GDPR v online prostredí (1. časť)

S ochranou osobných údajov sa stretávame ako dotknuté osoby najčastejšie v online prostredí. Takmer na každej webovej stránke môžete nájsť odkaz na „Zásady ochrany osobných údajov“ alebo „Privacy policy“. Teda odkaz na dokument, ktorý obsahuje podmienky spracúvania osobných údajov. Taktiež na nás vyskakujú „cookies“, čo je tiež spojené s ochranou osobných údajov. GDPR v online prostredí je pestré.

Odkaz na GDPR môžeme nájsť pri registrácii do služieb, vypĺňaní kontaktných formulárov, prihlasovaní do newsletter-ov, nákupe v eshope… Dokonca, prevádzkovatelia facebookových „business“ stránok si môžu vložiť ochranu osobných údajov aj do svojej fan page.

GDPR v online

Formulácie a textácie k osobným údajom sú rôzne. V niektorých prípadoch je potrebné zaškrtnúť „checkbox“, aby sme mohli vykonať na webovej stránke akciu. Pri iných je zase len odkaz, že bude prevádzkovateľ stránky spracúvať vaše osobné údaje.

V každom prípade, dotknutá osoba musí byť transparentne informovaná o spracovateľskej operácii, ku ktorej získavame osobné údaje. To zahŕňa najmä:

• vyjadrenie účelu spracúvania,
• určenie právneho základu spracúvania,
• plnenie informačnej povinnosti v zmysle článku 13 a / alebo článku 14 Nariadenia GDPR.

Ďalej v článku si zhrnieme jednotlivé účely spracúvania, s ktorými sa v online prostredí stretávame najčastejšie:

1. Newsletter

Za newsletter považujeme hromadné zasielanie mailov publiku, ktoré má záujem dostávať novinky, zaujímavosti a prihlásia sa na odber. Právnym základom pre zasielaniu newsletteru je v prevažnej väčšine prípadov súhlas so spracúvaním osobných údajov. To vyplýva nielen z GDPR, ale aj z § 3 ods. 3 zákona o reklame.¹

Zasielanie newsletterov v prípade, ak je právnym základom súhlas, si okrem samotného získania súhlasu (právny základ) vyžaduje pri získavaní osobných údajov aj:

• vyjadrenie účelu spracúvania, napríklad: Chcem dostávať novinky o ochrane osobných údajov.
• plnenie informačnej povinnosti, napríklad: Chcem dostávať novinky o ochrane osobných údajov. Viac info tu. (tu -> preklik na informačnú povinnosť alebo zásady ochrany osobných údajov), tak, aby sme vedeli preukázať, že užívateľ sa mal možnosť oboznámiť so spracúvaním osobných údajov.
• zachytenie súhlasu, ak je právnym základom a stanovenie doby „uchovávania“. resp. vymazania, tak, aby sme vedeli preukázať udelenie súhlasu a dobu, na ktorú bol súhlas udelený.
• poskytnutie možnosti odvolania súhlasu, napríklad: v praxi je bežné, že súhlas možno odvolať v pätičke mailu.

Z marketingového hľadiska sa vyskytujú také prípady GDPR v online prostredí, kedy by sme mohli k „newsletteru“ aplikovať aj iný právny základ – konkrétne oprávnený záujem. To je však potrebné dôkladne vyhodnotiť.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

2. Kontaktný formulár

Kontaktné formuláre sú tiež bežnou súčasťou webových stránok a zdrojom získavania kontaktov, dopytov. Môžeme ich teda považovať za moment, kedy získavame osobné údaje. A už pri získavaní osobných údajov vzniká povinnosť transparentne informovať o spracúvaní osobných údajov (ako uvádzame v prvej časti), resp. preukázať možnosť oboznámenia sa s „privacy policy“.

Ku kontaktným formulárom máme sa stretávame s duálnym prístupom. Niektoré webové stránky vyžadujú získanie súhlasu ako pri newsletteri, iné zase len informujú o tom, že keď kontaktný formulár vyplníte a odošlete, bude prevádzkovateľ webovej stránky spracúvať vaše osobné údaje. Oba postupy môžu byť považované za správne. Nastavenie účelu a právneho základu je na prevádzkovateľovi.

Prevádzkovateľ teda určuje právny základ. Ten je v prípade kontroly povinný aj odôvodniť.

Vo všeobecnosti však uprednostňujeme aplikáciu oprávneného záujmu (teda bez súhlasu a „checkboxu“). Prečo? Keď nám dotknutá osoba posiela dopyt, môžeme predpokladať, že má záujem o odpoveď. Pri posudzovaní, či prevažujú:

• záujmy prevádzkovateľa pri spracovaní osobných údajov, alebo
• práva a právom chránené záujmy dotknutej osoby,

tak môžeme vyhodnotiť, že dotknutá osoba chce, aby sme jej osobné údaje spracovali a zaslali jej odpoveď na jej požiadavku.

Problematickým je rozsah získavaných osobných údajov. Aké osobné údaje v kontaktnom formulári získavame? Je dopytujúca osoba povinná vyplniť všetky políčka v kontaktnom formulári? Tieto osobné údaje, ktoré získavame je potrebné zvážiť, aj v súlade so zásadou minimalizácie.

Stačí si zodpovedať otázku, aké potrebujeme osobné údaje k vybaveniu žiadosti z kontaktného formulára. Ak potrebujete identifikovať dotknutú osobu (meno a priezvisko), lebo odpovedáte len reálnym osobám, táto skutočnosť môže zavážiť pri určovaní právneho základu.

Aj pri tomto účely spracúvania je potrebné stanoviť dobu uchovávania. Štandardne odporúčame nastaviť vymazávanie osobných údajov na čo najkratšiu dobu, napríklad do 30 dní odo dňa vybavenia požiadavky dotknutej osoby.

1. § 3 ods. 3 zákon č. 147/2001 Z. z. o reklame a o zmene a doplnení niektorých zákonov v znení neskorších predpisov: (3) Reklama sa nesmie šíriť automatickým telefonickým volacím systémom, telefaxom a elektronickou poštou bez predchádzajúceho súhlasu ich užívateľa, ktorý je príjemcom reklamy.„ ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb