GDPR v online prostredí (2. časť) – uzatvorenie zmluvy

Prvý článok o osobných údajoch v online prostredí reagoval na spracúvanie prostredníctvom kontaktných formulárov a newsletterov. V tomto článku sa budeme venovať uzatváraniu zmlúv – eshop GDPR.

Spracúvanie osobných údajov v online prostredí je stále aktuálnou témou. Na webových stránkach a v eshopoch vidíme informácie o ochrane osobných údajov – formou zásad o ochrane osobných údajov, „cookies“ oznámenia. Pri nákupe v e-shope sme povinní „odkliknúť“ súhlas s obchodnými podmienkami a sme oboznamovaní s „cookies policy“ a „privacy policy“.

Ako má byť vyriešená ochrana osobných údajov pri nákupe cez internet alebo uzatváraní zmluvy v online prostredí? V článku sa venujeme podmienkam právneho základu – plnenie zmluvných povinností pri uzatváraní zmluvy medzi prevádzkovateľom a fyzickou osobou. Čo môže byť zmluva v online prostredí z pohľadu GDPR?

Uzatvorením zmluvy z pohľadu ochrany osobných údajov nemusí byť len samotný online nákup alebo predaj, ale aj poskytovanie bezplatných služieb, akými je stiahnutie ebooku zdarma, založenie profilu alebo registrácia na sociálnej sieti. Dôležité je, že prevádzkovateľ sám prevádzkovateľ určuje účely spracúvania a právne základy pre spracovateľské operácie.

Je zrejmé, že pri nákupe alebo predaji je povaha aplikácie čl. 6 ods. 1 písm. b) Nariadenia GDPR – teda „plnenie zmluvných povinností“ jednoznačná, ale pri ďalších online službách má prevádzkovateľ na výber z viacerých možností, ktoré je potrebné posúdiť, vyhodnotiť a aplikovať v praxi.

Napríklad, registrácia online účtu v eshope alebo na sociálnej sieti (s trochou nadhľadu) by mohla byť podľa nášho názoru založená na súhlase,¹ oprávnenom záujme² alebo plnení zmluvy.³ Výber právneho základu závisí od konkrétneho účelu spracúvania a posúdenia prevádzkovateľa. Ten je zodpovedný za ochranu osobných údajov, na čo nadväzuje povinnosť odôvodnenia výberu právneho základu.

Všeobecne k zmluve uzatvorenej online a online nákupu 

Pri online nákupe považujeme za jednoznačné určenie právneho základu – plnenie zmluvných povinností. Ďalšie prípady spracúvania osobných údajov a ich zaradenie pod právny základ – plnenie zmluvných povinností, nemusí byť vždy jednoznačné.

Problematike sa venoval aj Európsky výbor pre ochranu osobných údajov (ďalej ako „EDPB„).⁴ Výbor vydal usmernenie k podmienkam spracúvania osobných údajov dotknutých osôb pri poskytovaní online služieb.

Vzhľadom k stále rastúcemu významu online služieb a rôznych metód ich využívania (online nákup, registrácia na webovej stránke, newsletter a pod.) je nevyhnutné, aby spracúvanie osobných údajov bolo v každom prípade vykonávané v súlade so základnými zásadami spracúvania osobných údajov podľa GDPR a na relevantných právnych základoch.

Hlavné zásady pri plnení zmluvných povinností

Každé spracúvanie osobných údajov musí byť vykonávané v súlade so zásadami spracúvania osobných údajov podľa GDPR. Základom je zásada zákonnosti, ktorá vyjadruje požiadavku, aby spracúvanie osobných údajov dotknutých osôb bolo vykonávané len vtedy, keď je vykonávané na základe relevantného právneho základu. Pri spracúvaní osobných údajov vo všeobecnosti, ale aj v online prostredí je potrebné dbať aj na dodržiavanie ďalších zásad, najmä zásad obmedzenia účelu, minimalizácie osobných údajov a minimalizácie uchovávania

Zmluvy v online prostredí sú prevažne uzatvárané prostredníctvom všeobecných obchodných podmienok. Poskytovateľ online služieb si podmienky zmlúv určuje rámcovo. Pritom musí spĺňať aj náležitosti vyplývajúce zo „spotrebiteľskej“ legislatívy. Pre ochranu osobných údajov platí, že v rámci plnenia svojich zmluvných povinností musí prevádzkovateľ spracúvať osobné údaje vždy len na konkrétne určený účel (zásada obmedzenia účelu) a len v rozsahu, ktorý je nevyhnutný na dosiahnutie daného účelu spracúvania osobných údajov (zásada minimalizácie osobných údajov). Zároveň, pri plnení zmluvných povinností, osobné údaje možno spracúvať len počas doby, počas ktorej to vyžaduje zákon.

Zásada zákonnosti = určenie právneho základu. Príklad: Pri online nákupe je právnym základom čl. 6 ods. 1 písm. b) Nariadenia GDPR – plnenie zmluvných povinností zo zmlúv uzatvorených online, čo je zároveň účelom spracúvania. Pri registrácii v eshope môže byť právnym základom plnenie zmluvných povinností alebo aj súhlas so spracovaním osobných údajov.

Zásada obmedzenia účelu = osobné údaje môže prevádzkovateľ využiť výlučne na účel – plnenie zmluvných povinností. Príklad: Osobné údaje získané za účelom „plnenia zmluvných povinností zo zmlúv uzatvorených online“ nemožno využiť⁵ na zasielanie newsletterov alebo vytvorenie online účtu bez predchádzajúceho prejavu vôle dotknutej osoby s takýmto spracúvaním.

Zásada minimalizácie osobných údajov = vyžadujú sa len osobné údaje, ktoré sú potrebné k spracovateľskej operácii. Príklad: Pre účely online nákupu možno žiadať osobné údaje potrebné k uzatvoreniu zmluvy (meno, priezvisko, trvalý pobyt, e-mail, telefónne číslo, adresa doručenia, platobné podmienky, avšak nie rodné číslo) v zmysle platnej legislatívy) a plneniu zmluvných povinností – doručenie tovaru, uhradeniu ceny. Nemožno získavať osobné údaje, ktoré nie sú potrebné k plneniu zmluvy.

Zásada minimalizácie uchovávania = osobné údaje uchovávame len počas doby, ktorá je nevyhnutná. Príklad: V súvislosti s uzatvorením zmluvy je potrebné, aby prevádzkovateľ uchovával tzv. fakturačné údaje – t. j. údaje, ktoré vyžaduje napr. zákon o účtovníctve. Tieto osobné údaje je povinný prevádzkovateľ uchovávať 10 rokov odo dňa uzatvorenia zmluvy. 

EDPB konštatuje, že v prípade, ak spracúvanie osobných údajov nie je „výslovne nevyhnutné na plnenie zmluvy“, prevádzkovateľ je povinný založiť spracúvanie osobných údajov na inom právnom základe (ak sú na to splnené podmienky článku 6 GDPR  – napríklad oprávnený záujem prevádzkovateľa alebo súhlas dotknutej osoby).

Je potrebné upozorniť aj na situáciu, kedy možno využiť tento právny základ pri vytvorení účtu alebo profilu fyzickou osobou v postavení dotknutej osoby – či už v e-shope alebo na sociálnej sieti. Aj keď je služba prevádzkovateľa, kedy sa dotknutá osoba registruje na webovej stránke bezplatná, môže byť registráciou uzatvorená zmluva medzi prevádzkovateľom a dotknutou osobou. Prevádzkovateľ poskytuje dotknutej osobe online službu, ktorou je napríklad predvyplnenie informácií pri nákupe v e-shope.

Podmienky uplatniteľnosti právneho základu plnenie zmluvy

Na to, aby spracúvanie osobných údajov prevádzkovateľom mohlo byť založené na právnom základe, ktorým je plnenie zmluvy, je potrebné aby spracúvanie osobných údajov bolo nevyhnutné na:

• plnenie zmluvy uzatvorenej medzi prevádzkovateľom a dotknutou osobou, alebo
• na to, aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy (tzv. predzmluvné vzťahy).

Nevyhnutnosť, ktorá je základnou podmienkou pre obe vyššie opísané situácie, je potrebné pri stanovovaní právneho základu posudzovať objektívne. V zmysle odporúčania EDPB na plnenie zmluvy alebo vykonanie opatrení pred uzatvorením zmluvy nebude nevyhnutné taká spracovateľská operácia, ktorá sa síce hodí k podnikateľským aktivitám prevádzkovateľa (napr. vytváranie profilu prefencií zákazníka), ale nie je nevyhnutnou podmienkou plnenia zmluvy vo vzťahu k dotknutej osobe.

V praxi by mal pri spracúvaní osobných údajov na základe právneho základu podľa čl. 6 ods. 1 písm. b) GDPR prevádzkovateľ vedieť preukázať, že spracúvanie osobných údajov dotknutých osôb je uskutočňované v kontexte platne uzatvorenej zmluvy (podľa príslušných právnych predpisov upravujúcich kontraktáciu ako takú, napr. Občiansky zákonník, zákon o predaji na diaľku) a že spracúvanie je nevyhnutné na to, aby mohli byť naplnené ustanovenia takto uzatvorenej zmluvy.

V prípade, ak prevádzkvovateľ vyberie pre „registráciu“ užívateľského účtu právny základ – plnenie zmluvy, je povinný si určenie tohto právneho základu náležite odôvodniť. Napríklad, ak má dotknutá osoba (nakupujúci) pri nákupe na výber – môže si nakúpiť bez registrácie alebo s registráciou, možno aplikovať plnenie zmluvných povinností. Prevázdkovateľ však musí zakomponovať registráciu do všeobecných obchodných podmienok ako službu, ktorú poskytuje zákazníkom. Táto „operácia“ – spracovateľská alebo funkčná – nie je samotným nákupom na diaľku, ale je možné ju považovať za plnenie zmluvných povinností. Prevádzkovateľ poskytuje bezplatnú službu dotknutej osobe a tá ju môže využiť.

Máme však za to, že pri registrácii nemožno vyžadovať od dotknutej osoby všetky (za štandardných okolností) povinné údaje pre nákup v online. Tieto by mali byť voliteľné. To platí aj pre prípad, aj keď registráciou získava užívateľ, potenciálny nakupujúci nejakú výhodu, napríklad akciové ceny. V každom prípade, je potrebné brať do úvahy zásady, ktoré sú popísané v predchádzajúcej časti, aby bola spracovateľská operácia v súlade s Nariadením GDPR a posudzovať nevyhnutnosť.

Sociálne siete ako Facebook alebo LinkedIn, ale aj ďalšie, majú registráciu naviazanú na plnenie zmluvných povinností, keďže poskytujú online služby. Zároveň, určité účely spracúvania nadväzujú na na súhlas so spracúvaním osobných údajov alebo oprávnený záujem. Rozsah osobných údajov, ktorými sociálne siete disponujú je široký. Súhlas vyžadujú k spracúvaniu osobných preferencií, poskytujú užívateľom možnosti nastavení súkromia vo vzťahu k zverejňovaniu.

Zánik zmluvy – koniec spracúvania osobných údajov?

Ako uvádza EDBP vo svojom odporúčaní, zánik zmluvy znamená, že osobné údaje spracúvané za účelom plnenia zmluvy, už nebudú ďalej nevyhnutné na daný účel. Prevádzkovateľ by preto mal po splnení účelu spracúvanie osobných údajov ukončiť.

Existujú však niektoré situácie, spojené s plnením zmluvy aj po jej zániku, ktoré umožňujú spracúvanie osobných údajov na právnom základe podľa čl. 6 ods. 1 písm. b). K týmto situáciám patrí napríklad potreba vedenia účtovných dokladov, vrátenie tovaru pri spotrebiteľských zmluvách uzatvorených na diaľku.

Čl. 17 ods. 1 písm. a) Nariadenia GDPR stanovuje, že osobné údaje majú byť vymazané v prípade, ak už nie sú ďalej nevyhnutne potrebné na účely, na ktoré boli pôvodne spracúvané. EDPB vo svojom odporúčaní ďalej uvádza, že dotknutá osoba pri uzatváraní zmluvy vo všeobecnosti poskytuje prevádzkovateľovi osobné údaje v kontexte a na účel plnenia zmluvy veriac, že jej osobné údaje budú spracúvané iba ako nevyhnutná súčasť zmluvného vzťahu. U nás majú podnikatelia povinnosť zmluvy uchovávať aj niekoľko po ich uzatvorení. To platí aj pre objednávky.⁶

Vyššie uvedené tvrdenia však neplatia absolútne. Samotné GDPR vo svojich recitáloch (úvodné výkladové ustanovenia) ustanovuje, že zásada obmedzenia účelu neplatí striktne pri určitých, špecifických účeloch, ku ktorým patrí napríklad dodržiavanie zákonných povinností alebo preukazovanie či obhajovanie právnych nárokov. Zákonnou povinnosťou prevádzkovateľa je spomínané vedenie účtovných dokladov v zmysle zákona o účtovníctve alebo vybavenie reklamácie.

Ak prevádzkovateľ považuje uchovávanie osobných údajov na účely spojené s právnymi nárokmi za potrebné aj po zániku zmluvy, musí identifikovať účel spracúvania a správny právny základ ešte pred začiatkom spracúvania osobných údajov. V zmysle recitálov GDPR je možné spracúvanie osobných údajov za účelom obhajovania a preukazovania právnych nárokov založiť na čl. 6 ods. 1 písm. f) GDPR – oprávnenom záujme prevádzkovateľa (za súčasného splnenia všetkých ostatných povinností spojených so spracúvaním osobných údajov na základe oprávneného záujmu). To už možno považovať za samostatný účel spracúvania.

Pozrite si naše videoškolenie k GDPR na webovej stránke, kde sa venujeme ochrane osobných údajov na webových stránkach:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Zároveň, v každom prípade je prevádzkovateľ povinný dotknuté osoby oboznámiť o plánovanej dobe uchovávania osobných údajov po zániku zmluvy, ako aj o kategóriách spracúvaných osobných údajov. To by malo byť súčasťou Privacy policy. Prečítajte si aj: Informačná povinnosť GDPR – Čo je to zásada transparentnosti, a čo by v nej nemalo chýbať?

Predzmluvné vzťahy

Právny základ – plnenie zmluvy možno využiť aj pred uzatvorením zmluvy (tzv. predzmluvné vzťahy). V zmysle odporúčania EDPB uvedené ustanovenie GDPR reflektuje na prípady, kedy je spracúvanie osobných údajov nevyhnutné na samotný vznik zmluvného vzťahu.

Aj keď v čase spracúvania osobných údajov nie je jasné, či bude zmluva uzatvorená, predzmluvné vzťahy je podľa nášho názoru možné aplikovať na každú situáciu, keď dotknutá osoba požiada prevádzkovateľa o vykonanie opatrení súvisiacich s možným uzatvorením zmluvy s prevádzkovateľom.

Naopak, vyššie uvedený právny základ nie je možné aplikovať na nevyžiadanú marketingovú komunikáciu uskutočňovanú výlučne na základe rozhodnutia prevádzkovateľa alebo žiadosti tretej strany.

Príklad: Dotknutá osoba poskytne prevádzkovateľovi svoje poštové smerovacie číslo alebo iný lokalizačný údaj na zistenie, či určité služby poskytované prevádzkovateľom sú dostupné aj na územní, kde o preverenie služby žiada dotknutá osoba. Túto situáciu je možné zaradiť k opatreniam vykonávaným pred uzatvorením zmluvy na základe žiadosti dotknutej osoby. Naopak, identifikácia dotknutých osôb finančnými inštitúciami pred poskytnutím finančných služieb na základe platných právnych predpisov SR nie je možné zaradiť k opatreniami vykonávaním v predzmluvných vzťahoch. V uvedenom prípade ide o plnenie zákonnej povinnosti prevádzkovateľa – finančnej inštitúcie podľa čl. 6 ods. 1 písm. c) GDPR. 

Účely spracúvania pre eshop GDPR

V rámci účelov spracúvania pri e-shope evidujeme najmä nasledujúce účely spracúvania:

• plnenie zmluvných povinností vyplývajúcich z uzatvorenej zmluvy na diaľku,
• evidencia účtovných dokladov,
• účely spracúvania spojené s reklamáciou a jej vybavením.

Uvedený rozsah nemusí byť konečný, a to napríklad v prípade, ak je možná v e-shope registrácia (vedenie účtov registrovaných užívateľov), sú zbierané cookies alebo ak je stránka eshopu prepojená s Facebookovým biznis profilom.

Odporúčania na záver

Každý prevádzkovateľ je povinný, ešte pred samotným spracúvaním osobných údajov, stanoviť účely spracúvania a k nim vhodné právne základy. Právny základ sa stanovuje v nadväznosti na konkrétny účel spracúvania osobných údajov a rešpektovať základné zásady spracúvania osobných údajov. Od správnej identifikácie právneho základu sa totiž odvíjajú tak ďalšie povinnosti prevádzkovateľa, ako aj rozsah práv dotknutých osôb v zmysle GDPR.

GDPR je „živé“ na každej stránke a v každom e-shope, preto odporúčame vykonávať pravidelný GDPR audit, teda audit spracovateľských operácií, tokov osobných údajov, poverení zamestnancov a zmlúv dodávateľov v postavení sprostredkovateľov.

Potrebujete pomôcť s ochranou osobných údajov?

1. Čl. 6 ods. 1 písm. a) Nariadenia GDPR. ↩

2. Čl. 6 ods. 1 písm. f) Nariadenia GDPR. ↩

3. Čl. 6 ods. 1 písm. b) Nariadenia GDPR. ↩

4. Pracovná skupina, ktorá pripravovala Nariadenie GDPR – predtým WP29. ↩

5. Pozn.: Bez splnenia ďalších podmienok, ktoré umožňujú použitie osobných údajov na iný účel. ↩

6. Napríklad, účtovné doklady sa uchovávajú u nás 10 rokov, podľa vzoru registratúrneho plánu vydaného Štátny archívom SR pre orgány samosprávy je to 5 rokov pri zmluve a 10 rokov objednávky. ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb