GDPR

V Poľsku bola uložená vysoká pokuta za nesplnenie informačnej povinnosti

Prišiel mi mailom prehľad správ z GDPR sveta. Ako vždy, narýchlo som preletela pohľadom nadpisy článkov týkajúcich sa ochrany osobných údajov v Zámorí a Ázii. Môj pohľad sa zasekol na správe z Poľska, ktorú publikoval portál Techcrunch. V skratke, poľský Úrad pre ochranu osobných údajov vyrúbil svoju prvú pokutu na základe GDPR, a to hneď vo výške 220.000 eur.

Pokutu dostala digitálna marketingová spoločnosť Bisnode s centrálou vo Švédsku. Podľa úradu pre ochranu osobných údajov ich poľská kancelária nesplnila svoje povinnosti stanovené článkom 14 GDPR – informačnú povinnosť voči dotknutým osobám. Úrad naviac rozhodol, že okrem zaplatenia pokuty musí spoločnosť dodatočne splniť aj tú povinosť – teda kontaktovať takmer 6 miliónov ľudí – a to do 3 mesiacov.

GDPR nie je len o nariadeniach

GDPR sa skladá z tzv. Recitálov (Dôvodov) a Článkov. Článok 14 sa opiera o 3 dôvody (č. 60, 61 a 62), pričom tieto reflektujú jeden z kľúčových princípov GDPR, ktorým je ochrana dotknutých osôb, ich práva na súkromie a transparentnosť pri spracovateľských operáciách. 

Recitál 60 hovorí o tom, že zásady spravodlivého a transparentného spracúvania si vyžadujú, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. Prevádzkovateľ by mal dotknutej osobe poskytnúť všetky ďalšie informácie, ktoré sú potrebné na zaručenie spravodlivého a transparentného spracúvania […].

Následne Recitál 61 uvádza, že informácie súvisiace so spracúvaním osobných údajov týkajúcich sa dotknutej osoby by sa mali dotknutej osobe poskytnúť v čase získavania osobných údajov od dotknutej osoby, alebo ak sa osobné údaje získali z iného zdroja, v primeranej lehote v závislosti od okolností prípadu. […].

Tretí recitál, s číslom 62, hovorí o možných výnimkách, ktoré sú možné, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je výslovne stanovené zákonom, alebo ak sa poskytnutie informácií dotknutej osobe ukáže ako nemožné alebo by si vyžiadalo vynaloženie neprimeraného úsilia. Posledná situácia by mohla byť najmä spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely. V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.

Spor o primeranosť úsilia

Spoločnosť Bisnode sa obhajuje tým, že uodhad nákladov na distribúciu informačných listov dosiahol okolo 8 miliónov eur, nehovoriac o neúmernej administratívnej záťaži. 

„Pýtame sa, čo ÚOOÚ považuje za primerané úsilie. V prípadoch, keď sme mali e-mail (679 000 adries), rozoslali sme podľa čl. 14 informácie prostredníctvom e-mailu. Ale to, že zvyšných 5,7 milióna majiteľov firiem má byť informovaných poštou alebo telefonicky, nemožno považovať za primerané úsilie.“

Média informovali, že Bisnode bude rozhodnutie úradu budú namietať, pričom sa budú spoliehať na výnimky v článku 14, ktorý hovorí o tom, že prevádzkovateľ je povinný vynaložiť primerané úsilie, aby splnil informačnú povinnosť voči dotknutým osobám. Spoločnosť je pripravená eskalovať svoj prípad až na najvyšší európsky súd. 

Osobne im veľkú šancu na úspech nedávam, pretože v rozhodnutí „úrad pre ochranu osobných údajov (ÚOOÚ) zaujal veľmi zásadné stanovisko a argumentoval tým, že obchodný model spoločnosti je plne založený na spracovaní údajov a že spoločnosť sa preň rozhodla dobrovoľne. ÚOOÚ tiež tvrdí, že spoločnosť si bola vedomá povinnosti, pretože kontaktovala časť ľudí prostredníctvom e-mailu.“

Zdôvodnenie úradu

ÚOOÚ tvrdí, že Bisnode jasne vedel o svojich povinnostiach a vedome, len z dôvodu nákladov sa rozhodol, že neinformuje väčšinu ľudí, ktorých osobné údaje získal na obchodné účely.

Samotné uvedenie informácií na internetovej stránke spoločnosti nie je dostatočné, ak má prevádzkovateľ poštovú adresu a niekedy aj telefónne číslo fyzických osôb, pretože prevádzkovateľ má možosť využiť kanály na zaslanie korešpondencie alebo vykonať telefonát.

“Spoločnosť, ako odborník v tomto type činnosti, by mala formovať obchodnú stránku svojho podnikania tak, aby zohľadňovala všetky náklady potrebné na zabezpečenie súladu s právnymi predpismi“, vyjadril sa riaditeľ ÚOOÚ a dodáva, že rozhodnutie spoločnosti neinformovať prevažnú väčšinu jednotlivcov, len preto, že to vyhodnotila ako príliš drahé, je koreňom problému, nakoľko hlavná činnosť spoločnosti sa opiera práve o spracovanie údajov o ľuďoch.

ÚOOÚ tiež poznamenáva, že spoločnosť sa rozhodola, že nebude posielať ani SMS správy ľuďom, ktorých telefónne čísla mal – opäť tvrdiac, že ​​ospravedlnením sú „vysoké náklady na takéto konanie“.

Pokiaľ ide o sumu 8 miliónov EUR, ktorú spoločnosť odhadovala na náklady spojené s informovaním 5,7 milióna dotknutých osôb, tak úrad hovorí, že v skutočnosti neexistovala povinnosť posielať doporučené listy. ÚOOÚ poukazuje na to, že ustanovenie článku 14 GDPR nešpecifikuje žiadne konkrétne prostriedky na splnenie povinnosti informovať. Vyžaduje len to, aby prevádzkovateľ, ktorý údaje spracúva, dotknuté osoby skutočne informoval.

Pracovná skupina 29 (WP 29)

Poľský úrad sa odvoláva aj o stanovisko alebo odporúčanie pracovnej skupiny zriadenej podľa článku 29, ktorá zdôrazňuje potrebu aktívneho oznamovania v usmerneniach o transparentnosti podľa GDPR.

Konať „aktívnym spôsobom“ znamená poskytnúť informácie dotknutej osobe bez toho, aby tá musela vynaložiť osobitné úsilie. Zdá sa, že práve zverejnenie pasívnej notifikácie pod záložkou na webovej stránke, ako to urobil Bisnode, vyzerá byť v rozpore s touto podstatou – pretože prenáša aktivitu zistiťovať informácie na dotknutú osobu. Ak však človek netuší, že jeho údaje sú spracúvané, ako by ho napadlo, že má takúto informáciu vôbec hľadať? Je veľmi nepravdepodobné, že by na oznámenie narazil náhodou na stránkach Bisnode a spojil by si súvislosti.

WP 29 tiež odporúča, aby boli dotknuté osoby informované jasným a zrozumiteľným jazykom. Vhodné je použiť aj všeobecne známe grafické prvky, ako napríklad ikony. Jednoducho, prevádzkovateľ má zabezpečiť, aby dostala dotknutá osoba informácie, ktoré potrebuje vo forme, ktorá je pre ňu zrozumiteľná, a aby poskytnuté informácie boli úplné v zmysle zákona.

Cena za transparentnosť 

V tlačovej správe, ktorá je priložená k rozhodnutiu, ÚOOÚ tiež upresňuje počet a podiel ľudí, ktorí namietali voči spracúvaniu osobných údajov: „Z približne 90 000 ľudí, ktorí boli informovaní (e-mailom) o spracovaní svojich osobných údajov, viac ako 12 000 namietalo proti spracovaniu ich údajov.“ 

Ako vidíme, iba menšina (~ 13%), aktívne namietala proti používaniu svojich údajov zo strany Bisnode – čo je číslo, ktoré sa nezdá byť tak katastrofálne veľké, že by „vážne poškodilo“ celkový obchodný cieľ spoločnosti.

Takýto výsledok nemusí byť  súlade so záujmami marketingovej spoločnosti ako Bisnode, ktorá samozrejme chce maximalizovať dosah svojej databázy. Zmenšujúca sa marketingová databáza však môže byť cenou rešpektovanie práva ľudí na súkromie a legálneho podnikania v Európe. Výklad spoločnosti, čo je a nie je „primerané“ podľa článku 14, vyzerá skôr zladené skôr s vlastnými obchodnými záujmami než právami občanov EÚ.

Ako si splniť informačnú povinnosť

GDPR, čl. 14, 1 – 2Príklad
A.totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa;Názov spoločnosti alebo meno, sídlo, telefónne číslo, e-mail
B. kontaktné údaje prípadnej zodpovednej osoby;Názov spoločnosti alebo meno, sídlo, telefónne číslo, e-mail
C. kategórie dotknutých osobných údajov;– bežné (kontaktné, faktúračné, IP adresa, …
– osobitné 
C. príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;Konkrétne inštitúcie
D. účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania;Vaše osobné údaje spracúvame z týchto dôvodov:
– Ponuka tovarov a služieb
– …
E. v relevantnom prípade informácia, že prevádzkovateľ zamýšľa preniesť osobné údaje príjemcovi v tretej krajine alebo medzinárodnej organizácii […]
Doba uchovávania osobných údajov alebo ak to nie je možné, kritériá na jej určenie;
Vaše osobné údaje budú spracúvané po dobu 10 rokov.
Vaše osobné údaje budú spracúvané do odvolania súhlasu.
Vaše osobné údaje budú spracúvané po dobu trvnaia zmluvného/ pracovno-právneho vzťahu.
Ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f), oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;Oprávnené záujmy:
ochrana majetku a bezpečnosti
Marketingové aktivity

(nezabudnite, ku oprávneným záujmom musia existovať u vás interne proporčné testy)
Existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, a práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;Ako dotknutá osoba, ktorej osobné údaje spracúvame, máte právo na:
Prístup k vašim osobným údajom
Opravu alebo vymazanie 
Požadovať obmedzenie spracúvania
Namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;
POZOR: neuvádzajte práva, ktoré neexistujú, pôsobia na dotknutú osobu zmätočne. Ak ich uvádzate, uveďte aj, aké sú obmedzenia na výkon práv.
Ak je spracúvanie založené na článku 6 ods. 1 písm. a) alebo na článku 9 ods. 2 písm. a), existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním;V prípad, že ste vyjadrili súhlas so spracúvaním vašich osobných údajov, máte právo svoj súhlas kedykoľvek odvolať. 
Právo podať sťažnosť dozornému orgánu;V prípade, že máte pochybnosti o zákonnosti nášho postupu pri spracúvaní vašich osobných údajov, máte právo podať sťažnosť dozornému orgánu, ktorým je … 
Z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;Vaše osobné údaje spracúvame
– na základe vašej objednávky
– na základe vášho súhlasu
– na základe verejne dostupných zdrojov, a to … 
Existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a aspoň v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.Z dôvodu našej snahy ponúknuť vám čo najrelventnejšie ponuky, používame nástroje umožňujúce nám mapovať správanie zákazníkov. V prípade, že si neprajete dostávať takéto ponuky, prosím kliknite tu. 

Ste prevádzkovateľ?

Informačná povinnosť sa vzťahuje na každého prevádzkovateľa, nadnárodnú korporáciu, banku, ale aj taxislužbu alebo e-shop vedený jednou osobou. Ako ju splniť? Zrozumiteľnou, ľudskou rečou popíšte, aké údaje, prečo a ako dlho spracúvate. Dozorný orgán totiž považuje za splnenie povinnosti nielen správny obsah (viď tabuľka vyššie), ale aj zrozumiteľnosť podania.

Chcete sa uistiť, či ste informačnú povinnosť splnili správne?