Za katere podatke velja GDPR

Za vse OSEBNE PODATKE, ki jih vaša organizacija obdeluje.

To vključuje seveda podatke o vaših strankah oziroma kupcih, je pa potrebno biti pozoren tudi na osebne podatke vaših partnerjev (dobaviteljev) in pa tudi vaših zaposlenih.

Za obdelavo podatkov bo z GDPR vedno potrebna eksplicitna privolitev. To pomeni, da se mora prejemnik jasno strinjati s tem, da upravljavec obdeluje njegove podatke za določen namen, ki mora biti jasno opredeljen.

 

Osebni podatki in podatki javnega značaja

Potrebno pa je ločiti med osebnimi podatki in podatki javnega značaja. Slednje pa niso (nujno) podatki, ki so javno objavljeni!

Primeri osebnih podatkov, ki so javno dostopni, vendar jih ni dovoljeno uporabiti brez privoljenja:

  • Če na primer oseba javno objavi svoj email naslov (npr. na Facebook-u), ga vi nimate pravice kopirati in shraniti v svojo bazo, kaj šele tej osebi poslati email sporočilo. Za obdelavo vseh podatkov, četudi so javno dostopni na Facebook-u, Linkedin-u, ali kakem drugem socialnem omrežju, morate tako imeti eksplicitno dovoljenje.
  • Prav tako ni javni podatek službeni email naslov, četudi javno objavljen na spletni strani. Ime.priimek@neko-podjetje.si se tako šteje kot osebni podatek, katerega brez privoljenja spet nimate pravice obdelovati.

Primeri podatkov, ki so javno dostopni in jih lahko uporabite brez privoljenja:

  • To so generični email info@neko-podjetje.si tako ne spada pod jurisdikcijo GDPR in za obdelavo teh podatkov ne potrebujete eksplicitnega privoljenja. Seveda pa morate, v kolikor na te naslove pošiljate email sporočila, vedno ponuditi in spoštovati možnost odjave.

Primeri podatkov, ki jih lahko uporabite brez privoljenja:

  • Dodaten primer legitimnega zbiranja podatkov brez privoljenja je zbiranje agregiranih podatkov. Le-ti namreč ne določajo nobene konkretne fizične osebe, tako da je zbiranje le-teh po GDPR dovoljeno.
    Primer takih podatkov je na primer število klikov na neko povezavo v newsletterju. Je pa potrebno biti zelo pazljiv, kar se tega tiče, saj je potrebno dejansko poskrbeti, da so podatki anonimizirani tako, da ni mogoče več povrniti informacije o tem, na koga se podatki nanašajo.

Primer slabe anonimizacije je, če imamo na primer podatke o ulici in hišni številki ter mestu. Na prvi pogled se zdi, da so to anonimizirani podatki, saj lahko na nekem naslovu živi več oseb, a v primeru da dejansko tam živi samo ena oseba, gre za osebne podatke, ker je mogoče to osebo določiti.GDPR predvideva tudi take primere, ki jih interpretira kot osebne podatke.

 

Obvezni in neobvezni podatki

Posebno je potrebno izpostaviti razliko med obveznimi in neobvezni podatki – tukaj ne gre za obveznost, ki jo določi upravljavec (na primer kot obvezno polje ob prijavi, ker se je tako odločil in ker mu bodo ti podatki »prišli prav«), ampak za objektivno nujnost nekega osebnega podatka.

GDPR tako definira, da je dovoljeno zbirati primerne, relevantne in v okviru potreb, ki so potrebni za izvajanje naročene storitve (adequate, relevant, and not excessive in relation to the purposes for which they are processed).

Primer: Za prejem newsletterja, je nujno, da upravljavec pridobi email naslov, ni pa nujno potrebno, da upravljavec pridobi tudi podatke o datumu rojstva.

GDPR tako od upravljavcev zahteva, da vedno zbirajo minimalno potrebno množico podatkov za vsak namen posebej.

To v praksi pomeni, da so podatki o nekem konkretnem kliku, ki je povezan z email naslovom, osebni podatki.

Istočasno zgodovina klikov za nekega prejemnika ni nujno potrebna za zagotavljanje primarne storitve (npr. pošiljanja novic). To skupaj tako pomeni, da je potrebno prejemniku dati možnost, da se odjavi samo od tega dela podatkov in posledičnega profiliranja – izdelave novih seznamov in segmentov!

Nezmožnost zbiranja zgodovine klikov za prejemnike ne pomeni, da ni možno zbirati števila oz. stopnje klikov – to so namreč agregirani podatki.

 

Podatki zbrani pred uvedbo GDPR

Zelo pomembna je tudi nova zahteva, ki pravi, da GDPR velja tudi za podatke, ki so bili zbrani pred uvedbo GDPR. To v praksi pomeni, da morate:

  1. Najprej preveriti, kakšna soglasja imate za svoje obstoječe podatke – ali so morda (že) skladna z GDPR. Če je odgovor Da, potem vam ni potrebno zbirati dodatnih soglasij.
  2. V kolikor pa temu ni tako, ste dolžni soglasja zbrati na novo. To pomeni, da morate svoje prejemnike kontaktirati in jih pozvati, naj vam podajo soglasje za obdelavo podatkov za vse ali samo nekatere izmed namenov, za katere te podatke obdelujete, na primer za namen pošiljanja newsletterjev. Preberite si navodila, kako zbirati soglasja obstoječih prejemnikov v Squalo aplikaciji.

Pogojevanje storitev s soglasjem za obdelavo osebnih podatkov ni (več) dovoljeno!

To v praksi pomeni, da bo potrebno marketinške kampanje, kjer na primer ponudite prejemniku e-knjigo, tako da se z registracijo za prenos e-knjige avtomatično prijavi tudi na vaše novice, potrebno spremeniti. Prijavo na novice morate tako ponuditi kot ločeno opcijo (kljukico) in ne sme biti implicitna (že obkljukana).