Nákup tovarov a služieb sa v súčasnosti uskutočňuje v značnej miere prostredníctvom internetu. Internetový obchod (ďalej len „e-shop“) možno definovať ako predaj tovaru alebo služieb s využitím informačných a komunikačných technológií a webových aplikácií v prostredí internetu, kde na jednej strane tohto vzťahu je prevádzkovateľ e-shopu a na druhej zákazník e-shopu (ďalej len „zákazník“).
Dochádza medzi nimi najčastejšie k uzavretiu kúpnej zmluvy realizovanej cez internet (zmluva uzavretá na diaľku). Súčasťou takejto zmluvy je aj získavanie informácií, vrátane osobných údajov zákazníka. Vzhľadom na dynamickosť rozvoja informačných technológií je nemožné zohľadniť v tomto metodickom usmernení všetky eventuality, ktoré by mohli vzniknúť pri uplatňovaní Nariadenia2 prevádzkovateľom e-shopu, preto úrad uvádza nižšie len najbežnejšie prípady. Vzhľadom na konkrétne podmienky toho-ktorého spracúvania osobných údajov je možné, že prevádzkovateľ e-shopu bude môcť využiť napr. aj iný právny základ alebo iné nastavenia než je nižšie uvedené.
Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu je z pohľadu pravidiel ochrany osobných údajov spracúvaním osobných údajov zákazníka. Účelom takéhoto spracúvania je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti, ktoré pre prevádzkovateľa e-shopu vyplývajú najmä z právnych predpisov upravujúcich ochranu spotrebiteľa). Je potrebné rozlišovať jednotlivé účely spracúvania osobných údajov zákazníkov prevádzkovateľom e-shopu. Vzhľadom na tieto účely môžeme identifikovať niekoľko najbežnejších spracovateľských činností, ktoré môžu spolu úzko súvisieť, ale majú odlišný právny základ.
Prevádzkovateľ prevádzkuje a spravuje webový portál na svojej internetovej stránke (ďalej tiež len "portál"). Prostredníctvom tohto portálu prevádzkovateľ vytvára príležitosť kupujúcich (spotrebitelia ako aj firemní zákazníci) uzatvárať zmluvy uzatvorené na diaľku alebo mimo prevádzkových priestorov, za účelom nákupu tovarov formou e-shopu. Prevádzkovateľ teda spracúva osobné údaje dotknutých osôb, za účelom vytvorenia príležitosti uzatvárať zmluvy uzavreté na diaľku alebo mimo prevádzkových v rozsahu: titul, meno, priezvisko, adresa (ulica, číslo, smerové číslo, mesto), telefonický kontakt, emailový kontakt a IP adresa, cookies.
Zaznamenávanie osobných údajov zákazníka konkrétneho e-shopu, toho - ktorého predávajúceho, je z pohľadu zákona spracúvaním jeho osobných údajov. Tým dochádza k vytvoreniu informačného systému osobných údajov podľa zákona (ďalej aj „IS E-shop“) Účelom tohto spracúvania osobných údajov zákazníka, fyzickej osoby, je najčastejšie uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti vyplývajúce prevádzkovateľovi e-shopu najmä v súvislosti s právnymi predpismi upravujúcimi ochranu spotrebiteľa). Právnym základom spracúvania osobných údajov zákazníka v informačnom systéme e-shop je tzv. plnenie zo zmluvy. Poskytovanie osobných údajov dotknutých osôb je zmluvnou požiadavkou na plnenie zo zmluvy. Právnym základom spracúvania osobných údajov je zákon č. 18/2018 Z.z. Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov s ohľadom na Nariadenie Európskeho parlamentu a Rady Európy (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES) - všeobecné nariadenie o ochrane údajov.
Lehota spracúvania osobných údajov – lehota nevyhnutná na uzatvorenie zmluvy na diaľku a z nej vyplývajúce plnenie
Lehota uchovávania osobných údajov – 10 rokov (lehota nevyhnutná pre uchovávania účtovných dokladov)
Účel spracúvania osobných údajov – uzavretie kúpnej zmluvy a následné uskutočnenie platby, dodanie tovaru alebo služby a prípadné poskytnutie iných súvisiacich služieb (reklamačné a iné povinnosti, ktoré pre prevádzkovateľa e-shopu vyplývajú najmä z právnych predpisov upravujúcich ochranu spotrebiteľa
Kategórie spracúvaných osobných údajov – (údaje o zákazníkovi) rozsah: titul, meno, priezvisko, adresa (ulica, číslo, smerové číslo, mesto), telefonický kontakt, emailový kontakt a IP adresa, cookies.
Osobitné kategórie spracúvaných osobných údajov – nespracúvajú sa osobitné kategórie osobných údajov.
Kategórie dotknutých osôb – fyzické osoby
Poskytovanie osobných údajov tretím stranám – prepravné spoločnosti, súdy, orgány činné v trestnom konaní, Ústredie práce, sociálnych vecí a rodiny SR, iný oprávnený subjekt v súlade so zákonom o ochrane osobných údajov resp. iným osobitným právnym predpisom.
Cezhraničný prenos osobných údajov – neuskutočňuje sa.
Informácia o existencii automatizovaného rozhodovania vrátane profilovania – neuskutočňuje sa.
Lehoty na vymazanie osobných údajov – 10 rokov
Právny základ spracúvania osobných údajov – čl. 6 ods. 1 písm. a) NARIADENIA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ust. § 13 ods. 1 písm. a) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Na webovom portáli sa zároveň môže nachádzať sekcia „registrácia“ prostredníctvom ktorej, po vyplnení jednotlivých vstupných údajov, bude možné zaregistrovať sa a využívať tak možnosť rýchlejšieho a výhodnejšieho nakupovania prostredníctvom webového portálu. Rozsah spracúvaných osobných údajov: meno, priezvisko, adresa (ulica, číslo, smerové číslo, mesto), telefonický kontakt, emailový kontakt a IP adresa, cookies. Registrácia nie je podmienkou uzatvorenia zmluvy na diaľku.
Registrácia na webovom portáli nie je podmienkou uzatvorenia zmluvy na diaľku.