GDPR V SVETU POTROŠNIKOV

GDPR ima za evropski prostor velik pomen pri urejanju obdelovanja osebnih podatkov tako znotraj Evropske unije kot krovne organizacije kot tudi znotraj njenih članic. Svoj vpliv je zaradi svoje revolucionarne, vseobsegajoče ureditve in odločnega preseka dotedanjih sivih con nedorečenega posledično razširila tudi na druge države in pravne sisteme. Poglobljeno je uredila obdelavo osebnih podatkov, jo definirala, razširila polje nedovoljenega ter poudarila pomembnost zasebnosti, ki se je včasih izgubljala med vse hitreje razvijajočo se tehnologijo.

GDPR je v praksi dokaj dobro zaživela, si utrdila svoj obstanek in povečala ugled kljub neaktivnosti nekaterih nacionalnih sistemov pri njeni implementaciji – kamor sodi tudi slovenski.

En ključnih ciljev, ki jim je Evropska unija sledila pri sprejemu GDPR, je bila tudi odprava upravnih zahtev ter s tem zmanjšanje stroškov in upravnih bremen⁸⁶. Vse države imajo enak postopek vodenja evidenc, enake zahteve glede poštene, transparentne in s pravnim temeljem podkrepljene obdelave podatkov, kar pripomore k jasnejšemu pregledu materije in boljši uporabniški izkušnji.

GDPR ima na potrošnike močen vpliv; osebni podatki potrošnikov so pod budnim očesom ponudnikov na trgu, ki bi brez omejitev in pravil igre, ki jih določa GDPR, zbirali in obdelovali podatke brez pravnega temelja, na zavajajoč način ter v prevelikem obsegu. Osebni podatki potrošnikov so ključnega pomena pri kreiranju strategij poslovanja podjetij in prilagajanja njihovih ponudb na trgu, saj so odvisna od povpraševanja po njihovih proizvodih in storitvah.

Potrošniki na drugi strani pa se (vsaj po mojem mnenju) ne zavedajo v celoti pomembnosti svojih podatkov, ki jih velikokrat brez premisleka predajo v prosto obdelavo podjetjem. GDPR to anomalijo in premoč v ozaveščenosti odpravlja s svojimi določbami in s svojim vplivom na sistem: zmanjšuje možnost zlorab podatkov, upravljalce zavezuje k pojasnjevanju namena, pomena in drugih pomembnih gradnikov obdelave ter spodbuja in ozavešča o pravilni obdelavi podatkov na generalni ravni.

Prav tako so podjetja na podlagi 25. člena GDPR in k njemu pripadajočega recitala št. 78. GDPR zavezana k upoštevanju dveh pomembnih pravil: “Privacy by Design” in “Privacy by

86 Evropska komisija: SPLOŠNA UREDBA O VARSTVU PODATKOV: NOVE PRILOŽNOSTI, NOVE OBVEZNOSTI (2018), str. 7.

30

Default”⁸⁷. Na kratko pomenita tehnično in organizacijsko varovanje osebnih podatkov ter zapoved zbiranja minimalnega obsega osebnih podatkov, ki jih podjetje potrebuje od potrošnika za izpolnitev namena, ki ga določi pred samo obdelavo osebnih podatkov. Na tak način se je v praksi uveljavilo pravilo opt-in metode, ki podjetje zavezuje k prednastavitvam z najmanj agresivnim poseganjem v zasebnost potrošnikov. Potrošnik tako na spletu ali v aplikaciji⁸⁸ s svojim klikom na gumb »soglašam« poda privolitev k najmanjšemu obsegu svojih podatkov, ki pa praviloma ne razkrijejo pomembnejših informacij o njem, kar še toliko bolj velja za posebne vrste osebnih podatkov (to so podatki, ki jih je potrebno po 9. členu GDPR in njemu pripadajočem recitalu št. 53 GDPR še posebej skrbno varovati in jih je zato moč obdelovati zgolj ob podanosti ene od izjem 2. odstavka omenjenega člena GDPR).

4.2.1 Pravna podlaga

Ključna pravna podlaga za obdelavo osebnih podatkov potrošnikov je njihovo soglasje oz.

privolitev, ki mora biti podano v skladu s točko a 1. odstavka 6. člena GDPR oz. 2. odstavkom 9. člena in 1. odstavkom 10. člena ZVOP-1. Privolitev mora biti prostovoljna, izrecna in informirana. »Zahteva za privolitev mora biti jasna in jedrnata ter predložena v razumljivem jeziku in na način, ki se jasno razlikuje od drugih informacij, npr. pogojev.«⁸⁹ To pomeni, da mora potrošnik vedeti, kdo obdeluje njegove osebne podatke (v kolikor pride do prenosa v druge države, je potrebno to dodatno navesti), za katere namene se bodo podatki zbirali, na katere podatke se le-to navezuje, kakšne pravice ima v zvezi z obdelavo⁹⁰, kdo je kontaktna oseba, navadno je to pooblaščena oseba za varstvo osebnih podatkov, ki mu je v primeru vprašanj lahko na voljo⁹¹. Res pomembno je, da je obvestilo, ki ga prejme pred podajo svojega soglasja k obdelavi, jasno, in povzame resnične razloge, za kaj se bodo osebni podatki uporabili – to poudarjam, saj se je v praksi že večkrat izkazalo, da podjetja manipulirajo z osebnimi podatki in potrošnike zavajajo, kot bo predstavljeno v nadaljevanju.

87 European Data Protection Supervisor: Opinion 5/2018 - Preliminary Opinion on privacy by design, v: Newsletter 61 (2018), str. 3.

88 Tu je govora o spletnih straneh in aplikacijah, vendar enako velja za zbiranje osebnih podatkov preko fizičnih obrazcev in ostale načine obdelave podatkov.

89 Evropska komisija, Kako se zahteva privolitev?, URL: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_sl.

90 Pravice ostajajo enake ne glede na to, od kod izvirajo podatki – ali jih je podal sam ali so podatki črpani od drugod –, razlikuje se zgolj vsebina pojasnjevalne dolžnosti upravljalcev osebnih podatkov.

91 Primerjaj s 13. in 14. členom GDPR.

31

Zanimivo je, da se kljub premoči podjetja nad potrošnikom v B2C razmerju slednje ne šteje za enega tistih primerov, kjer privolitev ni predlagana kot primerna pravna podlaga (kot npr. v večini primerov delovnopravnih razmerij, ker je podrejenost ene stranke jasno izražena)⁹². Res pa je, da potrošniki preko svoje posredne pogajalske moči, ko se odločijo za drugega, ugodnejšega, konkurenčnega ponudnika, prilagajajo pravila igre na trgu in se tudi brez večjih posledic za nadaljnje sklepanje razmerij odločajo za podajo privolitve. Ob zavrnitvi storitev enega ponudnika na trgu zaradi zavrnitve svojega soglasja lahko brez težav preidejo k njegovemu konkurentu in se pri slednjem poslužijo želene storitve. V zgornjih primerih, kot je npr. delovnopravno razmerje, pa lahko odrek podaje privolitve za šibkejšo stranko razmerja pomeni negativne posledice, kot so odpoved, zmanjšanje plače ali odrek napredovanja. V opisanem gre sicer za kršitev delovnopravne zakonodaje, vendar je zaradi premoči delodajalca to resen rizik, ki se v praksi pod pretvezo legitimnega razloga odpovedi, prestrukturiranja delovnega mesta ali drugačnih pritiskov na delavca zrcali v negativni posledici zanj.

Po drugi strani pa kaže izpostaviti tudi vidik, da je poseganje po privolitvi kot pravni podlagi za obdelavo osebnih podatkov potrošnikov povsem razumljivo, saj gre za podlago, ki jo je najenostavnejše zagotoviti, kar pri potrebi po množični, konstantni in sistematični obdelavi osebnih podatkov, ki jih v modernem svetu dostikrat povezujemo z »big data«⁹³, pride še kako prav za upravljalce in obdelovalce osebnih podatkov: potrošnik zgolj z enim klikom sprejme posledice in privoli v obdelavo svojih osebnih podatkov. Tak način omogoča hitro pridobivanje velike količine privolitev s strani mase potrošnikov, ki želijo uporabljati storitve ali izdelke ponudnikov na trgu. Prav ta enostavnost pridobivanja privolitve potrošnika za obdelavo njegovih podatkov pa lahko pri slednjih povzroči napačno dojemanje pomembnosti tako podane privolitve: potrošniki se pogostokrat ne zavedajo, kako velikega pomena je klik na gumb ali obkljukanje kvadratka na obrazcu pred »dovoli obdelavo podatkov«, saj se zaradi vedno pogostejše uporabe spleta, aplikacij in potrošniških kartic ugodnosti ter pomanjkljivo izpolnjenih pojasnjevalnih obveznosti podjetij izgublja percepcija potrošnika o dejanski pomembnosti njegovih podatkov in s tem agresivnosti posega v njegovo zasebnost. Soglasje za obdelavo njihovih osebnih podatkov podajo precej enostavno brez prevelikega preudarka.

92 Primerjaj recitala št. 42 in 43 GDPR.

93 SAS, Big Data - What it is and why it matters, https://www.sas.com/en_us/insights/big-data/what-is-big-data.html.

32

4.2.2 Načela obdelave podatkov

Na tem mestu vsekakor kaže poudariti načela obdelave osebnih podatkov, ki predstavljajo rdečo nit vsakega procesa obdelave podatkov in se jih morajo podjetja (tako kot vsi drugi upravljalci in obdelovalci osebnih podatkov) zato strogo držati.

Obdelava osebnih podatkov mora po 5. členu GDPR slediti načelu zakonitosti, pravičnosti in preglednosti, kar pomeni, da potrošnik ne more podati veljavne privolitve v obdelavo osebnih podatkov, v kolikor se ključne informacije o obdelavi skrivajo v stranskih alinejah, v drobnem tisku ali v drugem aktu, ki potrošniku sploh ni na voljo in ni omenjen v privolitvi⁹⁴. Zbiranje in obdelava osebnih podatkov prav tako ne smeta biti pavšalna, kar pomeni, da se mora pred začetkom obdelave določiti namen le-te, s slednjim seznaniti posameznike, na katere se osebni podatki nanašajo, in se ga strogo držati. Vse namene, za katere se želi obdelovati osebne podatke, je potrebno potrošnikom razkriti pred samo podajo privolitve; z drugimi besedami jim je prepovedano zamolčati določene namene ali njegove dele⁹⁵. Gre za načelo omejitve namena, ki preprečuje »neopredeljene namene«⁹⁶ zbiranja podatkov. V primerih spremembe namena je to potrebno ustrezno dokumentirati, zadevne osebe obvestiti o novem namenu in ponovno pridobiti njihovo privolitev⁹⁷; »osebnih podatkov ne smemo nadalje uporabljati za druge namene, ki niso združljivi s prvotnim namenom zbiranja.«⁹⁸ Po definiranem namenu obdelave se lahko zbira samo toliko in zgolj tiste osebne podatke, ki so nujno potrebni za izpolnitev namena; to določa načelo najmanjšega obsega podatkov⁹⁹. Pri izpolnjevanju pojasnjevalne dolžnosti moramo paziti na transparentnost, točnost in ažuriranost podanih podatkov, k čemur nas zavezuje načelo točnosti. V primeru odstopanja od pravilnosti slednjih je potrebno to

94 Primer: V drobnem tisku privolitvenega dokumenta je navedeno, da bodo podatki posredovani tretjemu obdelovalcu za tržne namene, kar primarno ni bil predmet dogovora s potrošnikom. Konkretni primer iz praske:

ob sklenitvi police za nezgodno zavarovanje v tujini se potrošnik strinja tudi s posredovanjem podatkov partnerskim družbam zavarovalnice, ki delujejo na področju turizma za namene oglaševanja svojih storitev potrošniku.

95 Naj na tem mestu ponovno poudarim, da v praksi podjetja dostikrat zamolčijo, skrijejo ali nepregledno opredelijo namene obdelave osebnih podatkov – vse z namenom pridobitve večjega števila osebnih podatkov ter lažnega ustvarjanja zaupanja pri potrošnikih.

96 Evropska komisija, Kako se zahteva privolitev?, URL: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_sl.

97 Pravna podlaga obdelave ni izkazana v primeru, ko imamo privolitev podano za določen namen obdelave podatkov, pa mimo definiranega namena obdelamo podatke še za drug, potrošnikom neznan namen. Primer iz prakse: trgovsko podjetje zbira podatke o potrošnikih z namenom analiziranja vedenja kupcev na trgu, hkrati pa že pridobljene podatke izkoristi še za neposredno oglaševanje svojih produktov ali storitev, za katero predhodno ni prejelo privolitve zadevnih oseb.

98 Evropska komisija, Kako se zahteva privolitev?, URL: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_sl.

99 Primerjaj 25. člen GDPR in k njemu pripadajoč recital št. 78 GDPR.

33

ustrezno popraviti in po potrebni ponovno obveščati zadevne posameznike. Kot upravljalec ali obdelovalec osebnih podatkov mora podjetje na podlagi načela celovitosti in zaupnosti sprejeti vse tehnično-organizacijske ukrepe, ki zagotavljajo zaščito in varnost obdelovanih podatkov,

»vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo«¹⁰⁰ ter poskrbeti za primerno posodabljanje opreme in njen tehnološki napredek. Navsezadnje pa je podjetje po izpolnitvi namena, za katerega se izvršuje obdelava podatkov, zavezano vse osebne podatke in njihove kopije nepreklicno in trajno izbrisati; k temu ga zavezuje načelo omejitve hrambe.

4.2.3 Zbiranje osebnih podatkov s pomočjo piškotkov (izv. cookies)

Podjetja na trgu se zaradi zavedanja vrednosti, ki jih predstavljajo osebni podatki njihovih kupcev na trgu, poslužujejo precej agresivnih zbiranj osebnih podatkov. Najlažje do njih dostopajo preko t.i. piškotkov (izv. cookies), ki so v času digitalizacije neobhodni. Gre za podatkovne datoteke, ki se namestijo na napravo, iz katere se je potrošnik povezal na spletno stran ali aplikacijo, ter spremljajo določeno ravnanje oz. podatke potrošnika. Najbolj pogost je t.i. HTTP piškotek, WEB piškotek ali brskalnik piškotek, ki se shrani na uporabnikovem računalniku in načeloma nosi le majhen del podatkov¹⁰¹, namenjenih boljši uporabniški izkušnji. Piškotek si zapomni, da se je na spletno stran vpisal isti uporabnik in so mu prikaže že shranjene spremembe oz. prilagoditve strani, ki jih je izvedel. Podatki, ki jih spremljajo ti piškotki so tako npr. »nastavitve na strani, kliki na posebne gumbe, prijave na strani, zapisi vnosnih polj, obiskane strani v zadnjih mesecih ali celo letih«¹⁰².

Najmanj agresivni so tehnično nujni piškotki, ki omogočajo delovanje spletne strani ali aplikacije in jih ni mogoče odstraniti, saj se brez njih obiskano mesto sploh ne more vzpostaviti/prikazati oz. deluje z nepravilnostmi. Ti zajemajo najmanj podatkov, načeloma so zaščiteni in omogočajo psevdonimizacijo ali anonimizacijo zbranih podatkov – zbirajo podatke o uporabniku, ne glede na njegovo dejansko identiteto. Če spletno mesto ali aplikacija vsebuje

100 Evropska komisija, Kako se zahteva privolitev?, URL: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_sl.

101 Povzeto po: Pomagalnik, Strokovnjak za digitalne medije, Kaj je piškotek (cookie)?, https://www.pomagalnik.com/izobrazevanje/slovar/kaj-je-piskotek-cookie/.

102 Prav tam.

34

zgolj te piškotke, ni potrebno pridobivati uporabnikovega soglasja zanje¹⁰³, morajo pa biti opisani na za to predvidenem zavihku spletne strani ali v pogojih uporabe aplikacije.

Večji spekter zajemanja podatkov predstavljajo piškotki za analiziranje in trženje, zaradi česar so bolj zanimivi za podjetja. Po veljavni zakonodaji mora potrošnik podati predhodno soglasje za implementacijo le-teh, pri čemer je dopuščen samo opt-in sistem pridobivanja privolitve¹⁰⁴. Kršitev, ki jo pogosto zaznamo v praksi, predstavljajo že vnaprej izpolnjena polja, ki ob pritisku na gumb »sprejmi« implementirajo vse piškotke, ne samo tehnično nujnih. Tako ravnanje je nesprejemljivo, saj pomeni premik od opt-in k opt-out sistemu. Slednji je zaradi prevelikega posega v zasebnost in odmika od načela najmanjšega obsega podatkov na področju evropskega varstva osebnih podatkov prepovedan – druge ureditve, kot npr. ameriška, takih zapovedi ne poznajo.

Podjetja, ki bi na zgoraj opisan način pridobila privolitev potrošnika za obdelavo osebnih podatkov, »ne bi pridobila veljavne privolitve, saj v skladu s Splošno uredbo o varstvu podatkov vnaprej označena polja ne veljajo za veljavno privolitev«.¹⁰⁵ Šteje se namreč, da potrošnik ni podal privolitve s svojo izrecno voljo, ampak mu je tako voljo vsililo podjetje oz. ponudnik na spletu.

Vsekakor gre za fenomen, ki se mu v sodobnem času ni moč izogniti. Naj na tem mestu poudarimo, da so piškotki kot taki obstajali že veliko pred sprejemom GDPR, vendar so šele z njo prišli v ospredje in dobili svoj epilog. Pred sprejemom GDPR so podjetja preko spletnih strani zbirala neomejeno število osebnih podatkov, za katere niso potrebovala posebnega dovoljenja oz. privolitve s strani potrošnika, kar pa ne spremeni dejstva, da so o njem že imela izoblikovane profile in črpale podatke za svoje potrebe, ki so dostikrat narekovale agresivno poseganje v osebne podatke potrošnika brez njegovega vedenja.

103 Glej 2. odstavek 157. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15, 40/17 in 189/21 – ZDU-1M).

104 Potrošnik se strinja z namenom obdelave in poda privolitev s svojo priključitvijo. Torej piškotki se aktivirajo zgolj, če jih potrošnik aktivno sprejme. Nasprotje temu predstavlja opt-out, kar pomeni, da se piškotki aktivirajo vedno, razen v primerih, ko jih potrošnik aktivno zavrne in s tem prepreči njihovo namestitev.

105 Evropska komisija, Kako se zahteva privolitev?, URL: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/how-should-my-consent-be-requested_sl.

Do enakega zaključka je prišla tudi slovenska sodna praska – glej: URPS Sodba U 1622/2000 z dne 12. 2. 2003.

35