Rozhodni to! Rozhodni to!

Otázky a odpovede: GDPR a anketa www.rozhodni.to

1. Účel spracúvania

Ide o prevádzkovanie priameho marketingu. Takto je vymedzený účel spracúvania od začiatku ankety a kampane.

Môže a žiadny právny predpis to nezakazuje. Od začiatku je anketa nastavená ako súčasť nášho politického marketingu a údaje, ktoré zbierame v ankete v konečnom dôsledku použijeme na zaslanie jednej hromadnej SMS a jedného hromadného emailu pred voľbami, informujúc o výsledku ankety a vyzývajúc k účasti na voľbách. Druhý hromadný email plánujeme poslať po pretavení výsledkov ankety do programu novej vlády, ak budeme jej súčasťou. V prípade výnimočnej situácie možno zvážime ďalšie hromadné emaily. Všetka plánovaná marketingová komunikácia je obmedzená výlučne na tieto voľby a anketu www.rozhodni.to, nejde o plošné marketingové aktivity OĽANO.

Veľmi dobre vieme o stanovisku WP 29 ktoré hovorí, že „marketingové účely“ je príliš všeobecne vymedzený účel. Treba však stanovisko dočítať do konca a nevytrhávať veci z kontextu. Je rozdiel ak niekto používa označenie „marketingové účely“ a „prevádzkovanie priameho marketingu“ ako my. Ak GDPR pracuje na viacerých miestach so slovným spojením „účely priameho marketingu“, myslíme si, že je to v poriadku. Zároveň, ak je jasné čo priamy marketing znamená v konkrétnom prípade, aj podľa Úradu na ochranu osobných údajov SR je vymedzenie účelu v poriadku. Keďže všetci právni experti a média počítajú s tým, že účastníci ankety dostanú email alebo SMS s vyhodnotením ankety, zdá sa, že je všetkým jasné, čo vlastne tento účel znamená.

Tieto údaje potrebujeme v prvom rade na overenie, že ide o skutočného človeka a jeho unikátnu registráciu. Inak by anketa a celá kampaň nemala žiadny zmysel. Následne tieto údaje potrebujeme na obmedzenú elektronickú komunikáciu, ako je vysvetlené vyššie.

Áno, stále to tvrdíme a je to pravda. Ale na tvorbu vládneho programu nepotrebujeme žiadne osobné údaje z ankety, iba výsledky ankety, ktoré predstavujú anonymné štatistické údaje, na ktoré sa GDPR ani naša informačná povinnosť nevzťahujú. K vytváraniu štatistických údajov v skutočnosti dochádza už v rámci kampane a v rámci účelu prevádzkovania priameho marketingu (viď webstránka).

2. Údaje o politických názoroch

V prvom kroku áno, ale následne zber takýchto údajov povoľuje viacerými podmienkami v čl. 9 ods. 2 GDPR, takže v konečnom dôsledku nie. Tieto podmienky boli splnené, ako uvádzame nižšie (zákonnosť).

Absolútne žiadne politické profilovanie nevykonávame, a nebol to ani náš zámer. O niečom takomto by sme určite ľudí informovali. Žiadna plánovaná komunikácia nebude prispôsobená politickým preferenciám, ale bude úplne hromadná a neutrálna.

Chceli sme v ankete ukázať, ako podobne hlasujú voliči rôznych strán. Výsledky ukazujú, že na týchto 11 kľúčových veciach sa vieme takmer všetci zhodnúť. Možno aj preto preferencie OĽANO stúpajú, pretože sme dokázali na tieto spoločné témy upozorniť, aj prostredníctvom nášho marketingu.

Pri každej otázke je vidno počet respondentov a možnosť zobraziť „viac info“. Po rozkliknutí sa ukáže anonymná štatistika toho ako volili sympatizanti jednotlivých strán. To je všetko.

Nebudeme. Jediné čo chceme v rámci našej kampane urobiť, je informovať všetkých zapojených o tom, ako dopadla anketa, vyzvať ich k účasti na voľbách a zároveň ich informovať, ako bolo týchto 11 opatrení pretavených do programu novej vlády, ak budeme jej súčasťou. Toto spravíme prostredníctvom jednej hromadnej SMS a malého množstva hromadných emailov s anonymnými výsledkami, ktoré sú vidno aj na webstránke.

Firma, ktorá sledovala prostredníctvom sociálnych sietí správanie miliónov ľudí nelegálne a tajne. Na základe rôznych algoritmov následne cielila politickú reklamu na dané osoby poznajúc ich profil. Tým dokázala zmanipulovať voľby vo viacerých krajinách v prospech svojich politických klientov. Prirovnávať nás ku Cambridge Analytica je scestné, neprofesionálne a výslovne účelové. Ak Vás táto téma zaujíma, pozrite si dokument „The Great Hack“ na Netflixe a urobte si svoj názor na celé prirovnanie.

3. Zákonnosť spracúvania osobných údajov

Na základe súhlasu dotknutej osoby. Ten získavame zakliknutím políčka (súhlasu) pri registrácii cez Facebook alebo Google a následne priamo udelením súhlasu na webe ankety. Všetky tri spôsoby odkazujú na naše podmienky ochrany súkromia.

Pretože sa tu jedná o ten istý účel. Je to to isté, ako keď občan nemá možnosť dostávať newsletter bez toho, aby naň dal súhlas.

Nie je. Netreba si zamieňať túto situáciu napr. so schovaním marketingového súhlasu do obchodných podmienok e-shopu. Za podmienený sa súhlas podľa GDPR považuje vtedy, „ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom“. Táto anketa nebola žiadnou službou poskytovanou na základe zmluvy a nedochádzalo k žiadnemu plneniu zmluvy. Bola súčasťou našej kampane, a teda marketingu.

Vzhľadom na to, že registrácia, overenie cez mobilné číslo, overenie, že ide o človeka a udelenie súhlasu trvá minimálne 6 kliknutí myšou (môže aj viac), nepríde nám možnosť poslať email alebo list pri odvolaní súhlasu za náročnejší spôsob.

Spracúvanie tzv. citlivých údajov musí byť založené na právnom základe podľa čl. 6 GDPR a súčasne aspoň na jednej podmienke čl. 9 ods. 2 GDPR. Podmienky čl. 9 ods. 2 GDPR nie sú ani podľa Úradu na ochranu osobných údajov SR právnymi základmi a preto o nich nemusíme v zmysle čl. 13 GDPR informovať. Informovali sme len o bežnom súhlase, viď vyššie. Myslíme, si že sú splnené podmienky minimálne podľa čl. 9 ods. 2 písm. a) (výslovný súhlas) a písm. e) GDPR (spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila).

Myslíme si, že áno. Aj odpovede rôznych právnych expertov potvrdzujú, že výklad tohto pojmu ešte nie je ustálený. Úrad na ochranu osobných údajov SR naposledy potvrdil výklad podľa ktorého má ísť o súhlas, ktorý je vyjadrený výslovným právnym úkonom (napr. podpisom alebo označením kolónky), pričom zo znenia alebo spôsobu vyjadrenia daného súhlasu je zároveň dostatočne zrejmé, že daný súhlas sa vzťahuje na osobitné kategórie osobných údajov. V našom prípade ide o dobrovoľné označenie kolónky, z ktorej znenia a možností je jasné že sa vzťahuje na údaje o politických sympatiách. Ak by aj podmienky výslovného súhlasu neboli splnené, stále je možné použiť na dané spracúvanie režim dobrovoľného zverejnenia údajov, nakoľko údaje o politických sympatiách a výsledky ankety sú v anonymnej podobe zverejnené verejnosti na webstránke www.rozhodni.to.

4. Transparentnosť

GDPR nevyžaduje, aby všetky informácie o spracúvaní osobných údajov boli na jednom mieste. V skutočnosti GDPR vyžaduje iba to, aby sa s nimi dotknutá osoba mohla oboznámiť pri získavaní údajov, čo mohla. Zároveň tieto informácie majú byť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, čo boli.

Áno, aj keď pôvodne táto informácia nebola priamo súčasťou podmienok ochrany súkromia. Vychádzali sme z toho, že je jasné aké sú kontaktné údaje hnutia OĽANO, ku ktorým sa mohla každá dotknutá osoba dostať pár klikmi. Navyše Facebook zasiela po prihlásení sa cez ich službu notifikáciu, v ktorej sú naše kontaktné údaje uvedené. Dotknuté osoby tieto informácie teda majú vo svojom zariadení. Po zverejnení prvého článku na túto tému sme údaje doplnili aj do podmienok ochrany súkromia a boli sme obvinení z toho, že zavádzame.

Nie, pretože sme nemali takú povinnosť. Prevádzkovateľ nemá povinnosť poskytovať informácie, ktoré už dotknutá osoba má (čl. 13 ods. 4 GDPR). Každý kto si vytvorí účet Google alebo Facebook už má informáciu, že údaje sú prenášané do USA. Preto ak sa niekto prihlásil do našej ankety cez tieto služby, už túto informáciu mal. Zároveň, aj podmienky ochrany súkromia služby Google reCaptcha, ktoré každý účastník ankety mal k dispozícii tieto informácie obsahujú. Do iných tretích krajín ako USA osobné údaje neprenášame. Dnes túto informáciu uvádzame priamo v našich podmienkach, ale to neznamená, že sme predtým porušili GDPR.

Nie, pretože sme nemali takú povinnosť (to isté ako vyššie). Túto informáciu dotknutá osoba už má, pretože ju obsahujú podmienky ochrany súkromia spoločností Facebook a Google, viď vyššie.

Áno. Každý, kto poskytne údaje cez služby Facebook a Google o tom predsa musí vedieť (odklikne ich polia). Zároveň, webstránka odkazuje na spoločnosť, ktorá spravuje danú webstránku.

Žiadne. Mnoho právnych expertov zabúda na to, že niektoré informácie poskytovať nie je potrebné, a to buď preto, že nie sú relevantné (nedejú sa) alebo preto, že ich dotknutá osoba už má.

Záleží, akého rozsahu sú zmeny. Keďže v našom prípade sa vôbec nemení účel spracúvania ani právny základ ani žiadne podmienky spracúvania osobných údajov, nejde o žiadnu nedovolenú zmenu. Informačná povinnosť je jednostranný úkon, nie zmluva. Nikdy sme nežiadali o akceptáciu našich podmienok ochrany súkromia, iba sme poskytovali možnosť oboznámiť sa s nimi. Vzhľadom na medializáciu a útoky voči nám, sme sa rozhodli podmienky ochrany súkromia upraviť, a to tak, aby im rozumeli aj právni experti a autori útokov, nie len obyčajní ľudia. Nemôžeme za to, že sme boli zatiahnutí do právneho vysvetlenia nášho postupu.