Kaj je GDPR

Splošna uredba evropske unije o varovanju osebnih podatkov (ang. General Data Protection Regulation ali s kratico GDPR) je uredba, ki določa nova pravila glede varstva osebnih podatkov. Sprejeta je bila 27. Aprila 2016 v Evropskem parlamentu, v veljavo pa je stopila s 25. Majem 2018.

Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v celotni EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Navedeno bo urejal ZVOP-2, ki pa je trenutno še v zakonodajnem postopku.

Glede na obstoječo (nacionalno) zakonodajo prinaša precej novosti in na eni strani izzivov in pasti, na drugi strani pa poenotenja in tudi (sploh če poslujete v več EU državah) poenostavitev.

 

Za začetek si tako preberite ključne osnovne pojme:

  • Osebni podatki

Pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki).

Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

Uredba tako jasno definira, da gre za fizične osebe (v originalu še bolje saj posameznika navede kot “physical person”), kar pomeni, da jasno loči med fizičnimi osebami in pravnimi osebami.

V kontekstu email marketinga je potrebno tako ločiti 3 primere:

  • ime.priimek@gmail.com – fizična oseba
  • ime.priimek@ime-podjetja.si – fizična oseba (pozor!)
  • info@ime-podjetja.si – pravna oseba

Ko obdelujemo podatke je tako potrebno najprej ločiti generične (info@, prodaja@, …) email naslove in email naslove fizičnih oseb. Za generične naslove namreč GDPR ne velja.

 

  • Obdelava

Pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

V kontekstu email marketinga je tukaj potrebno ločiti predvsem 2 stvari:

  1. Zbiranje in uporaba email naslovov za pošiljanje email sporočil;
  2. Zbiranje dodatnih informacij o prejemniku za potrebe profiliranja – bodisi avtomatičnega bodisi ročnega – ti podatki obsegajo npr. spol, starost, ipd., kot tudi datum in čas branja prejetih email sporočil, klikanja na povezave, geolokacijo, itd.

 

  • Upravljavec

Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

V kontekstu email marketinga je to podjetje, ki od prejemnikov pridobiva soglasja za obdelavo osebnih podatkov. Nadalje zbira email naslove, jih hrani in nanje pošilja email sporočila (na primer uporabniki sistema SqualoMail).

 

  • Obdelovalec

Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

V kontekstu email marketinga je to ponudnik vaše platforme za email marketing (na primer SqualoMail). Obdelovalec obdeluje podatke v skladu z navodili upravljavca.

 

  • Uporabnik

Pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne.

Uporabnik je lahko vaš poslovni partner, s katerim delite osebne podatke. Je pa potrebno ločiti uporabnika in prejemnika.

 

  • Oblikovanje profilov (profiliranje)

Pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

Tukaj bi posebej poudarili, da se po naši interpretaciji ročno izvajanje filtrov nad prejemniki tudi šteje med avtomatizirano obdelavo osebnih podatkov, za kar pa je potrebno dodatno soglasje. Več o tem še v nadaljevanju.

 

Primeri upravljavca, obdelovalca, uporabnika

Podajamo vam nekaj najbolj pogostih scenarijev oseb, kot jih predvideva GDPR. Scenariji so podani predvsem v kontekstu email marketinga, so pa seveda tudi splošno uporabni:

SPLETNA STRAN/SPLETNA TRGOVINA

  1. Oseba obišče spletno stran podjetja, kjer se prijavi na newsletter, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev in tako postane Prejemnik.
  2. Lastnik spletne strani po drugi strani s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
  3. Lastnik spletne trgovine preda Prejemnikove podatke podjetju, ki ponuja platformo za email marketing — na primer SqualoMail — in s katerim že ima sklenjeno pogodbo o obdelavi podatkov. To podjetje tako postane Obdelovalec.
Vse se seveda (lahko) zgodi avtomatično s pomočjo obrazca, na Upravljavčevi spletni strani, ki je vezan neposredno na platformo za email marketing.

 

SPLETNA AGENCIJA

  1. Oseba obišče spletno stran podjetja, kjer se prijavi na newsletter, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev in tako postane Prejemnik.
  2. Lastnik spletne strani po drugi strani s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
  3. Lastnik spletne trgovine preda Prejemnikove podatke agenciji za digitalni marketing. Agencija s tem postane Obdelovalec. Med Upravljavcem in Obdelovalcem mora obstajati pogodba o obdelavi osebnih podatkov.
  4. Agencija najame podjetje, ki ponuja platformo za email marketing — na primer SqualoMail — s katerim sklene pogodbo o obdelavi osebnih podatkov. Tudi to podjetje tako postane Obdelovalec.
Upravljavec potem daje navodila za obdelavo osebnih podatkov Agenciji, ta pa to ustrezno prenese na platformo za email marketing.

 

DELJENJE OSEBNIH PODATKOV MED PARTNERJI

  1. Oseba obišče spletno stran agencije, kjer se prijavi na newsletter na neko tematiko, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev za neko tematiko in se strinja, da se njegovi podatki posredujejo Uporabniku ter tako postane Prejemnik.
  2. Agencija s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
  3. Agencija preda osebne podatke oglaševalcu. Ta s tem postane Uporabnik. Med Upravljavcem in Uporabnikom mora obstajati ustrezna pogodba o deljenju osebnih podatkov.
  4. Oglaševalec najame podjetje, ki ponuja platformo za email marketing — na primer SqualoMail — s katerim sklene pogodbo o obdelavi osebnih podatkov. To podjetje tako postane Obdelovalec.