Možno si aj vy kladiete otázku, o čom všetkom treba zákazníka pri spracúvaní osobných údajov informovať v rámci súladu s GDPR. Poďme si teda ozrejmiť, ktoré informácie musíte na požiadanie zákazníkovi ukázať.

GDPR a typy osobných údajov o zákazníkovi

Podľa GDPR rozdeľujeme informácie o spracúvaných údajoch do dvoch skupín:

  1. Osobné údaje získané od zákazníka.
  2. Osobné údaje, ktoré ste nezískali od zákazníka, ale vznikli činnosťou prevádzkovateľa, príp. pochádzajú z iných zdrojov.

Príklad:
Na stránke e-shopu sa nachádza objednávkový formulár:

  1. Objednávkový formulár obsahuje údaje pochádzajúce od zákazníka. Podľa práva na informácie o spracovaní osobných údajov získaných od zákazníka ste povinný uvádzať na webovej stránke:
  • informácie o prevádzkovateľovi a kontaktné údaje,
  • účel, na ktorý sú vám údaje potrebné a právny základ ich spracovania (v prípade, že je vaším právnym základom oprávnený záujem, je nevyhnutné ho uviesť),
  • príjemcov alebo kategórie príjemcov osobných údajov (v prípade, že sa okrem vás dané osobné údaje dostanú aj k ďalšej osobe),
  • informácie o prenose údajov do tretej krajiny, čiže mimo EÚ (v prípade, že sa to stane),
  • dobu uchovávania údajov (napr. pre účely marketingu 3-5 rokov),
  • informácie o tom, či u vás existuje profilovanie, prípadne automatizované rozhodovanie (pozitívna odpoveď pripadá do úvahy napr. v prípade, že využívate automatické zasielanie reklamných kampaní na základe záujmov a správania zákazníkov),
  • informácie o právach dotknutej osoby (napr. právo na prístup k údajom).

Je dôležité, aby informácie boli zrozumiteľné a ľahko prístupné ešte pred zadaním osobných údajov do vášho systému.

  1. Osobné údaje, medzi ktoré patria napr. logy, IP adresa, cookies, správanie na webe a iné, patria do skupiny osobných údajov, ktoré dotknutá osoba nezadala priamo do systému, ale sú výsledkom napr. technického fungovania prevádzkovateľa webu.

Na základe vzťahu k danej skupine osobných údajov ste povinný poskytnúť zákazníkovi informácie o tom, že spracovávate aj túto kategóriu osobných údajov. Ide napr. o IP adresy (statické, dynamické).

Aj pri tejto skupine osobných údajov je nevyhnutné uviesť na stránke informácie ako pri osobných údajoch získaných od zákazníka, ale s dvomi rozdielmi:

  • je potrebné uviesť, z akého zdroja ste osobné údaje získali,

tieto informácie nie sú technicky poskytované pred poskytnutím osobných údajov. Povaha veci to vylučuje. Povinnosť informovanosti je splnená prostredníctvom linku na zásady spracúvania osobných údajov.

Právo na prístup k údajom

Aj keď máte základné informácie k obom skupinám osobných údajov zverejnené na webe, zákazník vás môže požiadať o prístup k daným osobných údajom. Ako postupovať v takomto prípade?

Je vašou povinnosťou sprístupniť zákazníkovi tieto údaje, a to do jedného mesiaca od doručenia žiadosti.

V prípade, že je žiadosť komplikovaná, prípadne zákazník požaduje presné informácie napr. o IP adrese, je možné lehotu si predĺžiť (na 3 mesiace od doručenia žiadosti), ale aj žiadať primeraný poplatok, ktorý zohľadňuje administratívne náklady. Tak isto môže byť spoplatnené aj vydanie opakovaných kópií údajov.

Máte tiež možnosť takúto požiadavku odmietnuť vybaviť. Môže ísť napr. o opakované žiadosti od istej osoby, ktoré môžu narušiť napr. technické fungovanie vášho e-shopu.

GDPR od vás vyžaduje identifikáciu osoby, ktorá podala žiadosť na prístup k osobným údajom. V prípade, že sa u vás vyskytnú oprávnené pochybnosti o identite osoby vyžadujúcej prístup k osobným údajom, nemôžete jej sprístupniť informácie. Išlo by o možné narušenie bezpečnosti osobných údajov. V takomto prípade si môžete vyžiadať dodatočné informácie na potvrdenie identity. Často sa flexibilným a prijateľným riešením stáva vytvorenie zabezpečenej členskej zóny na vašej webstránke. Tu sa totiž identita zákazníka overuje zadaním prístupového mena a hesla.

Zdielajte!

V prípade, záujmu o naše služby stačí vyplniť kontaktný formulár

Na Vaše dotazy odpovieme IHNEĎ a so všetkým Vám radi pomôžeme.