Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.07.2019
Naslov: Preverjanje zadovoljstva strank
Številka: 0712-1/2019/1695
Vsebina: Bančništvo, Informiranje posameznika, Pravne podlage, Privolitev
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem navajate, da
ima vaša banka dejanske stranke, ki imajo z banko že vzpostavljeno poslovno razmerje in potencialne stranke, ki pri banki še nimajo sklenjenega nobenega pravnega posla, obenem pa izkazujejo interes za sklepanje le tega. Interes pokažejo na način, da banki pošljejo elektronsko pošto, kontaktirajo banko preko kontaktnega centra ali pa se zglasijo na sestanku v eni izmed poslovnih enot. Na sestanku pustijo bodisi telefonsko številko in/ ali e-naslov.

Želeli bi meriti zadovoljstvo glede izvajanja storitev tako pri dejanskih kot pri potencialnih strankah, in sicer po e-pošti ali s pomočjo SMS sporočil. Izvajanje storitev bi merili po standardu NPS (Net Promotor Score), kjer bi strankam zastavili vprašanje: »S kakšno verjetnostjo na lestvici od 1 do 5 bi dotično bančno storitev priporočili znancem oziroma prijateljem?«. Po prejetem odgovoru, bi strankam poslali ponovno SMS sporočilo, ki bi bilo odvisno glede na podano oceno. V ponovnem SMS sporočilu bi stranke vprašali, kako lahko bodisi izboljšamo storitev (v primeru nizke ocene) oziroma s čim smo jih tako navdušili (v primeru visoke ocene). V primerih, kjer bi bila ocena nizka, bi omenjeno obravnavali kot pritožbo v pristojnem oddelku. V tem primeru bi stranke klicali in omenjeno obravnavali v skladu s sprejetim internim pritožbenim postopkom.

Pri tovrstnem merjenju zadovoljstva strankam ne bi predstavljali nobenih novih storitev oziroma nadgrajevali obstoječih. Zanima vas, ali mora taka stranka podpisati soglasje, s katerim bi se strinjala, da se meri njeno zadovoljstvo z opravljenimi storitvami oziroma kontaktiranjem, upoštevaje 13. in 14. člen Splošne uredbe. Podatke boste uporabljali za lastno analizo in nadgradnjo bančnih storitev, vse skupaj z namenom preseganja pričakovanj strank.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP uvodoma pojasnjuje, da je obdelava osebnih podatkov na podlagi člena 6 (1) Splošne uredbe zakonita le in kolikor je izpolnjen eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

IP, kot vam je v telefonskem pogovoru že pojasnil, poudarja, da je odgovornost vsakega upravljavca samega, da za posamezno obdelavo osebnih podatkov najde ustrezno pravno podlago. Glede na opisano situacijo bo za kontaktiranje potencialnih in obstoječih strank najbolj primerna pravna podlaga v informirani privolitvi posameznika (6(1)a) Splošne uredbe), potencialno pa tudi v zakonitih interesih (6(1)f) Splošne uredbe), po ustrezni in dokumentirani presoji dopustnosti uporabe te pravne podlage v konkretnem primeru.

 

Na prvi pogled se sicer zdi možna pravna podlaga za obdelavo osebnih tudi pogodba (točka b prvega odstavka 6. člena Splošne uredbe), vendar le pod pogojem, da bi bilo to objektivno nujno za izvedbo pogodbe, kar pa je malo verjetno. V nadaljevanju vam posredujemo nekaj informacij v zvezi s to pravno podlago. Določba 6(1)b) člena Splošne uredbe dopušča zakonito obdelavo tudi v primeru potrebnosti za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Razlaga, kdaj je »obdelava potrebna za izvajanje pogodbe«, mora biti stroga ter zožujoča, upoštevaje načelo najmanjšega obsega podatkov iz člena 5 Splošne uredbe. Določba 6(1)b) člena Splošne uredbe namreč ne pokriva primerov, v katerih obdelava ni resnično potrebna za običajno izvedbo pogodbe. Pri tem zgolj dejstvo, da so nekateri podatki predmet določene pogodbe, še ne pomeni, da je obdelava avtomatično potrebna za njeno izvrševanje. Obenem pa to tudi ne pomeni, da je obdelava osebnih podatkov, ki niso potrebni za izvedbo pogodbe, na splošno nedopustna, vendar mora za to obstajati druga pravna podlaga iz 6(1) člena Splošne uredbe (npr. privolitev). Za presojo, ali je pravna podlaga po členu 6(1)b) Splošne uredbe primerna za obdelavo osebnih podatkov, je treba najprej ugotoviti vsebino pogodbe, predvsem predmet in kavzo, nato pa v zvezi s tem oceniti, kateri podatki so potrebni za izvedbo takšne pogodbe. Obdelava podatkov in namen izvajanja pogodbe morata biti neposredno in objektivno povezana. Iz smernic Odbora za varstvo osebnih podatkov, ki jih najdete na povezavi (v angleškem jeziku) https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-22019-processing-personal-data-under-article-61b_en, izhaja (gl. točka 45 in 46), da načeloma obdelave osebnih podatkov, ki so namenjene izboljšavi storitev, niso objektivno nujne za njeno izvedbo.

 

Ne glede na pravno podlago, na kateri temelji obdelava, je treba posamezniku, na katerega se nanašajo osebni podatki, zagotoviti določene informacije v zvezi z obdelavo. Osebni podatki se lahko zbirajo neposredno od posameznika ali pa iz drugega vira. V primeru, da se podatki pridobijo neposredno od posameznika, je v členu 13 Splošne uredbe določeno, katere informacije mora upravljavec posamezniku v teh primerih zagotoviti. V skladu z recitalom 61 bi bilo treba posameznike, na katere se nanašajo osebni podatki, o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali kadar se osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo posamezniku. Informacije, s katerim morate seznaniti posameznika, lahko posredujete tudi na posebnem obrazcu.  

 

V primerih, ko osebnih podatkov ne pridobite od posameznika, na katerega se nanašajo, pa morate ravnati v skladu s členom 14 Splošne uredbe, ki opredeljuje informacije, ki jih mora upravljavec zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo. Člen 14(5) pa določa izjeme, ko se odstavki 1 do 4 ne uporabljajo in ena izmed takšnih izjem je točka c), ki določa, da informacij o obdelavi osebnih podatkov ni potrebno zagotoviti, kadar je pridobitev in razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki. 

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

      

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka