GDPR pre e-shop a marketing — cookies, newsletter, retargeting

E-shop spracúva osobné údaje vo veľkom rozsahu — meno, adresa, e-mail, telefón, údaje o platbe, históriu nákupov, správanie na webe. Marketing pridáva ďalšiu vrstvu — newsletter, retargeting, profilovanie a personalizovaná reklama. Právny rámec tvoria Nariadenie (EÚ) 2016/679 (GDPR), slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov a — pre cookies a marketing e-maily — zákon č. 452/2021 Z. z. o elektronických komunikáciách. Pri profilovaní a personalizovaných ponukách sa pridáva čl. 22 GDPR o automatizovanom rozhodovaní. Pre e-shop to znamená povinný cookie consent banner, politika ochrany osobných údajov podľa čl. 13 GDPR, jasný právny základ pre každé spracúvanie a procesy pre uplatnenie práv dotknutej osoby. Tento sub-hub zhŕňa GDPR rámec pre e-shop. Pre kontext odporúčame pillar pre e-commerce právo a AI a GDPR.

Právne základy spracúvania v e-shope

Pre každú operáciu spracúvania osobných údajov musí prevádzkovateľ identifikovať právny základ podľa čl. 6 GDPR. Pre e-shop sa typicky kombinujú tieto základy:

Účel spracúvania	Právny základ čl. 6 GDPR	Poznámka
Vybavenie objednávky a doručenie	Plnenie zmluvy (písm. b).	Bez súhlasu — nevyhnutné pre splnenie zmluvy.
Účtovníctvo a daňové povinnosti	Plnenie zákonnej povinnosti (písm. c).	Zákon č. 431/2002 Z. z., č. 595/2003 Z. z.
Reklamácie	Plnenie zmluvy + zákonná povinnosť.	§ 619 — 627 OZ, § 18 z. 250/2007.
Marketing existujúcim zákazníkom (soft opt-in)	Oprávnený záujem (písm. f) + § 116 zákona č. 452/2021 Z. z.	Iba pri podobnom tovare/službe, s možnosťou kedykoľvek odhlásiť.
Newsletter pre neregistrovaných	Súhlas (písm. a).	Slobodný, konkrétny, informovaný, jednoznačný.
Marketingové cookies a retargeting	Súhlas (čl. 6 GDPR + zákon č. 452/2021).	Cookie consent banner.
Profilovanie a personalizácia	Súhlas alebo oprávnený záujem s LIA testom.	Pri čl. 22 GDPR — výslovný súhlas.
Bezpečnosť a prevencia podvodov	Oprávnený záujem.	Anti-fraud nástroje, IP logging.

Informačná povinnosť podľa čl. 13 GDPR

Čl. 13 GDPR ukladá prevádzkovateľovi povinnosť informovať dotknutú osobu o spracúvaní pri získaní údajov priamo od nej — typicky pri registrácii v e-shope alebo pri vyplnení objednávky. Informácie musia byť poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko prístupnej forme. Patria sem najmä:

• totožnosť a kontaktné údaje prevádzkovateľa a — ak je určená — zodpovednej osoby (DPO),
• účely a právne základy spracúvania,
• oprávnené záujmy prevádzkovateľa (ak je základom oprávnený záujem),
• príjemcovia údajov — kuriérske služby, platobné brány, marketingové nástroje, účtovník,
• prenosy do tretích krajín (USA pri Google, Meta, AWS) a záruky (štandardné zmluvné doložky, Data Privacy Framework),
• doba uchovávania pre každú kategóriu údajov,
• práva dotknutej osoby (prístup, oprava, vymazanie, obmedzenie, prenosnosť, namietanie, odvolanie súhlasu),
• právo podať sťažnosť na Úrad na ochranu osobných údajov SR,
• existencia automatizovaného rozhodovania vrátane profilovania podľa čl. 22 a zmysluplné informácie o použitej logike.

Politika ochrany osobných údajov sa typicky umiestňuje na samostatnú stránku a odkazuje sa na ňu z VOP, registračného formulára a cookie bannera.

Cookie consent — zákon č. 452/2021 Z. z. a ePrivacy

Cookie consent na slovenskom webe sa riadi § 109 zákona č. 452/2021 Z. z. o elektronických komunikáciách (transpozícia smernice ePrivacy 2002/58/ES) v spojení s GDPR. Pravidlá:

• Nevyhnutné cookies (session, košík, prihlásenie, bezpečnostné) — bez súhlasu, na základe potreby pre poskytnutie služby.
• Analytické, marketingové, retargetingové, profilovacie cookies — iba s predchádzajúcim súhlasom. Súhlas musí byť slobodný, konkrétny, informovaný a jednoznačný.
• Cookie banner — pred uložením súborov musí návštevník vidieť informáciu o použití cookies a možnosť odmietnuť alebo prijať. Tlačidlo „Odmietnuť všetky" musí byť rovnocenné s tlačidlom „Prijať všetky".
• Žiadny pre-tick — predzaškrtnuté boxy nie sú platným súhlasom (rozhodnutie Súdneho dvora EÚ Planet49 C-673/17).
• Cookie politika — samostatný dokument s prehľadom cookies, ich účelmi a dobou exspirácie.
• Možnosť kedykoľvek súhlas odvolať — typicky odkaz „Nastavenia cookies" v päte webu.

Pre referenciu — náš vlastný cookie banner a cookie politika je v súlade s týmto rámcom.

Newsletter a soft opt-in pre marketing e-maily

Pre marketing e-maily sa aplikuje § 116 zákona č. 452/2021 Z. z. (predtým zákon č. 351/2011 Z. z.). Základné pravidlá:

1. Štandardné pravidlo — marketing e-mail vyžaduje predchádzajúci súhlas adresáta. Súhlas je slobodný, konkrétny, informovaný, jednoznačný.
2. Soft opt-in — výnimka pri existujúcich zákazníkoch: ak predávajúci získal kontaktné údaje v súvislosti s predajom tovaru alebo služby, môže ich použiť na priamy marketing podobného tovaru/služby bez výslovného súhlasu, ak v každom e-maile poskytne jednoduchú a bezplatnú možnosť odhlásiť sa a ak adresát pri získaní údajov túto možnosť dostal.
3. Double opt-in — odporúčaná prax pre newsletter neexistujúcich zákazníkov. Po vyplnení e-mailu sa pošle potvrdzovací odkaz, dokým ho adresát neklikne, kontakt nie je aktívny. Slúži ako dôkaz súhlasu.
4. Identifikácia odosielateľa — každý marketing e-mail jasne identifikuje odosielateľa a obsahuje funkčný kontakt.
5. Možnosť odhlásenia — jednoduchá, bezplatná, v každej správe (typicky link „Odhlásiť odber").
6. Záznam súhlasov — prevádzkovateľ je povinný preukázať súhlas (čl. 7 ods. 1 GDPR).

Pri B2B kontaktoch (na generické firemné e-maily typu info@) sa režim líši, ale princíp transparentnosti a možnosti odhlásenia sa aplikuje rovnako.

Retargeting, profilovanie a čl. 22 GDPR

Retargeting (zobrazovanie reklamy užívateľom, ktorí navštívili e-shop) a personalizácia (odporúčania produktov, dynamická cena) spadajú pod GDPR ako spracúvanie osobných údajov — IP adresa, cookie identifikátor, behaviorálne údaje sú osobné údaje v zmysle GDPR.

Pri zber dát pre retargeting sa vyžaduje súhlas dotknutej osoby v rámci cookie consent (zákon č. 452/2021 Z. z. a GDPR). Súhlas musí byť granulárny — užívateľ musí mať možnosť odmietnuť marketingové cookies, ale prijať analytické, alebo naopak.

Čl. 22 GDPR sa uplatňuje pri automatizovanom rozhodovaní, ktoré má pre dotknutú osobu právne účinky alebo ju podobne významne ovplyvňuje. V e-shope to môže byť:

• automatizované odmietnutie objednávky kvôli rizikovému skóre (anti-fraud),
• automatizované rozhodnutie o dostupnosti splátkového predaja,
• dynamic pricing založený výlučne na profile (cena podľa zariadenia, lokality, histórie nákupov bez ľudskej intervencie).

Pri spadnutí pod čl. 22 sa môže automatizované rozhodovanie aplikovať len pri (i) plnení zmluvy, (ii) povolení právom EÚ/SR, alebo (iii) výslovnom súhlase. Vždy je potrebné zabezpečiť právo na ľudský zásah, vyjadrenie stanoviska a napadnutie rozhodnutia. Detail v AI a GDPR.

Práva dotknutých osôb (čl. 15 — 22 GDPR)

Spotrebiteľ ako dotknutá osoba má voči e-shopu tieto práva:

• Právo na prístup (čl. 15) — informáciu o spracúvaní a kópiu spracúvaných údajov.
• Právo na opravu (čl. 16) — opravu nesprávnych alebo doplnenie neúplných údajov.
• Právo na vymazanie / „právo byť zabudnutý" (čl. 17) — pri zániku právneho základu, odvolaní súhlasu, nezákonnosti spracúvania.
• Právo na obmedzenie spracúvania (čl. 18) — počas sporu o zákonnosť, presnosť alebo namietania.
• Právo na prenosnosť údajov (čl. 20) — pri spracúvaní založenom na súhlase alebo zmluve, ktoré je automatizované.
• Právo namietať (čl. 21) — pri spracúvaní na základe oprávneného záujmu, najmä pri priamom marketingu.
• Právo nepodliehať automatizovanému rozhodovaniu (čl. 22) — viď vyššie.

E-shop musí mať interný proces na vybavovanie žiadostí dotknutých osôb v lehote 1 mesiaca (možnosť predĺženia o 2 mesiace pri zložitých prípadoch). Žiadosť možno vybaviť e-mailom; pre overenie totožnosti je vhodné prijať primerané technické opatrenia.

Sprostredkovatelia a prenosy do tretích krajín

E-shop typicky zapája viacero sprostredkovateľov (čl. 28 GDPR) — kuriérske služby, platobné brány, marketingové nástroje (Mailchimp, Klaviyo), analytické nástroje (GA4), hosting (AWS, Azure, GCP), CDN (Cloudflare), CRM. S každým sprostredkovateľom musí byť uzavretá zmluva o spracúvaní podľa čl. 28 GDPR — typicky vo forme DPA (Data Processing Agreement).

Pri prenosoch do tretích krajín mimo EÚ/EHP (USA pri Google, Meta, AWS) sa aplikujú čl. 44 — 49 GDPR. Po rozhodnutí Súdneho dvora EÚ Schrems II (C-311/18) sa využíva najmä:

• EU-US Data Privacy Framework — pre certifikovaných amerických prevádzkovateľov (rozhodnutie EK 2023/1795),
• Štandardné zmluvné doložky (SCC) — schválené Komisiou EÚ,
• Dodatočné technické opatrenia — šifrovanie, pseudonymizácia, transfer impact assessment.

Sankcie a Úrad na ochranu osobných údajov SR

Pri porušení GDPR môže Úrad na ochranu osobných údajov SR uložiť pokuty podľa čl. 83 GDPR — až do 20 mil. € alebo 4 % celosvetového ročného obratu (vyššia suma). Pri porušení § 109 a § 116 zákona č. 452/2021 Z. z. (cookies, marketing e-maily) je dozorným orgánom kombinácia Úradu pre reguláciu elektronických komunikácií a poštových služieb a Úradu na ochranu osobných údajov SR podľa povahy porušenia.

Náš prístup ku GDPR pre e-shop

• Politika ochrany osobných údajov podľa čl. 13 GDPR — prispôsobená sortimentu, integráciám a marketingovému mixu.
• Cookie banner a politika podľa § 109 zákona č. 452/2021 Z. z. — granulárny, súladný s ePrivacy.
• Marketingový framework — newsletter consent, soft opt-in proces, šablóny e-mailov, double opt-in.
• Retargeting a profilovanie — analýza spadnutia pod čl. 22, dokumentácia LIA, opt-out riešenia.
• DPA so sprostredkovateľmi — kuriér, platobná brána, marketing nástroje, hosting.
• Prenosy do tretích krajín — SCC, DPF dokumentácia, transfer impact assessment.
• Proces vybavovania žiadostí dotknutých osôb — vzorové odpovede, interný workflow.
• DPIA pre veľké e-shopy — pri systémovom profilovaní (viď AI a GDPR).
• Zastupovanie pred Úradom na ochranu osobných údajov SR.

Cenovú ponuku pripravujeme individuálne podľa rozsahu e-shopu, integrácií a marketingovej stratégie. Pre úvodné posúdenie zámeru je k dispozícii platená vstupná konzultácia s advokátom.