Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Odpoveď zo strany úradov na seba nechala čakať, ale nakoniec prišla….

Direct Marketing v B2B segmente a GDPR

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Obstaranie stanoviska trvalo cez dva mesiace, ale odpoveď je v zásade pozitívna a na konci dňa aplikovateľná aj u nás vďaka mechanizmu konzistentnosti (ľudskou rečou – úrady naprieč EÚ by si nemali protirečiť). Oprávnený záujem prevádzkovateľa je v tomto prípade považovaný za použiteľný právny základ a predchádzajúci súhlas nie je potrebný. Je pravdepodobné, že by sa s týmto názorom stotožnil aj náš dozorný orgán, hoci istotu by sme mali po formálnom posvätení. Pre všetkých čo rozmýšľali nad tým ako spojiť potrebu komunikácie na potenciálnych obchodných partnerov (spoznaných pri rôznych neformálnych príležitostiach) práve s aplikáciou tvrdého znenia GDPR, je práve toto potvrdením vhodnej cesty.

Voľný preklad príspevku od Sarah je:

Trvalo to 67 dní, ale som rada, že som dnes ráno dostanala oficiálnu odpoveď od tímu Office Case. Moja konkrétna otázka bola: „Odpovedzte „áno/nie“ na to, či oprávnené záujmy môžu byť vhodné (ako právny základ spracúvania osobných údajov) na posielanie marketingových e-mailov zamestnancom v právnickej osobe na ich osobné firemné e-mailové adresy (napríklad menoapriezvisko@firma.com) soft-opt in neplatí (napr. ak osoba nie je existujúcim zákazníkom). “ Odpoveď ICO je: „Ak posielate marketingový e-mail podnikateľovi, napríklad menoapriezvisko@firma.com, potom pred odoslaním marketingového e-mailu nepotrebujete predchádzajúci súhlas … Bolo by možné spoľahnúť na legitímne záujmy, ktoré oprávňujú niektorý z vašich podnikov k obchodnému marketingu“.

Netreba však opomenúť fakt, že emailová adresa obsahujúca meno a priezvisko zamestnanca v spojení s zamestnávateľom, môže byť bez akýchkoľvek problémov považovaná za osobný údaj a podlieha pravidlám nakladania s osobnými údajmi v zmysle GDPR, vrátane informačnej povinnosti, technických a organizačných opatrení ako aj uplatňovania práv dotknutých osôb. Potvrdenie oprávneného záujmu od komisára v UK je však dobrá správa pre všetkých čo využívajú túto formu marketingu v komunikácii na biznisových zákazníkov. Ani v tomto prípade by sme však nezabúdali na možnosť odhlásenia z odberu správ (unsubscribe) v každej jednej správe.

Pokuty, pokuty, pokuty…skloňujú sa takmer v každom článku venovanom GDPR. Pokiaľ ste stále nezistili aký je ich rozsah a za čo môžu byť uložené, tak pomoc nájdete aj v článku webu FINREPORT. Netreba však zabúdať na to, že ide o horné sadzby, po ktorých bude dozorný orgán siahať len výnimočne. Doterajšia prax Úradu na ochranu osobných údajov SR nasvedčuje viac tomu, že namiesto ukladania likvidačných pokút, bude siahať po preventívnejších opatreniach a pokutách, ktoré budú viac motivovať ako likvidovať prevádzkovateľa.

Poslanci Národnej rady SR včera schválili nový zákon o ochrane osobných údajov, ktorý pripravil Úrad na ochranu osobných údajov SR pod vedením Sone Pőtheovej a ktorý upravuje proces ochrany.

Prevádzkovatelia, ktorí ochranu osobných údajov doteraz nezanedbávali, by nemali mať problémy ani v zmysle novej legislatívy, konštatuje úrad. Je potrebné, aby si svoje spracovateľské operácie zosúladili s novými právnymi predpismi. Podľa úradu tu pritom je predpoklad vzniku možných nákladov, ktorý je však priamo úmerný tomu, ako sa ochrane osobných údajov u konkrétneho prevádzkovateľa venovala pozornosť doteraz.
Tlačová správa na TERAZ.sk

Úradu  na ochranu osobných údajov SR zo zákona o ochrane osobných údajov vyplýva povinnosť pravidelne informovať Národnú radu Slovenskej republiky, teda aj verejnosť, o stave ochrany osobných údajov. Správa o stave ochrany osobných údajov za roky 2015 a 2016 bola predmetom prerokovania vo Výbore Národnej rady Slovenskej republiky pre ľudské práva a národnostné menšiny. Gestorský výbor Výboru Národnej rady Slovenskej republiky odporučil uznesením Správu o stave ochrany osobných údajov za roky 2015 a 2016 NRSR vziať na vedomie. Dňa 7.9.2017 predniesla predsedníčka Úradu, pani Soňa Pőtheová správu v NRSR, ktoré ju dňa 11.9.2017 schválilo.

V plnom znení si poslednú správu, ale aj tie predchádzajúce môžete stiahnúť priamo zo stránku Úradu.

Vláda v stredu (20.9.2017) schválila návrh nového zákona o ochrane osobných údajov, ktorý pripravil Úrad na ochranu osobných údajov pod vedením Sone Pőtheovej. Cieľom je okrem iného zjednotenie úpravy pre činnosti spadajúce aj nespadajúce pod právo Európskej únie, čo má byť benefitom ako pre prevádzkovateľov, tak aj dotknuté osoby a bežných ľudí, ktorých osobné údaje sú predmetom spracúvania.

Príjemné správy z Úradu na ochranu osobných údajov

V posledných dňoch sa zo všetkých kútov podnikateľského prostredia ozýva hlasná kritika smerujúca proti legislatívnym či kontrolným aktivitám Úradu na ochranu osobných údajov SR. Medzičasom sa však tento úrad pokúsil prostredníctvom svojho webu zjednodušiť prevádzkovateľom informačných systémov plnenie niektorých povinností. Prostredníctvom odpovedí na niekoľko otázok jednoducho zistíte či je Váš informačný systém podlieha registrácii alebo evidencii a k dispozícii je aj elektronický formulár registrácie s návodom na vyplnenie. Popri týchto pomôckach zverejnil úrad aj pomocný dokument (dnes už na pôvodnom odkaze nie je dostupný), ktorého súčasťou je otvorený zoznam informačných systémov, ktoré nepodliehajú povinnosti registrácie. Ide napríklad o:

  • Personálny a mzdový informačný systém,
  • Kamerový informačný systém (napr. monitorovanie zamestnancov, monitorovanie priestorov prístupných verejnosti,
  • Evidencia o žiakoch, vedená školou,
  • Evidencia o pacientoch, vedená zdravotníckym zariadením,
  • Evidencia ubytovaných hostí, vedená zariadeniami poskytujúcimi ubytovacie služby.

Ďalšou dôležitou informáciou uvedenou v tomto dokumente je fakt, že sa úrad stotožnil s názorom neregistrovať informačné systémy prevádzkované na základe ustanovení zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. V praxi to znamená potvrdenie, že výminka z registrácie platná pre informačné systémy, ktoré obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná (§ 34 ods. 2 písm. d) zákona), platí nielen pre systémy prevádzkované podľa osobitného zákona ako to bolo podľa starého zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov. Vypustením slova OSOBITNÝ sa okruh informačných systémov nepodliehajúcich registrácii rozšíril aj na systémy prevádzkované podľa ustanovení nového zákona:

  • § 15 ods. 4 – identifikácia fyzickej osoby pri jej jednorazovom vstupe do priestorov prevádzkovateľa,
  • § 15 ods. 7 – monitorovanie priestoru prístupného verejnosti (kamery),
  • § 15 ods. 9 – priamy marketing v rozsahu osobných údajov: titul, meno, priezvisko, adresa dotknutej osoby.

Registrovať teda nie je potrebné tzv. Knihu návštev, v ktorej prevádzkovateľ uchováva údaje o jednorazových vstupoch fyzických osôb do svojich priestorov, evidencia postačí aj pre kamerový informačný systém monitorujúci priestory prístupné verejnosti, rovnako ako pre informačný systém údajov v rozsahu titul, meno, priezvisko, adresa dotknutej osoby používaných na priamy marketing.

Podobnej liberalizácie sa dočkal aj výklad výnimky z registrácie týkajúcej sa ostatných zákonov. Donedávna platná právna úprava hovoriaca o osobitnom zákone bola spájaná s vtedajším § 7 ods. 3 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov. Toto ustanovenia požadovalo od osobitného zákona celý rad obsahových náležitostí ako zoznam osobných údajov, účel spracúvania či okruh dotknutých osôb. Len takto kompletný zákon bol za osobitný zákon požadovaný. Nový zákon slovko OSOBITNÝ vypustil a úrad v spomínanom pomocnom dokumente uviedol aj niekoľko predpisov, ktoré túto požiadavku upravenú v § 10 ods. 2 nového zákona nie celkom spĺňajú (vyznačené v zozname).

Príklady osobitných zákonov, ktoré uviedol úrad v pomocnom dokumente:

  • Zákonník práce a ostatné zákony súvisiace s personálnou agendou
  • Zákonník práce – monitorovanie zamestnancov (kamery)
  • Zákon č. 1/2014 Z. z. o organizovaní verejných športových podujatí a o zmene a doplnení niektorých zákonov (monitorovanie kamerami pri športových podujatiach)
  • Zákon č. 5/2004 Z. z. o službách v zamestnanosti o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 448/2008 Z. z. o sociálnych službách a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov
  • Zákon č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov
  • Zákon č. 582/2004 Z. z. o miestnych daniach a miestnom poplatku za komunálne odpady a drobné stavebné odpady v znení neskorších predpisov
  • Zákon č. 253/1998 Z. z. o hlásení pobytu občanov Slovenskej republiky a registri obyvateľov Slovenskej republiky v znení neskorších predpisov a Zákon č. 404/2011 Z. z. o pobyte cudzincov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 154/1994 Z. z. o matrikách v znení neskorších predpisov
  • Zákon č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 222/2004 Z. z. o dani z pridanej hodnoty v znení neskorších predpisov (§74)
  • Zákon č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov
  • Zákon č. 186/2009 Z. z. o finančnom sprostredkovaní a finančnom poradenstve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (§31)
  • Zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a § 10 ods. 3 d) zákona č. 122/2013 Z. z. – Došlá a odoslaná pošta
  • Zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a Zákon č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti,
    zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 362/2011 Z. z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov + vyhláška 21/2012
  • Zákon č. 233/1995 Z. z. o súdnych exekútoroch a exekučnej činnosti (Exekučný poriadok) a o zmene a doplnení ďalších zákonov v znení neskorších predpisov
  • Zákon č. 527/2002 Z. z. o dobrovoľných dražbách a o doplnení zákona Slovenskej národnej rady č. 323/1992 Zb. o notároch a notárskej činnosti (Notársky poriadok) v znení neskorších predpisov
  • Zákon č. 274/2009 Z. z. o poľovníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 297/2008 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Zákon č. 131/2010 Z. z. o pohrebníctve
  • Zákon č. 180/1995 Z. z. o niektorých opatreniach na usporiadanie vlastníctva k pozemkom (na účely tvorby Registra obnovenej evidencie pozemkov)
  • Zákon č. 244/2002 Z. z. o rozhodcovskom konaní
  • Zákon č. 504/2003 Z. z. o nájme poľnohospodárskych pozemkov, poľnohospodárskeho podniku a lesných pozemkov a o zmene niektorých zákonov v spojitosti s Vyhláškou Ministerstva pôdohospodárstva Slovenskej republiky č. 249/2008 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe vedenia evidencie pozemkov
  • Zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov
  • Zákon c. 223/2001 Z. z. o odpadoch a o zmene a doplnení niektorých zákonov (spracovatelia odpadov)
  • Zákon č. 93/2005 Z. z. o autoškolách a o zmene a doplnení niektorých zákonov

Formulácia výnimky z registrácie a hlavne posledné kroky úradu (elektronický formulár pre registráciu informačného systému či zverejnenie benevolentnejšieho výpočtu osobitných zákonov v spomínaného pomocnom dokumente) naznačujú, že úrad vníma požiadavky verejnosti a zdá sa, že im v rámci zákonných možností aj vychádza v ústrety. Bolo by príjemné, keby bol takýto uvoľnený spôsob výkladu zákona a liberalizovaný postoj úradu predzvesťou uvoľnenia prísnosti, ktorou sa úrad doteraz často prezentoval.

Okrem tohto článku sa určite dočká aj viacerých ďalších pochvalných reakcií.