Náš domovský Úrad na ochranu osobných údajov SR vypracoval a zverejnil zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov podľa čl. 35 ods. 4 GDPR. Stalo sa to cca pred mesiacom a v prípade, že vám táto informácia unikla, odporúčame tento zoznam do pozornosti. Jedná sa o také spracúvanie, ktoré automaticky znamená povinnosť prevádzkovateľa vykonanie posúdenia vplyvu na ochranu osobných údajov. Z celkovo 13 bodov určite neprehliadnite monitoring práce zamestnanca, profilovanie či biometriu.

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Odpoveď zo strany úradov na seba nechala čakať, ale nakoniec prišla….

Direct Marketing v B2B segmente a GDPR

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Obstaranie stanoviska trvalo cez dva mesiace, ale odpoveď je v zásade pozitívna a na konci dňa aplikovateľná aj u nás vďaka mechanizmu konzistentnosti (ľudskou rečou – úrady naprieč EÚ by si nemali protirečiť). Oprávnený záujem prevádzkovateľa je v tomto prípade považovaný za použiteľný právny základ a predchádzajúci súhlas nie je potrebný. Je pravdepodobné, že by sa s týmto názorom stotožnil aj náš dozorný orgán, hoci istotu by sme mali po formálnom posvätení. Pre všetkých čo rozmýšľali nad tým ako spojiť potrebu komunikácie na potenciálnych obchodných partnerov (spoznaných pri rôznych neformálnych príležitostiach) práve s aplikáciou tvrdého znenia GDPR, je práve toto potvrdením vhodnej cesty.

Voľný preklad príspevku od Sarah je:

Trvalo to 67 dní, ale som rada, že som dnes ráno dostanala oficiálnu odpoveď od tímu Office Case. Moja konkrétna otázka bola: „Odpovedzte „áno/nie“ na to, či oprávnené záujmy môžu byť vhodné (ako právny základ spracúvania osobných údajov) na posielanie marketingových e-mailov zamestnancom v právnickej osobe na ich osobné firemné e-mailové adresy (napríklad menoapriezvisko@firma.com) soft-opt in neplatí (napr. ak osoba nie je existujúcim zákazníkom). “ Odpoveď ICO je: „Ak posielate marketingový e-mail podnikateľovi, napríklad menoapriezvisko@firma.com, potom pred odoslaním marketingového e-mailu nepotrebujete predchádzajúci súhlas … Bolo by možné spoľahnúť na legitímne záujmy, ktoré oprávňujú niektorý z vašich podnikov k obchodnému marketingu“.

Netreba však opomenúť fakt, že emailová adresa obsahujúca meno a priezvisko zamestnanca v spojení s zamestnávateľom, môže byť bez akýchkoľvek problémov považovaná za osobný údaj a podlieha pravidlám nakladania s osobnými údajmi v zmysle GDPR, vrátane informačnej povinnosti, technických a organizačných opatrení ako aj uplatňovania práv dotknutých osôb. Potvrdenie oprávneného záujmu od komisára v UK je však dobrá správa pre všetkých čo využívajú túto formu marketingu v komunikácii na biznisových zákazníkov. Ani v tomto prípade by sme však nezabúdali na možnosť odhlásenia z odberu správ (unsubscribe) v každej jednej správe.

Pokuty, pokuty, pokuty…skloňujú sa takmer v každom článku venovanom GDPR. Pokiaľ ste stále nezistili aký je ich rozsah a za čo môžu byť uložené, tak pomoc nájdete aj v článku webu FINREPORT. Netreba však zabúdať na to, že ide o horné sadzby, po ktorých bude dozorný orgán siahať len výnimočne. Doterajšia prax Úradu na ochranu osobných údajov SR nasvedčuje viac tomu, že namiesto ukladania likvidačných pokút, bude siahať po preventívnejších opatreniach a pokutách, ktoré budú viac motivovať ako likvidovať prevádzkovateľa.

Poslanci Národnej rady SR včera schválili nový zákon o ochrane osobných údajov, ktorý pripravil Úrad na ochranu osobných údajov SR pod vedením Sone Pőtheovej a ktorý upravuje proces ochrany.

Prevádzkovatelia, ktorí ochranu osobných údajov doteraz nezanedbávali, by nemali mať problémy ani v zmysle novej legislatívy, konštatuje úrad. Je potrebné, aby si svoje spracovateľské operácie zosúladili s novými právnymi predpismi. Podľa úradu tu pritom je predpoklad vzniku možných nákladov, ktorý je však priamo úmerný tomu, ako sa ochrane osobných údajov u konkrétneho prevádzkovateľa venovala pozornosť doteraz.
Tlačová správa na TERAZ.sk

Úradu  na ochranu osobných údajov SR zo zákona o ochrane osobných údajov vyplýva povinnosť pravidelne informovať Národnú radu Slovenskej republiky, teda aj verejnosť, o stave ochrany osobných údajov. Správa o stave ochrany osobných údajov za roky 2015 a 2016 bola predmetom prerokovania vo Výbore Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny. Gestorský výbor Výboru Národnej rady Slovenskej republiky odporučil uznesením Správu o stave ochrany osobných údajov za roky 2015 a 2016 NRSR vziať na vedomie. Dňa 7.9.2017 predniesla predsedníčka Úradu, pani Soňa Pőtheová správu v NRSR, ktoré ju dňa 11.9.2017 schválilo.

V plnom znení si poslednú správu, ale aj tie predchádzajúce môžete stiahnúť priamo zo stránku Úradu.

Vláda v stredu (20.9.2017) schválila návrh nového zákona o ochrane osobných údajov, ktorý pripravil Úrad na ochranu osobných údajov pod vedením Sone Pőtheovej. Cieľom je okrem iného zjednotenie úpravy pre činnosti spadajúce aj nespadajúce pod právo Európskej únie, čo má byť benefitom ako pre prevádzkovateľov, tak aj dotknuté osoby a bežných ľudí, ktorých osobné údaje sú predmetom spracúvania.