručovateľom
H. Zákazník má zlú skúsenosť s doručovateľom Q, a preto sa rozhodne využiť služby
doručovateľa H. Nakoľko e-shop K a doručovateľ H majú nastavené zmluvné
podmienky tak, že zákazník je priamo prelinkovaný na webovú stránku doručovateľa
H, u ktorého si zákazník vyberie deň, čas doručenia ako aj reklamačné podmienky,
právnym základom doručovateľa H bude zmluva a nie súhlas. Doručovateľ ako i e-
shop KKK sú v tomto prípade samostatnými prevádzkovateľmi.]

[príklad č. 2: e-shop LUL predáva mobilné telefóny. Právnym základom pre
spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-
shopom LUL a zákazníkom. E-shop LUL ponúka na výber tri druhy dodania tovaru,
a to osobné vyzdvihnutie na pobočke, doručovanie tovaru poštou alebo
doručovateľom. Zákazník sa rozhodne, že doručovateľom mu bude dodaný tovar
najrýchlejšie, a preto zaškrtne políčko, ktorým udelí súhlas doručovateľovi na
spracúvanie osobných údajov za účelom výkonu doručovateľskej služby.
Doručovateľ ako i e-shop LUL sú v tomto prípade samostatnými prevádzkovateľmi.
Zmluvné dojednania o reklamačných podmienkach o poškodení tovaru pri preprave
tovaru si upraví e-shop a doručovateľ osobitne.]
[príklad č. 3: e-shop WOW predáva počítačové doplnky. Právnym základom pre
spracúvanie fakturačných údajov zákazníka bude priamo kúpna zmluva medzi e-
shopom WOW a zákazníkom. E-shop WOW zároveň vykonáva aj dodanie
tovaru prostredníctvom vlastných vozidiel, ale niekedy využíva aj externých
doručovateľov. Zákazníkom pri objednávke tovaru však nedáva na výber, či mu má
byť tovar doručený jeho vlastnými vozidlami alebo externým doručovateľom. E-shop
WOW tak určil účel, podmienky zmluvy, zmluvné dojednania a prostriedky
spracúvania osobných údajov zákazníka na dodanie tovaru. Doručovateľ, ktorý
občas vybavuje dodanie tovaru zákazníka spracúva osobné údaje zákazníka v mene
prevádzkovateľa, ktorým je e-shop WOW, a na tom istom právnom základe (zmluva s
dotknutou osobou). Doručovateľ vystupuje v postavení sprostredkovateľa e-shopu
WOW.]

Nariadenia (platí len vo vzťahu k osobným údajom ustanoveným v § 11 ods. 1 zákona
č. 324/2011 Z. z.) 19
kuriér neposkytujúci služby podľa zákona č. 324/2011 Z. z. – právny základ = môže byť
súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia/zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia
/oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia; (ako bolo uvedené v príklade
vyššie pri informačnej povinnosti)
Ak kuriérska spoločnosť využíva na doručovanie zásielok okrem svojich
zamestnancov aj kuriérov, ktorí sú živnostníkmi/samostatne zárobkovo činnými osobami,
budú mať títo jednotliví kuriéri voči kuriérskej spoločnosti, v mene ktorej doručovanie
vykonávajú postavenie sprostredkovateľov a je potrebné upraviť ich vzťah s kuriérskou
spoločnosťou v zmysle čl. 28 Nariadenia.
5.2 Cezhraničné spracúvanie/prenos osobných údajov zákazníkov e-shopu
Ak bude prevádzkovateľ e-shopu prenášať osobné údaje zákazníkov do tretích krajín,
je potrebné tieto krajiny uviesť v zázname o spracovateľských činnostiach 7 [čl. 30 ods. 1 písm.
e) Nariadenia] Členské štáty Európskej únie a štáty, ktoré sú zmluvnou stranou dohody o
Európskom hospodárskom priestore, nie sú tretími krajinami, teda ich nie je potrebné v tejto
časti uvádzať, uvádzajú sa len v časti „príjemcovia“ [čl. 30 ods. 1 písm. d) Nariadenia].
O týchto skutočnostiach je povinný prevádzkovateľ e-shopu dotknuté osoby
informovať podľa čl. 13 ods. 1 a čl. 14 ods. 1 Nariadenia.

5.3 Osobitné spôsoby spracúvania osobných údajov prevádzkovateľom e-shopu
Rozmachom rôznych technológií sa postupom času vyvinuli nové spôsoby spracúvania
osobných údajov zákazníkov najmä väčších e-shopov. Nižšie uvádzame pár praktických
príkladov spoločne s právnym základom spracúvania osobných údajov.
wishlist
- registrovaný zákazník má možnosť zaradiť si vybraný tovar do tzv. wishlistu
(zoznam prianí)
- zasielanie e-mailu s upozornením, že sa tovar zaradený do wishlistu predáva
za zvýhodnenú cenu alebo je opäť dostupný
ak je to v rámci marketingovej činnosti – právny základ = oprávnený
záujem podľa čl. 6 ods. 1 písm. f) Nariadenia

opustený košík
-registrovaný zákazník nedokončil svoj nákup, nedokončil platbu a zasiela sa mu
e-mail s upozornením a obsahom košíku
nedochádza zatiaľ k uzavretiu kúpnej zmluvy, právny základ =
predzmluvné vzťahy podľa čl. 6 ods. 1 písm. b) Nariadenia

sledovanie sviatkov zákazníka
- právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia
reaktivácia
-registrovaný zákazník dlhšie nevyvíja v e-shope aktivitu; prevádzkovateľ e-shopu
mu so zámerom motivovať ho k ďalšiemu nákupu zašle kód so zľavou na ďalší
nákup
- ak to vyplýva/je dohodnuté v zmluve – právny základ = zmluva
podľa čl. 6 ods. 1 písm. b) Nariadenia
- ak je to v rámci marketingovej činnosti – právny základ =
oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia
segmentácia
- na základe toho, čo zákazník v e-shope nakúpi, sú zákazníkovi
prevádzkovateľom e-shopu zasielané newslettre s informáciami o podobnom
tovare, aký zákazník v e-shope nakupuje
- právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia
upselling
- na základe obsahu zákazníkovho košíku/prípadne na základe tovaru, ktorý už v
danom e-shope nakúpil predtým, sa zákazníkovi pri dokončovaní jeho
objednávky (v jej platobnom procese) zobrazí obchodníkom odporúčaný tovar
k ďalšiemu nákupu
- právny základ = oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia
cookies-nie je za každých okolností osobným údajom; osobným údajom je vtedy, ak je
súčasťou reťazca ďalších údajov viažucich sa na konkrétnu fyzickú osobu, na
základe ktorých možno túto fyzickú osobu identifikovať
- cookies ako osobný údaj – v závislostí od okolností konkrétneho prípadu
môže byť právnym základom súhlas podľa čl. 6 ods. 1 písm. a) Nariadenia
zmluva podľa čl. 6 ods. 1 písm. b) Nariadenia
oprávnený záujem podľa čl. 6 ods. 1 písm. f)
Nariadenia (marketingové účely) 20
- súčasne platí aj povinnosť splniť podmienky podľa § 55 zákona
č. 351/2011 Z. z.
- ak cookies nie je osobný údaj – povinnosť plniť podmienky podľa zákona
č. 351/2011 Z. z.


ZÁVER
Spracúvanie osobných údajov v e-shope je po pochopení základných princípov a
pravidiel spracúvania osobných údajov pomerne jednoduché a prehľadné. Prevádzkovateľ
e-shopu nesmie opomenúť štyri základné okruhy, ak rieši spracúvanie osobných údajov;
prvým okruhom je právny základ spracúvania, následne splnenie povinnosti viesť záznamy,
plnenie informačnej povinnosti voči dotknutým osobám – zákazníkom a v neposlednom rade
zaistenie bezpečnosti spracúvaných osobných údajov.


1 Zákon č. 18/2018 Z. z. oochrane osobných údajov a o zmene adoplnení niektorých zákonov.
2 Nariadenie Európskeho parlamentu aRady (EÚ) 2016/679 z27. apríla 2016 oochrane fyzických osôb
prispracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica
95/46/ES(všeobecné nariadenie oochrane údajov).
3 Zákon č. 351/2011 Z. z. oelektronických komunikáciách vznení neskorších predpisov.
4 Zákon č. 22/2004 Z. z. oelektronickom obchode a o zmene adoplnení zákona č. 128/2002 Z. z. oštátnej
kontrolevnútorného trhu vo veciach ochrany spotrebiteľa a o zmene adoplnení niektorých zákonov vznení
zákona č.284/2002 Z. z.

5 Prevádzkovateľom dávame do pozornosti, že v zmysle recitálu 47 Nariadenia si použitie oprávneného záujmu
ako právneho základu vyžaduje dôkladné posúdenie vrátane posúdenia, či dotknutá osoba môže v danom čase a
kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie jej osobných údajov na tento účel
môže uskutočniť. Prevádzkovateľ má tiež povinnosť vykonať test proporcionality.
6 Pre bližšie informácie k súhlasu dotknutej osoby odporúčame pozrieť Usmernenie WP 29 týkajúce sa
súhlasudotknutej osoby.
7 Pre bližšie informácie k nastaveniu podmienok spotrebiteľskej súťaže pozrieť zákon č. 22/2004 Z. z.

8 Bližšie k zákonnosti pozri Metodické usmernenie č. 2/2018 – Zákonnosť spracúvania.
9 Pre bližšie informácie k transparentnosti odporúčame pozrieť Usmernenie WP 29 týkajúce sa transparentnosti.

10 Vzor záznamu spoločne spokynmina jeho vyplnenie úrad zverejnil na svojom webovom sídle.
11 Vo vzťahu k veľkému rozsahu dávame do pozornosti Usmernenie WP 29 týkajúce sa zodpovedných osôb, kde
sa uvádzajú faktory, ktoré by sa mali zohľadňovať pri posúdení či ide alebo nejde o veľký rozsah. 12 Iným
právnym aktom môže byť napríklad poverenie alebo plná moc a pod.

12 Výpočet niektorých bezpečnostných opatrení nájdu prevádzkovatelia aj v prílohe Vyhlášky úradu č.
158/2018Z: z. opostupe pri posudzovaní vplyvu na ochranu osobných údajov.
13 Bližšie k posudzovaniu vplyvu na ochranu osobných údajov vUsmernení WP 29 kposúdeniu vplyvu. 15 Bližšie
podmienky stanovené v čl. 33 a čl. 34 GDPR; porušenie sa úradu oznamuje prostredníctvom formuláru, ktorý
úrad zverejnil na svojom webovom sídle.

14 Bližšie ku kódexom správania v § 85 zákona č. 18/2018 Z. z. a k certifikátu v § 86 zákona č. 18/2018 Z. z.

15 Pozri legálnu definíciu pojmu spracúvanie osobných údajov podľa čl. 4 ods. 2 Nariadenia. Aj samotné uloženie,
uchovávanie osobných údajov na serveroch poskytovateľa webhostingu je spracovateľskou operáciou s
osobnými údajmi.
16 Iným právnym aktom možno rozumieť napr. plnú moc alebo poverenie, ak spĺňajú náležitosti podľa čl. 28
ods. 3 Nariadenia.
17 Podľa čl. 26 Nariadenia si spoloční prevádzkovatelia upravia transparentne svoje príslušné zodpovednosti
za plnenie povinností podľa Nariadenia.

18 Úrad pre reguláciu elektronických komunikácií a poštových služieb zverejňuje register subjektov
poskytujúcichpoštové služby vzmysle zákona č. 324/2011 Z. z.na svojom webovom sídle.

19 Vo vzťahu k uvedenému spracúvaniu bude musieť vykonať prevádzkovateľ test proporcionality v zmysle
recitálu 47 Nariadenia. Spracúvanie e-mailovej adresy a telefónneho čísla nie je upravené v zákone č. 324/2011
Z.
z., preto nemožno z tohto zákona vychádzať. Prevádzkovateľ môže spracúvať e-mailovú adresu a telefónne číslo
na základe oprávneného záujmu, tento však už nebude vyplývať zo zákona č. 324/2011 vzhľadom na uvedené. V
teste proporcionality bude musieť zohľadniť aj nevyhnutnosť a primeranosť spracúvania týchto údajov
vzhľadom na účel a vzhľadom na práva a slobody dotknutých osôb.

20 Vymazané z dôvodu vývoja právnych názorov Európskeho výboru pre ochranu údajov. Bližšie v Usmerneniach
2/2019 o spracúvaní osobných údajov podľa článku 6 ods. 1 písm. b) všeobecného nariadenia o ochrane
údajov v súvislosti s poskytovaním on-line služieb dotknutým osobám, Body 47 a 55.


Žiadosti na stiahnutie