Otázky a odpovede: GDPR a anketa www.rozhodni.to
1. Účel spracúvania
Ide o prevádzkovanie priameho marketingu. Takto je vymedzený účel spracúvania od začiatku
ankety a kampane.
Môže a žiadny právny predpis to nezakazuje. Od začiatku je anketa nastavená ako súčasť nášho
politického marketingu a údaje, ktoré zbierame v ankete v konečnom dôsledku použijeme na
zaslanie jednej hromadnej SMS a jedného hromadného emailu pred voľbami, informujúc o
výsledku ankety a vyzývajúc k účasti na voľbách. Druhý hromadný email plánujeme poslať po
pretavení výsledkov ankety do programu novej vlády, ak budeme jej súčasťou. V prípade
výnimočnej situácie možno zvážime ďalšie hromadné emaily. Všetka plánovaná
marketingová komunikácia je obmedzená výlučne na tieto voľby a anketu www.rozhodni.to, nejde
o plošné marketingové aktivity OĽANO.
Veľmi dobre vieme o stanovisku WP 29 ktoré hovorí, že „marketingové účely“ je príliš
všeobecne vymedzený účel. Treba však stanovisko dočítať do konca a nevytrhávať veci z
kontextu. Je rozdiel ak niekto používa označenie „marketingové účely“ a „prevádzkovanie
priameho marketingu“ ako my. Ak GDPR pracuje na viacerých miestach so slovným spojením
„účely priameho marketingu“, myslíme si, že je to v poriadku. Zároveň, ak je jasné čo priamy
marketing znamená v konkrétnom prípade, aj podľa Úradu na ochranu osobných údajov SR je
vymedzenie účelu v poriadku. Keďže všetci právni experti a média počítajú s tým, že
účastníci ankety dostanú email alebo SMS s vyhodnotením ankety, zdá sa, že je všetkým jasné,
čo vlastne tento účel znamená.
Tieto údaje potrebujeme v prvom rade na overenie, že ide o skutočného človeka a jeho
unikátnu registráciu. Inak by anketa a celá kampaň nemala žiadny zmysel. Následne tieto
údaje potrebujeme na obmedzenú elektronickú komunikáciu, ako je vysvetlené vyššie.
Áno, stále to tvrdíme a je to pravda. Ale na tvorbu vládneho programu nepotrebujeme žiadne
osobné údaje z ankety, iba výsledky ankety, ktoré predstavujú anonymné štatistické údaje, na
ktoré sa GDPR ani naša informačná povinnosť nevzťahujú. K vytváraniu štatistických údajov v
skutočnosti dochádza už v rámci kampane a v rámci účelu prevádzkovania priameho marketingu
(viď webstránka).
2. Údaje o politických názoroch
V prvom kroku áno, ale následne zber takýchto údajov povoľuje viacerými podmienkami v čl. 9
ods. 2 GDPR, takže v konečnom dôsledku nie. Tieto podmienky boli splnené, ako uvádzame
nižšie (zákonnosť).
Absolútne žiadne politické profilovanie nevykonávame, a nebol to ani náš zámer. O niečom
takomto by sme určite ľudí informovali. Žiadna plánovaná komunikácia nebude prispôsobená
politickým preferenciám, ale bude úplne hromadná a neutrálna.
Chceli sme v ankete ukázať, ako podobne hlasujú voliči rôznych strán. Výsledky ukazujú, že
na týchto 11 kľúčových veciach sa vieme takmer všetci zhodnúť. Možno aj preto preferencie
OĽANO stúpajú, pretože sme dokázali na tieto spoločné témy upozorniť, aj prostredníctvom
nášho marketingu.
Pri každej otázke je vidno počet respondentov a možnosť zobraziť „viac info“. Po rozkliknutí
sa ukáže anonymná štatistika toho ako volili sympatizanti jednotlivých strán. To je všetko.
Nebudeme. Jediné čo chceme v rámci našej kampane urobiť, je informovať všetkých zapojených o
tom, ako dopadla anketa, vyzvať ich k účasti na voľbách a zároveň ich informovať, ako bolo
týchto 11 opatrení pretavených do programu novej vlády, ak budeme jej súčasťou. Toto
spravíme prostredníctvom jednej hromadnej SMS a malého množstva hromadných emailov s
anonymnými výsledkami, ktoré sú vidno aj na webstránke.
Firma, ktorá sledovala prostredníctvom sociálnych sietí správanie miliónov ľudí nelegálne a
tajne. Na základe rôznych algoritmov následne cielila politickú reklamu na dané osoby
poznajúc ich profil. Tým dokázala zmanipulovať voľby vo viacerých krajinách v prospech
svojich politických klientov. Prirovnávať nás ku Cambridge Analytica je scestné,
neprofesionálne a výslovne účelové. Ak Vás táto téma zaujíma, pozrite si dokument „The Great
Hack“ na Netflixe a urobte si svoj názor na celé prirovnanie.
3. Zákonnosť spracúvania osobných údajov
Na základe súhlasu dotknutej osoby. Ten získavame zakliknutím políčka (súhlasu) pri
registrácii cez Facebook alebo Google a následne priamo udelením súhlasu na webe ankety.
Všetky tri spôsoby odkazujú na naše podmienky ochrany súkromia.
Pretože sa tu jedná o ten istý účel. Je to to isté, ako keď občan nemá možnosť dostávať
newsletter bez toho, aby naň dal súhlas.
Nie je. Netreba si zamieňať túto situáciu napr. so schovaním marketingového súhlasu do
obchodných podmienok e-shopu. Za podmienený sa súhlas podľa GDPR považuje vtedy, „ak sa
plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom“. Táto anketa nebola
žiadnou službou poskytovanou na základe zmluvy a nedochádzalo k žiadnemu plneniu zmluvy.
Bola súčasťou našej kampane, a teda marketingu.
Vzhľadom na to, že registrácia, overenie cez mobilné číslo, overenie, že ide o človeka a
udelenie súhlasu trvá minimálne 6 kliknutí myšou (môže aj viac), nepríde nám možnosť poslať
email alebo list pri odvolaní súhlasu za náročnejší spôsob.
Spracúvanie tzv. citlivých údajov musí byť založené na právnom základe podľa čl. 6 GDPR a
súčasne aspoň na jednej podmienke čl. 9 ods. 2 GDPR. Podmienky čl. 9 ods. 2 GDPR nie sú ani
podľa Úradu na ochranu osobných údajov SR právnymi základmi a preto o nich nemusíme v zmysle
čl. 13 GDPR informovať. Informovali sme len o bežnom súhlase, viď vyššie. Myslíme, si že sú
splnené podmienky minimálne podľa čl. 9 ods. 2 písm. a) (výslovný súhlas) a písm. e) GDPR
(spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila).
Myslíme si, že áno. Aj odpovede rôznych právnych expertov potvrdzujú, že výklad tohto pojmu
ešte nie je ustálený. Úrad na ochranu osobných údajov SR naposledy potvrdil výklad podľa
ktorého má ísť o súhlas, ktorý je vyjadrený výslovným právnym úkonom (napr. podpisom alebo
označením kolónky), pričom zo znenia alebo spôsobu vyjadrenia
daného súhlasu je zároveň
dostatočne zrejmé, že daný súhlas sa vzťahuje na osobitné kategórie osobných údajov. V našom
prípade ide o dobrovoľné označenie kolónky, z ktorej znenia a možností je jasné že sa
vzťahuje na údaje o politických sympatiách. Ak by aj podmienky výslovného súhlasu neboli
splnené, stále je možné použiť na dané spracúvanie režim dobrovoľného zverejnenia údajov,
nakoľko údaje o politických sympatiách a výsledky ankety sú v anonymnej podobe zverejnené
verejnosti na webstránke www.rozhodni.to.
4. Transparentnosť
GDPR nevyžaduje, aby všetky informácie o spracúvaní osobných údajov boli na jednom mieste. V
skutočnosti GDPR vyžaduje iba to, aby sa s nimi dotknutá osoba mohla oboznámiť pri získavaní
údajov, čo mohla. Zároveň tieto informácie majú byť v stručnej, transparentnej,
zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, čo boli.
Áno, aj keď pôvodne táto informácia nebola priamo súčasťou podmienok ochrany súkromia.
Vychádzali sme z toho, že je jasné aké sú kontaktné údaje hnutia OĽANO, ku ktorým sa mohla
každá dotknutá osoba dostať pár klikmi. Navyše Facebook zasiela po prihlásení sa cez ich
službu notifikáciu, v ktorej sú naše kontaktné údaje uvedené. Dotknuté osoby tieto
informácie teda majú vo svojom zariadení. Po zverejnení prvého článku na túto tému sme údaje
doplnili aj do podmienok ochrany súkromia a boli sme obvinení z toho, že zavádzame.
Nie, pretože sme nemali takú povinnosť. Prevádzkovateľ nemá povinnosť poskytovať informácie,
ktoré už dotknutá osoba má (čl. 13 ods. 4 GDPR). Každý kto si vytvorí účet Google alebo
Facebook už má informáciu, že údaje sú prenášané do USA. Preto ak sa niekto prihlásil do
našej ankety cez tieto služby, už túto informáciu mal. Zároveň, aj podmienky ochrany
súkromia služby Google reCaptcha, ktoré každý účastník ankety mal k dispozícii tieto
informácie obsahujú. Do iných tretích krajín ako USA osobné údaje neprenášame. Dnes túto
informáciu uvádzame priamo v našich podmienkach, ale to neznamená, že sme predtým porušili
GDPR.
Nie, pretože sme nemali takú povinnosť (to isté ako vyššie). Túto informáciu dotknutá osoba
už má, pretože ju obsahujú podmienky ochrany súkromia spoločností Facebook a Google, viď
vyššie.
Áno. Každý, kto poskytne údaje cez služby Facebook a Google o tom predsa musí vedieť
(odklikne ich polia). Zároveň, webstránka odkazuje na spoločnosť, ktorá spravuje danú
webstránku.
Žiadne. Mnoho právnych expertov zabúda na to, že niektoré informácie poskytovať nie je
potrebné, a to buď preto, že nie sú relevantné (nedejú sa) alebo preto, že ich dotknutá
osoba už má.
Záleží, akého rozsahu sú zmeny. Keďže v našom prípade sa vôbec nemení účel spracúvania ani
právny základ ani žiadne podmienky spracúvania osobných údajov, nejde o žiadnu nedovolenú
zmenu. Informačná povinnosť je jednostranný úkon, nie zmluva. Nikdy sme nežiadali o
akceptáciu našich podmienok ochrany súkromia, iba sme poskytovali možnosť oboznámiť sa s
nimi. Vzhľadom na medializáciu a útoky voči nám, sme sa rozhodli podmienky ochrany súkromia
upraviť, a to tak, aby im rozumeli aj právni experti a autori útokov, nie len obyčajní
ľudia. Nemôžeme za to, že sme boli zatiahnutí do právneho vysvetlenia nášho postupu.