Splošna uredba evropske unije o varovanju osebnih podatkov (ang. General Data Protection Regulation ali s kratico GDPR) je uredba, ki določa nova pravila glede varstva osebnih podatkov. Sprejeta je bila 27. Aprila 2016 v Evropskem parlamentu, v veljavo pa je stopila s 25. Majem 2018.
Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v celotni EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Navedeno bo urejal ZVOP-2, ki pa je trenutno še v zakonodajnem postopku.
Glede na obstoječo (nacionalno) zakonodajo prinaša precej novosti in na eni strani izzivov in pasti, na drugi strani pa poenotenja in tudi (sploh če poslujete v več EU državah) poenostavitev.
Za začetek si tako preberite ključne osnovne pojme:
-
Osebni podatki
Pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki).
Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
Uredba tako jasno definira, da gre za fizične osebe (v originalu še bolje saj posameznika navede kot “physical person”), kar pomeni, da jasno loči med fizičnimi osebami in pravnimi osebami.
V kontekstu email marketinga je potrebno tako ločiti 3 primere:
- ime.priimek@gmail.com – fizična oseba
- ime.priimek@ime-podjetja.si – fizična oseba (pozor!)
- info@ime-podjetja.si – pravna oseba
Ko obdelujemo podatke je tako potrebno najprej ločiti generične (info@, prodaja@, …) email naslove in email naslove fizičnih oseb. Za generične naslove namreč GDPR ne velja.
-
Obdelava
Pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
V kontekstu email marketinga je tukaj potrebno ločiti predvsem 2 stvari:
- Zbiranje in uporaba email naslovov za pošiljanje email sporočil;
- Zbiranje dodatnih informacij o prejemniku za potrebe profiliranja – bodisi avtomatičnega bodisi ročnega – ti podatki obsegajo npr. spol, starost, ipd., kot tudi datum in čas branja prejetih email sporočil, klikanja na povezave, geolokacijo, itd.
-
Upravljavec
Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
-
Obdelovalec
Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
-
Uporabnik
Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne.
-
Oblikovanje profilov (profiliranje)
Pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;
Primeri upravljavca, obdelovalca, uporabnika
Podajamo vam nekaj najbolj pogostih scenarijev oseb, kot jih predvideva GDPR. Scenariji so podani predvsem v kontekstu email marketinga, so pa seveda tudi splošno uporabni:
SPLETNA STRAN/SPLETNA TRGOVINA
- Oseba obišče spletno stran podjetja, kjer se prijavi na newsletter, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev in tako postane Prejemnik.
- Lastnik spletne strani po drugi strani s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
- Lastnik spletne trgovine preda Prejemnikove podatke podjetju, ki ponuja platformo za email marketing — na primer SqualoMail — in s katerim že ima sklenjeno pogodbo o obdelavi podatkov. To podjetje tako postane Obdelovalec.
SPLETNA AGENCIJA
- Oseba obišče spletno stran podjetja, kjer se prijavi na newsletter, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev in tako postane Prejemnik.
- Lastnik spletne strani po drugi strani s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
- Lastnik spletne trgovine preda Prejemnikove podatke agenciji za digitalni marketing. Agencija s tem postane Obdelovalec. Med Upravljavcem in Obdelovalcem mora obstajati pogodba o obdelavi osebnih podatkov.
- Agencija najame podjetje, ki ponuja platformo za email marketing — na primer SqualoMail — s katerim sklene pogodbo o obdelavi osebnih podatkov. Tudi to podjetje tako postane Obdelovalec.
DELJENJE OSEBNIH PODATKOV MED PARTNERJI
- Oseba obišče spletno stran agencije, kjer se prijavi na newsletter na neko tematiko, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev za neko tematiko in se strinja, da se njegovi podatki posredujejo Uporabniku ter tako postane Prejemnik.
- Agencija s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
- Agencija preda osebne podatke oglaševalcu. Ta s tem postane Uporabnik. Med Upravljavcem in Uporabnikom mora obstajati ustrezna pogodba o deljenju osebnih podatkov.
- Oglaševalec najame podjetje, ki ponuja platformo za email marketing — na primer SqualoMail — s katerim sklene pogodbo o obdelavi osebnih podatkov. To podjetje tako postane Obdelovalec.