… doleti kaj hujšega od opomina ali simbolične kazni?
Uporaba programske opreme za množično pošiljanje e-pošte in marketinška orodja, kot so statistične analize in “tracking“ posameznikov, so eno izmed temeljnih orodij, praktično vsakega podjetja. Zelo malokrat pa se podjetja zavedajo, da tudi uporaba takšne opreme vpliva na skladnost poslovanja z GDPR in je potrebno tudi na tem področju zagotoviti določene ukrepe ter izpolnjevati pogoje, ki nam jih nalaga zakonodaja.
Preden se odločimo za uporabo marketinškega orodja, se mora odločiti zakaj ga pravzaprav potrebujemo oz. povedano v bolj pravnem jeziku, določiti moramo namene obdelave osebnih podatkov, ki se bodo izvajali v okviru takšnega orodja.
Ponavadi programsko opremo uporabljamo za:
- pošiljanje e-pošte
- izvajanje statističnih analiz in
- “trackanje“ oz. profiliranje posamznikov.
Zgornji seznam torej lahko štejemo za namene obdelave osebnih podatkov, ki jim moramo pripisati ustrezno pravno podlago. GDPR v 6. členu določa taksativen seznam pravnih podlag, ki jih lahko uporabimo za določen namen obdelave, kamor sodi tudi privolitev, ki je nedvomno najbolj znana pravna podlaga, še posebej v svetu marketinga in pošiljanja e-novic. Pa vendar se privolitev ne sme biti prva in edina pot.
Slovenska zakonodaja namreč podjetje omogoča pošiljanje e-novic preko e-pošte brez privolitve, ki pa velja za obstoječe kupce. Vse svoje obstoječe kupce torej lahko obveščamo o dogodkih, novostih in podobnih vsebinah, ki so povezani z našim podjetjem. Tudi tukaj gre za obdelavo osebnih podatkov, vendar pa namesto privolitve za pravno podalgo uporabimo kar zakonodajo, ki nam takšno pošiljanje omogoča.
Glede na zgornji primer, lahko hitro ugotovimo, da je uporaba orodij za množično pošiljanje e-pošte skladna z GDPR, v kolikor smo uspeli izbrati ustrezen namen obdelave in pravno podlago za obdelavo osebnih podatkov. Če smo za pravno podlago izbrali privolitev, potem je potrebno pripraviti informirano in svobodno privolitev, ki bo izpolnjevala zahteve GDPR. Če se namreč izkaže, da je bilo soglasje izsiljeno, bodo vsi osebni podatki, ki ste jih pridobili na podlagi takšnega soglasja nezakoniti, kar lahko vodi tudi v izbris celotne baze.
Ni torej odveč poudarek, da je potrebno na obdelavo osebnih podatkov misliti, še preden pričnemo s samo obdelavo oz. zbiranjem osebnih podatkov. Le na ta način, boste lahko zagotovili zakonitost in varnost poslovanja.
Pri sami izbiri ponudnika množičnega pošiljanja e-pošte, pa je potrebno imeti v mislih tudi dejstvo, da takšni ponudniki postanejo naši pogodbeni obdelovalci, saj jim z uporabo njihovih programskih rešitev, omogočimo dostop do osebnih podatkov, ki jih obdelujemo v podjetju.
Zakaj je to pomembno?
Veliko ponudnikov, kamor sodi recimo tudi Mailchimp, je baziranih v ZDA in ima v ZDA tudi serverje, kjer shranjuje osebne podatke. To pomeni, da z uporabo Mailchimpa osebne podatke, ki jih obdelujete v podjetju, dejansko izvažate v ZDA.
GDPR pa pri prenosu osebnih podatkov v tretje države (tj. države izven Evropskega gospodarskega prostora) določa dodatne omejitve in pogoje, ki ste jim podvrženi, kadar se za tak prenos odločite.
Za prenos osebnih podatkov (kamor šteje tudi dajanje osebnih podatkov na razpolago tretji osebi izven EGP) morate najprej določiti ustrezno pravni podlago. Kot že omenjeno v tem prispevku, so pravne podlage taksativno določene z GDPR. Poleg določitve pravne podlage pa je potrebno izpolniti tudi dodatne pogoje in sicer:
- prenos je dovoljen za države, ki jih je Evropska komisija z odločbo pripoznala kot države z ustrezno varnostjo glede obdelave osebnih podatkov ali
- z zagotavljanjem ustreznih zaščitnih ukrepov, kamor sodijo med drugim standardna določila o varstvu osebnih podatkov, ki jih sprejme Evropska komisija.
Izjemoma so mogoči prenosi “v posebnih primerih“, kjer je potrebno izpolniti določene dodatne pogoje, vendar pa takšni prenosi niso primerni za uporabo programske opreme v okviru tega prispevka, saj gre za prenose, ki so neponovljivi in nujno potrebni za izpolnitev določenih zakonitih interesov upravljavca. Tem prenosom se v prispevku ne bomo posvetili.
Ker s tem ko izberemo ponudnika množičnega pošiljanja e-pošte lahko osebne podatke izvažam tudi v tujino, moramo paziti ali je ta ponudnik sprejel ustrezne zaščitne ukrepe, s katerimi bo zagotavljal enako varnost osebnih podatkov, kot je predpisana z GDPR. Tukaj pa velikokrat naletimo na praktično težavo in to je, da enostavno nimamo dovolj informacij, da bi lahko presodili ali so ukrepi ustrezni. Pogosto gre namreč pri takšnih ponudnikih za večja podjetja, kjer težko stopimo v stik z nekom, ki bi nam pomagal odgovoriti na naša vprašanja.
Dejstvo je, da smo kot upravljavci osebnih podatkov odgovorni za osebne pdoatke, ki jih obdelujemo v naših podjetjih, zato je na naši strani potrebno opraviti razmislek s kom bomo poslovali in na kakšen način, da bomo najlažje zagotavljali ustrezno varnost osebnih podatkov in s tem tudi skladnost z GDPR.
Vas zanima kako urediti uporabo takšnih orodij, da bo uporaba varna in čim bolj enostavna?
Obrnite se na nas na ana@consilium.si ali na 064 229 447 in z veseljem vam bomo svetovali!