V Spotify sa rozhodli, že skoncujú so zneužívaním rodinných balíkov ľuďmi, ktorí nie sú príbuznými. To sa dá pochopiť, lebo na takýchto používateľoch prichádzajú o príjmy. Rodinné balíky zvyknú zneužívať kamaráti, susedia či spolužiaci, aby za hudbu platili menej. Napriek tomu, že Spotify je európskou firmou a máme fungujúce GDPR, zvolili pomerne riskantný krok. Je ním overovanie polohy prostredníctvom GPS. Ním sa chcú v Spotify presvedčiť, že ich „rodina“ býva skutočne pod jednou strechou. V prípade debaty s dozorným úradom sa však môžu ocitnúť na tenkom ľade, lebo na jednej strane zasahujú do súkromia používateľov a na strane druhej môžu získať nie celkom presné výsledky. Susedia v rámci bytového domu sa môžu naďalej tváriť ako rodina, kým deti dochádzajúce do školy môžu rozvrátiť rodinné konto. Požadovať lokalizačné údaje, keď mi ich získanie negarantuje sledovaný účel tak už môže byť cez čiaru. Najmä, ak by nebolo jednorazové…

Facebook priznal bezpečnostný incident. Unikli mu dáta 50 miliónov používateľov. Útočníci využili hneď niekoľko zraniteľností a dostali sa aj k prístupovým tokenom, cez ktoré sú k Facebooku linkované ďalšie účty, ako napr. Instagram. Facebook prinútil používateľov postihnutých útokom nanovo sa prihlásiť, opravil zraniteľnosť a zresetoval tokeny tiež ďalším 40 miliónom používateľom ako preventívne opatrenie. Útok oznámili FBI, polícii, zákonodarcom a v neposlednom rade irskemu úradu na ochranu osobných údajov v rámci informačnej povinnosti ustanovenej v GDPR.

Finančná správa SR predložila do NRSR novelu zákona, ktorý by mal meniť fungovanie a používanie systému eKasa. Podľa návrhu ma byť s bločkom identifikovaný aj zákazník a jeho nákup. Štát si od toho sľubuje zefektívnenie výberu daní v kontexte predchádzaniu daňových podvodov. Podľa právnej analýzy EISi, predkladaná Novela nie je v súlade so o všeobecným nariadením o ochrane osobných údajov (GDPR).

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Odpoveď zo strany úradov na seba nechala čakať, ale nakoniec prišla….

Direct Marketing v B2B segmente a GDPR

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Obstaranie stanoviska trvalo cez dva mesiace, ale odpoveď je v zásade pozitívna a na konci dňa aplikovateľná aj u nás vďaka mechanizmu konzistentnosti (ľudskou rečou – úrady naprieč EÚ by si nemali protirečiť). Oprávnený záujem prevádzkovateľa je v tomto prípade považovaný za použiteľný právny základ a predchádzajúci súhlas nie je potrebný. Je pravdepodobné, že by sa s týmto názorom stotožnil aj náš dozorný orgán, hoci istotu by sme mali po formálnom posvätení. Pre všetkých čo rozmýšľali nad tým ako spojiť potrebu komunikácie na potenciálnych obchodných partnerov (spoznaných pri rôznych neformálnych príležitostiach) práve s aplikáciou tvrdého znenia GDPR, je práve toto potvrdením vhodnej cesty.

Voľný preklad príspevku od Sarah je:

Trvalo to 67 dní, ale som rada, že som dnes ráno dostanala oficiálnu odpoveď od tímu Office Case. Moja konkrétna otázka bola: „Odpovedzte „áno/nie“ na to, či oprávnené záujmy môžu byť vhodné (ako právny základ spracúvania osobných údajov) na posielanie marketingových e-mailov zamestnancom v právnickej osobe na ich osobné firemné e-mailové adresy (napríklad menoapriezvisko@firma.com) soft-opt in neplatí (napr. ak osoba nie je existujúcim zákazníkom). “ Odpoveď ICO je: „Ak posielate marketingový e-mail podnikateľovi, napríklad menoapriezvisko@firma.com, potom pred odoslaním marketingového e-mailu nepotrebujete predchádzajúci súhlas … Bolo by možné spoľahnúť na legitímne záujmy, ktoré oprávňujú niektorý z vašich podnikov k obchodnému marketingu“.

Netreba však opomenúť fakt, že emailová adresa obsahujúca meno a priezvisko zamestnanca v spojení s zamestnávateľom, môže byť bez akýchkoľvek problémov považovaná za osobný údaj a podlieha pravidlám nakladania s osobnými údajmi v zmysle GDPR, vrátane informačnej povinnosti, technických a organizačných opatrení ako aj uplatňovania práv dotknutých osôb. Potvrdenie oprávneného záujmu od komisára v UK je však dobrá správa pre všetkých čo využívajú túto formu marketingu v komunikácii na biznisových zákazníkov. Ani v tomto prípade by sme však nezabúdali na možnosť odhlásenia z odberu správ (unsubscribe) v každej jednej správe.