Mnohé firmy využívajú cielenú reklamu vychádzajúcu z analýzy správania zákazníkov na webe. Údaje ohľadom charakteristického správania zákazníkov sú získavané prostredníctvom záznamov o ich činnosti pri prehliadaní webových stránok, čiže cez webové logy a cookies. I keď to možno nie je úplne logické, web logs aj cookies sú od 25. mája 2018 považované za osobné údaje. Ako teda teraz pristupovať k cielenej reklame, ktorá je súčasťou priameho marketingu?

Čo je cielená reklama podľa GDPR?

GDPR vyslovene neoznačuje cielenú reklamu. Používa však právnické výrazy ako profilovanie či automatizované individuálne rozhodovanie.

Pod pojmom profilovanie si môžeme predstaviť automatizované spracúvanie osobných údajov spočívajúce v tom, že osobné údaje, ktoré sa týkajú fyzickej osoby, budú použité na vyhodnotenie niektorých jej osobných znakov či charakteristík. Ide najmä o analýzu, predvídanie znakov, príp. charakteristík dotknutej osoby, ktoré sa týkajú jej:

  • výkonnosti v práci
  • majetkových pomerov
  • zdravia
  • osobných preferencií
  • záujmov
  • spoľahlivosti
  • správania
  • polohy alebo pohybu.

Profilovanie jednoducho tvorí základ cielenej marketingovej kampane.

Príklad
Keď niekto naposledy vyhľadával cez Google napr. posilňovacie stroje, je profilovaný ako človek, ktorý rád cvičí a chcel by to robiť aj doma. Preto je mu na IP adresu vysielaná reklama prostredníctvom Google Ads s ponukou posilňovacích strojov. Z toho vyplýva, že zákazníkove osobné preferencie boli profilované v zmysle GDPR.

Pod profilovaním si môžeme predstaviť aj určitú segmentáciu zákazníkov pre účely zasielania marketingových ponúk, najčastejšie na platené produkty. V prípade, že používate ktorýkoľvek software na e-mail marketing, či už ide o Mailchimp, MailerLite, Smartemailing a pod., vždy si zákazníkov rozdeľujete do mailing listov. Môžete mať napr. mailing list so zákazníkmi, ktorí už u vás nakúpili a druhý s e-mailovými adresami čitateľov, ktorí sa prihlásili na odber vášho newslettera. Takto vlastne zákazníkov profilujete.

Do druhej a vyššej skupiny cielenej reklamy patrí tzv. automatizované individuálne rozhodovanie. Podľa GDPR ide o „vyššiu“ formu profilovania, ktorej výsledkom je automatizované rozhodnutie bez ľudského zásahu, s právnymi účinkami, príp. podobne významnými účinkami pre vášho zákazníka.

Príklad
Môže ísť o online žiadosť o poskytnutie pôžičky na nákup posilňovacieho prístroja na základe vašich osobných údajov, ktoré zadáte. Rozhodnutie o poskytnutí pôžičky sa generuje bez akéhokoľvek ľudského zásahu, čiže len na základe zadaných údajov.

V čom je GDPR prínosom vzhľadom na cielenú reklamu?

Viac povinností pre vás ako prevádzkovateľa.

  1. V prvom rade máte povinnosť informovať zákazníkov, resp. čitateľov na vašej webovej stránke, že sa u vás uskutočňuje takéto profilovanie, resp. automatizované individuálne rozhodovanie.
  2. Okrem informácie na stránke musíte zákazníka hneď na začiatku komunikácie oboznámiť s tým, že jeho údaje spracovávate pre účely priameho marketingu a že sú profilované (môžete ho napr. v emaile s produktom odkázať na zásady na webe). Môžete ho tiež informovať, že u vás existujú aj automaticky generované rozhodnutia bez zásahu človeka. Ide však skôr o výnimku než pravidlo. Výsledok automatického spracovávania údajov je často ešte pred prijatím rozhodnutia revidovaný človekom, čiže ľudským prvkom.
  3. Váš zákazník musí byť informovaný o práve namietať proti takémuto spracovávaniu jeho osobných údajov. Dané právo má zákazník, čiže dotknutá osoba, kedykoľvek v prípade, že sú jeho údaje profilované pre účely priameho marketingu.

Po doručení námietky ste povinný do jedného mesiaca skončiť so spracovávaním osobných údajov danej osoby pre účely priameho marketingu. I tu však existujú výnimky:

  1. V prípade, že je automatické spracovávanie údajov nevyhnutnosťou pri plnení zmluvy, ktorú ste so zákazníkom uzavreli prostredníctvom e-shopu, príp. offline, a vaše záujmy prevažujú nad záujmami zákazníka, ktoré uviedol v námietke.
  2. Údaje sú potrebné pri preukazovaní či obhajovaní právnych nárokov, napr. pri reklamácii.
  3. Ak sa automatizované spracovávanie údajov zakladá na výslovnom súhlase s takýmto spracovávaním.

Toto všetko platí pri súčasnom prijatí vhodných opatrení zabezpečenia proti úniku údajov na vašej stránke vďaka zabezpečenému protokolu, šifrovaniu, heslám atď.

Ako Vás GDPR ovplyvňuje?

GDPR sa týka každého, kto akýmkoľvek spôsobom spracováva osobné údaje fyzických osôb, ktoré sú označované aj ako dotknuté osoby, a dané spracovávanie vykonáva úplne alebo čiastočne automatizovane, čiže prostredníctvom informačných systémov, príp. ručne. To platí pre prípady, keď sú osobné údaje súčasťou informačného systému, alebo sú predurčené na to, aby boli do počítačového systému zaradené.

GDPR sa ale netýka výhradne spracovávania osobných údajov osobnej alebo domácej činnosti. Napr. ak príležitostne vyrábate handmade výrobky, čiže nejde o sústavnú podnikateľskú činnosť, nemusíte plniť povinnosti vyplývajúce z GDPR, a to ani vtedy, keď máte údaje uložené v počítači.

Čo treba robiť v prípade prevádzkovania hotela alebo penziónu?

V prípade prevádzkovania malého penziónu a poskytovania údajov z ubytovacej knihy do informačného systému (napr. účtovníčke), je vašou povinnosťou riadiť sa GDPR. Je dôležité určiť si, ktoré osobné údaje o zákazníkoch naozaj potrebujete kvôli poskytnutiu ubytovania a fakturácii. GDPR sa totiž drží zásady minimalizovania použitých údajov. Napr. je potrebné odpovedať si na otázku, či na účely poskytovania ubytovania a fakturácie potrebujete aj dátum narodenia hosťa. Zákazníkov, ktorí sa u vás ubytujú, musíte pri zadávaní údajov informovať o účele ich spracovania. S účtovníčkou je nevyhnutné mať uzavretú sprostredkovateľskú zmluvu.

S kým musíte uzavrieť sprostredkovateľskú zmluvu podľa GDPR?

To, kto je vlastne sprostredkovateľom a s kým musíte zmluvu uzavrieť, býva často rébusom. Sprostredkovateľská zmluva medzi vami, čiže prevádzkovateľom webstránky či majiteľom e-shopu a konkrétnym sprostredkovateľom, musí mať písomnú podobu, príp. preukázateľnú elektronickú podobu. Toto platilo pred GDPR a pokračuje to aj po 25. máji 2018. Navyše je táto zmluva povinnou súčasťou vašej dokumentácie k GDPR.

Kto za vás spracúva osobné údaje a je teda vaším sprostredkovateľom?

Sprostredkovateľom môže byť napr. Google, externí spolupracovníci (dizajnéri, účtovníci, marketingoví pracovníci atď.), poskytovatelia platobnej brány (GoPay, TrustPay a i.), sotvér pre e-mail marketing (MailChimp, SmartEmailing,…), platforma, na ktorej beží váš e-shop, kuriérske spoločnosti, Facebook (ten je aj prevádzkovateľom) a i.

Účely spracovávania osobných údajov neurčuje sprostredkovateľ ale prevádzkovateľ. Prevádzkovateľ si okrem toho určí aj podmienky spracovávania osobných údajov, čiže dobu spracovávania či právne náklady. Kým sprostredkovateľ nemá súhlas od prevádzkovateľa, nemôže osobné údaje poslať na spracovanie iným sprostredkovateľom. Taktiež má povinnosť vždy a ihneď informovať prevádzkovateľa, že jeho pokyny nie sú v súlade s pravidlami ochrany osobných údajov na základe zákona a GDPR (v tomto prípade ide o vzťah, ktorý je podobný vzťahu sluha – pán).

V prípade veľkých firiem zvyčajne dostanete návrh sprostredkovateľskej zmluvy priamo od nich, napr. MailChimp, Google Analytics a pod. Tento návrh nájdete na stránkach daných sprostredkovateľov často pod názvom Data Processing Agreement, príp. Data Processing Addendum. V prípade menších sprostredkovateľov (napr. vaši spolupracovníci) si môžete podľa zákona zmluvu vypracovať aj vy. Dôležité však je, aby ste si vybrali sprostredkovateľov so softvérmi primárne v EÚ.

Prečo mať radšej sprostredkovateľa so servermi v EÚ?

V prípade, že osobné údaje vašich zákazníkov prekračujú hranice Európskej únie, je potrebné, aby boli stále chránené rovnako ako v EÚ. Inak by ste nemohli vami zvolený softvér ďalej používať, resp. mohli, avšak s ohrozenou bezpečnosťou osobných údajov zákazníkov a tiež by vám hrozila pokuta.

Môže byť náročné zistiť, či je váš sprostredkovateľ so servermi umiestnenými mimo EÚ OK. Ak to pri niektorých sprostredkovateľoch nedokážete zistiť z ich webového sídla, príslušného zahraničného úradu, príp. prostredníctvom revízie uzavretých medzinárodných zmlúv v danej oblasti, je nevyhnutné, aby ste o vyjadrenie požiadali Úrad na ochranu osobných údajov. Vydanie ich stanoviska môže trvať určitú dobu.

Na základe informácií, ktoré úrad zverejnil na svojom webovom sídle, vám pri sprostredkovateľovi so servermi v USA môže pomôcť, keď má tento sprostredkovateľ certifikát v zmysle Medzinárodnej zmluvy EU-US Privacy Shield. Ďalšie informácie nájdete na stránke úradu. Platnosť certifikátu EU-US Privacy Shield(aktívny – neaktívny) si môžete overiť napr. pri poskytovateľovi softvéru MailChimp TU.

Aký má byť obsah sprostredkovateľskej zmluvy?

Primárne by v nej malo byť ustanovené, na čom je založený vzťah prevádzkovateľa a sprostredkovateľa (napr. na vašej zmluve o spolupráci).

Potom je potrebné, aby ste v nej zakotvili nasledovné informácie:

  1. Predmet a dobu spracovávania osobných údajov poskytnutých od prevádzkovateľa, ich povahu a účel spracovávania,
  2. zoznam, príp. rozsah spracovávaných osobných údajov a kategórie dotknutých osôb (napr. zákazníci, čitatelia a pod.),
  3. práva a povinnosti prevádzkovateľa,
  4. povinnosť sprostredkovateľa spracovávať osobné údaje iba na podklade písomných pokynov od prevádzkovateľa,
  5. povinnosť zachovať mlčanlivosť a tiež zabezpečiť zachovanie mlčanlivosti osôb, ktoré sú oprávnené spracovávať osobné údaje,
  6. povinnosť dodržiavať potrebné opatrenia bezpečného spracovávania osobných údajov na základe najnovších poznatkov (napr. šifrovanie, obnovy prístupov prostredníctvom dvojitých autentifikácií a i.),
  7. skutočnosť, že má sprostredkovateľ možnosť zapojiť do procesu aj iných sprostredkovateľov (napr. marketingový špecialista si objedná ďalšieho špecialistu – SEO odborníka), môže tak urobiť na základe vášho predchádzajúceho písomného súhlasu, príp. na základe všeobecného písomného poverenia, stále vás však o tom musí vopred informovať. V zmluve s ďalším sprostredkovateľom si musí prvý sprostredkovateľ dohodnúť také isté povinnosti v oblasti ochrany osobných údajov, aké má on sám voči vám. Napr. ak uniknú dáta na strane SEO odborníka, ktorý bol vybraný vaším marketérom, zodpovednosť voči vám nesie váš marketér,
  8. povinnosť vhodnými technickými a organizačnými opatreniami v čo najväčšej miere poskytnúť prevádzkovateľovi súčinnosť pri plnení jeho povinností;
  9. povinnosť vymazať osobné údaje, príp. ich vrátiť prevádzkovateľovi po skončení poskytovania služieb, ktoré sa týkajú spracovávania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie,
  10. povinnosť poskytnúť prevádzkovateľovi informácie nevyhnutné na preukázanie splnenia zákonných povinností.

Sprostredkovateľ a zároveň prevádzkovateľ?

Veľa sprostredkovateľov plní zároveň úlohu prevádzkovateľa, resp. spoločného prevádzkovateľa s vami. Ukážkovým príkladom je Facebook. Servery má v Írsku, čiže v Európskej únii, čo je sčasti bezpečné. Údaje, ktoré mu poskytnete však nespracováva len na tie účely, ktoré mu stanovíte. Ide aj o účely, ktoré si stanoví sám (s údajmi robí rôzne „čary“ a z uvedeného dôvodu musel v nedávnej dobe prekonať viaceré kauzy, ktoré sa týkali úniku dát). Keďže si účely spracovávania určuje aj sám, v oblasti ochrany osobných údajov je pri určitých činnostiach v pozícii prevádzkovateľa, presne tak ako vy. S Facebookom by ste preto mali uzavrieť aj Zmluvu o spoločných prevádzkovateľoch, nielen Sprostredkovateľskú zmluvu. Vďaka tomu si navzájom ošetríte vzájomnú zodpovednosť, a teda kto, za čo a do akej miery zodpovedá pri prípadnom porušení ochrany osobných údajov.

Zmeny, ktoré v oblasti ochrany osobných údajov nastali od 25. mája 2018, boli od začiatku spájané s hrozbou pokuty až do 20 miliónov eur, pri podniku do výšky 4 % z celkového svetového ročného obratu (závisí od toho, ktorá suma je vyššia). Ako v skutočnosti v súvislosti s GDPR funguje Úrad na ochranu osobných údajov a ako to je s možnosťou uloženia pokuty na základe súčasne platnej a účinnej právnej úpravy?

Ako môže kontrola GDPR začať

Tzv. konanie o ochrane osobných údajov môže začať na základe návrhu dotknutej osoby, čiže osoby, ktorej údaje spracovávate. Môže ísť o vášho zákazníka, čitateľa či zamestnanca. Konanie, čiže aj kontrola, môže vychádzať aj z návrhu inej osoby. Tento prípad je omnoho rizikovejší. Môže ísť o návrh osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach. Daná osoba s vami nemusí byť v žiadnom právnom vzťahu, môže však disponovať informáciami, že u vás niečo nie je v poriadku. Príkladom takejto osoby môže byť bývalý zamestnanec alebo konkurent.

 

Výkon práva podať návrh ale nemôže byť šikanózny. V takom prípade máte možnosť od osoby, ktorá na vás opakovane podáva neopodstatnené návrhy týkajúce sa ochrany osobných údajov, požadovať náhradu škody v súdnom konaní. Je diskutabilné, či vôbec môžu byť práva takejto osoby porušené, keďže vám svoje údaje neposkytla. V takomto prípade by mal úrad takýto návrh odložiť a nekonať. Úrad automaticky nebude konať ani vtedy, keď od tvrdeného porušenia práv danej osoby uplynuli v deň doručenia návrhu viac než tri roky. Okrem spomínaného môže úrad začať s konaním o ochrane osobných údajov aj bez návrhu, čiže na základe vlastnej činnosti. Deje sa tak najmä v prípade, keď má úrad podozrenie, že ste porušili ochranu spracovávaných údajov, príp. len preto, že ste zaradený do tzv. plánu kontrol.

 

Ako môže kontrola vyzerať

V prípade, že si úrad potrebuje overiť skutočnosti o porušení ochrany osobných údajov, ktoré sú uvedené v návrhu na začatie konania, má právo prísť na kontrolu. V takomto prípade vám zvyčajne vopred príde písomné oznámenie o predmete kontroly. Zároveň vám úrad oznámi aj dátum a čas, kedy bude kontrola vykonaná, a to minimálne 10 dní pred jej samotným vykonaním. Výnimka z tohto pravidla sa uplatňuje vtedy, ak by písomné oznámenie mohlo účel kontroly zmariť, príp. ju podstatne sťažiť.

 

Kontrolór úradu má povinnosť preukázať sa vám pre začiatkom kontroly, alebo kedykoľvek na vaše požiadanie, poverením Úradu na ochranu osobných údajov. Ako má takéto poverenie vyzerať, nájdete na webovom sídle úradu.

 

Počas kontroly máte povinnosť sprístupniť kontrolórovi požadované dokumenty, ako aj informačné systémy. O všetkým úkonoch a odovzdaní dokumentov si však môžete vyžiadať potvrdenie a v prípade nejasností vo výsledkoch kontroly môžete uviesť námietky do protokolu o vykonanej kontrole, ktorý má kontrolór povinnosť s vami prerokovať. V prípade, že u vás kontrola porušenie nezistí, nespíše s vami protokol, ale záznam o vykonaní kontroly. Toto je prvotný náznak, že je všetko v poriadku.

 

S kontrolórmi je vždy lepšie komunikovať a spolupracovať. Ak u vás zistia porušenie, vaša spolupráca a súčinnosť môžu viesť k zníženiu pokuty, príp. vám ju úrad nemusí vôbec uložiť.

Ako to je s pokutami v GDPR

Pokuty sú v súvislosti s GDPR najväčším strašiakom. Dôležitá je však informácia, že úrad môže, no nemusí, uložiť pokutu vo výške maximálne 20 miliónov eur. V zmysle GDPR má úrad povinnosť ukladať pokuty, ak si ich určí ako prostriedok namiesto iných opatrení, príp. popri nich, v závislosti od okolností konkrétneho prípadu tak, aby boli primerané, účinné a odrádzajúce.

 

Úrad má na základe výsledku kontroly právo nariadiť prijatie opatrení na nápravu nedostatkov, ktoré boli zistené, a to v stanovenej lehote, príp. môže prejsť k tzv. posúdeniu vplyvu na ochranu osobných údajov, ktoré sme spomínali pri administratíve prevádzkovateľa. Ďalšou možnosťou je, že prikáže obmedzenie spracovávania osobných údajov alebo ich zakáže a pod.

 

V prípade, že úrad nariadi uloženie pokuty, vezme pri tom do úvahy aj:

 

  1. povahu, závažnosť a trvanie porušenia, povahu, rozsah či účel spracovávania osobných údajov, tiež počet dotknutých osôb, ktoré porušenie ovplyvnilo, a v prípade, že vznikla škoda, aj jej rozsah;
  2. opatrenia, ktoré prevádzkovateľ či sprostredkovateľ prijali na zmiernenie škody, ktorú utrpeli dotknuté osoby;
  3. rozsah spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení nepriaznivých dôsledkov, ktoré mohli vyplynúť z porušenia ochrany osobných údajov;
  4. kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka, práve preto treba dávať pozor pri spracovávaní extra citlivých osobných údajov;
  5. priťažujúce či poľahčujúce okolnosti, ku ktorým patria hlavne finančné výhody alebo straty, ktorým sa zabránilo, a to priamo alebo nepriamo, v súvislosti s porušením ochrany osobných údajov;
  6. spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a hlavne fakt, či prevádzkovateľ, príp. sprostredkovateľ porušenie ochrany osobných údajov oznámili, ak áno, v akom rozsahu (prevádzkovateľ alebo sprostredkovateľ majú povinnosť oznámiť úradu únik údajov do 72 hodín, odkedy ho sami zistili, a to prostredníctvom formulára na webovom sídle úradu).

 

Ide tu vlastne o „priznanie chyby“ zo strany prevádzkovateľa či sprostredkovateľa voči úradu. V konaní pred úradom je však splnenie oznamovacej povinnosti výhodou. Je považované za poľahčujúcu okolnosť, kým jej neoznámenie je okolnosťou priťažujúcou. V prípade, že neexistuje pravdepodobnosť, že by porušenie ochrany osobných údajov viedlo k riziku pre práva fyzickej osoby, táto povinnosť odpadá.

 

Príklad

Ukradnú vám notebook s údajmi vašich zákazníkov, ktoré však máte zašifrované a prihlasovanie je podmienené dvojitému overovaniu. V takomto prípade nie je pravdepodobné, že sa zlodej k údajom dostane, takže vy nemáte oznamovaciu povinnosť.

 

V ukladaní sankcií sa veľa dozvieme až z praxe Úradu na ochranu osobných údajov pri kontrolách, ktoré vykoná. Dôležité je plniť si základné povinnosti vyplývajúce z GDPR a sledovať stanoviská, ktoré úrad zverejní na svojom webovom sídle.

Aká administratíva je v rámci GDPR povinná?

V prípade, že spracovávate osobné údaje vašich zákazníkov cez informačné systémy, príp. aj mimo nich, ale vašim cieľom je, aby sa ich súčasťou stali, stávate sa pre účely GDPR prevádzkovateľom. Znamená to, že v prípade vzniku akéhokoľvek problému (únik dát, nedostatočné zabezpečenie osobných údajov proti hackerom atď.) ste zodpovednou osobou vy. Výhodou však je, že od 25. mája 2018 už nie ste povinní vypracovať bezpečnostný projekt, ani zaregistrovať váš informačný systém na Úrade na ochranu osobných údajov.

 Vynára sa však mnoho otázok: Aké dokumenty by ste mali mať na vašej webovej stránke? Musíte pre účely spracovávania osobných údajov určiť tzv. zodpovednú osobu? Prezradíme vám, aké administratívne povinnosti musíte ako prevádzkovateľ od 25. mája spĺňať.

 

Dokumentácia vzťahujúca sa na zákazníka/čitateľa

Doteraz bolo nevyhnutné zverejnenie tzv. Ochrany osobných údajov (Privacy Policy) na webovej stránke. Privacy Policy nahrádzajú tzv. Zásady/Pravidlá spracúvania osobných údajov. Vychádzajú z nasledovných zložiek spracovávania osobných údajov:

  1. Zákonné zásady spracovávania osobných údajov – napr. spracovávanie osobných údajov len v nevyhnutnom rozsahu pre účely, ktoré sú založené na právnom základe.
  2. Majú v nich byť rozpísané účely spracovávania osobných údajov, aj právne základy, vzhľadom na ktoré sa údaje spracovávajú.
  3. Zásady majú vychádzať z práv dotknutých osôb (napr. vašich zákazníkov), ktorých osobné údaje spracovávate.
  4. Zásady spracovávania majú byť odrazom toho, ako vybavujete žiadosti zákazníkov na výkon ich práv (výmaz údajov a i.) a tiež majú riešiť vaše bezpečnostné opatrenia voči úniku dát. Taktiež majú obsahovať pokrytie splnenia povinnosti oznámiť únik osobných údajov dotknutej osobe aj úradu, a to do 72 hodín od toho, ako ste to zistili. Na stránke úradu pre takéto situácie nájdete formulár.
  5. Dôležitou povinnosťou je sprostredkovanie informácií vašim zákazníkom o vás ako o prevádzkovateľovi a kontaktnej osobe, ktorú môžu v prípade nejasností a problémov kontaktovať. Zásady spracovávania osobných údajov musia byť pre vás pri zákonnom spracovávaní osobných údajov alfou a omegou. Navyše musia odrážať vždy najnovšie a aktuálne poznatky o ochrane osobných údajov.

 

Interná dokumentácia alebo záznamy o spracovateľskej činnosti

 Záznamy o spracovateľskej činnosti slúžia ako váš spracovateľský denník pre účely spracovávania osobných údajov. Tieto záznamy môžu mať papierovú alebo elektronickú podobu.

Vzhľadom na osobné údaje, za ktorých spracovávanie zodpovedáte, by ste si mali prehľadne a pravidelne aktualizovať záznamy, ktoré majú obsahovať:

  1. vaše identifikačné číslo a kontaktné údaje,
  2. účely spracovania osobných údajov,
  3. opis kategórií osôb, ktorých údaje spracúvate, aj kategórií osobných údajov, ktoré spracúvate. Vysoký dôraz sa kladie na tzv. extra citlivé údaje, ku ktorým patria zdravotný stav, sexuálna orientácia atď.
  4. Informácie o vašich sprostredkovateľoch, ktorí za vás spracúvajú osobné údaje vašich zákazníkov,
  5. informácie o tom, či sa údaje prenášajú aj do tretích krajín, či sú aj v týchto krajinách osobné údaje takto chránené a ak nie, aké sú ponúknuté záruky ochrany,
  6. lehota a spôsob vybavenia žiadostí vašich zákazníkov (napr. právo na výmaz, doubleopt-in overenie čiže zdokladovanie už udelených súhlasov atď.),
  7. informácie týkajúce sa technických a organizačných bezpečnostných opatrení, ktoré boli prijaté pre účely spracúvania osobných údajov.

 

Je nutné určiť zodpovednú osobu?

DPO čiže dataprotection officer alebo zodpovedná osoba predstavuje osobu, ktorá sa musí pravidelne vzdelávať v oblasti ochrany osobných údajov a tiež je kontaktnou osobou pri komunikácii s Úradom na ochranu osobných údajov. Nie ste povinní ju určiť v prípade, že spracovávate osobné údaje v malom rozsahu. Môže ísť napr. o vybavenie objednávok či zasielanie newslettra vašim zákazníkom, ktorými ich informujete o nových produktoch či službách.

Podľa GDPR ste povinní určiť DPO v prípade, že prevádzkovateľ je orgánom verejnej moci, príp. ak k vašej hlavnej činnosti patrí monitorovanie dotknutých osôb vo veľkom rozsahu. Ďalšou z možností je, ak spracovávate tzv. extra citlivé osobné údaje.

V iných prípadoch je na vás, či si zodpovednú osobu určíte. Výhodné to môže byť v prípade, že máte väčší počet zamestnancov, ktorých treba pravidelne školiť ohľadom ochrany osobných údajov. Keďže by mohlo dôjsť ku konfliktu záujmov, funkciu zodpovednej osoby nemôže vykonávať štatutárny orgán. Môže sa ňou stať zamestnanec alebo na základe zmluvy o spolupráci externá osoba.

 

Posúdenie vplyvu na ochranu osobných údajov

Dokument, ktorý sme doteraz poznali ako bezpečnostný projekt nahrádza na základe GDPR Posúdenie vplyvu na ochranu osobných údajov. Nie je nutné vypracovať tento dokument v každom prípade. Najčastejšie je potrebný v prípade, že vykonávate systematické a rozsiahle hodnotenie osobných znakov či charakteristík, ktoré sa týkajú vašich zákazníkov a následne z nich vykonávate profilovanie, z ktorého vznikajú automatizované rozhodnutia, čiže rozhodnutia bez zásahu človeka, napr. generované žiadosti o pôžičku. Môže ísť o znaky a charakteristiky ako vek, pohlavie, správanie na webe a pod.

Posúdenie vplyvu na ochranu osobných údajov by malo obsahovať hlavne vyhodnotenie rizík z pohľadu vášho zákazníka a jeho práv. Tiež by malo zahŕňať informácie o opatreniach, ktoré ste prijali na elimináciu prípadných rizík. V prípade, že vám vyjde vysoké riziko pre práva zákazníkov, ste povinní konzultovať automatické spôsoby spracovávania osobných údajov s príslušným úradom.

V predchádzajúcom článku sme si priblížili povinnosť výmazu osobných údajov dotknutej osoby na základe jej žiadosti, ale aj prípady, v ktorých je to nutné. Teraz si povieme čosi o tom, že ani toto právo si zákazník nemôže uplatňovať bez výnimiek a hraníc, a že okrem práva na vymazanie osobných údajov má podľa GDPR zákazník aj na iné práva. Aké to sú?

 

Právo na zabudnutie nie je bezvýhradné

 

Osobné údaje nemusíte mazať v každom prípade. Nie je nutné to urobiť napr. vtedy, keď to vo vašom systéme nie je technicky možné.

 

GDPR totiž kladie dôraz na to, že prevádzkovateľ má povinnosť vymazať osobné údaje vzhľadom na dostupnú technológiu a náklady na vymazanie. V prípade kontroly potom obstojíte, ak si obhájite, že údaje ste nemohli vymazať kvôli technike, prípadne kvôli príliš vysokým nákladom.

 

Právo na zabudnutie sa neuplatňuje ešte v ďalších prípadoch, a to pri práve na slobodu prejavu. To sa môže stať napr. v prípade už zverejneného článku, v ktorom boli použité osobné údaje čitateľa, spracované na tento účel. Súhlas s tým však musí byť preukázateľný. Ďalšími možnosťami sú, ak si plníte zákonné povinnosti, alebo osobné údaje archivujete kvôli historickým či vedeckým účelom, prípadne na štatistiky. Žiadosti na vymazanie údajov nemusíte vyhovieť ani v prípade uplatňovania právnych nárokov, kedy môže ísť napr. o reklamáciu tovaru či služieb.

 

Ďalšie práva dotknutej osoby v rámci GDPR

 

Právo na zabudnutie nie je jediným právom zákazníka. Ďalším je právo na obmedzenie spracovania osobných údajov. Dotknutá osoba si ho môže uplatniť v podobných prípadoch ako právo na výmaz. Môže ísť o situáciu, keď ide o nezákonné spracovávanie osobných údajov, ale dotknutá osoba si nevyžiada hneď vymazanie, len obmedzenie ich spracovania. V praxi to znamená, že nie ste povinný vymazať všetky osobné údaje o zákazníkovi, len tie, ktoré on sám určí, nemôžete využívať na svoje účely.

 

Príklad

Obmedzenie spracovávania osobných údajov sa môže uplatniť po obdržaní žiadosti na overenie správnosti údajov, ktoré spracúvate. V tomto prípade sa obmedzí spracovanie osobných údajov žiadateľa, ktoré on sám označí počas doby overenia správnosti daných údajov.

 

Ďalším do zbierky práv zákazníka je právo na opravu, resp. doplnenie údajov. Žiadateľ vám môže doručiť žiadosť o opravu jeho osobných údajov, prípadne doplnenie údajov. Zvyčajne je lehota na opravu 1 mesiac od doručenia žiadosti.

 

Na záver si spomeňme právo na prenosnosť údajov. Ide o povinnosť poskytnúť osobné údaje zákazníka aj iným prevádzkovateľom, a to na jeho žiadosť. V tomto prípade môže ísť o majiteľov e-shopov, ktorých určí zákazník v žiadosti v technicky čitateľnom formáte. Takáto situácia môže byť pri veľkom množstve žiadostí administratívne náročná, takže ak je to pre vás technicky nemožné a nájdete správne odborné odôvodnenie, nie ste povinný takejto žiadosti vyhovieť.

Skúšali ste si už zrušiť profil na sociálnej sieti? Takýto proces často trvá aj 2-3 týždne a na jeho konci zistíte, že váš profil aj tak naďalej existuje na serveroch poskytovateľa danej sociálnej siete, akurát už nie je verejný. Práve na predchádzanie podobným situáciám zaviedlo GDPR od mája 2018 právo na výmaz osobných údajov. V praxi nám to prináša právo byť zabudnutý v digitálnom svete. Čo si pod tým vlastne máme predstaviť a aké ďalšie práva zákazník má?

Právo na zabudnutie

Právo na zabudnutie kladie na prevádzkovateľa, teda spracovateľa osobných údajov, vysoké nároky. Na ňom spočíva hlavná zodpovednosť za správnosť spracovania osobných údajov na základe GDPR.

 

Pod právom na zabudnutie si treba predstaviť:

  • povinnosť vymazať osobné údaje dotknutej osoby,
  • bez zbytočného odkladu (do jedného mesiaca, len v zdôvodnenom prípade do dvoch mesiacov, od doručenia žiadosti).

V akom prípade musí prevádzkovateľ vymazať osobné údaje?

  1. V prípade, že spracovanie osobných údajov závisí od súhlasu odberateľa newslettera a tento odberateľ súhlas so spracovaním osobných údajov zruší. Z technického hľadiska by zrušenie súhlasu so spracovaním osobných údajov malo byť riešené tak isto, ako jeho udelenie. Z pohľadu adresáta služieb by totiž mali byť tieto úkony na rovnakej úrovni.
  2. V prípade, ak pre vás osobné údaje na účel, na ktorý ste ich získali, nie sú potrebné.
  3. V prípade, ak proti vášmu oprávnenému záujmu, ktorý je súčasťou právneho základu pre spracovanie osobných údajov, podá zákazník námietku. Ide napr. o osobné údaje v objednávkovom formulári.
  4. V prípade, ak vaše spracovávanie osobných údajov bolo nezákonné.

Zverejnené osobné údaje – jedna veľká neznáma

GDPR ukladá prevádzkovateľom povinnosť informovať o žiadosti o výmaz aj ďalších prevádzkovateľov, ktorí spracovávajú osobné údaje dotknutej osoby. Následne by sa mali podniknúť opatrenia na výmaz údajov aj u nich. Toto je však pri zverejnených údajoch pomerne náročné. Neostáva teda iné len čakať, ako sa to prenesie do praxe a ako bude postupovať Úrad na ochranu osobných údajov.

V predchádzajúcom článku sme vám priblížili, čo to vlastne GDPR je, čo všetko patrí pod osobný údaj, kto je prevádzkovateľ a aké mu z tohto nariadenia vyplývajú povinnosti. Zároveň sme vás vyzvali k zmapovaniu toho, odkiaľ a akým spôsobom čerpáte osobné údaje a tiež na aký účel ich využívate. Ak sa vám táto časť podarila, poďme si spolu prejsť zákonnosť spracovania osobných údajov. Myslíte si, že je správnym riešením umiestňovať súhlas so spracovaním osobných údajov všade? GDPR vraví, že nie. Prečo to tak je?

Čo sa ukrýva pod slovným spojením „právny titul spracovania“?

Ide vlastne o podmienku, vďaka ktorej sa spracovanie osobných údajov cez váš systém stane zákonným.

Snáď najčastejšie používaným právnym titulom bol doteraz súhlas dotknutej osoby so spracovaním osobných údajov. GDPR to však poňalo z opačnej stránky, takže súhlas ako právny základ pre spracovanie osobných údajov vo firmách je už dnes poslednou možnosťou spracovania osobných údajov zákonným spôsobom. Pozrite sa s nami na prehľad iných právnych základov:

1. Plnenie zmluvy, v ktorej je zmluvnou stranou dotknutá osoba

Príklad:
Ak na webstránke prevádzkujete e-shop, je nevyhnutné, aby zákazník v objednávkovom formulári vyplnil osobné údaje. Len potom mu môže byť objednaný tovar odoslaný. Tým, že zákazník odošle objednávkový formulár, odošle zároveň návrh na uzavretie zmluvy. Potvrdenie z vašej strany zmluvu uzavrie. Podľa GDPR by takýto objednávkový formulár nemal obsahovať checkbox na udelenie súhlasu so spracovaním osobných údajov v prípade, že odošlete len objednaný tovar a newsletter s podobným tovarom. Podľa Úradu na ochranu osobných údajov by mala mať emailová adresa zákazníka double opt-in overenie. Stále totiž máte voči zákazníkovi povinnosť informovať ho o použití jeho osobných údajov. Vyplýva vám z toho povinnosť informovať zákazníka, že v tomto prípade ide o právny základ spracovania v podobe plnenia zmluvy, ale aj o tom, ktoré zo zákazníkových osobných údajov sú pre vás potrebné. Dôležitou informáciou je aj to, aké má váš zákazník práva.

2. Plnenie zákonnej povinnosti prevádzkovateľa

Príklad:
Ako zamestnávateľovi vám zo zákona vyplýva povinnosť vedenia mzdových listov zamestnancov, takže súhlas zamestnancov so spracovaním ich osobných údajov nie je potrebný. Dokonca je takéto vyžiadanie súhlasu v rozpore s GDPR. O tejto skutočnosti by ste mali informovať aspoň v zásadách spracúvania osobných údajov.

 Na základe GDPR vznikli, samozrejme, aj ďalšie právne základy spracúvania osobných údajov, a to napr.: ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby (napr. spracovanie osobných údajov v nemocniciach), či splnenie úlohy vo verejnom záujme (napr. spracovanie osobných údajov na úradoch).

3. Prevádzkovateľ a jeho oprávnený záujem

Po plnení zmluvy je hneď druhým najdôležitejším právnym základom oprávnený záujem prevádzkovateľa, a to najmä v online biznise. Je nevyhnutné zistiť, či je na spracovanie osobných údajov možné použiť váš oprávnený záujem. V prípade, že nie je možný a zvíťazil by nad ním záujem dotknutej osoby, čiže osoby, ktorej údaje sú spracúvané, musíte použiť checkbox so súhlasom dotknutej osoby.

Pod oprávneným záujmom prevádzkovateľa GDPR si môžeme predstaviť napr. aj spracovanie osobných údajov pre účely zistenia bezpečnosti siete či informačnej bezpečnosti. Znamená to, že tam patrí aj zabránenie neoprávneným prístupom, zastavenie útokom atď.

Príklad:

Ak máte databázu zákazníkov, ktorí sú odoberateľmi vašich produktov, zasielanie newslettra týmto zákazníkom je vaším oprávneným záujmom. Ich súhlas nie je potrebný. Potrebné je iba informovať zákazníkov o tomto účele použitia ich osobných údajov. Ak by ste však chceli newsletter zasielať tretím osobám, a teda ľuďom, ktorí zatiaľ nie sú vašimi zákazníkmi a zadajú e-mailovú adresu na webovej stránke, váš oprávnený záujem na účely práce s existujúcimi zákazníkmi tu už nefiguruje. V tomto prípade teda potrebujete checkbox so súhlasom na tento konkrétny účel.

4. Starý súhlas dotknutej osoby v novom šate

Súhlas, ktorý je v súlade s GDPR má byť:

 

  • na konkrétny účel, ale aj na každý účel samostatný,
  • preukázateľný (double opt-in, web logs),
  • odlíšiteľný od iných skutočností na vašej webovej stránke (napr. od objednávky),
  • kedykoľvek odvolateľný, informovaný,
  • slobodný, čiže nepodmienený – toto vylučuje automaticky začiarknuté checkboxy so súhlasom. Dôležitou vecou je, že aj v prípade, keď zákazník nezačiarkne súhlas so spracovaním newslettrov tretej strany na jeho e-mailovú adresu, napriek tomu musí mať možnosť nákupu v e-shope.

 

Je nevyhnutné zdôrazniť, že výslovnému súhlasu so spracovaním osobných údajov ostalo výsostné postavenie právneho základu pri spracovaní osobitnej kategórie osobných údajov, ktorými sú tzv. extra citlivé osobné údaje, medzi ktoré patria napr. údaje o rase, príslušnosti k etniku, politických názoroch, o sexuálnej orientácii atď.

Možno si aj vy kladiete otázku, o čom všetkom treba zákazníka pri spracúvaní osobných údajov informovať v rámci súladu s GDPR. Poďme si teda ozrejmiť, ktoré informácie musíte na požiadanie zákazníkovi ukázať.

GDPR a typy osobných údajov o zákazníkovi

Podľa GDPR rozdeľujeme informácie o spracúvaných údajoch do dvoch skupín:

  1. Osobné údaje získané od zákazníka.
  2. Osobné údaje, ktoré ste nezískali od zákazníka, ale vznikli činnosťou prevádzkovateľa, príp. pochádzajú z iných zdrojov.

Príklad:
Na stránke e-shopu sa nachádza objednávkový formulár:

  1. Objednávkový formulár obsahuje údaje pochádzajúce od zákazníka. Podľa práva na informácie o spracovaní osobných údajov získaných od zákazníka ste povinný uvádzať na webovej stránke:
  • informácie o prevádzkovateľovi a kontaktné údaje,
  • účel, na ktorý sú vám údaje potrebné a právny základ ich spracovania (v prípade, že je vaším právnym základom oprávnený záujem, je nevyhnutné ho uviesť),
  • príjemcov alebo kategórie príjemcov osobných údajov (v prípade, že sa okrem vás dané osobné údaje dostanú aj k ďalšej osobe),
  • informácie o prenose údajov do tretej krajiny, čiže mimo EÚ (v prípade, že sa to stane),
  • dobu uchovávania údajov (napr. pre účely marketingu 3-5 rokov),
  • informácie o tom, či u vás existuje profilovanie, prípadne automatizované rozhodovanie (pozitívna odpoveď pripadá do úvahy napr. v prípade, že využívate automatické zasielanie reklamných kampaní na základe záujmov a správania zákazníkov),
  • informácie o právach dotknutej osoby (napr. právo na prístup k údajom).

Je dôležité, aby informácie boli zrozumiteľné a ľahko prístupné ešte pred zadaním osobných údajov do vášho systému.

  1. Osobné údaje, medzi ktoré patria napr. logy, IP adresa, cookies, správanie na webe a iné, patria do skupiny osobných údajov, ktoré dotknutá osoba nezadala priamo do systému, ale sú výsledkom napr. technického fungovania prevádzkovateľa webu.

Na základe vzťahu k danej skupine osobných údajov ste povinný poskytnúť zákazníkovi informácie o tom, že spracovávate aj túto kategóriu osobných údajov. Ide napr. o IP adresy (statické, dynamické).

Aj pri tejto skupine osobných údajov je nevyhnutné uviesť na stránke informácie ako pri osobných údajoch získaných od zákazníka, ale s dvomi rozdielmi:

  • je potrebné uviesť, z akého zdroja ste osobné údaje získali,

tieto informácie nie sú technicky poskytované pred poskytnutím osobných údajov. Povaha veci to vylučuje. Povinnosť informovanosti je splnená prostredníctvom linku na zásady spracúvania osobných údajov.

Právo na prístup k údajom

Aj keď máte základné informácie k obom skupinám osobných údajov zverejnené na webe, zákazník vás môže požiadať o prístup k daným osobných údajom. Ako postupovať v takomto prípade?

Je vašou povinnosťou sprístupniť zákazníkovi tieto údaje, a to do jedného mesiaca od doručenia žiadosti.

V prípade, že je žiadosť komplikovaná, prípadne zákazník požaduje presné informácie napr. o IP adrese, je možné lehotu si predĺžiť (na 3 mesiace od doručenia žiadosti), ale aj žiadať primeraný poplatok, ktorý zohľadňuje administratívne náklady. Tak isto môže byť spoplatnené aj vydanie opakovaných kópií údajov.

Máte tiež možnosť takúto požiadavku odmietnuť vybaviť. Môže ísť napr. o opakované žiadosti od istej osoby, ktoré môžu narušiť napr. technické fungovanie vášho e-shopu.

GDPR od vás vyžaduje identifikáciu osoby, ktorá podala žiadosť na prístup k osobným údajom. V prípade, že sa u vás vyskytnú oprávnené pochybnosti o identite osoby vyžadujúcej prístup k osobným údajom, nemôžete jej sprístupniť informácie. Išlo by o možné narušenie bezpečnosti osobných údajov. V takomto prípade si môžete vyžiadať dodatočné informácie na potvrdenie identity. Často sa flexibilným a prijateľným riešením stáva vytvorenie zabezpečenej členskej zóny na vašej webstránke. Tu sa totiž identita zákazníka overuje zadaním prístupového mena a hesla.

Pravdepodobne ste už viacerí počuli o zmenách v ochrane osobných údajov, ktoré ovplyvnia všetkých,  čo spracúvajú osobné údaje fyzických osôb, čiže tieto údaje zbierajú, ukladajú na serveri, používajú pri dodaní tovarov a služieb, či na účely priameho marketingu. V poslednom čase sa články, pri ktorých spozornieme najmä kvôli výške pokuty pri porušení nového európskeho nariadenia GDPR, kopia. Keďže sumy, ktoré uvádzajú odborné portály, sú pre mnohých až likvidačné, naskakuje väčšine z nás husia koža.

Čo vlastne GDPR znamená?

 GDPR čiže General Data Protection Regulation je nariadenie o ochrane osobných údajov fyzických osôb. Účinnosť nadobudne 25. 05. 2018. Zámerom tejto zmeny je ochrana fyzických osôb, a to najmä pri použití nových technológií, napr. automatizovaného spracovania osobných údajov. V takomto prípade môže ísť o automatické emaily cieľovej skupine, zber osobných údajov za istý magnet zadarmo, napr. newsletter či ebook, tiež ich použitie s iným cieľom, zaškrtnutie jedného checkboxu, v ktorom je súhlas so spracovaním osobných údajov zároveň súhlasom s obchodnými podmienkami a pod.

 

Je nevyhnutné upozorniť na to, že už zákon o ochrane osobných údajov, ktorý platil doteraz (č. 122/2013 Z. z.) a bude nahradený novým (č. 18/2018 Z. z.) bol pomerne prísny. I keď prístup k bezpečnostným projektom a registráciám informačných systémov mal na Úrade na ochranu osobných údajov málokto a tieto povinnosti budú teraz vypustené, GDPR prinesú nové administratívne povinnosti.

Ako to vyzerá v praxi?

Nové nariadenie sa vás týka v prípade, že spracovávate osobné údaje fyzických osôb úplne, príp. čiastočne automatizovanými prostriedkami, ale aj manuálne, i keď takto sú spracovávané údaje určené stať sa súčasťou informačného systému. V tomto prípade sa stávate tzv. prevádzkovateľom pre účely GDPR, čiže máte hlavnú zodpovednosť za korektné spracovanie osobných údajov. Toto platí aj v prípade, že máte uzatvorené zmluvy s ďalšími tzv. sprostredkovateľmi. Môže ísť o účtovníka, poskytovateľa email marketingu či cloudových služieb atď.

Pozor: Dôležité je, že sa vaše servery aj servery sprostredkovateľov nachádzajú v EÚ. Proces spôsobu spracovania osobných údajov je oveľa náročnejší v prípade, že sú servery umiestnené mimo EÚ. Nariadenie sa vás ako prevádzkovateľa v EÚ týka, i keď spracovanie vykonávate mimo únie.

Čo osobné údaje zahŕňajú?

Osobný údaj fyzickej osoby v sebe zahŕňa všetko, čo môže danú osobu identifikovať. Ide o:

  1. Meno a priezvisko (i keď samé osebe nemusia byť identifikátorom, keďže fyzických osôb s rovnakým menom môže byť na Slovensku viac),
  2. dátum narodenia alebo IČO;
  3. telefónne číslo, fotografiu, číslo bankového účtu (napr. pri S.R.O. toto nie je osobný údaj), adresu trvalého pobytu v spojení s menom a priezviskom, emailovú adresu (a to aj všeobecnú, ak sa pri odoslaní emailu z nej osoba podpíše), často je to aj IP adresa či webové logy, ktoré sú záznamom o správaní sa osoby na internete;
  4. informácie o pohlaví, veku či sexuálnej orientácii, ale aj zdravotné údaje (i keď v tomto prípade ide o výrazne citlivé informácie).

Máme pre vás aspoň jednu pozitívnu správu, a to že tzv. E-privacy nariadenie, ktoré sa týka úpravy cookies politiky nadobudne svoju účinnosť najskôr v roku 2020. Ak teda máte na stránke banner s tlačidlom „súhlasiť s použitím cookies“, je to stále v poriadku.

Aké z toho vyplývajú povinnosti?

Prevádzkovateľ má podľa GDPR povinnosť spracúvať osobné údaje nasledovne:

 

  1. V súlade so zákonom, spravodlivo a transparentne. Je nutné, aby ste kedykoľvek mohli preukázať súlad s GDPR aj so zákonom, mať doklady o súhlasoch, forma súhlasu double opt-in atď.
  2. Iba na konkrétny, jednoznačne vymedzený a oprávnený účel. Napr. v prípade, že sú údaje poskytnuté na účel objednávky, nie je možné ich použiť na marketingové účely.
  3. V rozsahu, ktorý je primeraný a obmedzený na daný účel. V niektorých prípadoch stačí napr. len klientov email, v iných je nevyhnutné poznať aj jeho meno a priezvisko.
  4. V správnom a presnom znení. Je potrebná aktualizácia a okamžité vymazanie nesprávnych osobných údajov.
  5. Osobné údaje uchovávať len na dobu, ktorá je potrebná na daný účel. Napr. na marketingové účely je to doba 3-5 rokov, doba neurčitá nie je akceptovateľná.
  6. Je nevyhnutné zaručiť dostatočnú bezpečnosť údajov pomocou hesiel a šifrovania. Tu je zahrnutá aj povinnosť oznámiť úradu prípadné porušenie ochrany osobných údajov, a to do 72 hodín od jeho zistenia.

Je nevyhnutné, aby klient, čiže fyzická osoba, vedel už pri vytváraní objednávky, aké údaje sú od neho požadované, na aký účel, čo si nájde v emailovej schránke, ako dlho budú jeho údaje uchovávané a spracovávané a hlavne aké sú jeho práva.

 Pre začiatok by bolo fajn, keby ste si prešli svoje databázy a zamysleli sa, ktoré osobné údaje od klientov potrebujete, na aký účel ich používate a tiež na ako dlho tieto údaje potrebujete. Je nevyhnutné skontrolovať, či údaje potrebujete kvôli plneniu zmluvy, alebo to, či vám dané údaje poskytuje úplne cudzia osoba alebo už existujúci zákazník.