Matija Jamnik, odvetnik: V mnogih podjetjih so skladnost z GDPR uredili samo na površju

Po manjši paniki v začetku lanskega leta, se je znova izkazalo, da se nobena juha ne poje tako vroča, kot se skuha. Kako kot pravnik in poznavalec ocenjuješ dejanske posledice in učinke GDPR?

Res je bilo kar nekaj panike, pogosto tudi povsem po nepotrebnem in kot posledica slabega razumevanja zahtev GDPR. Mnoga podjetja so recimo šla v pridobivanje privolitev za obdelavo osebnih podatkov, čeprav so imela za njihovo uporabo (obdelavo) pravno podlago, ker osebne podatke potrebujejo za sklepanje in izpolnjevanje pogodb s posamezniki.

Mislim, da je večini organizacij zaradi GDPR postalo jasno, da bo nekaj na tem področju potrebno storiti. Če ne drugega, vsaj preveriti skladnost poslovanja z Uredbo in upati, da vrzel ni prevelika. Pristopi k izvedbi pa so bili različni.

Nekatera podjetja, tudi velika in ugledna, so se sploh prvič začela spraševati o tokovih osebnih podatkov oziroma o procesih, ki vključujejo obdelavo osebnih podatkov. Mnogi so presenečeni ugotovili, da teh tokov ne obvladajo in da recimo ne vedo, kdo vse dostopa do določenih podatkov, koliko časa in kje vse se podatki hranijo in za kakšne namene točno se uporabljajo. Morali so začeti na začetku, kar je po mojem mnenju najbolj pravi pristop. Mapiranje toka osebnih podatkov je prvi korak na poti do skladnosti.

Nekateri so izbrali parcialen pristop, po načelu, da lahko ob morebitnem inšpekcijskem pregledu pokažejo vsaj nek trud, ki so ga vložili v doseganje skladnosti.

Mnoga podjetja so sklenila počakati na ZVOP-2, češ poglejmo najprej, kaj bo k Uredbi morda »dodala« država. Nekatera tudi v zmotnem prepričanju, da GDPR sploh ne velja, dokler ni sprejet ZVOP-2.

So pa tudi podjetja, ki žal niso dojela sporočila GDPR. Vem za nekaj bank, ki so informacije o pravicah posameznikov v zvezi z osebnimi podatki namerno umaknile z vstopnih strani svojih spletnih mest nekam globlje. Razlog? Ugotovili so, da jim uveljavljanje pravic s strani komitentov povzroča stroške. Google je bil na primer v Franciji oglobljen s 50 mio EUR med drugim tudi zato, ker informacije o obdelavi osebnih podatkov niso bile dovolj enostavno dostopne in so zahtevale preveč klikanja.

Vezano na Uredbo se pojavljata dve mnenji. Prvo, da je sama pa sebi povsem zadostna pravna osnova. In drugo, da za njeno izvajanje potrebujemo še novi Zakon o varstvu osebnih podatkov (t.i. ZVOP-2). Kaj od tega drži ter kakšne dodatne zahteve ali omejitve glede trženja in prodaje lahko pričakujemo v omenjenem zakonu?

GDPR je pravni akt EU, ki se v vseh državah članicah uporablja neposredno. Res je, da v določenih delih Uredba ni najbolj natančna, a to ne pomeni, da imajo države članice pravico spreminjati ali razveljavljati njene določbe. Lahko edino po svoje uredijo vprašanja, ki jih Uredba ne določa, npr. minimalna starost za veljavno privolitev za obdelavo, videonadzor, biometrija ipd. Pričakovati, da bo lahko Slovenija z ZVOP-2 uveljavila kakšne posebne izjeme, pa je po mojem mnenju precej utopično.

Res je tudi, da Uredba ne vsebuje »lestvice« glob, temveč le najvišje zagrožene globe (2 mio EUR ali 2% globalnega letnega prometa, ali 4 mio EUR oz. 4% prometa).

Uredba torej velja in se uporablja, vendar Informacijski pooblaščenec težko kaznuje za kršitve njenih določb. Razen, če gre hkrati za kršitve veljavnega ZVOP-1 in je globa izrečena v okvirih tega zakona.

Trenutno objavljeni predlog ZVOP-2 glede trženja sledi dosedanji ureditvi v ZVOP-1, ki dovoljuje uporabo javno objavljenih podatkov, ali podatkov zbranih v okviru zakonitega opravljanja dejavnosti za namene neposrednega trženja z uporabo pošte, telefona, elektronske pošte ali drugih elektronskih komunikacij, če drug zakon ne določa drugače.

Opozarjam na ta dodatek. Področje e-pošte in SMS je denimo v Zakonu o elektronskih komunikacijah (ZEKom-1) urejeno drugače, kot v ZVOP-1 in v predlogu ZVOP-2 ter velja še naprej (načelno izrecna privolitev za fizične osebe, z izjemami, kot so npr. obstoječi kupci).

Kmalu bo za nami prvo leto veljavnosti Uredbe. Katere pomanjkljivosti, ki so lahko razlogi za izrekanje kazni, največkrat opažaš v praksi?

Mnoga podjetja so se skladnosti z GDPR lotila zgolj na površini, torej na ravni dokumentov, vendar se (še) niso zakopala v drobovje. Nič nam ne pomaga in nič bolj skladni nismo, če smo sprejeli nov Pravilnik o ravnanju z osebnimi podatki in Politiko zasebnosti, v dejanskem delovanju podjetja pa je vse ostalo enako kot prej.

GDPR zahteva, da je vse ravnanje z osebnimi podatki prežeto z upoštevanjem načel varstva podatkov, ki so vsebovana v Uredbi. Primer: načelo najmanjšega obsega (minimizacije) določa, da lahko obdelujemo le tiste podatke, ki so potrebni za dosego namena (ki smo ga ob pridobitvi podatkov morali opredeliti in razkriti). To pomeni, da tudi če smo od posameznika sicer pridobili veljavno privolitev za obdelavo več vrst njegovih osebnih podatkov, lahko obdelujemo le tiste, ki so potrebni za dosego namena obdelave (npr. analiza nakupov v odvisnosti od dohodkov), vse ostale podatke pa je potrebno izbrisati oziroma jih sploh ne bi smeli pridobiti. Kopičenje podatkov »na zalogo« in »ker nikoli ne vemo, kdaj jim bomo potrebovali« ni skladno z zahtevami Uredbe. Gre za zahtevo po preseganju ukoreninjenih vzorcev, kar ni vedno enostavno.

Mnoga podjetja se tudi ne morejo sprijazniti z zahtevo po transparentnosti in razmišljajo, da je treba uporabnikom v zvezi z osebnimi podatki povedati in razkriti čim manj. Kar je zgrešeno, saj GDPR zahteva ne le, da so posameznikom na voljo vse informacije o obdelavi njihovih posebnih podatkov, temveč tudi, da so te informacije lahko razumljive, jedrnate, pregledne in lahko dostopne. Zaenkrat v pravni pisarni ne opažamo, da bi zaradi odkritosti zbrali manj privolitev, torej je strah odveč.

Pravila o ravnanju z osebnimi podatki potrošnikov so večini dokaj jasna. Še vedno pa je precej dvomov pri sodelovanju s poslovnimi kupci, kjer so osebni podatki običajno njihovi elektronski naslovi. Kakšno je pravno razmerje med javno objavljenim elektronskim naslovom poslovnega kupca in zakonitim interesom ponudnika, da ga obvešča o svoji ponudbi?

Osebni podatek je vsak podatek, ki se nanaša na določeno fizično osebo. Torej poleg e-naslova vsaj še ime in priimek in podatek o delodajalcu. Lahko pa še marsikaj drugega, kar se običajno, ali včasih vpisuje v CRM, npr. kdaj in v zvezi s čim je bila oseba kontaktirana, njene osebne preference, v kakšnih krogih se giblje in podobno. Čeprav gre za B2B odnos, za te osebne podatke velja enako kot pri B2C. Se pa strinjam, da so tovrstni osebni podatki načelno bolj »enostavni«, vsaj kar se tiče pravne podlage za njihovo obdelavo.

Kot že omenjeno je pošiljanje elektronske pošte (posebej) urejeno v ZEKom-1. 158. člen najprej določa t.i. opt-in pristop, torej izrecna vnaprejšnja privolitev za prejemanje, a nato tudi določi, da se ta pravila uporablja »za naročnike, ki so fizične osebe«.

Kar pomeni, da za poslovne uporabnike zahteve pa vnaprejšnji privolitvi ni; velja t.i. opt-out pristop in je pošiljanje sporočil na javno objavljene službene e-naslove prosto.

Informacijski pooblaščenec in AKOS sta v skupnem mnenju sicer zapisala, da naj podjetja, »ki izvajajo neposredno trženje … pri pošiljanju komercialnih sporočil na osebne elektronske naslove pošiljajo le takšna sporočila, ki so po vsebini lahko relevantna za naslovnika (npr. sporočilo o novem IT produktu vodji IT v podjetju) in se s tem izognejo tveganju, da bo naslovnik prejeto sporočilo štel kot neželeno elektronsko pošto (spam)«.

Za to po mojem mnenju sicer ni pravne podlage, saj ne more biti subjektivni občutek naslovnika relevanten za to, ali gre za spam ali ne, vendar je napotek vreden upoštevanja s povsem marketinškega in komunikacijskega stališča.

V komentarjih nekaterih tujih podjetij iz Evropske skupnosti sem opazil celo mnenja, da Uredba za področje trženja in prodaje B2B ne velja. Kaj bi dejal o takšnih stališčih?

Če je mišljeno trženje s sredstvi elektronske komunikacije, kar vključuje tudi piškotke in podobne sledilne tehnologije, potem to (delno) drži. Pravila za tovrstno trženje so namreč urejena v tako imenovani ePrivacy direktivi (v slovenski pravni red v tem delu prenesena z ZEKom-1). V pripravi je tudi nova ePrivacy uredba, ki bo enako kot GDPR veljala in zavezovala neposredno. Še vedno pa je, ker in kolikor gre za uporabo osebnih podatkov, potrebno upoštevati tudi GDPR, npr. glede varovanja podatkov ali glede časa hrambe.

Prav tako teza iz vprašanja drži, če trženje in prodaja ne vključujeta (obdelave) osebnih podatkov. Če npr. nekemu podjetju po pošti pošljemo naš katalog, je to izven dosega GDPR. Če pa smo ga naslovili na konkretno osebo in če smo to in/ali s kom smo nato o katalogu govorili po telefonu, nekam zabeležili, gre za obdelavo osebnih podatkov in »pademo« pod Uredbo. Seveda pa to nikakor ne pomeni, da opisanega kar a priori ne smemo početi!

V praksi se pogosto srečujemo tudi z naslednjim vprašanjem. Recimo, da poslovnega kupca pokličemo po telefonu, ga med pogovorom vprašamo za njegov elektronski naslov in dovoljenje za obveščanje ter podatke o ustno prejetem soglasju zabeležimo. Ali takšna privolitev in evidenca ustrezata zahtevam GDPR?

GDPR zahteva, da smo v vsakem trenutku sposobni dokazati, da smo skladni z njenimi določbami. To pomeni med drugim tudi, da je dokazno breme, da obstaja zakonita podlaga za obdelavo osebnih podatkov (vpis e-naslova v CRM oz. aplikacijo za pošiljanje, dejansko pošiljanje, beleženje odpiranja in branja, …), na nas. Privolitev je sicer veljavna, a dokazali (beseda proti besedi) jo bomo v primeru spora in/ali prijave Informacijskemu pooblaščencu sila težko.

Vse to seveda ob predpostavki, da je privolitev sploh potrebna. Glede na zgoraj povedano za sámo pošiljanje po mojem mnenju ni potrebna. Spremljanje, ali je prejemnik sporočilo odprl ali ne, morda lahko upravičimo z zakonitim interesom (pri čemer moramo biti glede tega transparentni!). Za sledenje na podlagi klikov v prejetem sporočilu in/ali za profiliranje prejemnika (verjetno v kombinaciji s kakšnimi drugimi podatki) pa bomo najbrž potrebovali izrecno privolitev.

In še zadnje vprašanje, kaj bi svetoval podjetnikom, ki se pri trženju in prodaji ukvarjajo z osebnimi podatki svojih kupcev? Čemu naj posvetijo največ pozornosti in kaj naj po potrebi izboljšajo?

Ponavljam, da bi na prvo mesto postavil transparentnost in pošten odnos do kupcev. Potrudimo se in dajmo kupcem realno možnost, da:

• najprej zares razumejo, kaj se bo z njihovimi podatki dogajalo: na kakšni podlagi, za kakšen namen, koliko časa, komu bodo podatki dostopni ali posredovani, kakšne so njihove pravice in podobno.
• se nato zares lahko odločijo, ali se s tako uporabo svojih osebnih podatkov strinjajo ali ne oziroma da se lahko odločijo, s čim se morda strinjajo in s čim ne.

Menim, da pravi prodajnik dejstva, da nekdo ne želi obdelave svojih posebnih podatkov (ne želi izkoristiti super ugodnosti, ne želi članstva v klubu, ne želi brati noro zanimivih novic, …), ne jemlje kot poraz, temveč kot dragoceno informacijo, kako lahko izboljša svojo komunikacijo s ciljnimi kupci, morda pa tudi svojo storitev ali proizvod.

In seveda, držimo se tega, k čemur smo se zavezali kupcem. Če napišemo, da podatkov ne posredujemo tretjim osebam (razen pogodbenim obdelovalcem), potem brez njihovega (novega) soglasja ne delimo podatkov s partnerskim podjetjem, čeprav je to še tako mikavno.

Zavedajmo se, da postaja odnos do osebnih podatkov del družbene odgovornosti podjetja in postopoma tudi že konkurenčna prednost.

Matija Jamnik, direktor Odvetniške pisarne Jamnik d.o.o., se od leta 2008 posveča vprašanjem zasebnosti in varstva osebnih podatkov, še posebej v povezavi z digitalnimi storitvami. Svoje bogato znanje iz praske prenaša v številke članke, predavanja in delavnice.