Téme GDPR sme sa už venovali v článku GDPR po dvoch rokoch, ako aj v článku z roku 2018. Ako sa vyvíja ochrana osobných údajov v online? 

Aj tentokrát sme pri článku spolupracovali s právnikom, ktorý sa špecializuje na ochranu osobných údajov, Frederikom Ravasom, zakladateľom Securion.

V článku sa dozviete o:

  • Zrušení “Privacy shield” a BREXITe;
  • vybraných pokutách v online za posledný rok;
  • o tom, čo nás čaká v súvislosti s cookies.

Článok je určený najmä pre tých, ktorí idú za hranice našej krajiny a ešte ďalej – mimo EÚ.

“Privacy shield” a BREXIT

“Privacy shield”

Privacy shield zabezpečoval transfer osobných údajov na trase EÚ – USA.

Sťažnosť rakúskeho internetového aktivistu Maximiliana Schremsa, ktorý bojuje voči online platformám a ich prípadnému zneužívaniu osobných údajov, vyústila až do zrušenia “Privacy shield” (rozhodnutie je označované ako Schrems II). Sťažnosť smerovala voči írskej “pobočke” Facebooku – Facebook Ireland Ltd. Rozhodnutím vo veci Schrems II bol nakoniec “Privacy shield” zrušený.

Ako sa to dotklo prenosu osobných údajov z EÚ do USA? V prvom rade, nedotklo sa to širokého okruhu podnikateľov. Jednoduchšie povedané, problém museli riešiť giganti, ako Facebook, Google, Microsoft, Mailchimp a podobné spoločnosti. Prípadne aj korporáty, ktoré prenos uskutočňovali a uskutočňujú v rámci bežných činností. Všetky tieto firmy boli nútené poskytnúť záruky prenosu prostredníctvom iného mostu.

Vo väčšine prípadov využili štandardné zmluvné doložky. Alternatívou sú aj vnútropodnikové záväzné pravidlá.

Pri expanzii je určite potrebné riešiť prenos osobných údajov a rovnako tiež to, ako naložiť s osobnými údajmi mimo EÚ.

BREXIT

Ďalšia téma, ktorá hýbe trhom, je BREXIT. Aj tu sa GDPR skloňuje v súvislosti s prenosom osobných údajov. “Trade and cooperation agreement” (v skratke) medzi EÚ a UK bol podpísaný.

Pre ochranu osobných údajov platí “prechodné obdobie”, preto, ak ste BREXIT doteraz neriešili z pohľadu ochrany osobných údajov, ešte vám neušiel vlak. Ale je najvyšší čas sa prenosu venovať.

Prechodné obdobie označované ako “bridge” ešte plynie (do 30.4.2021, resp. 30.6.2021). Do konca tohto obdobia by podnikatelia mali mať vyriešené otázky týkajúce sa prenosu osobných údajov do UK, ale aj z UK v situáciách:

  • pri prenose osobných údajov z UK do EÚ
  • pri prenose osobných údajov z EÚ do UK

Keďže Britská legislatíva v oblasti ochrany osobných údajov je podobná GDPR a Veľkej Británii by malo byť udelené “rozhodnutie o primeranosti”, dopad na podnikateľov by nemal byť zásadný. Bude však potrebné byť “compliance” na oboch stranách rieky.

Pokuty “online” v roku 2020

Zhrnuli sme zaujímavé pokuty, ktoré súvisia s online marketingom. V našej GDPR praxi sa stretávame s nesprávnym aplikovaním u slovenských podnikateľoch – opakovane.

Cookies

Dánsky dozorný orgán (DDPA) v jednom z prípadov zistil, že webová stránka používala pri ukladaní súborov cookies mechanizmus, ktorý je v rozpore s tamojšou legislatívou. V rámci Securion mali klienta aj v Dánsku, ktorému sme pomáhali s GDPR a cookies na webe a e-shope. Preto nás neprekvapuje, že pokuta bola udelená za nemožnosť výberu nesúhlasu s používaním marketingovým cookies.

Napriek tomu, že spoločnosť mala definované “cookies” komplexne, neumožnenie zamietnuť marketingové cookies je považované za porušenie a je sankcionovateľné v zmysle GDPR aj ePrivacy.

cookies

Nevyžiadaný priamy marketing a vynútený súhlas

Porušením je aj zasielanie nevyžiadaných správ. To už vieme. Evidujeme viaceré prípady. Vo Fínsku boli na marketingovom oddelení takí tvrdohlaví, že zasielali newslettery až do udelenia pokuty. Po sťažnostiach 11 osôb dostala spoločnosť pokutu slušných 7 000 eur.

V ďalšom prípade (tiež vo Fínsku) si prevádzkovateľ kina “vynucoval” súhlas so zákazníckym programom. Pri kúpe alebo rezervácii vstupeniek online sa musel každý zákazník zapojiť do zákazníckeho programu a udeliť súhlas s newsletterom. Aj takéto konanie je v rozpore s GDPR.

Vysoká GDPR pokuta vo výške približne 220-tisíc eur za neoprávnené zasielanie newsletterov bola udelená aj v Českej republike. Spoločnosť nebola schopná preukázať, ako získava súhlas so zasielaním newsletteru, ani ich evidenciu.

newsletter

Pokuta za súťaž

Aj v našich podmienkach sú obľúbené rôzne súťaže na sociálnych sieťach a weboch. Pri takejto súťaži je potrebné si uvedomiť, že osobné údaje súťažiacich nemožno “len tak” používať na reklamné účely. Neoprávnené použitie osobných údajov súťažiacich na reklamné účely stálo firmu v Nemecku 1,24 milióna eur.

Tipujeme vývoj ePrivacy v roku 2021

Tak ako Laco Borbély v reklame s Petrou Vlhovou, tak aj my si dovolíme tipnúť vývoj ePrivacy – zjednodušene povedané, ako sa budú vyvíjať “cookies”. Aj keď sme o nich písali už v predchádzajúcom článku, tento rok veríme, že ePrivacy – tak ako aj GDPR, sa prijme. Určite by to prinieslo výhody pre celý európsky trh.

Prečo? Zjednotia sa tým podmienky pre ochranu osobných údajov v elektronickej komunikácii (vrátane cookies) v celej EÚ, podobne ako zjednotilo podmienky spracúvania osobných údajov GDPR. Aj vďaka GDPR sa dnes pri expandovaní nemusíme zaoberať tým (v jednoduchých otázkach), ako riešia ochranu osobných údajov Dánsko, Fínsko, Nemecko, Rakúsko alebo ďalšie krajiny.

ePrivacy ako smernica existuje. Tak fungovala aj ochrana osobných údajov. Smernica sa zmenila na nariadenie a – je z toho priamo aplikovateľný právny predpis. Pri zásahu viacerých trhov je to výhoda pre každého podnikateľa, a to nielen v EÚ, ale aj pri expanzii mimo EÚ.

Preto veríme, že na konci obdobia bude ePrivacy schválené, tak aby dávalo zmysel aj pre marketérov a aby si marketéri mohli bez súhlasu zaznamenávať (aspoň) anonymizované analytické a marketingové cookies.