V prvej časti článku GDPR: 10+1 najčastejších otázok s odpoveďami, sme si posvietili na vaše najčastejšie otázky týkajúce sa osobných údajov a administratívnych povinností. V pokračovaní FAQ si zodpovieme otázky vo vzťahu k sprostredkovateľskej zmluve, právu na prístup k spracúvaným údajom a právu na zabudnutie.
A ako bonus pre vás bude odpoveď na jednu z otázok, ktorá vás veľmi často trápi, a to na otázku cookies a GDPR.
7. Údaje o svojich klientoch firma ukladá u externého dodávateľa (Dropbox, Google Drive na dokumenty). Je potrebné s touto treťou stranou uzatvoriť špeciálnu zmluvu?
Áno, je potrebné uzatvoriť tzv. sprostredkovateľskú zmluvu, keďže vy ako prevádzkovateľ určujete účel a spôsoby spracovania a uvedení sprostredkovatelia vykonávajú úkony spracovania za vás ako za podnikateľa. Viac o sprostredkovateľskej zmluve.
Napr. v prípade využitia Facebooku na účely podnikania (Facebook Business page/Brand page) – je potrebné dať si pozor na skutočnosť, že údaje vašich zákazníkov spracúva Facebook aj na účely, ktoré neurčíte vy, ale určí si ich samotný Facebook. V takom prípade nie je FB v pozícii sprostredkovateľa, ale v pozícii rovnakej, ako je tá vaša. V uvedenom prípade sa silno odporúča uzatvoriť tzv. Zmluvu o spoločných prevádzkovateľoch, aby ste boli chránení, ak by došlo k úniku údajov na strane Facebook-u.
8. Na fakturáciu využívame cloudovú službu, t.j. osobné údaje našich zákazníkov, ktoré sa nachádzajú v účtovníctve, poskytujeme tretej osobe – prevádzkovateľovi služby. Je potrebné mať v takomto prípade súhlas od zákazníkov o tom, že ich údaje poskytujeme cloudovej službe?
Súhlas nie je potrebné mať, keďže spracovávanie osobných údajov na účel fakturácie je založené na dvoch právnych základoch odlišných od súhlasu zákazníka – a to na vašom plnení zmluvy so zákazníkom, ako aj na plnení vašich zákonných povinností vyplývajúcich z daňových zákonov a účtovných predpisov. Cloudový fakturačný systém (napr. SuperFaktúra) je vo vašom prípade tzv. sprostredkovateľom, s ktorým by ste mali mať od 25.05.2018 uzavretú sprostredkovateľskú zmluvu a v nej si ošetríte aj vzájomnú zodpovednosť za prípadný únik osobných údajov na strane cloudovej služby.
Voči zákazníkovi máte povinnosť informovať ho o tom, že osobné údaje potrebujete na účel fakturácie (napr. už pri momente, keď zákazník vypĺňa objednávkový formulár). Okrem toho máte povinnosť v zásadách spracúvania osobných údajov, ktoré si potrebujete zverejniť na webe, uviesť osoby, ktoré pracujú s osobnými údajmi vašich zákazníkov, medzi ktoré patrí aj cloudový fakturačný systém. Všetky osoby, ktoré za vás ako podnikateľa spracúvajú osobné údaje vašich zákazníkov sú tzv. sprostredkovateľmi a musíte o nich zákazníka zrozumiteľne informovať.
9. Čo všetko majú podnikatelia, e-shopy ukázať klientovi, ak ich požiada o informácie, ktoré o ňom majú uložené?
Ak by sme brali GDPR do úplných extrémov, tak máte povinnosť sprístupniť informácie o všetkom, čo spracúvate a čo dokáže identifikovať danú osobu. Na druhej strane, vybavenie takej žiadosti musí byť pre vás aj technicky zvládnuteľné. Osobné údaje, ktoré spracúvate, máte sprístupniť bezplatne a v každom prípade do jedného mesiaca od doručenia žiadosti zákazníka.
Ak je žiadosť komplikovaná a zákazník žiada presné info aj napr. o IP adresách, čo, samozrejme, bežne fungujúceho podnikateľa nadmerne zaťažuje, môžete si lehotu predĺžiť o 2 mesiace, ako aj požadovať primeraný poplatok zohľadňujúci administratívne náklady; zároveň aj vydanie opakovaných kópií osobných údajov môže byť spoplatnené. Podľa výkladu Európskej komisie by malo byť bezplatné vybavenie jednej žiadosti od toho istého žiadateľa za jeden rok.
Flexibilným a prijateľným riešením situácie sprístupnenia informácií o spracúvaných osobných údajoch sa v niektorých prípadoch javí vytvorenie zabezpečenej členskej zóny na vašej webovej stránke, kde má dotknutá osoba prístup k údajom, ktoré o nej spracúvate.
10. Právo na zabudnutie – čo všetko mám povinnosť „zabudnúť“, ak ma o to klient požiada?
Právo na zabudnutie je pre prevádzkovateľa náročné a znamená nielen vymazanie všetkých osobných údajov z vašich systémov, ale aj zabudnutie zverejnených osobných údajov – napr. ak výsledky súťaže boli zverejnené na inom portáli ako na vašom webe a osobný údaj vášho zákazníka sa nachádza aj tam. Z uvedeného dôvodu GDPR ukladá prevádzkovateľom, aby informovali aj ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti o výmaz, ak žiada absolútne zabudnutie a podnikli opatrenia k výmazu údajov aj u nich.
Je potrebné však upozorniť na vaše zákonné povinnosti archivovať účtovné doklady alebo mzdovú agendu, kde máte zákonnú povinnosť uchovávať vaše doklady aj niekoľko desiatok rokov. Vo vzťahu k týmto evidenciám žiadosti o výmaz nemôžete vyhovieť, keďže plnenie vašich zákonných povinností preváži nad záujmami vášho zákazníka/čitateľa žiadajúceho o výmaz.
Bonus: Ako to je so samotným aplikovaním cookies a GDPR?
Malým bonusom k týmto FAQ je problematika cookies. Mnohí z vás sa na ňu pýtajú a názory nie sú jednotné. V skratke by sa dali cookies rozdeliť nasledovne:
- Technicky nevyhnutné cookies – ktoré sú nevyhnutné pre fungovanie vašej webovej stránky – spracúvate ich na základe vášho oprávneného záujmu ako záujmu prevádzkovateľa, proti ktorému môžu návštevníci vzniesť námietku. O tom musíte v texte pod tlačidlom Viac informácií v rámci cookie banneru/príp. v dostupnej cookies politike návštevníka poučiť, no jeho súhlas nepotrebujete.
- Preferenčné/štatistické cookies – merajú návštevnosť webu a správanie sa návštevníkov na webe. Opätovne môžete ich spracúvanie skryť pod váš oprávnený záujem, voči ktorému môže návštevník vzniesť námietku. Okrem uvedeného je potrebné návštevníka informovať aj o možnosti prehliadať stránku bez spustenia týchto cookies – teda je potrebné uviesť info, že návštevník si môže zmeniť nastavenia vo svojom prehliadači.
- Nedávno bol českým Úradom na ochranu osobných údajov vydaný aj návrh výkladu ku cookies a GDPR, v rámci ktorého český úrad presadzuje názor, že už samotné nastavenie prehliadača na spracúvanie cookies je vaším súhlasom. Uvidíme, ako sa to ujme u nás.
- Cookies pre remarketing a retargeting, tzv. marketingové cookies môžete spracúvať len na základe súhlasu. Tu prichádza do hry známe tlačidlo na cookie banneri Súhlasím. Zároveň doba spracúvania cookies by podľa najnovšieho výkladu poskytnutého českým Úradom na ochranu osobných údajov nemala presiahnuť 13 mesiacov.
- O dobe spracúvania cookies údajov pri jednotlivých druhoch cookies je potrebné návštevníka informovať v dostupnej cookies politike.
- Zároveň nezabudnite na cookie banneri uviesť údaje o vás ako prevádzkovateľovi.
- Pozor – dobrá správa na záver – tento výklad už nebude platiť po roku 2020, kedy sa očakáva účinnosť nariadenia o ePrivacy. V zmysle tohto nariadenia už bude zodpovednosť za spracovanie údajov cez cookies prenesená z vašich pliec na plecia prevádzkovateľov internetových prehliadačov. Hurá! 🙂
Všetky diely seriálu o GDPR:
- GDPR 2018: strašiak alebo pomocník?
- GDPR a spracovanie osobných údajov: stačí súhlas?
- GDPR: o čom všetkom informovať zákazníka?
- GDPR: právo na zabudnutie a ďalšie práva I.
- GDPR: právo na zabudnutie a ďalšie práva II.
- GDPR a analýza správania zákazníkov
- GDPR: administratíva prevádzkovateľa
- Sprostredkovateľská zmluva podľa GDPR
- GDPR: kontrola, úrad, pokuty
- GDPR: 10 + 1 najčastejších otázok a odpovedí I.
- GDPR: 10 + 1 najčastejších otázok a odpovedí II. (práve čítate)
Pridať komentár