Ne koristim kartice lojalnosti - samo jednu za koju sam procijenila da mi je od koristi - ponajviše zato što želim maksimalno skratiti vrijeme kupnje i zadržavanja na blagajni.
A nakon što sam malo zavirila u njihove opće uvjete i tekstove koji se tiču zaštite osobnih podataka, shvatila sam da je dobro što sam bila skeptična.
Da me se krivo ne shvati - nisam paranoična i ne mislim da ikoga pretjerano zanimaju moje potrošačke navike, no malo je frustrirajuće vidjeti kako većina trgovaca zaštitu osobnih podataka shvaća kao nužno zlo te ulaže napore kako bi prikrila činjenicu da o potrošačima prikuplja mnogo više podataka od sadržaja njihove košarice te ih - puno važnije - prosljeđuje trećim stranama, i to često izvan granica EU.
U ovo sam se uvjerila nakon što sam iščitala uvjete zaštite osobnih podataka četiriju trgovaca - Konzuma za Multiplus karticu, Lidla za Lidl plus, DM-a za njihov program vjernosti te podatke vezane uz zaštitu osobnih podataka programa lojalnosti Bipe.
Koje osobne podatke, dakle, trgovine u Hrvatskoj prikupljaju od članova svojih programa vjernosti i jesu li oni uopće upoznati s time kako se dalje obrađuju?
Za početak, treba jasno reći kako je iz uvjeta ovih četiriju trgovaca prilično jasno da ste pristankom na sudjelovanje u programu dopustili da se o vama prikupljaju osnovni osobni podaci (ime, prezime, datum rođenja, a gdjekad i podaci o vašoj djeci), ali i većina podataka o vašim kupnjama ili potrošačkim navikama.
Profiliranje potrošača
Primjerice, Konzum tako prikuplja podatke o datumima i vremenima transakcija, podatke o prodajnom mjestu i potrošenom iznosu ili informaciju o načinu plaćanja, a Lidl, pak, navodi da pamti sve podatke o kupljenim proizvodima (količinu, vrstu, cijenu, ukupni iznos računa, vrijeme i vrstu plaćanja). DM također prikuplja informacije o kupljenim proizvodima, iznosu i valuti plaćanja, iskorištenim kuponima, podatke o prodajnom mjestu i konkretnoj poslovnici, a praktički iste podatke prikuplja i Bipa.
Ono što je zanimljivo jest da sve trgovine rade i profiliranje potrošača - na temelju kupljenih artikala prate uzorke ponašanja i stvaraju sliku o konkretnom kupcu - no osim Konzuma, koji to jedini navodi pod konkretnim člankom "profiliranje i automatska obrada osobnih podataka", ostali to pokušavaju prikriti, a Lidl ide čak toliko daleko da izbjegava koristiti pojmove "profil" ili "automatizirano donošenje odluka", iako je malo vjerojatno da to tvrtka ne bi činila.
Profiliranje je inače dopuštena praksa ako je potrošač za nju dao privolu ili je prethodno upoznat da je to ugovorna obveza za sudjelovanje u programu, no često toga nije svjestan s obzirom na to da bi prije uzimanja loyalty kartice trebao pročitati duge i sitno pisane tekstove uvjeta korištenja i pravila zaštite osobnih podataka, a za što je, nažalost, potrebna i značajna stručnost.
Posebno je zanimljivo vidjeti kakva zbrka nastaje kad potrošač pokušava saznati dijeli li trgovac njegove podatke s nekim trećim stranama, posebno s onima izvan EU ili zemljama kojima zaštita osobnih podataka baš i nije jača strana.
Kod Konzuma imamo apsurd - prvo izrijekom navode rečenicu "vaše osobne podatke ne prenosimo u treće zemlje", da bi u nastavku zaključili kako se potrošački podaci ipak mogu naći na području drugih zemalja, i to Sjedinjenih Američkih Država s obzirom na to da tvrtka surađuje s The Rocket Science Group LLC odnosno Mailchimpom (tvrtkom za e-mail marketing).
Zanimljivo je pritom kako Konzum navodi da potrošači zbog toga ne trebaju biti zabrinuti jer su s Mailchimpom sklopili ugovor koji sadrži standardne klauzule o zaštiti osobnih podataka odobrenih od Europske komisije, što je posve različito od informacija koje o suradnji s Mailchimpom potrošačima daje Bipa.
Ona puno transparentnije navodi da prijenos osobnih podataka u SAD za potrošača nije bezazlen - "postoji rizik da američke vlasti obrađuju vaše podatke u svrhu kontrole i praćenja, moguće bez ikakvog pravnog lijeka" - čime zapravo otvoreno priznaju kako ne postoji način da spriječe američke vlasti da zatraže uvid u osobne podatke koje tvrtka dijeli s Mailchimpom, i potom to još dodatno u svojim uvjetima korištenja podcrtavaju.
Sitni font
Realno, vjerojatnost da bi američke tajne službe zatražile podatke o korisnicima trgovina u Hrvatskoj nije velika, no zanimljivo je kako različite trgovine ovu opasnost za potrošača tretiraju na različite načine, a posebno što nadležno tijelo odnosno Agencija za zaštitu osobnih podataka očito nije pročešljala kakvu razinu zaštite podataka ima na stotine tisuća korisnika programa lojalnosti u zemlji.
Partnerska društva koristi i DM - iako ne navodi koja - a interesantan je i slučaj Lidla. Ta trgovina, naime, u odjeljku koji se bavi prijenosom podataka izvan EU ne želi izrijekom reći šalje li podatke izvan granica Europe, iako je iz prethodnih članaka posve jasno da to čini kroz suradnju s Googleom koji servere ima - a gdje drugdje nego na području Sjedinjenih Američkih Država ili im se odatle neograničeno pristupa.
Razočaravajuća je potom i činjenica da su uvjeti vezani uz osobne podatke uglavnom pisani nečitko i nerazumljivo, posebno u slučaju Multiplus programa koji je otisnut iznimno sitnim fontom i pisan tvrdim, pravničkim jezikom koji malo koji potrošač može razumjeti.
Lidl se potrudio - tekst je pregledan, s rečenicama koje su većinom prilagođene prosječnom čitatelju. Dosta je razumljivo pisan i tekst DM-a, iako iz njega, recimo, u određenim slučajevima nije jasno na koji se način obrađuju podaci i da li se anonimiziraju, a u slučaju Bipe tekst je razumljiv na početku, ali poslije postaje jako nepregledan.
Također, kod Bipe je jedan prilično sporan element. Naime, u tekstu navode da su podaci koje koriste "pseudonimizirani" te da se oni ne mogu dovesti u vezu s konkretnim korisnikom, što je netočno - s korisnikom u vezu ne mogu se dovesti isključivo anonimizirani podaci pa nije jasno je li ovdje riječ o pogrešci ili kršenju GDPR-a.
Nadzorna tijela
Kako je za Jutarnji list pojasnio profesionalac u području zaštite osobnih podataka, profesionalni službenik za zaštitu podataka za niz organizacija i autor portala GDPR Croatia, Igor Barlek, jedan od temelja GDPR-a treba biti pošten i transparentan odnos prema korisnicima, no ističe kako rijetko pronalazi slučajeve u kojima organizacije poznaju cjelovit okvir u području zaštite osobnih podataka, koji se ne sastoje samo od teksta GDPR-a, nego i od dodatnih Smjernica koje su na razini EU zajednički donijela nadzorna tijela.
"Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje mjere se obrađuju. Načelo transparentnosti podrazumijeva da svaka informacija i komunikacija u vezi s obradom osobnih podataka bude lako dostupna i razumljiva te se upotrebljava jasan i jednostavan jezik.
Posebno se zahtijeva da informacije budu transparentne, razumljive i lako uočljive, uz izbjegavanje pravnih izraza", pojašnjava Barlek te dodaje kako u digitalnom kontekstu kod pružanja informacija subjekti moraju slijediti slojevit pristup, odnosno kombinirati metode za osiguravanje transparentnosti i izbjegavati prekomjerne informacije.
Također, dodaje, transparentne trebaju biti i obavijesti o automatiziranom donošenju odluka, uključujući izradu profila što je čest slučaj kod loyalty programa trgovačkih lanaca, uz poštivanje općeg načela da kupci ne bi trebali biti iznenađeni takvom obradom osobnih podataka.
Takvi su propisi, a praksa je, očito, nešto drugačija.
Kao što je to slučaj i s brojnim drugim pravima u Hrvatskoj.
Imate prijedlog za veliku škrticu?
Pišite na
Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
