Pre zobrazenie obsahu špecifického pre vašu polohu, vyberte inú krajinu

//Vybrať krajinu

Päť najväčších absurdít pri plnení požiadaviek GDPR, ktoré našli audítori

TÜV SÜD Journal

Audítori TÜV SÜD Slovakia od zavedenia nových pravidiel ochrany osobných údajov zisťujú vo firmách, či spĺňajú požiadavky podľa nariadenia Európskeho parlamentu a nového zákona o ochrane osobných údajov. Vo viacerých prípadoch hovoria o priam extrémnom nepochopení nových pravidiel pri spracúvaní a ochrane osobných údajov. Kde robia firmy najväčšie chyby?


1. Súhlas na využívanie vernostných zliav

„Chcete naďalej využívať zľavy a výhody z členstva v našom vernostnom programe? Musíte podpísať súhlas so spracúvaním vašich osobných údajov. Vyplýva to z nového nariadenia Európskeho parlamentu o ochrane osobných údajov, takzvaného GDPR.“

Aj v takomto duchu sa niesli listy niektorých obchodných reťazcov, ktoré posielali svojim klientom využívajúcim vernostný program.

Firmy, ktoré žiadajú svojich zákazníkov o obnovenie súhlasu so spracúvaním osobných údajov, pričom ním podmieňujú čerpanie výhod a bonusov vyplývajúcich z využívania služieb a nákupov v predchádzajúcom období, sa však dostávajú až za hranicu zákona.

Ak obchodný reťazec pri neobnovení súhlasu odoprie zákazníkovi nárok na využitie získaných bonusov za nákupy a zruší členstvo, postupuje totiž protizákonne.

Pohľad odborníčky: Ak zákazník neukončí zmluvu o členstve vo vernostnom programe a neporuší žiadne podmienky dohodnuté v nej, preto ani druhá zmluvná strana nemá dôvod na ukončenie zmluvy, predchádzajúci súhlas so spracúvaním osobných údajov platí, stačí zákazníka informovať o zmene, resp. doplnení pravidiel ochrany osobných údajov.

Dokonca stačí, aby informácie o nových pravidlách ochrany osobných údajov vložil reťazec do letákov, ktoré distribuuje do schránok zákazníkov alebo informoval zákazníkov krátkym mailom s odkazom na webovú stránku, kde uvedie plné znenie pravidiel ochrany osobných údajov.

2. Zmluvy, kde sa osobné údaje musia spracúvať

S absurdnými žiadosťami o súhlas so spracúvaním osobných údajov sa audítori TÜV SÜD nestretávajú ojedinele.

Nezmyselné žiadosti sa často vyskytujú v súvislosti s plnením zmlúv. Ak napríklad mobilný operátor, hotel, dodávateľ energií alebo iní poskytovatelia služieb tvrdia, že potrebujú od klientov udelenie súhlasu so spracúvaním osobných údajov na účely poskytovania služieb, mýlia sa.

Pohľad odborníčky: V takýchto prípadoch totiž firma či prevádzkovateľ musí spracúvať osobné údaje, ktoré sú potrebné na uzatvorenie a plnenie zmluvy alebo objednávky (čl. 6 ods. 1 písm. b) GDPR). Preto je súhlas v tomto prípade neprípustný, nakoľko je kedykoľvek odvolateľný.


Ak mobilný operátor tvrdí, že potrebuje od klientov udelenie súhlasu so spracúvaním osobných údajov na účely poskytovania služieb, mýli sa.


3. Súhlasy založené na predchádzajúcich súhlasoch

Len o trochu prívetivejší, aj keď nie práve najšťastnejší postup je telefonicky oslovovať zákazníkov a nahrávať ich súhlasy – opäť na spracúvanie, ktoré je založené na predchádzajúcich súhlasoch, ktoré naďalej platia, samozrejme, za podmienky, že spĺňajú požiadavky stanovené v čl. 7 GDPR.

Pohľad odborníčky: Hoci v tomto prípade to nie je protizákonné, iba zbytočné, stačilo by vhodným spôsobom zverejniť nové pravidlá ochrany osobných údajov.

Poznámka: V tomto prípade je potrebné odlíšiť potenciálnych zákazníkov a aktívnych zákazníkov. V prípade potenciálnych zákazníkoch (zákazníci vedení v databáze, ktorým sa posielajú informácie o poskytovaných produktoch, ale zatiaľ si nič neobjednali) sa súhlas vyžaduje a je potrebné ho obnoviť, ak nespĺňa požiadavky čl. 7 GDPR. V prípade aktívnych zákazníkov, ktorí využívajú služby alebo nakupujú tovar, je informovanie o ponuke prevádzkovateľa oprávneným záujmom prevádzkovateľa, v tomto prípade nie je potrebný súhlas, je však potrebné informovať zákazníkov o pravidlách ochrany osobných údajov a o možnosti kedykoľvek zastaviť zasielanie ponúk.


Telefonické nahrávanie súhlasov nie je protizákonné, iba zbytočné.


4. Strach, že zamestnanec odvolá súhlas

Žiadosti o súhlas nevyžadujú firmy iba od svojich zákazníkov, ale aj od zamestnancov. Príkladom extrémneho nepochopenia nariadenia, respektíve zákona o ochrane osobných údajov, s ktorým sme sa stretli, je žiadosť o „neodvolateľný súhlas“ zamestnanca so zverejnením fotografií vo firemnom časopise.

V prípade, že firma dá vytlačiť časopis s fotografiami z firemnej akcie a v obave, aby niekto zo zamestnancov neprišiel s odvolaním súhlasu so zverejnením fotografie až po jeho vydaní, vymysleli takýto zábavný, ale absolútne neprijateľný spôsob, ako sa vysporiadať s rizikom odvolania súhlasu.

Pohľad odborníčky: Pritom riešenie je úplne jasne a jednoznačne uvedené v samotnom nariadení (GDPR). Stačí do súhlasu uviesť doslovne čl. 7 ods. 3 GDPR, ktorý znie: „Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.“

To znamená, že ak už raz fotka v časopise vyšla a zamestnanec s jej publikovaním súhlasil, nemôže ani bez „neodvolateľného súhlasu“ svoj súhlas odvolať.


Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.


5. Upozorňovanie zákazníkov na komplikácie spojené s administratívou vyplývajúcou z nariadenia

Jedným z príkladov nepochopenia nariadenia je aj to, keď sú zákazníci vyslovene upozorňovaní, ako ich EÚ „nemá rada“, a preto ich zaťažuje administratívnymi úkonmi. V tom horšom prípade dávajú zákazníkovi podpísať ešte aj súhlas so spracúvaním osobných údajov, ktoré je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba. Opäť je to jedno z nepochopení nariadenia a úplne zbytočný, dokonca aj protizákonný úkon v prípade, ak poskytnutie služby podmieňujú udelením súhlasu.

Pohľad odborníčky: Súlad v tomto prípade stačí zabezpečiť aktualizáciou pravidiel ochrany osobných údajov napríklad na stránke prevádzkovateľa.


Ako ísť na GDPR správne

V TÜV SÜD Akadémii majú zamestnanci firiem možnosť overiť si, či majú správne implementované požiadavky GDPR na kurze Certifikovaný GDPR koordinátor.

Čo je GDPR

General Data Protection Regulation alebo všeobecné nariadenie na ochranu osobných údajov. Ide o nariadenie Európskej únie, ktoré upravuje a nahrádza doterajší zákon o ochrane osobných údajov.

Cieľom je ochrana práva na súkromie všetkých občanov. Obsahuje požiadavky na spracúvanie a ochranu osobných údajov fyzických osôb.


Kto je Katarína Matejčíková

Dlhé roky pôsobila ako poradkyňa pre manažérske systémy. Svoje skúsenosti využila v príprave TÜV SÜD Slovakia na zosúladenie s nariadením GDPR a zákonom 18/2018 Z. z. a v súčasnosti zastáva pozíciu manažérky kvality pre systémy manažérstva a pozíciu Data Protection Officer.


Získajte viac

Vybrať lokalitu

Global

Americas

Asia

Europe

Middle East and Africa