Firmy zachádzajú za hranicu zákona, ak žiadajú od zákazníkov obnovenie súhlasu so spracúvaním osobných údajov, pričom ním podmieňujú čerpanie výhod.
Autor TASR
Bratislava 6. augusta (TASR) – Firmy vo viacerých prípadoch nepochopili nové pravidlá súvisiace s nariadením EÚ o ochrane osobných údajov pod názvom GDPR. Tvrdia to audítori TÜV SÜD, ktorí dva mesiace od zavedenia nových pravidiel zisťovali, či firmy spĺňajú požiadavky nariadenia.
Firmy podľa audítorov zachádzajú za hranicu zákona, ak žiadajú od zákazníkov obnovenie súhlasu so spracúvaním osobných údajov, pričom ním podmieňujú čerpanie výhod vyplývajúcich z využívania služieb a nákupov v predchádzajúcom období. "Ak zákazník neukončí zmluvu o členstve vo vernostnom programe a neporuší žiadne podmienky dohodnuté v nej, preto ani druhá zmluvná strana nemá dôvod na ukončenie zmluvy, predchádzajúci súhlas so spracúvaním osobných údajov platí, stačí zákazníka informovať o zmene, resp. doplnení pravidiel ochrany osobných údajov," priblížila Katarína Matejčíková, odborníčka na GDPR v TÜV SÜD Slovakia.
Nezmyselné žiadosti sa často vyskytujú aj v súvislosti s plnením zmlúv, podotýkajú audítori. Ak napríklad mobilný operátor, hotel, dodávateľ energií alebo iný poskytovateľ služieb tvrdí, že potrebuje od klientov udelenie súhlasu so spracovaním osobných údajov, podľa audítorov sa mýli. Matejčíková doplnila, že v takýchto prípadoch firma či prevádzkovateľ spracúvať osobné údaje, potrebné na uzatvorenie a plnenie zmluvy alebo objednávky, musí. Súhlas je preto v tomto prípade neprípustný, pretože je kedykoľvek odvolateľný.
Nie protizákonný, ale zbytočný je podľa Matejčíkovej postup, pri ktorom firma telefonicky oslovuje zákazníkov a nahráva si ich súhlasy na spracúvanie údajov založené na predchádzajúcich súhlasoch, ktoré naďalej platia. Ako dodala, stačilo by vhodným spôsobom zverejniť nové pravidlá ochrany osobných údajov.
"Príkladom extrémneho nepochopenia nariadenia, respektíve zákona o ochrane osobných údajov, s ktorým sme sa stretli, je žiadosť o neodvolateľný súhlas zamestnanca so zverejnením fotografií vo firemnom časopise," opísala Matejčíková s tým, že firma takto riešila obavu, aby zamestnanec neodvolal svoj súhlas po vydaní časopisu. Riešenie takejto situácie je podľa nej uvedené v článku nariadenia, ktorý hovorí, že odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.
Príkladom nepochopenia nariadenia GDPR sú aj prípady, keď firmy zákazníkov upozorňujú, ako ich EÚ zaťažuje administratívnymi úkonmi. Zákazníkovi dávajú podpísať súhlas so spracúvaním osobných údajov, ktoré je nevyhnutné na plnenie zmluvy. Podľa audítorov stačí len zabezpečiť aktualizáciu pravidiel ochrany osobných údajov napríklad na stránke prevádzkovateľa.
Firmy podľa audítorov zachádzajú za hranicu zákona, ak žiadajú od zákazníkov obnovenie súhlasu so spracúvaním osobných údajov, pričom ním podmieňujú čerpanie výhod vyplývajúcich z využívania služieb a nákupov v predchádzajúcom období. "Ak zákazník neukončí zmluvu o členstve vo vernostnom programe a neporuší žiadne podmienky dohodnuté v nej, preto ani druhá zmluvná strana nemá dôvod na ukončenie zmluvy, predchádzajúci súhlas so spracúvaním osobných údajov platí, stačí zákazníka informovať o zmene, resp. doplnení pravidiel ochrany osobných údajov," priblížila Katarína Matejčíková, odborníčka na GDPR v TÜV SÜD Slovakia.
Nezmyselné žiadosti sa často vyskytujú aj v súvislosti s plnením zmlúv, podotýkajú audítori. Ak napríklad mobilný operátor, hotel, dodávateľ energií alebo iný poskytovateľ služieb tvrdí, že potrebuje od klientov udelenie súhlasu so spracovaním osobných údajov, podľa audítorov sa mýli. Matejčíková doplnila, že v takýchto prípadoch firma či prevádzkovateľ spracúvať osobné údaje, potrebné na uzatvorenie a plnenie zmluvy alebo objednávky, musí. Súhlas je preto v tomto prípade neprípustný, pretože je kedykoľvek odvolateľný.
Nie protizákonný, ale zbytočný je podľa Matejčíkovej postup, pri ktorom firma telefonicky oslovuje zákazníkov a nahráva si ich súhlasy na spracúvanie údajov založené na predchádzajúcich súhlasoch, ktoré naďalej platia. Ako dodala, stačilo by vhodným spôsobom zverejniť nové pravidlá ochrany osobných údajov.
"Príkladom extrémneho nepochopenia nariadenia, respektíve zákona o ochrane osobných údajov, s ktorým sme sa stretli, je žiadosť o neodvolateľný súhlas zamestnanca so zverejnením fotografií vo firemnom časopise," opísala Matejčíková s tým, že firma takto riešila obavu, aby zamestnanec neodvolal svoj súhlas po vydaní časopisu. Riešenie takejto situácie je podľa nej uvedené v článku nariadenia, ktorý hovorí, že odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vychádzajúceho zo súhlasu pred jeho odvolaním.
Príkladom nepochopenia nariadenia GDPR sú aj prípady, keď firmy zákazníkov upozorňujú, ako ich EÚ zaťažuje administratívnymi úkonmi. Zákazníkovi dávajú podpísať súhlas so spracúvaním osobných údajov, ktoré je nevyhnutné na plnenie zmluvy. Podľa audítorov stačí len zabezpečiť aktualizáciu pravidiel ochrany osobných údajov napríklad na stránke prevádzkovateľa.