fbpx

Prijava v portal: 

Veljavnost privolitev, ki so bile pridobljene pred uporabo GDPR

Veljavnost privolitev, ki so bile pridobljene pred uporabo GDPR

Do zdaj pridobljena privolitev je še naprej veljavna, če je v skladu s pogoji iz Splošne uredbe, zato je pomembno, da upravljavci podrobno pregledajo delovne procese in evidence ter se prepričajo, da obstoječe privolitve izpolnjujejo standard Splošne uredbe (glej uvodno izjavo 171 Splošne uredbe76).

Temeljito je zato treba preveriti vse obrazce za soglasja, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi so upravljavci pridobili privolitve.

V praksi so s Splošne uredbe postavljena višja merila v zvezi z izvajanjem mehanizmov privolitve in uvedenih je več novih zahtev, na podlagi katerih morajo upravljavci spremeniti mehanizme privolitve in ne samo na novo napisati politike o varovanju zasebnosti.

KATERE BODO NEUSTREZNE PRIVOLITVE

Neustrezne bodo npr. privolitve, ki niso dokazljive, ker se s Splošno uredbo zahteva, da mora biti upravljavec zmožen dokazati, da je bila pridobljena veljavna privolitev, bodo vse domnevne privolitve, v zvezi s katerimi se ne vodi nobenih evidenc, samodejno pod standardom privolitve iz Splošne uredbe in jih bo treba obnoviti.

Ker se poleg tega s Splošno uredbo zahteva „izjava ali jasno pritrdilno dejanje“, tudi domnevne privolitve, ki so temeljile na bolj implicitni obliki ukrepanja posameznika, na katerega se nanašajo osebni podatki (npr. vnaprej označeno okence za privolitev), ne bodo ustrezale standardu privolitve iz Splošne uredbe.

Prav tako morajo biti na voljo mehanizmi za enostaven preklic privolitve posameznikov, na katere se nanašajo osebni podatki, in informacije o tem, kako preklicati privolitev.

KAJ, ČE NE IZPOLNJUJEMO STANDARDA SPLOŠNE UREDBE

Če obstoječi postopki za pridobitev in upravljanje privolitve ne izpolnjujejo standardov Splošne uredbe, bodo morali upravljavci pridobiti novo privolitev, ki je v skladu s Splošne uredbe. 

Omenjeno lahko predstavlja za upravljavce precejšen izziv, zlasti če gre za relativno »stare« privolitev, ko nimajo (več) neposrednih stikov s posamezniki in v drugih situacijah, ko je ponovno pridobivanje privolitev drago, kompleksno in zamudno. Upravljavci, ki imajo stalen stik s strankami in imajo aktivne kontaktne podatke, bodo te zahteve lažje izpolnili.

Na tej točki velja tudi opozoriti na pomembnost ločevanja pravnih podlag – težave so se namreč pojavile zaradi nerazumevanja pravnih podlag za neposredno trženje, saj so mnogi upravljavci zmotno menili, da je podlaga lahko podana samo v privolitvi posameznika, in so sprožili ponovno pridobivanje privolitev posameznika, čeprav to ni bilo nujno.

Če namreč podjejte trži svoje storitve in izdelke svojim obstoječim strankam ali kupcem po e-pošti, potem to na podlagi drugega odstavka Zakona o elektronskih komunikacijah počne tudi brez privolitve posameznika, če je njihov e-naslov pridobilo ob prodaji izdelka ali storitve. 

“Mehka privolitev”

Ta namreč določa neke vrste »mehko privolitev«, oz. natančneje: »Ne glede na določbe prejšnjega odstavka lahko fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni in ob vsakem sporočilu v primeru, da kupec ni zavrnil takšne uporabe že na začetku.«

Nerazumevanja in nepoznavanje te pravne podlage je ob začetku uporabe Splošne uredbe v maju 2018 vodilo v obsežno in pretirano pridobivanje novih privolitev, čeprav pogosto niso bile potrebne in bi se lahko upravljavci zanesli na zgoraj omenjeno pravno podlago za neposredno trženje po e-pošti.

Podobno velja za neposredno trženje po navadni pošti, kjer se lahko upravljavci oprejo na določbe 72. člena ZVOP-1, ki določa, da lahko upravljavec osebnih podatkov  uporablja osebne podatke posameznikov, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih telekomunikacijskih sredstev  v skladu z določbami tega poglavja, če drug zakon ne določa drugače.

Za namene neposrednega trženja po navadni pošti lahko upravljavec osebnih podatkov uporablja le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte in številko telefaksa.

Na podlagi osebne privolitve posameznika lahko upravljavec osebnih podatkov obdeluje tudi druge osebne podatke, občutljive osebne podatke pa le, če ima za to osebno privolitev posameznika, ki je izrecna in praviloma pisna.

Dodaj odgovor