Skočiť na obsah
🕽 0948 881 081 (-) , FAQ

GDPR: o čom všetkom informovať zákazníka?

Veľmi často nám kladiete otázku: O čom všetkom mám informovať pri spracúvaní osobných údajov podľa GDPR? Aké info o zákazníkovi mu mám na požiadanie v zmysle GDPR ukázať? Na tieto otázky si bližšie posvietime v treťom článku zo série GDPR. Tak poďme na vec!

Typy osobných údajov o zákazníkovi podľa GDPR

Náš strašiak GDPR pri práve na informácie o spracúvaných údajoch rozlišuje dve skupiny údajov:

  • Osobné údaje, ktoré ste získali od zákazníka
  • Osobné údaje, ktoré neboli získané od zákazníka – napr. vznikli činnosťou prevádzkovateľa alebo sú z iných zdrojov

Napr.
Máme na stránke e-shopu objednávkový formulár:

1. Objednávkový formulár názorne ukazuje údaje, ktoré vám zadáva zákazník. Vo vzťahu k právu na info o spracúvaní tejto prvej skupiny osobných údajov, máte povinnosť uviesť na webstránke:

  • info o prevádzkovateľovi (kto je prevádzkovateľ sme si vysvetlili v prvej časti série o GDPR) + kontaktné údaje;
  • účel, na ktorý dané údaje potrebujete + právny základ ich spracúvania (viac o právnom základe v druhej časti série o GDPR) – ak je právnym základom váš oprávnený záujem, musí byť výslovne uvedený;
  • príjemcovia príp. kategórie príjemcov osobných údajov – ak sa okrem vás dostávajú osobné údaje k ďalším osobám;
  • info o tom, či u vás nastane aj prenos údajov do tretej krajiny = krajiny mimo EÚ;
  • dobu uchovávania údajov – napr. marketing od 3 – 5 rokov;
  • info, či u vás existuje profilovanie príp. automatizované rozhodovanie – ak používate automatické zasielanie reklamných kampaní na základe záujmov a správania zákazníka, tak odpoveďou je áno;
  • a info o právach našej tzv. dotknutej osoby, z ktorých dnes rozoberieme právo na prístup k údajom.

Info majú byť zrozumiteľne a ľahko prístupné ešte pred zadaním osobných údajov do vášho systému.

2.Osobné údaje, akými sú IP adresa, logy, správanie na webe, sledovacie cookies sú príkladmi z druhej skupinu osobných údajov – teda ide o údaje, ktoré neboli získané priamo zadaním do systému od dotknutej osoby, ale vyplynuli napr. z technického fungovania prevádzkovateľa na webe.

Vo vzťahu k uvedenej skupine osobných údajov máte povinnosť informovať zákazníka o tom, že tieto kategórie osobných údajov spracovávate – napr. IP adresy (statické a dynamické).

V informáciách pre zákazníka na vašej webovej stránke musia byť vo vzťahu k uvedenej skupine osobných údajov uvedené informácie ako pri prvej skupine osobných údajov s dvomi rozdielmi:

  • tieto info sa technicky neposkytujú pred samotným poskytnutím osobných údajov, lebo to povaha veci vylučuje – a teda info povinnosť sa plní linkom na zásady spracúvania osobných údajov;
  • a keďže vám tieto údaje nezadal zákazník, je potrebné uviesť, z akého zdroja uvedené osobné údaje pochádzajú.

Právo na prístup k údajom

Dobre, máme teda zverejnené základné info k obom skupinám osobných údajov na webe. Čo ak ma zákazník požiada o prístup k osobným údajom?

Osobné údaje, ktoré spracúvate, máte sprístupniť bezplatne a v každom prípade do jedného mesiaca od doručenia žiadosti zákazníka.

Ak je žiadosť komplikovaná a zákazník žiada presné info aj o napr. IP adresách, čo, samozrejme, bežne fungujúceho podnikateľa nadmerne zaťažuje, môžete si lehotu predĺžiť na lehotu troch mesiacov od doručenia žiadosti, ako aj požadovať primeraný poplatok zohľadňujúci administratívne náklady; zároveň aj vydanie opakovaných kópií osobných údajov môže byť spoplatnené.

Navyše môžete takú žiadosť odmietnuť vybaviť. Podľa môjho názoru by ste mohli odmietnuť vybaviť žiadosť pri opakujúcich sa žiadostiach od tej istej osoby a žiadostiach, ktoré by napr. narúšali technické fungovanie vášho e-shopu.

Zároveň GDPR od vás vyžaduje, aby ste identifikovali osobu, ktorá žiadosť na prístup k osobným údajom podala. Ak máte oprávnené pochybnosti v súvislosti s identitou žiadateľa, nemôžete jej logicky sprístupniť info, lebo by mohlo ísť o narušenie bezpečnosti osobných údajov a môžete požiadať o poskytnutie dodatočných info k žiadosti na potvrdenie identity žiadateľa

…alebo flexibilnejším a prijateľným riešením tejto situácie sa v niektorých prípadoch javí vytvorenie zabezpečenej členskej zóny na vašej webovej stránke, kde je zákazníkova totožnosť overená zadaním prihlasovacieho mena a hesla.

Najbližšie si posvietime na GDPR: Právo na zabudnutie a ďalšie práva ☺

Všetky diely seriálu o GDPR:

  1. GDPR 2018: strašiak alebo pomocník?
  2. GDPR a spracovanie osobných údajov: stačí súhlas?
  3. GDPR: o čom všetkom informovať zákazníka? (práve čítate)
  4. GDPR: právo na zabudnutie a ďalšie práva I.
  5. GDPR: právo na zabudnutie a ďalšie práva II.
  6. GDPR a analýza správania zákazníkov 
  7. GDPR: administratíva prevádzkovateľa
  8. GDPR: sprostredkovateľská zmluva
  9. GDPR: kontrola, úrad, pokuty
  10. GDPR: 10 + 1 najčastejších otázok a odpovedí I.
  11. GDPR: 10 + 1 najčastejších otázok a odpovedí II.

4 komentáre

dobry den, Písali ste, že sú to rozdiely a v tom druhom bode rozdiel bud nevidím alebo tomu nechápem. Ide konkrétne o túto vetu: a keďže vám tieto údaje nezadal zákazník, je potrebné uviesť, z akého zdroja uvedené osobné údaje pochádzajú. Môžete mi uviesť príklad? Mám pri takýchto prípadoch do zásad ochrany osobných údajov písať detaily o spoločnostiach, ktoré využívame pri zbere osobných údajoch? ide napr. o nástroje ako google analytics, hotjar alebo facebook pixel? Lebo ja som bol v tom, že to sa len popíšu druhy cookiesiek. Ale je možné že to chápem nesprávne. Taktiež by som sa chcel opýtať na samotné aplikovanie cookies. Ak príde niekto prvý krát na stránku tak môžem mať už cookies povolené? a až keď dá nesúhlas, tak potom sa cookies deaktivujú? A posledná vec. Podľa toho čo som čítal, tak ak niekto zaškrtne na cookies, že súhlasí, tak by mal mať možnosť to odvolať. Otázkou je, že nechápem ako mám tohto docieliť? ja som bol v tom, že cookies samé vyprchajú a netreba to riešiť. Vopred dakujem za odpoved s podzravom Peter
Dobrý deň, klasickým príkladom v prvej skupine údajov sú osobné údaje, ktoré zákazník napísal vlastnoručne do objednávkového formulára. Druhú skupinu vám nezadal užívateľ/zákazník vlastnoručne - tu patria aj cookies - o ich zbere musíte informovať v zásadách, na účely spracovania ste vy prevádzkovateľom. Povinnosť informovať z akého zdroja osobné údaje máte, je povinnosť formulovaná nariadením veľmi všeobecne - už je na vás či si vyberiete všeobecnú možnosť informovať o technickom procese ako sa k vám údaje dostanú alebo si zvolíte cestu uvádzania názvov spoločností, cez ktoré údaje zbierate. Ide o profilovanie zákazníka na základe cookies voči čomu má zákazník právo namietať viac sa dozviete v článku - 6. časť GDPR série. Väčšie zmeny v oblasti cookies prinesie ďalšie nariadenie o E-privacy účinné od 2020. Ako správne uvádzate, v zásadách musíte uviesť druhy osobných údajov (teda cookies tiež), ktoré spracúvate a to bude obsahom najnovšieho článku na webe SuperFaktury k administratíve prevádzkovateľa.
Dobrý deň, mám otázku ohľadne zavedenia GDPR. Na fakturácie využívame služby superfaktúry = osobné údaje našich zákazníkov ktoré sa nachádzajú v účtovníctve poskytujeme tretej osobe, prevádzkovateľovi služby. Je potrebné mať v takomto prípade súhlas od zákazníkov o tom že ich údaje poskytujeme superfaktúre? Ďakujem za odpoveď.
Dobrý deň, súhlas nie je potrebné mať, keďže spracovávanie osobných údajov na účel fakturácie je založené na dvoch právnych základoch odlišných od súhlasu zákazníka - a to na Vašom plnení zmluvy so zákazníkom, ako aj na plnení Vašich zákonných povinností vyplývajúcich z daňových zákonov a účtovných predpisov. Superfaktura je vo Vašom prípade tzv. sprostredkovateľom, s ktorým budete musieť od 25.05.2018 uzavrieť sprostredkovateľskú zmluvu a v nej si ošetríte aj vzájomnú zodpovednosť za prípadný únik osobných údajov na strane superfaktúry. Voči zákazníkovi máte povinnosť informovať ho o tom, že osobné údaje potrebujete na účel fakturácie (napr. už pri momente, keď zákazník vypĺňa objednávkový formulár). Okrem toho máte povinnosť v zásadách spracúvania osobných údajov, ktoré si potrebujete zverejniť na webe, uviesť osoby, ktoré pracujú s osobnými údajmi Vašich zákazníkov, medzi ktoré patrí aj superfaktura. Všetky osoby, ktoré nemajú k dispozícii osobné údaje Vašich zákazníkov "z prvej ruky" sú sprostredkovateľmi a o nich musíte zákazníka informovať. Pekný zvyšok dňa Soňa

Pridať komentár