Nový zákon o ochrane osobných údajov, ktorý nadobudol účinnosť 1.júla 2013, opäť pripomenul tým, ktorí spracúvajú osobné údaje, ale aj tým, ktorí im svoje osobné údaje poskytujú, že majú nejaké povinnosti (tí prví) ale aj nejaké práva (tí druhí).
Prevádzkovatelia eshopov môžu patriť do obidvoch skupín, predpokladám však, že návštevníkov tejto stránky teraz viac zaujíma či a do akej miery sa tento zákon (č.122/2013 Z.z.) vzťahuje aj na prevádzkovanie eshopu. Pokúsim sa preto o stručný úvodný prehľad, zjednodušený a bez nadbytočného používania právnickej terminológie – skrátka, pre bežných ľudí, ktorí prevádzkujú, alebo chcú prevádzkovať eshop.
Prevádzkujem/chcem prevádzkovať eshop, týka sa ma zákon o ochrane osobných údajov?
Áno. Zákon sa týka všetkých, ktorí systematicky spracúvajú osobné údaje (s výnimkou pri spracúvaní pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností). Pokiaľ váš eshop nie je jednorazovou záležitosťou, dá sa povedať, že v rámci jeho prevádzky systematicky spracúvate osobné údaje a teda zákon sa týka aj vás.
Počkať, počkať, aké osobné údaje? Veď od klientov nepýtam rodné čísla…
Pojem osobné údaje sa nezužuje len na rodné čísla – osobnými údajmi sú údaje, ktoré sa týkajú identifikovanej (vieme, o koho ide) alebo identifikovateľnej (síce nevieme hneď, o koho ide, ale dá sa to s trochou úsilia zistiť) osoby. Takže napríklad už kontaktné údaje na klienta sú osobnými údajmi.
Patrí medzi osobné údaje aj e-mailová adresa?
Ak ste e-mailovú adresu získali s tým, že je to e-adresa konkrétnej osoby, tak ide jednoznačne o osobný údaj. Menej jednoznačné to môže byť, ak máte len e-adresu bez toho, aby bola priradená ku konkrétnej osobe … potom ide o to, či sa dá dostupnými prostriedkami zistiť, komu tá e-adresa patrí. Napríklad e-adresu „<priezvisko>@<pomenovanie organizacie>.<pripona>“ obvykle nie je problém priradiť konkrétnej osobe. Ale aj v iných prípadoch to nemusí byť nemožné – pomocou Google napríklad ľahko zistíte, komu patrí e-adresa jozef@vaf.sk. Samozrejme, nie je problém vytvoriť e-adresu, pre ktorú sa tak ľahko nedopátrate komu vlastne patrí … v takom prípade by sa dalo argumentovať, že nejde o osobný údaj. Prevádzkovateľ eshopu však vopred nevie zaručiť, že bude spracúvať výlučne a len také e-adresy … pritom stačí čo i len jedna, ktorá sa dá vztiahnuť na konkrétnu osobu, a už ide o spracúvanie osobných údajov.
OK, vidím, že tomu neuniknem. Takže zákon o ochrane osobných údajov mi zrejme ukladá ochrániť osobné údaje, s ktorými v eshope pracujem. To by nemal byť problém, veď prístup k nim je na heslo – splním tým požiadavku zákona?
Je to trochu zložitejšie. Ochrana osobných údajov, aspoň tak, ako sa chápe v EÚ, začína ešte skôr ako získate prvé údaje.
???
Veru hej. Ide o to, že už pri získavaní a spracúvaní osobných údajov je potrebné sa riadiť niektorými základnými princípmi – samotné zabezpečenie osobných údajov je len jeden z tých princípov a príde na rad až keď ste získali osobné údaje v súlade s ďalšími zásadami.
Takže čím mám začať?
Jeden zo základných princípov hovorí, že osobné údaje sa smú zbierať a spracúvať len na vopred určený účel , ďalší zas že zbierať a spracúvať sa majú len tie osobné údaje, ktoré sú nevyhnutne potrebné na ten účel. Takže ak chcete prevádzkovať eshop, mali by ste si už na na samom začiatku ujasniť, aké osobné údaje a na aký účel budete zbierať a spracúvať. Ak eshop už prevádzkujete, nezaškodí sa zamyslieť, či viete uviesť účel, na aký spracúvate osobné údaje a či viete presvedčivo odôvodniť, že osobné údaje, ktoré spracúvate, naozaj v tom rozsahu potrebujete na splnenie toho účelu. Možno zistíte, že spracúvate osobné údaje, ktoré vlastne nepotrebujete … a to je z hľadiska zákona no-no-no, nie je prípustné zbierať a spracúvať osobné údaje s tým, že možno sa niekedy budú hodiť.
Hmm, určite budem potrebovať nejaké údaje klienta kvôli vystaveniu faktúry, na doručenie objednaného tovaru, na účely marketingu, … niektoré údaje sa tam budú opakovať. To mám na každý účel pýtať tie údaje zvlášť?
Nie je to nevyhnutné. Dôležité je, aby klient vedel, na aký účel, resp. na aké účely mienite jeho osobné údaje použiť – to je ďalší princíp ochrany osobných údajov. A dôležité je ešte aj to, že keď od klienta získate osobné údaje na daný účel, neskôr ich na iný účel môžte použiť len s jeho súhlasom. Napríklad vyžiadate si od neho kontaktné údaje kvôli doručeniu tovaru – ak by ste ich neskôr chceli použiť trebárs na marketingové účely, budete potrebovať klientov súhlas.
A keď si niekedy odo mňa tie osobné údaje bude pýtať polícia, pôjde o použitie tých údajov na iný účel – aj vtedy budem potrebovať klientov súhlas?
V zásade sa osobné údaje smú spracúvať či poskytovať tretej strane buď so súhlasom dotknutej osoby, alebo keď vám to prikazuje alebo umožňuje nejaký zákon (vtedy súhlas dotknutej osoby nie je potrebný). Takže ak si osobné údaje od vás vyžiada polícia na účely trestného konania, súhlas dotknutej osoby nebudete potrebovať, lebo povinnosť poskytnúť tie údaje vám vyplýva zo zákona.
OK, ešte niečo, alebo už môžem začať zbierať osobné údaje?
Ešte je potrebné ujasniť si, ako dlho budete osobné údaje skladovať. V zásade platí, že keď pominie účel, na ktorý ste osobné údaje získali, mali by ste ich zlikvidovať. Samozrejme, pre niektoré údaje vám nejaký zákon môže prikazovať ich archivovať určenú lehotu, ale tie ostatné by ste mali zlikvidovať po tom, ako sa pominul účel, na ktorý ste ich získali.
Tak a už hádam môžem spustiť eshop a začať od klientov zbierať osobné údaje?
Hej, len pripomínam, že nemôžte na klienta len tak vybafnúť “davaj svoje osobné údaje” – podľa zákona musíte klienta informovať o tom, kto a na aký účel bude spracúvať jeho osobné údaje a aké údaje (alebo aspoň aký rozsah osobných údajov) budete od neho požadovať. A tiež ho informovať – pripomenúť mu, že čo sa týka spracovania jeho osobných údajov, zákon o ochrane osobných údajov mu (klientovi) priznáva nejaké práva aj potom, ako vám svoje osobné údaje odovzdá.
OK. Ak toto všetko budem mať, môžem od klientov zbierať osobné údaje … a keď ich budem mať, zrejme ich budem musieť ochrániť pred zneužitím, však?
Áno, keď už mate nejaké osobné údaje, zákon o ochrane osobných údajov vám ukladá povinnosť zabezpečiť ich pred neoprávneným prístupom, poskytnutím či zverejnením, a vôbec pred akýmikoľvek spôsobmi spracúvania, ktoré by neboli v súlade s účelom, na ktorý boli údaje získané.
Postačí, keď prístup k nim bude na heslo?
Je to trochu zložitejšie. Predovšetkým, zákon hovorí o tom, že musíte prijať bezpečnostné opatrenia, kam okrem technických patria aj organizačné a personálne opatrenia. Tie opatrenia by mali byť primerané možným rizikám, čo zas súvisí s tým, ako “citlivé” či “atraktívne” (pre potenciálneho páchateľa) sú osobné údaje, ktoré spracúvate. Zákon pochopiteľne nevymenováva všetky možnosti, ale dáva isté usmernenia ako postupovať pri určovaní “citlivosti” spracúvaných osobných údajov. Jediné bezpečnostné opatrenie vo forme hesla by pravdepodobne nestačilo.
Chápem, že zákon musí byť použiteľný pre rôzne typy osobných údajov, ale nie sú eshopy predsa len jednoduchší prípad? Veď budem spracúvať v podstate len základné kontaktné údaje klientov, aby som vedel kam im poslať objednaný tovar – a meno, priezvisko a adresu ťažko považovať za nejako zvlášť “citlivé” údaje.
Hej, na prvý pohľad to tak vyzerá. Ale nesmieme zabúdať na to, že aj to, čo si klient v eshope objedná, môže čo-to vypovedať o klientovi, jeho záľubách, preferenciách, a pod. – a aj takéto informácie patria medzi osobné údaje. Samozrejme, bude záležať od toho, čo eshop ponúka – ak si klient objedná remeselnícke náradie či niečo pre záhradkára, čosi to o ňom vypovedá, ale v podstate “nič moc”. Niečo iné by však asi bolo, ak by si klient objednal trebárs putá, bičíky či ďalší tovar, ktorý by celkom jednoznačne odhaľoval jeho záľubu v zvláštnych sexuálnych praktikách – to by nepochybne znamenalo úplne inú mieru “citlivosti” jeho osobných údajov.
Aha, tak to ma nenapadlo, ale uznávam, že niečo na tom je. Takže ako na to zabezpečenie osobných údajov?
Zákon na základné rozdelenie “citlivosti” systémov spracúvajúcich osobné údaje používa dva parametre – prepojiteľnosť systému na Internet a spracúvanie osobných údajov, považovaných za citlivejšie ako bežné osobné údaje ( tzv. osobitné kategórie osobných údajov). V prípade eshopov sa dá predpokladať prepojenie na Internet, takže rozhodujúce bude to, aké osobné údaje sa budú v eshope spracúvať. Zákon medzi osobitné kategórie osobných údajov okrem rodného čísla zaraďuje údaje, ktoré vypovedajú o zdraví, pohlavnom živote, politických názoroch, náboženskej viere, členstve v politických alebo odborových organizáciách a rasovom či etnickom pôvode dotknutej osoby. Ak eshop spracúva osobitné kategórie osobných údajov, zákon predpisuje vypracovanie a implementáciu bezpečnostného projektu (o.i. musí obsahovať aj analýzu rizík), v opačnom prípade stačí vypracovať a implementovať tzv. bezpečnostnú smernicu.
A kde nájdem návod alebo priamo vzorový bezpečnostný project či smernicu na ochranu osobných údajov?
Vypracovaním takejto bezpečnostnej dokumentácie sa živí dosť ľudí a firiem – svoje know-how takto voľne nesprístupňujú. Zákon neurčuje, kto môže spracovať bezpečnostnú dokumentáciu, kto si trúfa, môže si ju vypracovať aj sám. Zákon, resp. vyhláška Úradu na ochranu osobných údajov č. 164/2013 Z.z. dajú istú predstavu o bezpečnostnej dokumentácii, určite však nie podrobný návod. Alternatívne je možné využiť služby niekoho, kto sa tomu venuje systematicky.
Tak sme sa nakoniec dostali aj k tomu zabezpečeniu spracúvaných osobných údajov … ukladá mi zákon ešte nejaké ďalšie povinnosti?
Áno, v tomto príspevku sme nemohli všetko prebrať. Ale ešte upozorním na jednu povinnosť, ktorej sa prevádzkovateľ eshopu nevyhne (resp. ktorej sa vyhne iba dostatočne veľký eshop – taký, ktorý má aspoň 20 zamestnancov, ktorí pracujú s osobnými údajmi).
Je to povinnosť registrovať informačný system (informačné systémy) s osobnými údajmi na Úrade na ochranu osobných údajov. Registrácia v tomto prípade znamená poslať na Úrad informácie o informačnom systéme (systémoch), v ktorom eshop spracúva osobné údaje. Povinnosť registrácie informačného system ustanovuje zákon v §34 a ako upozorňuje Úrad na ochranu osobných údajov na svojej stránke, na eshopy sa nevzťahuje jedna z možných výnimiek z tejto povinnosti. Aké informácie sa posielajú pri registrácií, stanovuje zákon v §35, prácu si možno uľahčiť použitím formuláru na registráciu, ktorý je dostupný na stránke Úradu.
Považujem za potrebné upozorniť, že registráciu informačných systémov podľa nového zákona je potrebné vykonať do 6 mesiacov od dňa účinnosti zákona, t.j. do konca r. 2013. Za registrácou sa platí poplatok 20 Eur. Podrobnosti sa dajú nájsť na webstránke Úradu na ochranu osobných údajov.
Na záver len upozorním, že tento text bol pripravený ako stručný úvodný prehľad do problematiky nového zákona o ochrane osobných údajov vo vzťahu k eshopom a určite nie je vyčerpávajúcim spracovaním zákona a povinností, ktoré ukladá prevádzkovateľom informačných systémov.
Autorom článku je RNDr. Jozef Vyskoč, PhD., ktorý prednáša informačnú bezpečnosť na Fakulte managementu UK v Bratislave a na Fakulte informatiky Paneurópskej vysokej školy v Bratislave. Je členom programových výborov viacerých medzinárodných konferencií z informačnej bezpečnosti a reprezentuje Slovenskú republiku v International Federation for Information Processing Technical Committee on Security and Privacy Protection in Information Processing Systems.
Venuje sa aj rozsiahlej publikačnej činnosti v oblasti informačnej bezpečnosti, bloguje na vyskoc.sk a školí nový zákon o ochrane osobných údajov v MVAkademia.sk.
Uz davnejsie sme si uvedeny zakon presli s nasim pravnikom, ktory tvrdi, ze registracia nasich eshopov nie je nutna. To znamena, ze informacie z ktorych cerpa tento clanok su zavadzajuce a chcu vylakat peniaze od majitelov eshopov.
Kludne poslite blizsie udaje, na zaklade coho by ta povinnost neplatila. V clanku je to vysvetlene dost „po lopate“ a pisal ho clovek v tejto problematike sa pohybujuci a posobiaci dlhe roky.
Verim tomu ze ak by to neplatilo bolo by mnoho majitelov nie len eshopov rado, no zatial vsetko nasvedcuje tomu ze ta povinnost tam proste je (okrem ineho upresnenie v tejto veci ohladom eshopov najdete v roznych sekciach aj na http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=92 co je oficialna stranka uradu).
btw: ak ste konzultoval „davnejsie“, je mozne ze sa to tykalo este stareho zakona o OOU. Ten naozaj taku povinnost neukladal, no tento rok nadobudol platnost novy.
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=1262
Je potrebne ak pracujem v salone a stretavam sa z osobnými udajmi klientov podpisovat pod mojim rodnym čislom a cislom obcianskeho preukazu tietio ustanovenia ?
co myslite tym „podpisovat pod mojim rodnym čislom a cislom obcianskeho preukazu tietio ustanovenia ?“. povinnost riesit registraciu a veci s tym spojene veci maju podnikatelske subjekty, ktore spracovavaju osobne udaje. ak ste zamestnana v salone, je to povinnost vasho zamestnavatela vybavit tieto veci a vy absolvujete len skolenie, ci poucenie. ina situacia je ak je firma vasa, ci mate zivnost. tam uz musite mat prislusne skusky, ci registracie vy. a netreba pri tom zabudnut na to ktore osobne udaje presne spracovavate. ak su tam aj rodne cisla atd tak mate o to viac povinnosti.
Zaujímalo by ma, čo v prípade, ak prevádzkovateľ eshopu nesplnil svoju povinnosť. Aké sankcie či pokuty prevádzkovateľovi vznikajú a aká je možnosť nápravy. ďakujem za odpoveď
V pripade ze si povinnosti eshop nesplni hrozi mu pokuta az do vysky 300 – 300 000 EUR. Kedysi kontroly z UOOU mali moznost (nie povinnost) pokutu neudelit, resp. „len pokarhat a poziadat o napravu“, bohuzial zakon sa v tomto smere zmenil a ani uradnici uz nemaju na vyber – v pripade pochybenia pokutu udelit po novom proste musia (takze minimalne 300 EUR naparia urcite).
Dovolím si to spresniť. Záleží totiž od toho, akú povinnosť si prevádzkovateľ eshopu nesplnil … napríklad ak neprihlásil IS na registráciu (čo mal urobiť do 31.12.2013, takže to teraz ťažko napraviť tak, aby o tom Úrad nevedel), na to by sa malo vzťahovať ustanovenie §68 ods.1 písm. h) zákona, teda rozsah pokuty je od 300 do 5000 EUR. Je to dosť, ale stále menej ako tých 300 000 EUR…
a čo ustanovenie zákona§ 10, ods. 3, písm. b): „Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej osoby,
je sice mozne ze to je bez suhlasu no dana povinnost registracie informacnych systemov nie je o tom ci subjekt moze/nemoze spracovavat osobne udaje bez suhlasu dotycneho, ale o tom ze ak ich spracovava tak musi splnit nejake podmienky a byt registrovany. cize extra suhlas mozno eshop neptorebuje, no registraciu na urade mat musi
Pingback: Vytvárame eshop cez atomer.sk - informačné podstránky - Eshopar