GDPR Academy

Monitoring telefonických hovorov bez informovania o spracúvaní údajov

Pokuta 1 milión eur bola udelená prevádzkovateľovi, a to za nedostatočnú aplikáciu požiadaviek z GDPR. Prevádzkovateľ namietal zverejnenie rozhodnutia o udelenej pokute s tým, že to bude mať významný vplyv na imidž celej spoločnosti a zároveň to bude veľmi užitočný nástroj v rukách jeho hlavných konkurentov vo vysoko konkurenčnom prostredí, v ktorom pôsobí. Kontrolný úrad však svoj zámer zverejnenia rozhodnutia potvrdil s tým, že publikovanie informácií o udelenej pokute je odôvodnené vzhľadom na povahu porušení, ktoré sa týka veľkého množstva údajov spracúvaných v rôznych marketingových kampaniach prevádzkovateľa. O aké porušenia šlo

Neposkytnutie možnosti namietať spracúvanie údajov

Prevádzkovateľom je dodávateľ elektrickej energie a plynu. Pre získavanie osobných údajov využíva rôzne elektronické formuláre na webovom sídle, kde cieľom spracúvania osobných údajov je prioritne prihlásenie sa k odberu elektriny a plynu.

Prevádzkovateľ tieto osobné údaje však využíval aj pre účely zasielania následných obchodných ponúk. Odvolával sa na využitie právneho základu, ktorým je oprávnený záujem. Tento skutočne umožňuje prevádzkovateľom zasielať marketingové ponuky svojim zákazníkom, pričom však v ponuke musí ísť o podobné výrobky alebo služby, ktoré už boli predmetom nákupu dotknutej osoby. Pre takého spracúvanie osobných údajov (dotknutou osobou je zákazník a ponuka súvisí s podobnými produktami), nie je potrebný súhlas. Kontrolný úrad však prevádzkovateľovi vytkol, že počas získavania osobných údajov (počas prihlásenia sa k odberu elektriny alebo plynu) nemala dotknutá osoba možnosť namietať využívanie jej osobných údajov pre ďalšie obchodné aktivity. Vyhlásenie o spracúvaní osobných údajov nebolo doplnené žiadnymi prostriedkami, ako je napríklad zaškrtávacie políčko, ktoré by používateľovi umožnilo vyjadriť svoj nesúhlas – námietku so spracúvaním aj pre takého účely, pričom sa kontrolný orgán odvolával na francúzsky zákon o poštových službách a elektronických komunikáciách.

Všeobecné nariadenia o ochrane údajov ukladá prevádzkovateľom povinnosť, umožniť dotknutým osobám kedykoľvek namietať spracúvanie osobných údajov, ktoré je založené na právnom základe čl. 6 ods. 1 písm. f) – oprávnený záujem. Pričom, keď ide o spracúvanie pre účely priameho marketingu a dotknutá osoba uplatní svoju námietku, potom prevádzkovateľ už nesmie osobné údaje pre dané účely využívať.

Spôsob, keď prevádzkovateľ ponúkne dotknutej osobe možnosť namietať ešte v čase získavania údajov, je tak veľmi praktický. Dotknutá osoba iba jednoducho zaklikne možnosť (prázdne políčko), že si neželá, aby boli jej údaje využívané pre účely marketingu.

Nedostatočné informovanie dotknutých osôb

Ďalšie porušenie nastalo, keď prevádzkovateľ získaval osobné údaje o potenciálnych zákazníkoch aj od svojich obchodných partnerov. Z pohľadu všeobecného nariadenia o ochrane údajov ide o situáciu, keď sú osobné údaje získavané z iného zdroja, ako priamo od dotknutej osoby a na prevádzkovateľa sa vzťahuje informačná povinnosť v rozsahu čl. 14 GDPR.
Prevádzkovateľ však počas telefonického oslovovania dotknutých osôb (pričom telefonické hovory boli zároveň zaznamenávané), nespokytoval žiadne informácie o spracovaní údajov, alebo informácie neboli úplné. Taktiež nebola poskytnutá žiadna možnosť prístupu k úplnejším informáciám, a to napríklad stlačením tlačidla na klávesnici telefónu.

Prevádzkovateľ sa obhajoval aj tým, telefonické hovory, ktoré boli takto preskúmavané neodrážali postupy všetkých oprávnených osôb, ktorých cieľom bola marketingová komunikácia s dotknutými osobami. Že išlo o nerešpektovanie pokynov prevádzkovateľa niektorými jeho pracovníkmi.

Ako nápravné opatrenia prevádzkovateľ prijal nahratie správy, ktorá obsahuje kompletné informácie o spracúvaní osobných údajov a dotknutá osoba si ju môže vypočuť po stlačení príslušného tlačidla na telefóne, plus školenie oprávnených osôb s cieľom zvyšovania povedomia v tejto oblasti.

Kontrolný úrad vo zverejnenej správe uvádza, že informácia o práve namietať patrí medzi podstatné informácie, ktoré musia byť dotknutej osobe oznámené “v prvej vrstve”.

Nedostatočný výkon práv dotknutých osôb

Kontrolný úrad ďalej uvádza, že na prevádzkovateľa obdržal aj niekoľko sťažností, ktoré sa týkajú:

  • žiadosti o opravu spracúvaných osobných údajov,
  • žiadosti o práva na prístup k údajom,
  • námietky spracúvania údajov pre obchodné aktivity a súvisiacej žiadosti o výmaz údajov
  • a žiadosti o informáciu o zdroji spracúvaných údajov.

Prevádzkovateľ neposkytol žiadateľom odpovede, prípadne mu trvalo príliš dlho vybavenie žiadosť alebo reagoval až na urgenciu dotknutej osoby. Pričom zákonná lehota pre vybavenie žiadosti je jeden mesiac (v odôvodnených prípadoch je možné lehotu predĺžiť, dotknutá osoba však o tom musí byť informovaná).

V súvislosti s právom na prístup k osobným údajom a jeho nevybaveniu prevádzkovateľ opäť uvádzal, že došlo k pochybeniu v radoch jeho zamestnancov a taktiež to, že mal ťažkosti pri získavaní informácií od svojich obchodných partnerov, čo spôsobilo nemožnosť informovania o zdroji, odkiaľ údaje pochádzajú.

Pri nedodržaní povinnosti rešpektovania práva namiestať sa prevádzkovateľ obhajoval aj tým, že žiadosti neboli adresované priamo útvaru zodpovednému za vybavenie žiadosti. Kontrolnú úrad však uviedol, že to nezbavuje prevádzkovateľa zodpovednosti na žiadosť odpovedať zákonným spôsobom.

Čo urobiť, aby ste sa neocitli v rovnakej situácii?

Skontrolujte si, či v čase získavania osobných údajov, poskytuje dotknutým osobám všetky dôležité a relevantné informácie o spracúvaní osobných údajov. Pomôže vám čl. 13 všeobecného nariadenia o ochrane údajov. 

Ak osobné údaje získavate z iného zdroja, teda nie priamo od dotknutej osoby, potom sa držte čl. 14 GDPR a:

  • Informáciu o spracúvaní osobných údajov poskytnite v primeranej lehote, najneskôr však do jedného mesiaca.
  • Ak získané osobné údaje plánujete využiť na komunikácu s dotknutou osobou, potom jej informácie poskytnite v čase prvej komunikácie. To znamená, že napríklad vtedy, keď zašlete prvý mail alebo telefonicky komunikujete s osobou.
  • A ak potrebujete osobné údaje poskytnúť inému príjemcovi, potom dotknutú osobu informujte o spracúvaní najneskôr v čase poskytnutia údajov tomuto príjemcovi.

Ak monitorujete telefonické hovory, zaznamenávate ich, potom nezabudnite, že ide o spracúvanie osobných údajov a informačná povinnosť pre vás stále platí. Francúzsky úrad inšpiratívne uvádza, že informovať o práve namietať patrí medzi prioritné údaje resp. do prvej informačnej vrstvy.  

A nakoniec si preverte si, či máte zavedený funkčný systém vybavovania žiadostí dotknutých osôb a či vaši zamestnanci vedia, koho majú kontaktovať, ak napríklad e-mailom obdržia námietku, či žiadosť o prístup k osobným údajom. Rozhodne nesmú takýto e-mail iba prehliadnuť a ponechať nevybavený vo svojej e-mailovej schránke. Patrí do rúk kompetentného človeka, ktorý sa postará o to, že žiadosť bude vybavená v súlade s pravidlami. Lehota na vybavenie je totiž pevne stanovená. 

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top