Kontaktne podatke fizičnih oseb je treba varovati skladno s pravili varstva osebnih podatkov, ne glede na to, ali gre za osebne kontakte vaših strank ali službene kontakte vaših poslovnih partnerjev. Najprej pa je treba razjasniti, ali sploh gre za takšne vrste podatek, ki ga je treba varovati kot osebni podatek. V nadaljevanju pa se vprašamo, ali se ga sme obdelovati, ker za to obstaja ustrezna pravna podlaga.
Osebni podatki so vsi podatki, ki posredno ali neposredno kažejo na posameznike.
Osebni podatki so, npr. naslov, elektronski naslov ali telefonska številka stranke, ki je fizična oseba pa tudi službeni elektronski naslov in službena telefonska številka zaposlenega pri poslovnem partnerju, ki z vami sodeluje.
V kategorijo varovanih osebnih podatkov pa NE sodijo podatki poslovnih subjektov, ki opravljajo neko dejavnost na trgu.
To velja tudi, kadar se ime in priimek (ki sta sicer osebna podatka), uporabljata kot del imena poslovnega subjekta (npr. Janez Novak, s.p.). Tak podatek ne šteje za varovan osebni podatek, saj kaže na poslovni subjekt in ne na posameznika. Ob tem poudarjamo, da je službeni kontaktni podatek zaposlenega pri poslovnem subjektu načeloma vedno varovan osebni podatek – ta podatek kaže na zaposlenega kot posameznika, saj lahko zaposleni tudi svoj služben telefon ali elektronsko pošto uporablja za zasebne namene. To pa ne velja, če se delodajalec odloči, da je javnost določenih osebnih podatkov zaposlenega pomembna za komunikacijo s strankami in kontaktne podatke javno objavi (106. člen ZVOP-1).
Med podatke, ki niso varovani osebni podatki Informacijski pooblaščenec šteje podatke o samostojnih podjetnikih, čebelarjih, kmetijskih gospodarstvih itd.
Pri tem pa je treba biti še posebej previden, ko poslovni subjekti za kontaktne podatke svoje dejavnosti uporabljajo svoje sicer osebne kontaktne podatke (osebni naslov, osebni e-naslov, osebni telefon). Ti podatki imajo dvojno vlogo. Če se uporabljajo kot podatki poslovnega subjekta (npr. za komunikacijo s tem subjektom), potem ne uživajo varstva osebnih podatkov. Kadar pa se uporabljajo kot podatki posameznika, potem gre za obdelavo osebnih podatkov, za kar je treba imeti pravno podlago (npr. posameznikovo privolitev).
Obdelava osebnih podatkov, ki jo pokriva Splošna uredba, je vsaka dejavnost z osebnimi podatki, ki se izvaja z avtomatiziranimi sredstvi oziroma dejavnost z osebnimi podatki, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. Ker je definicija obdelave osebnih podatkov izjemno široka, vanjo spada tudi hramba osebnih podatkov in njihova uporaba za različne namene. Namen obdelave osebnih podatkov je torej lahko različen, npr. za kontaktiranje zaposlenega pri poslovnem partnerju v zvezi z izvajanjem dogovorjenega posla ali pa za komunikacijo s stranko (potrošnikom) glede izvedbe naročila izdelka ali storitve ali pa za izvajanje neposrednega trženja. Glede na namen je treba zagotoviti ustrezno pravno podlago za obdelavo osebnih podatkov.
Kadar morate uporabiti kontakt (telefon, elektronska pošta, naslov, itd.) vaše fizične stranke (potrošnika), da mu, npr. pošljete naročen izdelek ali ga obvestite, da je naročilo pripravljeno za prevzem, ne boste potrebovali njegove vnaprejšnje privolitve. Obdelava osebnih podatkov je namreč dopustna tudi »kadar je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe« (člen 6 (1) (b) Splošne uredbe). Na navedeni pravni podlagi lahko tudi posredujete informacije o konkretni ponudbi, ko stranka na primer na obisku v prodajalni ali po elektronski pošti zahteva vašo ponudbo oz. predračun.
Isti podatek (npr. telefonsko številko), ki ste ga zbrali v zvezi s povpraševanjem stranke, pa ne morete na isti pravni podlagi uporabiti za namen obveščanja iste stranke o drugi ponudbi, ki ni neposredno povezana z opravljenim nakupom ali povpraševanjem (za namen neposrednega trženja). Pri neposrednem trženju veljajo posebna pravila, obdelava podatkov pa je načeloma dopustna le na podlagi predhodne privolitve. Od tega pravila so možne nekatere izjeme, npr. ko gre za obveščanje kupca prek elektronske pošte o podobnih izdelkih ali storitvah. Preberite več o pravilih neposrednega trženja in o izjemah.
Podatki kot, npr. službeni naslov elektronske pošte ali telefonska številka zaposlenega, so njegovi osebni podatki. Pri tem pa ne smemo zamenjevati podatkov zaposlenega s podatki poslovnega subjekta (npr. info@podjetje.si), ki niso varovani osebni podatki. Osebni podatki zaposlenega so podatki iz zbirke pri delodajalcu.
Ko zaposleni uporablja svoje kontaktne podatke za namen službene komunikacije, po pooblastilu delodajalca uporabi (svoj) kontakt iz zbirke pri svojem delodajalcu in ga posreduje tretji osebi (npr. poslovnemu partnerju). V tem delu gre za obdelavo osebnih podatkov zaposlenega s strani delodajalca v zvezi z delovnim razmerjem. Podlaga za takšno obdelavo podatkov je 48. člen Zakona o delovnih razmerjih, ki določa, da lahko delodajalec zbira, obdeluje, uporablja in posreduje tretjim osebam podatke svojih zaposlenih tudi, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
Ko pa zaposleni iz drugega podjetja prejme podatek o zaposlenem pri poslovnem partnerju (ki se npr. zabeleži v elektronski predal), postane del zbirke pri drugem upravljavcu. Tak podatek se hrani in drugače obdeluje na podlagi t.i. zakonitih interesov upravljavca (člen 6 (1) (f) Splošne uredbe o varstvu podatkov). Po Splošni uredbi je obdelava dopustna tudi, kadar upravljavec z obdelavo uresničuje svoj zakoniti interes in s tem pretirano ne poseže v pričakovano zasebnost posameznika. Pravna podlaga po točki (f) je v primeru poslovne komunikacije pogosto ustrezna pravna podlaga za obdelavo osebnih podatkov. Primeri so, ko se uporabi podatek skrbnika pogodbe za namen izvajanja konkretne pogodbe ali pa kontakt iz vizitke, pridobljene na sejmu ali poslovnem srečanju v zvezi z namenom za katerega je bil kontakt pridobljen.
Pri presoji, ali bo v konkretnem primeru podlaga po točki (f) ustrezna, se je vedno treba vprašati – ali je uporaba skladna z namenom zbiranja in ali lahko posameznik razumno pričakuje uporabo njegovih podatkov za tak namen. Če se uporabi kontakt iz vizitke za namen poslovne komunikacije, bo verjetno takšna uporaba dopustna. Če pa bi, npr. podatke iz vizitke objavili na svetovnem spletu, potem se takšna obdelava verjetno ne bi mogla šteti za združljivo s prvotnim namenom obdelave osebnih podatkov, saj zaposleni pri vaših poslovnih partnerjih ne morejo razumno pričakovati obdelave za ta namen.