Dnevno prejemam vprašanja, kakšna bo usoda nas in naših spletnih podjetij po 25.5.2018, ko prične veljati nova evropska splošna uredba o varstvu osebnih podatkov (GDPR).
Nekateri so smrtno zaskrbljeni, nekateri celo panični, nekateri preveč ležerno le opazujejo dogajanje.
Kakšna mera aktivnosti je prava, kako bosta uredba in zakon, ki sledi (ZVOP-2), vplivala na naše delovanje na spletu, boste v meri, ki je poznana pravnikom, inšpektorjem in nadzornih institucijam trenutno, izvedeli v današnjem intervjuju.
K intervjuju sem povabila gospoda Matija Jamnika, ki je direktor Odvetniške pisarne Jamnik d.o.o., dolgoletni pogodbeni sodelavec pravne pisarne JK Group ter ustanovni član LINET (Lawyers International Network). Od leta 2008 se posveča pravnim vprašanjem, povezanim s sodobnimi tehnologijami (IT pogodbe, spletna komunikacija in prodaja, zasebnost in varstvo podatkov, storitve v oblaku, blokchain ipd.). Je reden predavatelj (Akademija Finance, NT konferenca, OpenIT, Bureau Veritas, …).
Maja:
“Nova uredba GDPR nam marketingarjem povzroča kar nekaj skrbi. Nam lahko poveste, katere so največje spremembe, na katere se moramo pripraviti do 25.5.2018 in kako bodo vplivale na delo neke “povprečne” spletne trgovine, oziroma podjetja, ki prodaja svoje storitve na spletu ter namenja pozornost “lead generationu” (generiranju email baze)?”
Matija:
“Zame osebno je največja sprememba to, da želi uredba posameznikom dati resnično in učinkovito možnost, da odločajo, kaj se bo z njihovimi osebnimi podatki dogajalo – kdo in za kakšne namene jih bo lahko uporabljal, koliko časa jih bo lahko shranjeval in s kom jih bo lahko delil. Domneva v stilu “če uporabljate našo storitev, se strinjate, da o vas zbiramo in obdelujemo katerekoli (in vse) podatke” ne velja več.
Bistvena novost je tudi (permanentna) zahteva po izvajanju ocene učinka predvidenih dejanj obdelave osebnih podatkov na varstvo osebnih podatkov (Data Protection Impact Assessment – DPIA). Ta novi institut preprečuje, da bi kadarkoli lahko rekli, da smo področje varstva osebnih podatkov dokončno uredili in da se lahko od zdaj naprej posvečamo bolj produktivnim stvarem.
Na področju marketinga gotovo največjo spremembo prinašajo zaostreni pogoji za veljavnost posameznikove privolitve za obdelavo osebnih podatkov.
Kakšne bodo spremembe za neko konkretno spletno trgovino, je težko napovedati, gotovo pa bodo znatne. Splet je namreč okolje, ki nam omogoča merjenje odziva, spremljanje in beleženje dejanj uporabnikov, profiliranje, avtomatizirane odločitve – vse tisto, čemur uredba posveča še posebno pozornost.
Nekoliko optimistično in poenostavljeno pa bi lahko rekel: bodimo absolutno fair in transparentni, vprašajmo in pridobimo privolitve in še vedno bomo lahko s podatki počeli (skoraj) vse tisto, kar smo počeli do sedaj.”
Maja:
“Kako v praksi izgleda eksekucija “ponovnega pridobivanja soglasja” obstoječe email baze, ki bi jo po mojih podatkih morali izvesti po veljavi uredbe oz. zakona? Je to soglasje potrebno pridobiti, četudi hranimo le email naslove, brez drugih specifičnih osebnih podatkov?”
Matija:
“Kako pridobimo novo soglasje, ki je skladno z uredbo, ni predpisano; niti ni predpisano, kolikokrat lahko poskusimo (kontaktiramo uporabnika). Vsekakor NI pravila, da moramo soglasje pridobiti na enak način, kot je bilo pridobljeno prvič.
A če ga na noben način ne uspemo pridobiti (in za obdelavo podatkov nimamo druga zakonite podlage), potem podatkov ne smemo več obdelovati. Verjamem, da določen % uporabnikov ne bo dal novega soglasja, kar je lahko velika težava. Po drugi strani pa se sprašujem o dejanski “vrednosti” uporabnika, ki se ne odzove na noben naš dražljaj in poziv.
Vsekakor velja, da nimamo na voljo le enega poskusa. Verjetno se bomo tudi dokaj elegantno lahko “izgovorili” na uredbo.
Dobro je vedeti, da trenutni predlog slovenskega zakona o varstvu osebnih podatkov (ZVOP-2) predvideva še eno leto prehodnega obdobja (torej do maja 2019), v katerem pa bo potrebno vseeno izkazati določeno aktivnost.
Email naslov je (razen v izrednih primerih) osebni podatek. Vendar pa ga je v določenih primerih mogoče uporabiti (obdelovati) tudi brez privolitve posameznika, na podlagi zakona ali (pred)pogodbenega razmerja.
Pošiljanje e-pošte za namene neposrednega trženja je tako posebej urejeno v Zakonu o elektronskih komunikacijah (ZEKom-1). Pri fizičnih osebah je pogojeno s predhodnim soglasjem, razen če gre za neposredno trženje lastnih podobnih izdelkov ali storitev obstoječim kupcem (ob še dodatnih varovalkah za kupce).
Prav tako je dovoljena uporaba email naslova fizične osebe, če ga je pravna oseba javno objavila kot svoj kontaktni email. Prav tako je uporaba emaila dovoljena za namen sklenitve ali izpolnitve pogodbe, če je email zanjo potreben.
Odgovor na postavljeno vprašanje je torej: da, če o nekom hranimo le email in to hrambo (in pošiljanje sporočil) ne obstaja druga zakonita podlaga, je potrebno pridobiti privolitev.
Po mojih izkušnjah je sicer to, da spletni ponudnik o nekom hrani izključno email naslov in nič drugega, izjemno redko.”
Maja:
“Kateri sistemi po vašem vedenju zagotavljajo, oziroma omogočajo shranjevanje tovrstnih soglasij? Je preoptimistično pričakovati, da se bodo vsi sistemi prilagodili evropskim smernicam in uredbi GDPR? Veliki igralci na trgu, ponudniki CRM sistemov, email sistemov, celo socialno omrežje Facebook in druge aplikacije, ki nam omogočajo preciznejšo segmentacijo naših obstoječih in potencialnih strank, lahko to ignorirajo. Mar to pomeni, da je uporaba tovrstnih sistemov apriori sporna in nezakonita?”
Matija:
“Facebook izrecno zagotavlja, da bo njegovo delovanje skladno z uredbo. Podobno tudi Google. Ocenjujem, da veliki igralci, ki imajo veliko naročnikov iz EU, dejansko nimajo izbire. Plačilo globe v višini do 4% globalnega letnega prometa v letu pred kršitvijo gotovo ni nekaj, kar bi lahko vkalkulirali v poslovni model. Vprašanje je, ali in kako se bodo prilagodili manjši ponudniki.
Naj ob tem opozorim na dvoje. Prvič, uporaba neke aplikacije ali omrežja, ki je ali katere ponudnik je skladen z uredbo, sama o sebi še ne pomeni, da smo z uredbo skladni tudi mi. In drugič, naša dolžnost je, da preverimo, ali ponudnik (naš pogodbeni obdelovalec) izvaja ukrepe, ki zagotavljajo skladnost z uredbo, preden mu posredujemo ali omogočimo dostop do osebnih podatkov, glede katerih se štejemo za upravljavca. Če ugotovimo, da tega ne zagotavlja, storitve ne smemo uporabiti.”
Maja:
“Čisto praktično vprašanje – torej če trenutno uporabljamo sistem Active Campaign za pošiljanje emailov in se ti na novo uredbo ne bodo odzvali, potem pomeni, da moramo menjati sistem? Če uporabljamo nek “refferal app”, kjer pridobivamo emaile skozi priporočila, nagradne igre ipd., tega ne smemo uporabiti, če ni prilagojen pravilom uredbe?”
Matija:
“Res je.”
Maja:
“Če prav razumem, je potrebno pridobivanje vseh email kontaktov in drugih osebnih podatkov od maja naprej dodatno zaščititi z vmesnim korakom, oziroma potrjevanjem polja, preko katerega se uporabnik strinja s pogoji in potrjujeje seznanjenost s hrambo in obdelavo osebnih podatkov?”
Matija:
“Če je/bo podlaga za obdelavo podatkov privolitev (privolitev sicer ni nujno edina možna zakonita podlaga za obdelavo email naslova in drugih osebnih podatkov; glej odgovor na 2. vprašanje), potem mora biti pridobivanje privolitve skladno z uredbo.
Ena od njenih zahtev je, da je privolitev izrecna, da se torej ne more domnevati (za razliko od npr. soglasja za uporabo določenih piškotkov).
To pomeni, da bo potrebno uporabnikovo aktivno ravnanje, najpogosteje klik.
Uredba celo izrecno pravi, da vnaprej označena okenca (tick box), molk ali nedejavnost ne pomenijo privolitve.
In tu vidim določene izzive za spletne ponudnike: uporabniki smo na spletu po eni strani “komot”, po drugi pa neučakani, kar pomeni, da ne zelo naredi izvajajmo aktivnosti (npr. dodatni kliki), ki niso zares nujne.
Treba je vedeti, da je privolitev, ki ne izpolnjuje pogojev iz uredbe, neveljavna (obdelava osebnih podatkov na njeni podlagi pa nezakonita), ne glede na to, da sem se kot uporabnik morda strinjal – in to strinjanje tudi aktivno izrazil – z vsem, o čemer ste me na spletni strani vprašali.”
Maja:
“Ali lahko v primerih “lead generation” strategij(prenosu eknjige, prijavi na webinar ipd.) od uporabnika zahtevamo strinjanje s pogoji in omejimo dostop do obljubljenega benefita? Da uporabnik praktično ne more nadaljevati na naslednji korak in potrditi kontaktne forme?”
Matija:
“Ena od zahtev za veljavnost privolitve je, da je prostovoljna, da torej ni izsiljena. Izrecno sicer uredba o prepovedanem pogojevanju govori le pri pogodbah: “Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.”).
Gledano strogo formalistično gre tudi pri navedenih primerih za pogodbo (konkretno za darilno, če sta webinar in eknjiga brezplačna).
Pri tem seveda ni problem obdelava podatkov, ki so potrebni za opravo storitve (npr. pošiljanje eknjige na email), pač pa podatki, ki niso potrebni za opravo storitve in njihova uporaba za namene, ki nimajo kaj dosti zveze s samo storitvijo (profiliranje ipd.).
Pa tudi če ne gre za pogodbo, je po mojem mnenju privolitev lahko še vedno ne-prostovoljna, spet odvisno od količine in tipa zbranih osebnih podatkov in od namenov njihove nadaljnje obdelave.”
Maja:
“Kot veleva nova GDPR uredba, naj bi bilo po nekaterih določbah potrebno določiti odgovorno, strokovno usposobljeno osebo, ki bo zagotavljala skladnost in pripravila vse interne akte ter potrebno papirologijo.
Kaj to pomeni v praksi? Mora podjetje zaposliti takšno osebo, skleniti trajno sodelovanje z zunanjimi strokovnjaki? Kaj je sploh vloga te službe na mesečni ravni in kakšni so predvideni stroški?”
Matija:
Določena podjetja bodo morala imenovati pooblaščeno osebo za varstvo podatkov (Data Protection Officer), ki spremlja skladnost z uredbo, svetuje vodstvu in zaposlenim, sodeluje pri oceni učinka (DPIA) in komunicira z informacijskim pooblaščencem.
Definicija iz GDPR ni ravno v pomoč: DPO moramo obvezno imenovati, kadar naše “temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati”. Po mojem mnenju so resne spletne trgovine (in drugi spletni ponudniki), ki načeloma obilno “trackajo” svoje uporabnike, zelo zelo blizu te definicije.
DPO mora biti strokovnjak za varstvo osebnih podatkov (po predlogu ZVOP-2 lahko tudi za informacijsko varnost, bančno tajnost ali poslovne skrivnosti) in ne sme imeti konflikta interesov, kar pomeni, da ne more biti oseba, ki pri upravljavcu določa namene in/ali sredstva obdelave osebnih podatkov – tipično to npr. velja za vodjo marketinga.
DPO je lahko v delovnem razmerju ali “outsourcan”. Strošek bo verjetno odvisen od količine dela in od ponudbe na trgu.
Maja:
“Ker vem, da imajo moji bralci kar nekaj zelo specifičnih vprašanj (z mano na čelu), bi bila na tej točki malce bolj detajlna …
Kako uredba GDPR vpliva na komunikacijsko-prodajne strategije kot so recimo – “cart abandonment” email sekvence, generiranje baze uporabnikov na Facebook Messenger platformi, na segmentacijo “on-site” in remarketing na oglaševalskih platformah Google Adwords, Facebook?
Na ta način se izognemo hrambi email kontakov in občutljivih podatkov, vendar kljub temu, lahko segmentiramo uporabnika in preidemo na bolj specifično komunikacijo na drugih kanalih.”
Matija:
“Prvi del, ki ga omenjaš v vprašanju (“cart abandonment”) že sedaj ni v skladu z zakonodajo ZVOP-1 in tovrstna komunikacija je sporna že sedaj. Razen v primerih, ko vam je uporabnik predhodno zaupal svoje osebne podatke, kot sta email, ime itd. (recimo je že v vaši email bazi in ali pa je tekom nakupnega procesa potrdil ta del).
Enako bo sedaj po uredbi GDPR.
Če imate uporabnika že v vaši bazi in se je le ta z obdelavo, analiziranjem in profiliranjem strinjal, to ni sporno.
Sporno bi bilo v primeru, ko bi vi brez njegovega vedenja in (izrecne, nedvoumne, informirane) privolitve zabeležili njegov email in mu pošiljali sporočila, ki pozivajo k dokončanju nakupa.
Določeni podatki (zbrani npr. s pomočjo piškotkov – segmentacija “on-site”) so taki, da bodisi sploh ne omogočajo identifikacije posameznika ali pa iz njih vsaj ni takoj (npr. brez drugih podatkov) razvidno, za katero konkretno osebo gre. V tem primeru govorimo o anonimiziranih podatkih, za katere se GDPR ne uporablja – opozarjam pa, da moramo biti izredno previdni, preden neke podatke razglasimo za resnično (učinkovito) anonimizirane, saj se že IP naslov, celo dinamičen, praviloma šteje za osebni podatek!
V primeru komunikacije preko Facebook Messengerja gre še vedno za osebne podatke, tako da uredba velja tudi v tem kontekstu.”
Maja:
“Za konec bi se navezala še na zlorabe in sankcije v primeru kršitev.
Kot mi je znano, je potrebno zlorabe osebnih podatkov, vdore v sisteme ipd., prijaviti nadzornemu organu. Torej kakšna je odgovornost na strani ponudnikov sistemov za hrambo in obdelavo podatkov, kakšna je odgovornost strokovnih sodelavcev in na drugi strani lastnika podjetja? Kakšne so denarne kazni v primeru neupoštevanja uredbe in posameznih kršitvah?”
Matija:
“Razen če je šlo za relativno nedolžno kršitev, je potrebno o njej najkasneje v 72 urah obvestiti Informacijskega pooblaščenca; če pa je “verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov”, pa je potrebno (z nekaj izjemami) nemudoma obvestiti tudi prizadete posameznike.
Ponudnike (pogodbene obdelovalce; glej tudi odgovor na 3. vprašanje) smo dolžni s pisno pogodbo zavezati k temu, da nam pomagajo pri izpolnjevanju obveznosti v zvezi z obveščanjem o varnostnih incidentih, vključno z njihovim zaznavanjem in odkrivanjem.
Maksimalna zagrožena globa za kršitve uredbe je 20.000.000,00 EUR ali 4% globalnega letnega prometa v letu pred kršitvijo, katerikoli znesek je višji.”
Če se želite bolj obširno izobraziti o uredbi GDPR, pa vaju z Matijem povabiva, da si na njihovi spletni strani prenesete brezplačen e-vodič TUKAJ.
Za konec bi povzela najin intervju z nekaj praktičnimi napotki ter listo aktivnosti, ki bi se ji v prihajajočih mesecih morali posvetiti:
> Naredimo popis trenutnih aktivnosti, s katerimi pridobivamo email kontakte in hranimo osebne podatke.
> Preglejmo tok podatkov uporabnika, oziroma opišimo, kako podatke pridobivamo, kaj se z njimi dogaja (v CRM sistemih, ERP računovodskih sistemih, email sistemih, raznih aplikacijah ipd.) in kdo prihaja z njimi v stik ter kakšna so njegova pooblastila.
> Pozanimajmo se, ali bodo trenutni sistemi, ki jih uporabljamo za hrambo in obdelavo podatkov, skladni z GDPR uredbo do 25.5.2018.
> Pripravimo interne akte, za katere lahko poiščemo strokovno osebo (pravnika) in imenujmo odgovorno osebo v podjetju (če ste recimo podjetnik posameznik, ste lahko to tudi vi).
> Naše kontaktne in prijavne forme opremimo z dodatnimi polji, s katerimi se uporabnik strinja z obdelavo in hrambo podatkov.
> Pripravimo plan aktivnosti, s katerimi bomo pridobili ponovna soglasja.
Nazornejših rešitev in pojasnil pa ta trenutek še ni na obzorju.
Veliko stvari ostaja odprtih za interpretacijo in verjetno je kot pri vsakem novem zakonu potrebna praksa, ki bo izoblikovala specifična pravila igre.
Uredba oziroma zakon, ki se na podlagi nje pripravlja, stopi v veljajo 25.5.2018, vendar trenutno predlagan zakon vsebuje predlog enoletnega predhodnega obdobja, v katerem bodo nadzorni organi (Informacijski pooblaščenec) izdajali opozorila za nenamerne kršitve. Vseeno pa boste ob morebitnih kontrolah morali izkazati aktivnosti, ki ste jih v tej smeri ubrali, tako da pasivnost in ignoranca pa vas lahko staneta veliko več kot le opozorila.
Sedaj pa ste na vrsti vi.
Zaupajte mi v komentarju, ali ste se že pripravljali na uredbo, imate kakšne praktične rešitve, ki bi jih lahko podelili z nami.
Če se vam je zdel intervju zanimiv in verjamete, da bi koristil še komu, ki prodaja svoje storitve in produkte na spletu, delite ta zapis z njim.
Hvala za pozornost in “se bereva” spet naslednji teden.
Pozdravček,
Maja