Privolitev je nujna, če podjetje profilira kupce

Pri privolitvi potrošnik odloča, katere podatke bo dal, pri pogodbi pa se lahko z njo zgolj strinja ali ne.
Objavljeno
23. maj 2018 06.00
Posodobljeno
23. maj 2018 10.39
Izdajatelji kartic zvestobe so morali pred presečnim datumom preveriti, kako zbirajo in obdelujejo podatke. FOTO: Tomi Lombar/Delo
Ljubljana – Bliže ko smo 25. maju, večje razsežnosti ima poplava povabil, ki jih v slogu legendarnega Janeza Čučka  »ostanite še naprej z nami« – posameznikom pošiljajo ponudniki blaga in storitev. A to naj bi se dogajalo samo v prehodnem obdobju, ko se morajo podjetja, v katerih upravljanje osebnih podatkov odstopa od novih pravil GDPR, prilagoditi ostrejšim zahtevam.

Upravljavci, ki so GDPR (in visoke zagrožene kazni) očitno vzeli zelo resno, želijo ostati na varni strani, zato so mnogi dejavni še bolj, kot je nujno. Okoli uredbe je nastala takšna fama, da si v podjetjih ne upajo niti dihati brez razmisleka o moderni paradigmi varstva osebnih podatkov.

Novi zakoni, stare navade – ostajate z nami? Varni in skladni. Več varnosti in pravic, tudi za vas. Kaj moraš vedeti, preden dihneš usodni da? Ostanite še naprej z nami. Skrbno na varnem že pred 25. majem. Še naprej uživajte v ugodnostih ... Na posameznike se obračajo z nagovorom, ki ga ponavadi zapakirajo v marketinški celofan, se pohvalijo s svojimi ugodnostmi, ponudijo še kakšen sladkorček v obliki enkratnega popusta pri nakupu, mu obljubijo varnost (osebnih podatkov) in večno zvestobo.

image
Shutterstock Okoli uredbe je nastala taka fama, da si v marsikaterih podjetjih ne upajo niti dihati brez razmisleka o moderni paradigmi varstva osebnih podatkov. FOTO: Shutterstock


Šest temeljev


GDPR določa, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Na voljo jih je šest: privolitev, pogodba, zakoniti interes upravljavca podatkov, izpolnitev zakonske obveznosti, življenjski interes posameznika in javni interes. Za zasebni sektor pridejo v poštev prve tri. Klubi zvestobe na primer, ki so zdaj še posebno dejavni, lahko zbirajo in obdelujejo osebne podatke na podlagi privolitve, izvajanja pogodbe ali (zgolj v nekaterih primerih) na podlagi zakonitih interesov upravljavca.

In kakšna je razlika, če podjetje kot podlago vzame »privolitev« ali »pogodbo«? Informacijska pooblaščenka Mojca Prelesnik je pojasnila, da je ključna razlika v obveznosti oziroma prostovoljnosti. Pri pogodbi je določen nabor podatkov obvezen in posameznik se ne more prostovoljno odločati o tem, katere podatke bo dovolil, ampak le, ali se s tako pogodbo strinja ali ne. Pri avtorski pogodbi na primer ne more izbirati, ali bo naročniku dal podatek o EMŠO in davčni številki, medtem ko nekateri drugi niso nujno potrebni. Upravljavec jih lahko zbere, če posameznik v to posebej privoli. Povsem primerno je, da posamezniku pove, kakšne koristi bo imel od tega, če mu zaupa določene podatke (npr. če nam zaupate tudi mobilno številko, vas bomo lahko poklicati v primeru sprememb programa potovanja), in česa ne bo mogel imeti, če mu teh podatkov ne zaupa.

image
Temelji za zbiranje in obdelavo podatkov Infografika: Delo


Privolitev (imenuje se lahko tudi soglasje, dovoljenje ali kaj podobnega) je z GDPR zelo natančno opredeljena in uvaja strožje pogoje, kot so veljali za privolitev po dosedanji zakonodaji. Dana mora biti jasno, prostovoljno (brez pogojevanja), uporabnik mora biti temeljito informiran, nameni zbiranja morajo biti natančno opredeljeni, za vsakega je potrebna ločena privolitev, brez vnaprej odkljukanih oken. Pridobiti jo je možno na različne načine, pisno, po elektronski poti, pa tudi ustno, vendar mora imeti upravljavec dokaz o tem.

Temelj za zbiranje in obdelavo podatkov je lahko tudi zakon. Neposredno trženje po pošti je dovoljeno, če je ponudnik pri poslovanju zakonito pridobil naslov posameznika, četudi nima njegove privolitve in ni z njim v pogodbenem odnosu. Tako lahko trži tudi produkte tretjih oseb, poslovnih partnerjev. Drugače je v digitalnem svetu: po zakonu o elektronskih komunikacijah lahko nekdo, ki je zakonito pridobil elektronske naslove in potrošnika opozoril, da lahko kadarkoli izstopi iz te naveze, trži prek spleta, vendar le svoje lastne produkte.
 

Klubi zvestobe


Število izdanih kartic zvestobe (največji klubi imajo po več sto tisoč članov) se v Sloveniji meri v milijonih, vsak potrošnik jih ima v denarnici cel šop. Izdajatelji so morali pred presečnim datumom skrbno preveriti, kako zbirajo in obdelujejo podatke. Če so skladni z GDPR, jim ni bilo treba narediti ničesar. Kljub temu se jih je večina odločila za »nov krog«, prenovila splošne pogoje ali privolitve za različne namene obdelave osebnih podatkov.

Pogodba ali privolitev?
V Mercatorju pojasnjujejo, da je imetnik kartice Pika s podpisom pristopnice sklenil pogodbo in ta je pravna podlaga za vrsto obdelav, seveda za namen, za katerega je bila sklenjena pogodba (npr. nalaganje pik, vodenje stanja pik in njihova uporaba, beleženje plačilnih transakcij v primeru plačilne kartice, obračun in izdaja računa, neposredno trženje). Isti pravni temelj velja tudi za obdelavo transakcij v psevdonimizirani obliki (kjer se iz podatkov ne da razbrati identitete kupca).

Kadar pa obdelava podatkov pomeni večje poseganje v zasebnost kot pri običajnem imetniku kartice, je nujno pridobiti osebno privolitev posameznika. Za kartico Pika to pomeni denimo pripravljanje ciljanih prilagojenih ponudb po proučitvi nakupnih navad posameznikov. »Take privolitve smo v Mercatorju začeli zbirati že leta 2009. Ker ustrezajo zahtevam uredbe, jih lahko uporabljamo še naprej – seveda za ta isti namen.«


Praksa pri nekaterih večjih, ki smo jih preverili, je različna. V Mercatorju pojasnjujejo, da je imetnik kartice Pika s podpisom pristopnice sklenil pogodbo in ta je pravna podlaga za vrsto obdelav, seveda za namen, za katerega je bila sklenjena pogodba (npr. nalaganje pik, vodenje stanja pik in njihova uporaba, beleženje plačilnih transakcij v primeru plačilne kartice, obračun in izdaja računa, neposredno trženje). Isti pravni temelj velja tudi za obdelavo transakcij v psevdonimizirani obliki (kjer se iz podatkov ne da razbrati identitete kupca).

Kadar pa obdelava podatkov pomeni večje poseganje v zasebnost kot pri običajnem imetniku kartice, je nujno pridobiti osebno privolitev posameznika. Za kartico Pika to pomeni, denimo, pripravljanje ciljanih prilagojenih ponudb po proučitvi nakupnih navad posameznikov. »Takš'ne privolitve smo v Mercatorju začeli zbirati že leta 2009. Ker ustrezajo zahtevam uredbe, jih lahko uporabljamo še naprej, seveda za ta isti namen.« Večina drugih trgovcev je prenovila pogoje in pristopne izjave.