GDPR Academy

Keď majú návštevníci internetových stránok možnosť odpovedať na testovacie otázky

S poučným príkladom prichádza francúzsky úrad, dozorujúci ochranu osobných údajov (Commission Nationale de l’Informatique et des Libertés, CNIL). Dávame ho do pozornosti všetkým tým prevádzkovateľom internetových stránok, ktorí ponúkajú svojim návštevníkom možnosť absolvovať rôzne testy, resp. odpovedať na testovacie otázky.


Prevádzkovateľ, na ktorého činnosť sa tento dozorujúci orgán zameral, poskytuje internetovú stránku, ktorá ponúka svojim návštevníkom rôzne články, testy, kvízy a diskusné fóra o zdraví a pohode. Sťažnosť, ktorú CNIL na prevádzkovateľa obdržal sa týkala:

  • ukladania súborov cookies,
  • právneho základu spracúvania osobných údajov dotknutých osôb, ktoré absolvujú test na internetovej stránke prevádzkovateľa,
  • transparentného informovania o spracúvaní osobných údajov
  • a bezpečnostných opatrení.

Nás zaujala práve možnosť absolvovania testu prostredníctvom internetovej stránky.


Prevádzkovateľ totiž prostredníctvom odpovedí na rôzne testovacie otázky, získaval IP adresu a ďalšie osobné údaje dotknutých osôb (návštevníkov stránky). A to nie hocijaké. Vzhľadom na charakter testov a zameranie stránky (na zdravie a pohodu) šlo o osobitnú kategóriu osobných údajov. Konkrétne o údaje týkajúce sa zdravia. Sú súčasťou čl. 9 GDPR a spracúvať ich je možné len vtedy, keď prevádzkovateľ disponuje príslušnou výnimkou. Všeobecne totiž platí zákaz pre ich spracúvanie. Výnimka môže byť napríklad v podobe výslovného súhlasu dotknutej osoby.


Prevádzkovateľ však výslovný súhlas nemal. Nemal ani ten “obyčajný”. Pod testom uvádzal len odkaz na dokument politiky ochrany osobných údajov, ktoré si mohli dotknuté osoby prečítať.


Pokiaľ by postačoval “bežný” súhlas so spracúvaním osobných údajov, mohlo by zaň byť považované to, že dotknutá osoba konala spôsobom, z ktorého možno usúdiť, že súhlasí so spracúvaním údajov o nej. Lebo vkladala odpovede na otázky alebo vyberala z ponúkaných možností (zaklikávala preddefinované políčka). Napríklad v teste “Chýba vám železo?” alebo “Kŕčové žily, hrozí vám riziko?”.


Táto forma súhlasu (súhlas konaním alebo konkludentný súhlas) však nie je postačujúca, keď ide o spracúvanie osobitnej kategórie osobných údajov. Táto citlivá skupina údajov si vyžaduje “vyššiu” formu súhlasu. Tou je práve výslovný súhlas dotknutej osoby. Prevádzkovateľ preto porušil čl. 9 ods. 2 všeobecného nariadenia o ochrane údajov.


Ďalším porušením bolo to, že prevádzkovateľ výsledky testov dotknutých osôb (prihlásených aj neprihlásených používateľov), spolu s ich IP adresou uchovával počas nasledujúcich 24 mesiacov. Táto doba bola neprimerane dlhá a nebola potrebná. Týmto prevádzkovateľ nedodržal čl. 5 ods. 1 písm. e) GDPR.

Celý dokument si môžete prečítať na stránke: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047552103?page=1&pageSize=10&query=2016%252F679&searchField=ALL&searchType=ALL&sortValue=DATE_DECISION_DESC&tab_selection=cnil&typePagination=DEFAULT


Takže, ak ste prevádzkovateľom internetovej stránky, na ktorej majú vaši návštevníci možnosť odpovedať na otázky, prehodnoťte si, či nezískavate týmto spôsobom o nich osobné údaje. Ak áno, potom nezabudnite na riadny právny základ, zrozumiteľnú informačnú povinnosť a dodržiavanie základných zásad spracúvania osobných údajov.

 

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.