Vernostné karty: viete, že predávate svoje osobné údaje?
Zuzana Hecko, 06. 07. 2012 v 17:55
Bonusové karty: spôsob pripútania si zákazníka
Spoločnosti si chcú zákazníkov "pripútať" rôznymi spôsobmi, medzi inými napr. vydávaním rôznych vernostných kariet. Zbieraním bodov si držitelia vernostných kariet môžu zakúpiť tovar so zľavou alebo získajú rôzne vecné ceny zdarma.
Dnešná doba je "dobou databáz". Asi málokto si uvedomí, že súhlasom s vydaním vernostnej (bonusovej) karty sa meno zákazníka, ako aj celá história nákupov (v podstate tak ako je zobrazená na bločku pri nákupe) stáva súčasťou obrovskej databázy. Táto databáza obsahuje extenzívne množstvo informácií, vrátane osobných údajov a niekedy vrátane citlivých osobných údajov. Z nákupov je často možné vyvodiť zákazníkove preferencie, hobby alebo alebo aj zdravotný stav (opätovný nákup lieku môže naznačovať zdravotný stav zákazníka, opätovné nákupy v jednom obchode môžu indikovať bydlisko alebo pracovisko zákazníka). Tieto detailné informácie sú následne využívané na vytváranie profilov alebo na zasielanie reklamy podľa preferencií zákazníka.
Kedy je monitorovanie správania a preferencií zákazníkov na základe vernostnej karty v súlade s legislatívou na ochranu osobných údajov?
Prvou a najzákladnejšou otázkou ktorú je potrebné skúmať je, či spoločnosť (prevádzkovateľ osobných údajov) disponuje Vašim súhlasom na spracovanie údajov, ktoré sa stanú súčasťou registrov. Na to, aby bol súhlas platný, musia byť okrem formálnych kritérií splnené aj určité kvalitatívne predpoklady. Súhlas v nezrozumiteľnej forme, evidentne malým písmom, bude len ťažko spĺňať podmienky platne daného súhlasu. V tomto smere je nutné jasne a zrozumiteľne informovať zákazníkov najmä o tom:
§ aké osobné údaje budú spracúvané;
§ na aké účely budú tieto údaje spracovávané (napr. či budú osobné údaje použité na zasielanie reklamy alebo či ich správanie bude použité na vytváranie demografických a iných profilov);
§ ak majú byť osobné údaje prenesené do tretích krajín na spracovanie, musí byť uvedené kto ich bude spracúvať a do ktorej tretej krajiny budú prenesené;
§ ak budú tieto osobné údaje poskytnuté tretím stranám (dodávatelia služieb, marketingové agentúry a pod.) uviesť okruh príjemcov.
Súhlas znamená viac ako informácia o tom, "čo s Vašimi osobnými údajmi robíme"
Prevádzkovateľ musí nielen získať súhlas so spracovaním osobných údajov v rámci vernostného programu, ale aj zabezpečiť, aby bol tento súhlas platný. Ak by obdržaný súhlas nebol platný, jednalo by sa o nelegálne spracovanie osobných údajov. Navyše, podľa zákona č. 428/2002 Z.z. o ochrane osobných údajov (Zákon) súhlas musí byť vždy preukázateľný. Pri spracúvaní citlivých osobných údajov (napr. rodné číslo, údaje týkajúce sa zdravia) súhlas musí byť písomný. Písomne daný súhlas bez vlastnoručného podpisu je neplatný.
Okrem toho je potrebné informovať zákazníkov, ako dlho budú údaje nimi zhromaždené informácie uchovávané. Neobmedzená dĺžka spracúvania osobných údajov je v rozpore so Zákonom. Stanovisko Pracovnej Skupiny č. 29 Európskej Komisie, ktorá zoskupuje všetky úrady na ochranu osobných údajov v EÚ vo svojom stanovisku ohľadne poskytovania súhlasu (stanovisko č. 15/2011) uvádza, že súhlas je vždy limitovaný v čase. Aj platne daný súhlas je potrebné po čase prehodnotiť o prevádzkovateľ musí zákazníkov opätovne požiadať o udelenie súhlasu. Preto spoločnosti, ktoré vydávajú vernostné karty musia po istom čase podľa okolností (pracovná skupina uvádza, že by to malo byť napr. po 1 roku) znovu zákazníkov požiadať o súhlas so spracovaním ich údajov.
Názory k článku Vernostné karty: viete, že predávate svoje osobné údaje? :
Juraj Gyarfas, 10. 07. 2012 v 10:57 - ...
Zuzana Hecko, 10. 07. 2012 v 13:20 - Definícia pojmu "osobný údaj"
Zaujímavo, aj údaje o mŕtvych fyzických osobách možno za určitých okolností považovať za osobné údaje. Napr. informácia o tom, že zosnulá osoba A trpela na chorobu, ktorá je dedičná indikuje, že potomkovia osoby A tiež trpia touto chorobou (viď vyššie spomínané Stanovisko na str.22).
Rozsah údajov, ktoré možno považovať za osobné údaje, je teda dosť široký.
Kristian Neugierig, 11. 07. 2012 v 13:06 - Pekný článok
Otázka je. Je vôbec možné spraviť program, ktorý by interne síce vedel priradiť údaje k osobe a na základe toho jej poslať ponuku na zľavu obľúbených koláčikov, ale zároveň by konkrétne údaje o nákupoch nebolo možné dostať mimo systém? Podľa mňa nie. Ak to vie program sám, tak to musí vedieť aj niekto (napr. administrátor) bez potreby použitia toho programu. Preto, Juraj, akú metaúroveň databázy si mal na mysli? Niečo, kde je možné nejakým spôsobom prepojiť dáta, ale zároveň tie prepojenia skryť pre vonkajší svet?
Martin Husovec, 11. 07. 2012 v 15:43 - ad či je to možné
PS: tiež ďakujem za článok. Pred pár týždňami inak na to upozorňoval kvôli udalostiam v UK aj kolega Tomáš Mico na oou.sk.
Ondrej Pivarči, 13. 07. 2012 v 14:54 - fajn článok aj debata
Ale keď môžu banky a ešte majú takéto netransparentné nakladanie s osobnými údajmi posväené zákonom (napr. § 93a ZOB), prečo nie aj obchodné reťazce?
S tou definíciou osobných údajov a negatívnym vymedzením v § 4 ZOU je trošku problém, napr. ten uvádzaný príklad s fotografiou prázdneho auta bez ŠPZ ... ak tam bude vnútri v aute umiestnená socha Lenina z červeného skla a je známe, že takáto je iba jedna a vlastní ju práve XY, je možné určiť totožnosť XY bez nejakej pochybnosti. Tento problém však podľa mňa pri vernostných kartách nemá prečo existovať.
Obchodné spoločnosti totiž nepotrebujú ako marketingový cieľ vedieť žiadne podstatné údaje. Podľa mňa pre účely viral marketing je reťazcu úplne zbytočné vedieť, či sa voláte XY alebo AZ. Obchodný reťazec potrebuje mať v databáze len unikátny identifikátor (aby ponuku tomu istému neposielal dvakrát), komunikačné data (aby vedel, kam má napr. smerovať konkrétnu ponuku) a ostatné si doplní sám (napr. ako často dotyčný identifikátor využíva nákupy). Ako píše Martin Husovec, je možné toto mať v databáze a nevedieť z nej zároveň nič vyčítať, použitím nástroja PET (privacy enhancing technology) a to nástroja asymetrickej kryptografie. Podľa smernice 2002/58/ES ako aj elektrokomunikačného zákona sú chránené aj prevádzkové a lokalizačné dáta, dokonca s podporou TZ, čiže rozlomenie šifry je stíhateľné. Od zavedenia smernice 2009/136/ES je používanie PET povinné a BEREC (avšak nielen) na to má dohliadať. Ale keďže nebe je vysoko a cár ďaleko, použitie PET neustriehne ani len bežný sudca.
Zabrániť agregácii nazbieraných dát (najmň kvôli profilovaniu) sa dá potom len tak, že zakážeme niektoré typy dát agregovať. Napr. osobné údaje a spotebiteľské dáta (čiže údaje typu "koľko som za posledný rok kúpil ružových koláčikov" môžu slúžiť len na štatistické účely v anonymnej štatistike bez agregácie s inými dátami konkrétneho spotrebiteľa), resp. sú priradené cez prepočet k UI, avšak nie v rovnakej db (napr. podľa vzťahu ak si kúpil 8 ružových koláčikov, je ti pridelený údaj "65x" a máš byť zahrnutý do reklamnej kampane 6; tu žiadne osobné dáta k cielenej reklame nepotrebuješ).
Unikátny identifikátor možno založiť ľubovoľným algoritmom, ktorý rozlíši jedného spotrebiteľa od druhého, ale zároveň o ňom nič nepovie.
Keďže máme vernostné karty, stačí, aby každá pridelená karta mala svoj unikátny kód v systéme (mimo systém predsa dáta nepotrebujem - to by bola zakázaná agregácia), a k nej agregované údaje o komunikácii s držiteľom, ktoré by jednak zahŕňali spôsob komunikácie, ktorý si užívateľ zvolí (napr. e-mail) a jednak by komunikačné dáta (napr. e-mailová adresa) boli uložené v systéme len kryptované (na žiadnom papieri alebo čomsi ich nepotrebujem, a už vôbec nie agregované s nejakým údajom o bydlisku a pod.). Potom ak chcem posielať nejakú hromadnú ponuku (napr. cez program hromadnej kampane), pracujem iba s kryptovaným komunikačným údajom, pričom vôbec nepotrebujem mať konkrétny unikátny identifikátor (UI) a teda referencia, že práve tomuto UI mám poslať ponuku na ružové koláčiky, lebo nakúpil xy ružových koláčikov, je kryptovaná v databáze tak, že admin zvonku sám ten vzťah neuvidí (potreboval by vykonať prepočet, na ktorý nemusí mať autorizáciu, tú má iba marketér).
Ak platia pravidlá o použití karty rovnako pre každého (všeobecné spotrebiteľské podmienky), nepotrebujem poznať totožnosť držiteľa karty, aby som po komkoľvek sa mohol domáhať ich dodržiavania.
Ono, pre napr. žalobu na nejakú stranu by vôbec nebolo treba zložito identifikovať druhú stranu cez internetový formulár. Stačila by povinnosť registrácie PET nástrojov napr. na nejakom úrade (napr. UOOU) a povinnosť identifikácie PET nástroja pri transakcii, pričom súd po žalobe firmy bez označenia strany, iba s označením čísla PET nástroja zašle dopyt pre UOOU - identifikujte mi stranu podľa tohto PET nástroja. Ono, nie je pre súkromie najlepší nápad viesť všetky databázy podľa rodného čísla v roli tzv. Super UI. Skôr by databázy štátnych orgánov, firiem a spol. mohli fungovať na báze "distributívnej siete UI", kde podľa UI v Soc. poisťovni identifikujem UI na daňovom pre rovnaký subjekt, ale už nie jeho UI v zdravotnej poisťovni (a už vôbec nie napr. jeho meno) a mutatis mutandis ostatné. Taká "hra na skrývačku". Nejaké dodatočné náklady by to síce stálo, ale beztak je kopa nezamestnaných, nové technológie redukujú počty pracovníkov voo vzťahu ku konkrétnemu výstupu (keby bola verejná správa plne automatizovaná a vyťažená podľa súčasných IT možností, bolo by to očividné), tak nejakú "prebytočnú" robotu si vytvoriť treba a za tú ochranu súkromia by to pri dnešnej "surveillance" dobe hádam stálo.
Ondrej Pivarči, 13. 07. 2012 v 15:03 - ešte by som dodal
Vladimir Trojak, 15. 07. 2012 v 17:44 - časová limitácia súhlasu
Moje chápanie zákona je také, že časovo neobmedzený súhlas a následné spracovanie by nemusel byť v rozpore so zákonom. Aj v takom prípade by časovým obmedzením bolo časové trvanie účelu, na ktorý sa osobné údaje spracúvajú.
Pokiaľ ide o opätovné požiadanie o súhlas, zdá sa mi, že pracovná skupina hovorí skôr o odporúčaní, a nie o povinnosti spracovateľov opätovne požiadať o súhlas.
V prípade vernostných kariet by teda podľa mňa mohlo byť možné udeliť súhlas aj na dobu neurčitú pokiaľ trvá účel spracovania.
Ak by som napríklad pravidelne používal vernostnú kartu, z praktického hľadiska by pravdepodobne žiadosť o opätovný súhlas ani nemala žiaden význam a mohla by byť skôr akousi brzdou. Ak by som vernostnú kartu ale nepoužíval po dobu napr. jedného roku, tu osobne vidím priestor na good practise a opätovné požiadanie o súhlas.
Napadá ma prípad, v ktorom by som časovú limitáciu osobne považoval za nie veľmi vhodnú. Ide o medicínsky výskum. V prípade, ak by som mal zriedkavú, nevyliečiteľnú a zároveň dedičnú chorobu, a poskytol by som svoje biologické vzorky výskumnému ústavu, prípadne prístup k mojej zdravotnej karte, očakával by som (a zmluvne by som to aj požadoval), aby v prípade, že objavia nový liek, ktorý môže pomôcť mne, prípadne mojim potomkom, aby som ja, resp. oni o tomto lieku ihneď vedeli. Podľa mňa má v tomto prípade význam udeliť súhlas so spracovaním na dobu neurčitú, a to aj po smrti.
Už som asi zašiel až veľmi ďaleko, keď som spomenul súhlas na dobu po smrti a zatiahol do toho ďalšie subjekty (potomkov). Tieto otázky momentálne nie sú relevant.
Radšej by som sa vrátil k otázke, či je možné udeliť súhlas bez časovej limitácie? Podľa mňa by to možné malo byť s tým, že limitom by bol účel ich použitia. Čo si o tom myslíte? Ešte raz ďakujem za článok.
Kristian Neugierig, 17. 07. 2012 v 08:37 - Ad Ondrej
Ondrej Pivarči, 17. 07. 2012 v 15:36 - Ad Kristian
Kampaň sa nemusí posielať konkrétnemu človeku na konkrétnu adresu, stačí, keď sa pošle na konkrétnu adresu, čo môže byť rovnako korešpondenčná adresa na trvalom pobyte, ako aj pracovný e-mail, facebooková adresa, skype adresa, adresa iného pobytu a pod., ktorú človek uvedie ako svoju komunikačnú adresu.
Kristian Neugierig, 18. 07. 2012 v 07:03 - Ad Ondrej
Ondrej Pivarči, 18. 07. 2012 v 08:59 - ad Kristian
Pokiaľ nebude môcť adresát presnejšie selektovať, aké dáta a prečo niekomu poskytuje a "reťazec" si bude môcť (tak ako to teraz aj robí) agregovať všetky možné údaje adresáta, ktoré na účel viral marketingu nepotrebuje (toto je de lege lata najdôležitejší fakt), dovtedy sa budem pozerať na takéto praktiky s nevôľou, nakoľko by bolo prirodzené zo strany štátnych orgánov tlačiť podnikateľov k efektívnejšiemu využitiu menšieho množstva údajov, ako nechať im spomedzi plejády údajov vyberať, ako budú obťažovať spotrebiteľov.
Kristian Neugierig, 18. 07. 2012 v 10:36 - Tak potom
Nemáte oprávnenie pridať názor. Prihláste sa prosím