OPRÁVNENÝ ZÁUJEM PODĽA GDPR

február 13th, 2018 Posted by Nezaradené No Comment yet

Presne o 100 dní, teda 25.5.2018 vstupuje do účinnosti Všeobecné nariadenie o ochrane osobných údajov známejšie ako „General Data Protection Regulation“ , čiže GDPR[1].

Tento článok nemá za účel obsiahnuť všetko, čo by bolo dobré vedieť o GDPR. Zameriava sa na jednu vybranú otázku: Aké sú podmienky spracúvania osobných údajov na základe oprávneného záujmu prevádzkovateľa alebo tretej osoby?

Vychádzame v ňom zo samotného znenia GDPR, diskusie v odborných publikáciách a z užitočnej publikácie vydanej Data Protection Network, ktorá sa volá „Legitimate Interest Guidance“ a je dostupná po registrácii na tejto stránke: https://www.dpnetwork.org.uk/dpn-legitimate-interests-guidance/. Upozorňujeme, že Data Protection Network je súkromná asociácia a nie verejný orgán oprávnený vykladať právne predpisy, nemožno teda ani ich názory ani tento článok brať ako záväzný výklad právnych predpisov.

  1. Právne základy spracúvania podľa GDPR

GDPR vo svojom článku 6 definuje šesť právnych základov (titulov) na spracovanie osobných údajov. Iba v prípade, ak je prevádzkovateľ spôsobilý preukázať jeden z nich, môže byť spracúvanie osobných údajov vôbec považované za zákonné.

Takýmito titulmi sú:

  • dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov
  • spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa
  • spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby
  • spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
  • spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa (túto možnosť nemajú orgány verejnej správy pri plnení úloh)

 

V slovenských pomeroch sa doteraz často súhlas dotknutej osoby považoval za všeliek. Súhlasy sa používali aj tam, kde to vôbec nebolo vhodné (napríklad v pracovnej zmluve). Často sa súhlas dopĺňal do bežných obchodných zmlúv, súhlas na marketingové účely sa získaval formou spotrebiteľských súťaží v tlači, v obchodoch alebo na internete.

Podľa GDPR sa však podmienky na súhlas sprísňujú, súhlasy musia byť najmä slobodne dané, informované, jasné a zrozumiteľné a oddelené od ostatných informácií v dokumentoch. Najvýznamnejšou zmenou podľa GDPR je povinnosť prevádzkovateľa zabezpečiť, aby sa súhlas dal kedykoľvek odvolať a to rovnako jednoducho ako bol udelený. To znamená okrem iného, že aj weby a aplikácie získavajúce súhlasy by mali byť doplnené o nástroje na odvolanie súhlasu a informácie o odvolaní súhlasu by mali byť súčasťou všetkých písomností, ktorými sa súhlas získava.

Dôsledkom odvolania súhlasu je potom povinnosť prevádzkovateľa osobné údaje dotknutej osoby automaticky vymazať (čl. 17 ods. 1 písm. b) GDPR) a pokiaľ boli údaje zverejnené aj zabezpečiť, aby boli ich kópie a odkazy na ne vymazané aj u iných prevádzkovateľov, ktorí ich prevzali (tzv. právo byť zabudnutý).

Zmena podmienok pre získanie súhlasu a riziko odvolania súhlasu budú motivovať k tomu, aby sa preskúmali iné právne základy, a to najmä spracúvanie na základe tzv. „oprávneného záujmu“. Hoci práve tento základ môže byť v mnohých prípadoch vhodným riešením, na jeho uplatnenie sa vzťahuje viacero podmienok.

  1. Oprávnený záujem ako právny základ spracúvania

GDRP umožňuje osobné údaje zbierať a spracúvať aj vtedy, ak je to „nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana“. Podmienkou však je, aby nad týmito záujmami neprevažovali záujmy alebo základné práva a slobody dotknutej osoby, najmä ak je ňou dieťa (čl. 6 ods. 1 písm. f) GDPR).

GDPR teda stanovuje viacero podmienok na uplatnenie oprávneného záujmu ako právneho základu spracúvania:

  • spracúvanie musí byť nevyhnutné;
  • zámer prevádzkovateľa alebo tretej osoby musí byť oprávnený; a
  • musí existovať rovnováha medzi oprávneným záujmom prevádzkovateľa alebo tretej osoby, na ktorý sa odvoláva a záujmami alebo základnými právami a slobodami dotknutej osoby (ak záujmy dotknutej osoby prevažujú, potom toto spracúvanie nebude zákonné).

Dotknutá osoba môže proti tomu, aby boli jej údaje spracúvané na základe oprávneného záujmu namietať, na toto právo ju musí prevádzkovateľ upozorniť. V prípade, ak sa dáta zbierajú online, je potrebné, aby právo namietať bolo dostupné automatizovanými prostriedkami (čl. 21 ods. 5 GDPR).

Ak dotknutá osoba namietla spracúvanie na základe oprávneného záujmu, nie je dôsledkom námietky povinnosť prevádzkovateľa tieto údaje hneď vymazať, ako by to bolo v prípade odvolaného súhlasu. V prípade námietky má prevádzkovateľ povinnosť „obmedziť spracúvanie“ týchto údajov (ekvivalent toho, čo sa podľa starých predpisov označovalo ako „blokovanie údajov“). Následne má prevádzkovateľ povinnosť preukázať, že má oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby (článok 21 ods.1 a článok 18 ods. 1 písm. d) GDPR). V prípade námietky proti spracúvaniu na základe oprávneného záujmu má teda prevádzkovateľ možnosť svoj oprávnený záujem preukázať a obhájiť. V prípade, že sa mu to nepodarí, nasleduje povinnosť výmazu a ďalšie povinnosti, podobne ako pri odvolaní súhlasu. Dotknutá osoba môže tiež podať sťažnosť Úradu na ochranu osobných údajov, pokiaľ prevádzkovateľ nepostupoval podľa jej názoru v súlade s predpismi.

Výnimkou však je, ak sa spracúvajú osobné údaje na účely priameho marketingu. Vtedy je  námietka dotknutej osoby konečná a zodpovedá jej povinnosť prevádzkovateľa tieto údaje prestať na daný účely využívať (Článok 31 ods. 3 GDPR) a povinnosť ich vymazať (čl. 17 ods. 1 písm. c) GDPR). Priamy marketing síce priamo preambula GDPR definuje ako oprávnený záujem, ale dôsledky námietky sú prísnejšie.

Čo teda vlastne môže byť oprávneným záujmom? GDPR je predpisom iného typu, než na aké sme boli u nás zvyknutí a neobsahuje výpočty možností, poviností ani presné definície. Preto sa vytvárajú oficiálne (napríklad zo strany Pracovnej skupiny 29) alebo neoficiálne (napríklad spomenuté Usmernenie DPN) výklady jeho ustanovení.

Existujú situácie, v ktorých bude celkom jasné, aký je oprávnený záujem prevádzkovateľa, a prečo prevažuje nad záujmami dotknutej osoby. Napríklad, ak prevádzkovateľ kontroluje vstup do svojich priestorov za účelom ochrany majetku, bude na prvý pohľad jasné, že oprávnený záujem na získavaní údajov má (ochranu majetku). Avšak aj v takom jednoznačnom prípade by sa mal pripraviť na to, že bude musieť svoje právo obhájiť v prípade námietky a teda naozaj spracúvať len údaje, ktoré sú nevyhnutné (minimalizácia údajov) a na nevyhnutný čas (minimalizácia času).

Ako však postupuje prevádzkovateľ v prípadoch, kedy oprávnený záujem nie je takto jednoznačný a zrejmý?

Podľa usmernenia DPN, každý prevádzkovateľ, ktorý sa chce spoľahnúť na „oprávnený záujem“ ako na právny základ spracúvania osobných údajov, by mal na začiatku urobiť tri skúšky či testy:

  • Test oprávnenosti záujmu:
    • Je záujem, pre ktorý údaje spracúvam, skutočne oprávneným záujmom?
  • Test nevyhnutnosti:
    • Aké údaje budem spracúvať, aby som vedel preukázať, že ich spracúvanie je nevyhnutné na účel konkrétneho oprávneného záujmu?
  • Test rovnováhy:
    • Je oprávnený záujem dosť silný, aby vyvážil obmedzenie záujmov, práv a slobôd dotknutej osoby?

Prvým predpokladom a základným krokom, je aby prevádzkovateľ  „oprávnený záujem“ jasne pomenoval, popísal a vyhodnotil. Oprávnený záujem nemusí byť záujmom samotného prevádzkovateľa, môže ísť o záujem tretej strany – klienta prevádzkovateľa alebo aj samotnej dotknutej osoby. Nemožno sa však v žiadnom prípade spoliehať na to, že nejaký oprávnený záujem si už teda nájdem, keď budem musieť. Oprávnený záujem musí byť zrozumiteľný, zákonný, nesmie byť nejasný alebo vágny. Identifikovať právny základ a účel spracúvania musí prevádzkovateľ už v povinnej informácii dotknutej osobe o spracúvaní jej údajov (viď článok 13 ods. 1 písm. c) resp. čl. 14 ods. 1 písm. c) GDPR). Túto informáciu jej musí poskytnúť pri zbieraní údajov, ak má údaje z iného zdroja potom najneskôr do jedného mesiaca, odkedy začal jej údaje spracúvať alebo pri prvej komunikácii. Dokonca, podľa usmernenia pracovnej skupiny 29 o transparentnosti, by mal v informácii dotknutú osobu prevádzkovateľ upovedomiť o tom, že o oprávnenosti záujmu vypracoval test a poskytnúť základné informácie z neho alebo ju informovať, kde do testu môže nahliadnuť alebo ako si ho môže vyžiadať.

Určiť oprávnený záujem a konkrétne účely spracúvania by mal prevádzkovateľ teda ešte skôr, než údaje začne zbierať. Musí totiž vedieť preukázať, že existenciu oprávneného záujmu skúmal a vyhodnotil, a že jeho oprávený záujem prešiel v testoch oprávnenosti, nevyhnutnosti a rovnováhy. V niektorých prípadoch, kedy je riziko pre dotknuté osoby vyššie, bude dokonca potrebné pred začiatkom spracúvania vykonať aj tzv. “posúdenie vplyvu na ochranu údajov“ (“Data impact analysis” alebo “DIA”), čo už je zložitejší proces, ktorý presnejšie definuje článok 35 GDPR.  Aj v prípadoch, že sa takéto komplikovanejšie posúdenie nevyžaduje, mal by byť prevádzkovateľ už pred začatím spracúvania pripravený preukázať, že splnil podmienky podľa GDPR. Ideálne by teda mal pripraviť materiál, kde popíše oprávnený záujem, aké údaje naň spracúva a ako vyhodnotil rovnováhu oprávneného záujmu a záujmov dotknutých osôb.

  1. Ako definovať oprávnený záujem, aby to bolo v súlade s GDPR

Samotný text GDPR dáva niekoľko návodov a vysvetlení, pokiaľ ide o zistenie a definovanie oprávneného záujmu. Normatívny text je pomerne strohý, viac podrobností môžeme nájsť v Preambule nariadenia, najmä v bodoch 47 až 50.

Priamy marketing

Podľa bodu 47 preambuly, spracúvanie údajov na účely priameho marketingu možno považovať za oprávnený záujem. Samozrejme, aj v takomto prípade musí byť prevádzkovateľ schopný preukázať, že jeho záujem a záujem dotknutej osoby sú v rovnováhe. Platí, že v prípade námietky sa musia údaje takto spracúvané bez ďalšieho vymazať a ďalej nepoužívať.

Predchádzanie podvodom

Podobne to platí pre predchádzanie podvodom. Spracúvanie osobných údajov nevyhnutne potrebné na predchádzanie podvodom sa podľa bodu 47 považuje za oprávnený záujem. Na rozdiel od priameho marketingu, námietka v takomto prípade neznamená skončenie spracúvania ani výmaz, ale postupuje sa pri nej ako pri akejkoľvek inej námietke (spracúvanie sa obmedzí, prevádzkovateľ môže preukázať splnenie podmienok spracúvania).

Relevantný a primeraný vzťah a primerané očakávania:

Bod 47 pridáva aj ďalšie kritériá oprávneného záujmu: Pri spracúvaní na základe oprávneného záujmu je potrebné zohľadniť primerané očakávania dotknutej osoby, vzhľadom na jej vzťah k prevádzkovateľovi. Ako príklad uvádza, že takéto očakávania (teda, že sa jej údaje môžu spracúvať) môže mať osoba ak je medzi ňou a prevádzkovateľom relevantný a primeraný vzťah, najmä, ak je v postavení klienta prevádzkovateľa alebo sa jej poskytujú služby. Z toho vyplýva, že ak existuje medzi prevádzkovateľom a dotknutou osobou zmluvný vzťah, nemusí prevádzkovateľ spracúvať výhradne iba údaje potrebné na plnenie zmluvy (ako jedného právneho základu), ale môže spracúvať aj iné údaje, ktoré spracúva za účelom svojho oprávneného záujmu (iného ako zmluvného), napríklad aj marketingu, analytiky a pod., za predpokladu, že takéto spracúvanie môže dotknutá osoba primerane očakávať. Zoznam údajov by ale mal byť starostlivo rozdelený podľa týchto rôznych právnych základov, pretože spracúvanie na základe oprávneného záujmu podlieha iným pravidlám podľa GDPR (napríklad spomenutému právu na namietanie) ako spracúvanie pre účely plnenia zmluvy (tam je zase napríklad právo na prenosnosť).

Vnútroskupinové prenosy

V bode 48 preambuly GDPR poskytuje usmernenie, že v prípade skupiny prepojených spoločností môže existovať oprávnený záujem pre vnútroskupinové prenosy dát zamestnancov alebo zákazníkov. Samozrejme, všetky pravidlá pre prenosy údajov musia byť dodržané aj v tomto prípade a platia zásady minimalizácie údajov aj doby spracúvania.

Bezpečnosť siete a informačná bezpečnosť

Podľa bodu 49 preambuly je oprávneným záujmom aj zaistenie bezpečnosti siete a informačnej bezpečnosti. GDPR ju definuje ako schopnosti siete alebo informačného systému odolať poruchám alebo nezákonným alebo úmyselným činom, ktoré narušujú dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenesených osobných údajov, a bezpečnosti súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí. Na tento právny základ sa podľa GDPR môžu odvolať najmä orgány verejnej moci, jednotky reakcie na núdzové počítačové situácie (CERT), jednotky pre riešenie počítačových incidentov (CSIRT), poskytovatelia elektronických komunikačných sietí a služieb a poskytovatelia bezpečnostných technológií a služieb.

Test oprávneného záujmu:

Pokiaľ oprávnený záujem nie je takto výslovne definovaný v GDPR, potom by mal prevádzkovateľ vykonať trojstupňový test oprávneného záujmu, teda

  1. zistiť, či oprávnený záujem existuje,
  2. posúdiť, či je spracúvanie konkrétnych údajov nevyhnutné na jeho dosiahnutie a
  3. vykonať „test rovnováhy“ teda zistiť či záujmy, práva a slobody dotknutej osoby neprevažujú nad záujmom prevádzkovateľa.

V prvom bode by mal prevádzkovateľ jasne definovať oprávnený záujem, určiť či ide o záujem jeho alebo tretej osoby. Samozrejme, žiaden záujem, ktorý nie je v súlade s právnymi predpismi alebo nie je dovolený nemožno považovať za „oprávnený záujem“.

V druhom bode by sa mal prevádzkovateľ zaoberať „nevyhnutnosťou“ spracovania údajov na dosiahnutie účelu, ktorý si určil. Nestačí, aby spracovanie na tento účel bolo vhodné, obvyklé alebo žiadúce, mal by byť schopný preukázať, že spracovanie je skutočne nevyhnutné. To dosiahne najmä tým, že presvedčivo zodpovie na otázky: Môžem dosiahnuť svoj účel (naplniť oprávnený záujem) aj inak ako spracovaním údajov? Potrebujem všetky údaje, ktoré chcem zbierať na dosiahnutie účelu? V prípade, ak existuje viac možností, ako dosiahnuť účel, ešte stále môže byť spracovanie údajov nevyhnutné, pokiaľ by alternatívne spôsoby vyžadovali neprimerané úsilie alebo náklady. Ak existuje viacero spôsobov, a pri všetkých sa spracúvajú údaje, mal by prevádzkovateľ vyhodnotiť dopady spracúvania a podľa toho zvoliť postup s najmenšími dopadmi na práva a záujmy dotknutých osôb.

Potom nastupuje test rovnováhy, teda zistenie či práva, záujmy a slobody dotknutej osoby, ktorých sa spracúvanie dotkne, neprevážia oprávnený záujem prevádzkovateľa alebo tretej osoby. Podľa DPN by sa mal prevádzkovateľ snažiť pri tomto teste postupovať nestranne.

Musí pri tom vziať do úvahy hlavne

  • povahu dotknutých záujmov
  • dopad spracúvania
  • zabezpečenia, ktoré implementuje.

Povaha dotknutých záujmov:

Pri teste by sa mali zohľadniť primerané očakávania dotknutej osoby, ako naznačuje preambula GDPR. Môže určitá osoba ako klient primerane očakávať, že o nej budem spracúvať konkrétny údaj? Pokiaľ áno, potom to zrejme vzala do úvahy už keď sa rozhodla stať sa mojim klientom alebo so mnou založiť iný vzťah. Ak také očakávanie nemôže mať, potom treba v teste rovnováhy prikladať jej záujmom väčšiu váhu.

Zohľadniť by sa mal aj typ údajov, ktoré spracúvam. Osobitne prísne by sa mali posúdiť osobné údaje detí (podľa GDPR je dieťaťom osoba do 16 rokov veku), ktorých záujmy sú vždy silnejšie chránené. Rovnako silnejšej ochrane podliehajú, a teda väčšiu váhu majú citlivé údaje, teda napríklad údaje o zdravotnom stave, rase, náboženských či filozofických presvedčeniach alebo sexuálnych preferenciách. Ich spracúvanie dokonca GDPR zakazuje, pokiaľ nie je splnená jedna z výnimiek.

Ďalej treba testu podrobiť samotný záujem. V koho prospech smeruje tento oprávnený záujem? Je to len záujem prevádzkovateľa alebo je zároveň aj záujmom dotknutej osoby (napríklad sa spracúvaním údajov sa zlepšia ponúkané služby alebo pohodlie pri ich používaní)?

Dopad spracúvania:

Aký má dopad spracúvanie na dotknutú osobu? Hrozí jej nejaká škoda alebo strata v dôsledku spracúvanie? Čo v prípade úniku údajov, hrozí jej zvýšené riziko? Zvažuje sa zverejnenie týchto údajov? Aké je postavenie prevádzkovateľa – má významné postavenie na trhu a jeho rozhodnutie ovplyvní podstatne dotknutú osobu alebo iné osoby? Ide o dotknuté osoby, ktoré sú osobitne chránené, ako sú napríklad deti alebo sú považované za viac zraniteľné, ako napríklad zamestnanci? Bude sa vykonávať profilovanie?

Riziká pre dotknuté osoby znova objasňuje preambula GDPR, podľa ktorej je rizikové najmä spracúvanie, v dôsledku ktorého môže dôjsť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; alebo ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi.

Zabezpečenia:

Ako sú údaje chránené, aké sú zabezpečenia? Budú sa údaje poskytovať ďalším osobám alebo zverejňovať? Budú v takom prípade údaje anonymizované alebo pseudonymizované?

Výsledok testu:

Usmernenie DPN obsahuje ako prílohu dotazník, ktorý môže prevádzkovateľ použiť pri teste oprávneného záujmu. Sú v ňom zahrnuté otázky, ktoré by si mal prevádzkovateľ položiť. Je potrebné ale upozorniť, že nejde o žiaden exaktný test ani neobsahuje bodovanie odpovedí. Výsledky by mal prevádzkovateľ sám vyhodnotiť podľa svojich skúseností a podľa návodov daných v GDPR a usmernení.

Čo však v prípade, že prevádzkovateľ vykoná test, ale test má negatívny výsledok, teda prevádzkovateľ zistil, že záujmy oprávnenej osoby prevážia jeho oprávnený záujem? Nuž, môže ešte zvážiť, či napríklad zredukuje počet a druh zbieraných údajov alebo vypustí niektoré operácie s nimi. Pokiaľ ani v takom prípade výsledok testu nebude v prospech jeho oprávneného záujmu, nebude môcť tento právny základ použiť.

  1. Príklady niektorých konkrétnych oprávnených záujmov

Už sme spomenuli, že niektoré oprávnené záujmy ako také definuje priamo GDPR (napríklad predchádzanie podvodom, priamy marketing, počítačová bezpečnosť). Doplňme niekoľko ďalších príkladov, ako by mohli vyzerať konkrétne oprávnené záujmy podľa DPN.

Zistenie veku.

Niektoré služby poskytované prevádzkovateľom môžu byť obmedzené vekom (dostupné len pre dospelých). Tiež GDPR stanovuje prísnejšie podmienky najmä pre súhlasy s použitím osobných údajov pre deti do 16 rokov. Zistenie veku používateľa služby preto zrejme môže byť oprávneným záujmom prevádzkovateľa takýchto služieb.

Personalizácia.

Niektoré služby môžu poskytovať pridaný komfort, ak bude mať prevádzkovateľ dosť informácií na to, aby službu personalizoval, prispôsobil potrebám používateľa. Na personalizáciu môže potrebovať osobné údaje (napríklad vek, pohlavie alebo lokalitu). Je pravdepodobné, že personalizácia, aj vzhľadom na to, že poskytuje komfort priamo dotknutej osobe, by sa mala považovať za oprávnený záujem.

Analytika

Samotné DPN v usmernení hovorí o oprávnenom záujme najmä pre poskytovateľov služieb na internete, aby používali diagnostickú analytiku, aby sledovali počet návštevníkov, postov, zobrazení stránky či videa, hodnotení a pod., aby optimalizovali svoje marketingové kampane.

Pri webovej analytike treba ale okrem GDPR vziať do úvahy aj iné predpisy, konkrétne tzv. ePrivacy Directive z r. 2002[2], ktorej úprava alebo nahradenie novým nariadením sa tiež pripravujú, a jej implementáciu do nášho práva Zákonom o elektronických komunikáciách  ktoré určujú podmienky pre používanie cookies ako analytických nástrojov. Tieto podmienky sa uplatňujú navyše k podmienkam podľa GDPR, nemožno sa teda spoľahnúť, že vykonaný test podľa GDPR je dostatočný na spracúvanie údajov, ale je potrebné splniť aj podmienky podľa ostatných predpisov.

Evidenčné účely

Napríklad pre prevádzkovateľov hotelov bude zrejmý záujem na to, aby evidovali vstupy a odchody hostí a personálu z izieb z dát vstupných kariet. Účelom bude riešenie prípadných sporov alebo nárokov hostí alebo porušení predpismi zo strany personálu. Iným účelom môže byť lepšie zorganizovať pobyt hosťa a vylepšiť jeho zákaznícku skúsenosť. Tu sa je však potrebné zamyslieť nad tým, ako tieto údaje minimalizovať a akú minimálnu dobu ich uchovávať.

Monitorovanie

Obchodná spoločnosť napríklad vo svojom call centre používa softvérové riešenia, ktoré analyzujú dáta na identifikovanie opakovaných problémov a analýzu správania zákazníkov a zamestnancov. Na ten účel zaznamenáva a analyzuje telefonáty a používa ich, aby zamestnanci call centra optimalizovali svoju prácu a lepšie slúžili zákazníkom. Upozornenia by sa v tomto prípade mali poskytnúť v úvode telefonického hovoru.

Logistika

Sieť supermarketov potrebuje zistiť, kde je najvhodnejšie umiestniť distribučné body a ako umiestňovať produkty do skladov. Obchod preto spracúva údaje o zákazníkoch, aby predvídali budúci dopyt. Môže pri tom napríklad aj doplniť dáta z externých zdrojov, aby obohatila zákaznícke zložky a poskytla podklady na rozhodovanie.

Informácie o premávke

Spoločnosti poskytujúce služby informácií a smerovania premávky, súkromné či verejné, zbierajú v reálnom čase informácie o premávke na niektorých cestách či úsekoch. To umožňuje podstatne zlepšiť efektívnosť premávky v husto zaľudnených oblastiach.  Informácie sa poskytujú navigačným systémom a využívajú ich jednotlivci, verejný sektor alebo komerčný sektor. Na tieto účely sa používajú údaje vysielané mobilnými telefónmi, pripojenými vozidlami alebo inými koncovými zariadeniami.

  1. Oznámenia dotknutej osobe

Už sme viackrát zmienili, že prevádzkovateľ je povinný informovať dotknutú osobu o tom, že a na aké účely spracúva jej osobné údaje. Súčasťou tejto informácie jej aj určenie oprávneného záujmu a účelu, na ktorý údaje využíva. Tiež je súčasťou poučenie dotknutej osoby o jej právach, vrátane práva namietať voči spracúvaniu na základe oprávneného záujmu. Upozornenie na právo namietať musí byť poskytnuté jasne a oddelene od ostatných informácií (čl. 21 ods. 4 GDPR).

Príklady, ako by takéto upozornenie na právo namietať mohlo vyzerať, obsahuje tiež Usmernenie DPN. Ide len o časť informácie, pretože tá musí obsahovať aj ďalšie náležitosti podľa GDPR (čl. 13 a 14). Tieto upozornenia môžu, v prípade online zbierania údajov, odkazovať na web stránky alebo podstránky, na ktoré sa možno dostať preklikom (vrstvenie informácií). V prípade písomných dokumentov môžu odkazovať na prílohy, odporučila by som ale, aby všetky potrebné informácie boli v takom prípade súčasťou jedného balíka písomností.

Ako by teda mohla znieť časť upozornenia, ktorá poskytuje informáciu o oprávnenom záujme a práve namietať? Napríklad takto:

Spracúvame Vaše osobné údaje na viacero oprávnených obchodných účelov (oprávnených záujmov), najmä na nasledovné účely:

  • zlepšenie, prispôsobenie alebo personalizovanie našich služieb alebo našej komunikácie s klientami, a to v prospech našich klientov;
  • identifikovanie pokusov o podvod a predchádzanie podvodom;
  • zlepšenie bezpečnosti našej siete a našich informačných systémov;
  • aby sme porozumeli, ako ľudia interagujú z našou webstránkou
  • aby sme Vám mohli zasielať oznámenia, o ktorých si myslíme, že Vás budú zaujímať;
  • aby sme vyhodnotili efektivitu propagačných kampaní a reklamy.

Pri spracúvaní Vašich údajov na tieto účely vždy rešpektujeme a dodržiavame Vaše práva pri spracúvaní osobných údajov. Máte právo proti tomuto spracúvaniu namietať, a ak tak chcete urobiť, môžete tak urobiť kliknutím sem. Berte však, prosím, do úvahy, že námietka môže ovplyvniť našu schopnosť vykonávať úlohy uvedené vyššie vo Váš prospech.   

 Oprávnený záujem ako právny základ spracúvania osobných údajov je určite užitočným nástrojom pre bežné fungovanie prevádzkovateľov. Je však potrebné predtým, ako sa do takéhoto spracovania pustíme, vyhodnotiť, či oprávnený záujem a spracúvanie na jeho základe spĺňa všetky podmienky, ktoré preň ustanovuje GDPR.

A bez strašenia si dovolím pripomenúť, že do účinnosti GDPR ostáva presne 100 dní.

14.2.2018

RYBANOVÁ & PARTERS, s.r.o.

Radoslava Rybanová, advokátka

[1] Nariadenie európskeho parlamentu a rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES

[2] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)

Komentáre nie sú povolené.

Kalendár udalostí

<< nov 2024 >>
pusšpsn
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1