V spletni klepetalnici na temo varstva osebnih podatkov pri spletni trgovini (z dne 16. 12. 2020) ste nas spraševali, kaj morate vključiti v splošne pogoje poslovanja za spletno trgovino, da bi zadostili pravilom uredbe GDPR. Odgovor mag. Kaje Breznik Ladinik iz Odvetniške pisarne Bohl d.o.o. v celoti objavljamo v nadaljevanju.
Odgovor na vprašanje
Zanima me, kaj vse je potrebno vključiti v splošne pogoje poslovanja, da zadostimo GDPR, ko urejamo SPP za spletno trgovino?
Na prvem mestu pojasnjujemo, da je vsebina splošnih pogojev odvisna od samega prodajalca. Splošni pogoji poslovanja praviloma obravnavajo delovanje spletne trgovine, pravice in obveznosti uporabnika ter poslovni odnos med ponudnikom in kupcem. Glede poglavja o varovanju osebnih podatkov v splošnih pogojih poslovanja pojasnjujemo, da načeloma sploh ni treba, da je to urejeno v splošnih pogojih poslovanja, temveč se lahko v zvezi s tem splošni pogoji poslovanja le sklicujejo oz. se v tem delu le napoti na izjavo o varstvu osebnih podatkov (npr. prilepi se spletna povezava).
V zvezi z oblikovanjem izjave o varstvu osebnih podatkov pa je treba upoštevati predvsem določila 12., 13. in 14. člena Splošne uredbe. Kot upravljavec morate na podlagi 12. člena Splošne uredbe sprejeti ustrezne ukrepe, s katerimi zagotovite posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 Splošne uredbe ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Kot upravljavec osebnih podatkov ste dolžni v skladu s členom 13 Splošne uredbe posamezniku na jasen in pregleden način zagotoviti temeljne informacije v zvezi z obdelavo osebnih podatkov, kot na primer informacije o tem, kdo obdeluje osebne podatke, kontaktni podatki upravljavca, v kakšne namene obdelujete podatke, koliko časa jih hranite in druge informacije, ki jih ta člen določa.
Skladno z določbo 13. člena Splošne uredbe ste kot upravljavec dolžni v primeru, kadar so bili osebni podatki pridobljeni od posameznika, na katerega se ti nanašajo, temu takrat, ko pridobite osebne podatke, zagotoviti naslednje informacije:
(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
(f) kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
(g) tudi nekatere druge informacije, opredeljene v drugem odstavku istega člena.
Dodatno drugi odstavek 13. člena Splošne uredbe o varstvu podatkov zahteva med drugim tudi zagotovitev informacij o roku hrambe, obstoju pravic posameznika in možnosti pritožbe nadzornemu organu. Podobno 14. člen Splošne uredbe o varstvu podatkov določa informacije, ki jih je treba zagotoviti posamezniku, na katerega se nanašajo osebni podatki, kadar osebni podatki niso bili pridobljeni od njega.
mag. Kaja Breznik Ladinik, Odvetniška pisarna Bohl d.o.o.