Údaj, nad ktorým sa nikto nepozastaví
Ak by som sa vás spýtala, ktoré údaje vo formulároch predstavujú najväčšie GDPR riziko, pravdepodobne by ste spomenuli rodné číslo, zdravotné údaje, kópie dokladov alebo biometrické údaje. Len málokomu by napadlo, že problém môže predstavovať aj obyčajné políčko:
- Pán
- Pani
Práve touto otázkou sa zaoberal Súdny dvor EÚ v rozsudku C-394/23 (Mousse) a následne aj Rakúsky úrad na ochranu údajov. Rozhodnutia sú zaujímavé najmä preto, že sa netýkajú len oslovení. V skutočnosti nám pripomínajú jeden zo základných princípov GDPR – zásadu minimalizácie údajov.
Povinné oslovenie pri registrácii
Predmetom sporu bol internetový predaj cestovných lístkov. Zákazník si mohol vytvoriť účet len vtedy, ak si zvolil jedno z oslovení: Pán/ Pani.
Bez vyplnenia tohto údaja nebolo možné registráciu dokončiť. Prevádzkovateľ argumentoval, že údaj potrebuje na personalizovanú komunikáciu so zákazníkmi. Na prvý pohľad ide o logické vysvetlenie. Veď mnohé spoločnosti chcú komunikovať profesionálne a používanie oslovení je v obchodnej komunikácii dlhoročným štandardom. Práve tu však nastupuje GDPR.
Prečo nestačí, že je údaj užitočný
Jedným z najdôležitejších záverov rozsudku je skutočnosť, že GDPR rozlišuje medzi údajom, ktorý je užitočný, a údajom, ktorý je nevyhnutný.
Údaj môže byť:
- praktický,
- pohodlný,
- obchodne výhodný,
- zaužívaný,
a napriek tomu nemusí byť nevyhnutný.
Súd preto položil jednoduchú otázku: Je možné poskytovať službu aj bez získavania tohto údaja? Ak je odpoveď áno, vzniká problém.
Čo znamená „nevyhnutnosť“ podľa GDPR
Mnoho prevádzkovateľov si pojem nevyhnutnosť vykladá príliš voľne. Súdny dvor však opakovane zdôrazňuje, že: Spracúvanie musí byť objektívne nevyhnutné na dosiahnutie sledovaného účelu. Nestačí, že ide o zaužívanú prax. Nestačí ani to, že ide o spoločensky akceptovaný spôsob komunikácie. Rozhodujúce je, či existuje menej invazívna alternatíva.
V tomto prípade súd uviedol, že zákazníka možno osloviť aj bez použitia údaja o oslovení. Napríklad:
- Dobrý deň,
- Vážený zákazník,
- meno a priezvisko bez oslovenia.
Ak takáto alternatíva existuje, podmienka nevyhnutnosti nemusí byť splnená.
Oprávnený záujem prevádzkovateľa nepostačil
Zaujímavé je, že prevádzkovateľ sa nespoliehal len na plnenie zmluvy. Argumentoval aj oprávneným záujmom. Tvrdil, že má legitímny obchodný záujem komunikovať so zákazníkmi osobnejším spôsobom. Súd pripustil, že takýto záujem môže existovať. Napriek tomu to nestačilo. Aj pri oprávnenom záujme totiž musí byť splnená podmienka nevyhnutnosti. Ak je možné dosiahnuť rovnaký cieľ aj bez získavania konkrétneho údaja, oprávnený záujem nemusí obstáť.
Znamená to zákaz používania oslovení?
Nie. Toto je pravdepodobne najčastejšie nedorozumenie, ktoré môže po prečítaní rozhodnutia vzniknúť. Rozhodnutie nerieši bežnú komunikáciu medzi ľuďmi. Nerieši situáciu, keď pracovník odpovie klientovi: Dobrý deň, pani Nováková.
Rovnako nerieši otázku spoločenskej etikety. Predmetom rozhodnutia bolo získavanie údajov prostredníctvom formulára a posudzovanie otázky, či je takýto údaj naozaj potrebný.
Praktický dopad na formuláre
Rozhodnutie sa netýka len políčka „Pán/Pani“. Rovnakú otázku by si mali prevádzkovatelia položiť pri mnohých ďalších údajoch. Napríklad:
- dátum narodenia,
- telefónne číslo,
- pracovná pozícia,
- názov spoločnosti,
- titul.
Pri každom údaji by mala zaznieť jednoduchá otázka: Čo by sa stalo, keby sme tento údaj vôbec nezískavali? Ak by proces fungoval aj bez neho, je vhodné zamyslieť sa nad tým, či jeho získavanie naozaj spĺňa požiadavky GDPR.
Záver
Prípad „Pán/Pani“ je zaujímavý práve preto, že nejde o žiadny citlivý údaj v zmysle článku 9 GDPR. Napriek tomu sa stal predmetom konania a rozhodovania Súdneho dvora EÚ. Pripomína nám totiž dôležitú vec:
- GDPR sa nepýta, či je určitý údaj praktický.
- GDPR sa pýta, či je naozaj potrebný.
A práve v tom spočíva hlavný odkaz tohto rozhodnutia.
Praktické odporúčanie
Skontrolujte si registračné a kontaktné formuláre na svojich webových stránkach, vernostné programy, zákaznícke účty či newsletterové formuláre. Nachádza sa v nich povinné políčko „Pán“ alebo „Pani“? Ak áno, položte si jednoduchú otázku: Prečo tento údaj naozaj potrebujeme? Ak neviete preukázať, že je jeho získavanie naozaj potrebné, možno nastal čas zamyslieť sa nad tým, či má vo formulári svoje miesto. Rozsudok Súdneho dvora EÚ totiž ukazuje, že ani zdanlivo nevinné a dlhé roky zaužívané údaje nemusia automaticky spĺňať požiadavky GDPR.