Článok GDPR Digital transformation

Kreditné a marketingové informácie verzus GDPR

Autor - 24 apr 2018

Dáta sú jedným zo základných stavebných pilierov každej firmy. To však niekoľkonásobne platí pre Bisnode, ktorý v 19 európskych krajinách podniká v oblasti poskytovania informačných služieb o firmách a podnikateľoch. Pravidlá ochrany osobných údajov sa zmenili a ovplyvnili aj spôsob spracovania a využívania informácií o firmách. Požiadavky, ktoré prináša GDPR, taktiež predstavujú nové výzvy pre podnikové informačné systémy a procesy.

 

Na ktoré údaje sa GDPR vzťahuje?

GDPR upravuje zaobchádzanie s osobnými údajmi fyzických osôb. Kontaktných údajov právnických osôb sa teda tento predpis priamo netýka. Osobnými údajmi však nie sú len údaje, ktoré obsahujú meno určitej osoby, ale aj pseudonymizované údaje a podobné informácie, ktoré sú síce na prvý pohľad zašifrované, ale ich spracovateľ je schopný ich spätne priradiť ku konkrétnej osobe. Typickým príkladom nepriamych osobných údajov sú telefónne čísla, čísla kreditných kariet, online identifikácia osôb alebo prístrojov (IP adresy, cookies).

Pre ochranu osobných údajov neplatia hranice

GDPR sa vzťahuje nielen na spoločnosti so sídlom v EÚ, ale aj na podniky so sídlom v niektorej tretej krajine, pokiaľ zároveň ponúkajú svoje služby občanom z krajín EÚ alebo spracovávajú osobné údaje občanov EÚ. To znamená, že sídlo spracovateľa osobných údajov nachádzajúce sa v zahraničí samo o sebe už neochráni prípadného previnilca pred dopadmi sankcií za porušovanie európskeho práva.

Čo sa s účinnosťou GDPR mení?

Po dvojročnom prechodnom období 25. mája 2018 nadobudlo účinnosť európske Všeobecné nariadenie o ochrane osobných údajov, známe ako GDPR (General Data Protection Regulation). Účelom GDPR je zjednotenie štandardov ochrany osobných údajov vo všetkých krajinách v rámci Európskej únie. Nariadenie GDPR v mnohých oblastiach zjednocuje požiadavky, ktoré boli v Slovenskej republike už vyžadované podľa zákona o ochrane osobných údajov.  Zmeny, ktoré vstúpili do platnosti, tak nepredstavujú úplne zásadné novinky, napriek tomu ale stanovujú nové povinnosti.

  • Vždy musí byť zabezpečená zákonnosť spracovania osobných údajov. Každý proces spracovania musí mať stanovený konkrétny účel a právny dôvod.
  • Dodržiavanie práv fyzických osôb (subjektov údajov) dotknutých spracovaním ich osobných údajov. K povinnostiam patrí zabezpečenie transparentnosti procesu spracovania, riadne informovanie, rovnako ako zodpovedanie prípadných otázok k rozsahu a účelu spracovania údajov. K právam subjektov údajov patria požiadavky ohľadom opravy alebo výmazu, obmedzenie ich spracovania alebo umožnenie prenosu osobných údajov medzi rôznymi správcami.
  • Privacy by design – ochrana osobných údajov sa musí brať do úvahy pri tvorbe nových produktov a služieb, aj pri nastavení všetkých procesov spracovania osobných údajov.
  • Musia sa udržiavať vhodné organizačné opatrenia zamerané na ochranu osobných údajov.

 

Čo GDPR znamená pre spracovateľa kreditných a marketingových informácií o firmách?

Bisnode vytvára databázy a zostavuje z nich informačné produkty, aby mohol poskytovať služby s rôznym účelom a pre odlišné cieľové skupiny. Preto zhromažďuje dáta z rozdielnych zdrojov a tieto dáta ďalej štruktúruje, segmentuje, radí, analyzuje a spracováva ešte predtým, ako sa dostanú do informačných produktov. Na Slovensku sa pritom sústreďuje na informácie o hospodárskej činnosti a výkonnosti podnikateľských subjektov na trhu (kreditné informácie), a tiež na vyhľadávanie informácií za účelom realizácie obchodných a marketingových stratégií alebo na tvorbu analýz trhu (marketingové informácie).

 

K zdrojom, na základe, ktorých Bisnode vytvára databázy, patrí priamy zber údajov (napríklad prostredníctvom rozhovorov cez telefón), verejné registre a úradné oznámenia (napríklad informácie z tlače alebo internetu), rovnako ako zmluvný partneri alebo iné spoločnosti zo skupiny Bisnode alebo globálneho hráča Dun & Bradstreet, ktorý je strategickým partnerom Bisnode.

Ochrana osobných údajov pre Bisnode predstavuje hlavný princíp a zároveň kľúčové opatrenie, ktoré vytvára vzájomnú dôveru. Zákazníci Bisnode celkom oprávnene očakávajú, že dostanú sprostredkovane len také údaje, ktoré boli zhromaždené a spracované podľa práva a zákonným spôsobom.

Ako Bisnode realizuje požiadavky v oblasti ochrany osobných údajov

GDPR obsahuje celú skupinu požiadaviek vrátane riadneho vytvárania dokumentácie pri procesoch spracovania údajov alebo prijatí vhodných ochranných a bezpečnostných opatrení. Spoločnosť Bisnode na tento účel zaviedla v celej skupine mimo iné softwarovo chránený systém tvorby dokumentácie, ktorý umožňuje štruktúrované zachytenie procesov spracovania údajov. Všeobecné nariadenie GDPR priznáva subjektom údajov práva, ktorá Bisnode v plnom rozsahu umožňuje uplatniť. Subjekt údajov má predovšetkým právo na to byť informovaný o spracovaní svojich osobných údajov. Ide hlavne o informácie o účele spracovania, totožnosti správcu, o jeho oprávnených záujmoch, o zdrojoch a príjemcoch osobných údajov. Rovnako tak zamestnanci Bisnode sú pravidelne školený ako všeobecne, tak aj s ohľadom na špecifické oblasti ochrany údajov a bezpečnosti informačných systémov.

Zákonnosť spracovania osobných údajov

Najdôležitejšou požiadavkou v oblasti ochrany osobných údajov je, že každý proces spracovania osobných údajov musí byť vykonávaný podľa zákonných predpisov, teda podľa GDPR.  Podnikanie Bisnode týkajúce sa poskytovania informácií na účel podpory podnikania zákazníkov v oblasti riadenia kreditného rizika sa riadi právnym titulom podľa článku 6 ods. 1 písm. f) GDPR, podľa ktorého GDPR dovoľuje spracovanie osobných údajov aj bez súhlasu subjektov údajov, ak spracovanie slúži oprávnenému záujmu a záujmy ochrany základných práv a slobôd dotknutej osoby neprevažujú. V oblasti spracovania kreditných údajov sa uznáva, že ochrana pred rizikom nezaplatenia pohľadávok a previerka dodávateľov alebo obchodných partnerov je primeraným dôvodom pre uplatnenie oprávneného záujmu. Na tento účel je možné obstarávať informácie o bonite podnikateľských subjektov od spoločností zaoberajúcich sa poskytovaním informácií o firmách, a oproti tomu môžu byť takéto informácie od poskytovateľov služieb, ako je Bisnode, zhromažďované a na vyžiadanie poskytované. Aj v oblasti tvorby marketingových a obchodných stratégií podnikateľských subjektov je prípustné využitie produktov za predpokladu, že oslovovanie klientov je postavené na oprávnenom záujme správcu a tento záujem nie je v rozpore so základnými právami a slobodami subjektov údajov. V prípade spracovania marketingových dát je nutné byť pripravený reagovať na prípadné námietky voči spracovaniu osobných údajov subjektov údajov na účely marketingu a také spracovanie eventuálne zastaviť. Bisnode dobu uloženia osobných údajov vo svojich informačných systémoch vždy starostlivo pomeruje s účelom spracovania s ohľadom na splnenie požiadavku minimalizácie uchovávaných údajov.

Zákazníci Bisnode, ktorí využívajú informačné systémy a dátové služby sa môžu spoľahnúť na to, že Bisnode vo všetkých krajinách, kde pôsobí, od zhromažďovania cez spracovanie až po odovzdanie údajov, dodržiava všetky relevantné právne rámcové podmienky.

Právo na ochranu dát nie je špeciálnym právom len pre spoločnosti, ktoré sa zaoberajú poskytovaním informácií o firmách alebo pre poskytovateľov informácií. Platí pre každého, kto osobné údaje spracováva. Požiadavky, ktoré prináša GDPR, tak predstavujú nové výzvy pre podnikové informačné systémy a procesy všetkých firiem. Bisnode je na GDPR pripravený a pomoc v tejto oblasti ponúka aj svojim zákazníkom. Klienti najčastejšie v Bisnode dopytujú overenie existencie jednotlivých kontaktov vo verejnej časti internetu, identifikáciu a vyčistenie firemných databáz o už neexistujúce a nerelevantné dáta a v neposlednej rade radia s prípravou a implementáciou procesov a všetkých potrebných dokumentov.

Petra Štěpánová

PR Director Bisnode CZ & SK

Prihlásiť sa na odber newslettera

Newsletter je určený pre všetkých záujemcov o tipy, trendy a inšpirácie v oblasti smart data.