Z raziskovalko v uradu Nataše Pirc Musar smo se tako pogovarjali o nezaželenih telefonskih klicih, podatkih na karticah ugodnosti, sankcijah ob morebitnih zlorabah in o ozaveščenosti potrošnikov.

Pri telefonskem oglaševanju pogosto prejmemo klice podjetij, o katerih ne vemo, kako so prišla do naše telefonske številke, ali celo prejmemo pošto nekoga, ki mu naslova nismo dali.
Neposredno trženje z uporabo navadne pošte ali telefonskih klicev lahko podjetje izvaja brez vaše predhodne privolitve, vendar pa lahko v ta namen uporablja le osebne podatke, ki jih je pridobilo iz javno dostopnih virov (telefonski imenik, kontaktni podatki, objavljeni na spletu, delniške knjige, matična knjiga ipd.) ali v okviru zakonitega opravljanja svoje dejavnosti. Za trženje prek elektronske pošte pa veljajo strožja pravila. Naslov vaše elektronske pošte lahko podjetje uporablja, če ga je dobilo od vas kot kupca svojih izdelkov ali storitev oziroma če je pridobilo vašo predhodno privolitev.

Je dovoljeno, da si podjetja izmenjujejo osebne podatke med sabo?
Če se posameznik s posredovanjem svojih osebnih podatkov nekemu drugemu podjetju ni izrecno strinjal oziroma tako posredovanje ni zakonsko opredeljeno, je izmenjava osebnih podatkov med različnimi podjetji nezakonito dejanje. Informacijski pooblaščenec je konec lanskega leta ravno zaradi nezakonite izmenjave osebnih podatkov med dvema slovenskima zavarovalnicama vsaki naložil globo po 120.000 evrov.

Zgodi se celo, da nas telefonski oglaševalci presenetijo s podatki o nas samih, za katere ne vemo, kako so jih pridobili (če so jih res): "Imam prav, da ste zaposleni .../da ste starejši od 30 ...?" Kako ravnati v takem primeru?
Če je posameznik prepričan, da podjetje njegovih podatkov ni moglo pridobiti iz javno dostopnih virov niti ni s tem podjetjem nikoli v preteklosti stopil v pogodbeno razmerje, lahko podjetje prijavi informacijskemu pooblaščencu, ki lahko tako ravnanje kaznuje z globo od 2.080 do 4.170 evrov za pravno osebo in z globo od 410 do 1.250 evrov za odgovorno osebo pravne osebe za vsakega posameznika, katerega osebni podatki so bili zlorabljeni. Maksimalna kazen je tako lahko 1.000.000 evrov za pravno osebo in 40.000 evrov za odgovorno osebo.

Zadnje čase so zelo priljubljene različne kartice ugodnosti trgovin, s pomočjo katerih posameznik nabira bonitetne točke. Obstaja kakšna omejitev glede osebnih podatkov, ki jih podjetje lahko zahteva (starost, podatki o zaposlitvi, EMŠO ali celo davčna številka ...)?
Tako rekoč vsaka trgovina oziroma ponudnik storitve ali izdelkov že ima svojo kartico, klub ugodnosti. Z včlanitvijo v ta klub potrošnik pridobi možnost popustov, drugih ugodnosti, sodelovanja v nagradni igri ipd. Seveda pa podjetja tako pridobljene osebne podatke uporabljajo tudi za namene trženja, npr. za pošiljanje komercialnih obvestil. Pravila pri obdelavi osebnih podatkov potrošnika so tudi v tem primeru enaka – natančno morate biti seznanjeni s tem, kdo bo podatke obdeloval, za kakšen namen in katere podatke se bo obdelovalo. Zelo pomembno je, da si natančno preberete pogoje uporabe tovrstnih kartic!

Posebne omejitve veljajo zgolj za zbiranje EMŠO- in davčnih številk ter za zbiranje občutljivih osebnih podatkov, kot so na primer podatki o narodnem poreklu, političnem ali verskem prepričanju, zdravstvenem stanju ipd. Za občutljive osebne podatke velja, da jih lahko podjetja zbirajo praviloma zgolj na podlagi vaše pisne privolitve. Glede EMŠA zakon določa, da jih lahko podjetja zbirajo le, če tako določa zakon ali če ste za to dali pisno privolitev in ste bili seznanjeni z namenom zbiranja. Davčne številke pa smejo podjetja zbirati šele takrat, ko vi in podjetje stopita v davčno razmerje, npr. ko s sodelovanjem v nagradni igri postanete dobitnik nagrade, ki je vredna več kot 42 evrov oz. skupna vrednost vseh daril, ki ste jih prejeli od istega darovalca, presega 84 evrov.

Se mora podjetje izrecno zavezati, da bo varovalo osebne podatke posameznika oziroma da jih bo uporabljalo le za poslovanje s kartico ugodnosti?
Podjetje lahko zakonito zbrane osebne podatke uporablja tudi za namene neposrednega trženja, vendar le, če vas je o tem prehodno obvestilo.

Preden privolite, da se vaši podatki obdelujejo, vam mora podjetje zagotoviti naslednje informacije: za kakšen namen se bodo osebni podatki obdelovali in kdo jih bo obdeloval. Če vam podjetje ponudi v podpis obrazec izjave o privolitvi v obdelavo vaših osebnih podatkov, vas izjava zavezuje le, če ste bili predhodno seznanjeni s celotnim besedilom, kar pomeni, da vas mora podjetje nanj izrecno opozoriti, da mora biti besedilo dostopno brez težav ter da mora biti besedilo jasno in razumljivo (nejasna določila se razlagajo vam v korist!).

Kako je s podatki, ki jih lahko damo prostovoljno in zajemajo širša področja življenja, od izobrazbe do zaposlitve in zakonskega statusa? Podjetja navajajo, da gre za interno rabo, toda kaj se s temi podatki pravzaprav dogaja oziroma s kakšnim namenom sprašujejo po njih?
Podjetja po teh podatkih sprašujejo z namenom izvajanja ciljnega (personaliziranega) trženja, ki temelji na podatkih o konkretnih navadah oziroma nakupih. V praksi to pomeni, da imajo z vsemi temi podatki precej popolno sliko posameznika – kdo je, kje kupuje, kaj kupuje, kdaj kupuje – in na podlagi teh informacij lahko podjetje trženje popolnoma prilagodi tako rekoč vsakemu posamezniku. Za tako zbiranje podatkov potrebuje podjetje vašo izrecno pisno privolitev. Nedopustno bi bilo, da bi podjetje z naknadno spremembo splošnih pogojev uporabe kartice začelo dodatno hraniti tudi podatke o vaših nakupih, če vi o tem ne bi bili vnaprej jasno obveščeni in se s tem ne bi že vnaprej strinjali.

Znan je primer večjega slovenskega podjetja, ki med neobveznimi vprašanji poizveduje celo po osebnem dohodku. Menite, da je to sprejemljivo?
Gre za neobvezno vprašanje, na katerega lahko posameznik odgovori ali pa tudi ne. V zasebnem sektorju se namreč, kot že rečeno, osebni podatki lahko zbirajo tudi na podlagi osebne privolitve.

Se vam zdi, da se potrošniki dovolj zavedamo, da so osebni podatki dobrina, s katero podjetja razpolagajo?
Zavedati se moramo, da so osebni podatki postali tržno blago. Vrednost zbirk osebnih podatkov, ki se obdelujejo za namene neposrednega trženja, je ogromna, ozaveščenost potrošnikov, ki na vsakem koraku puščajo sledi s svojimi osebnimi podatki, pa mnogokrat premajhna. Predvsem zaradi hitrega tempa življenja potrošniki pogosto ne beremo splošnih pogojev in izjav, ki jih podpisujemo ob sklepanju pogodb oz. nakupovanju. Hitro se zato zgodi, da podpišemo dokument, s katerim se morda, če bi ga prebrali, sploh ne bi strinjali. Kmalu pa smo presenečeni nad negativnimi posledicami – nadlegovanje z oglasi po elektronski pošti, nezaželena SMS-sporočila ipd. Temu se lahko izognemo predvsem z zdravo mero razuma in previdnostjo pri podpisovanju raznih izjav.