Direktni marketing in GDPR

V prvem članku GDPR po GDPR smo na kratko predstavili trenutno pravno stanje z evropsko Splošno uredbo o varstvu podatkov v Sloveniji.

Kakšne omejitve prinaša GDPR direktnemu marketingu?

V prvem članku GDPR po GDPR (Komentar) smo na kratko predstavili trenutno pravno stanje z evropsko Splošno uredbo o varstvu podatkov (GDPR oz. Uredba) v Sloveniji.
Direktni marketing in GDPR

V prvem članku GDPR po GDPR smo na kratko predstavili trenutno pravno stanje z evropsko Splošno uredbo o varstvu podatkov v Sloveniji.

LinkedIn

Poleg predstavitve pravnega stanja smo tudi na kratko pokomentirali (ne)uspešne prakse implementacije v povezavi z razumevanjem namena in ciljev, ki jih je glede varstva osebnih podatkov postavila Evropska unija.

Ker se je v času pred in tudi po uveljavitvi GDPR maja 2018 v določenem delu poslovne javnosti (predvsem področja marketinga in spletnih storitev/trgovin) ustvaril (neutemeljen) strah, da Uredba prinaša konec spletne prodaje, se v drugem članku posvečamo vprašanju, kakšne omejitve prinašajo pravne spremembe direktnemu marketingu.

Pravne zahteve

Uredba kot eno ključnih vsebinskih razširitev varstva osebnih podatkov vpeljuje taksativno naštete pravne podlage. Zbiranje in obdelava osebnih podatkov je zakonita zgolj in le, če je opravljena na predpisani pravni podlagi. Te pravne podlage so soglasje, izvajanje pogodbe, zakonska obveznost, zaščita življenjskih interesov, izvajanje javne oblasti in zakoniti interes.

Poleg tega kot ključno obveznost upravljavca (organizacije, ki določa sredstva in namene zbiranja in obdelave) določa seznanitev posameznika z naslednjimi ključnimi informacijami v povezavi z osebnimi podatki:

  1. Kdo obdeluje osebne podatke posameznika
  2. Kateri osebni podatki se obdelujejo
  3. Zakaj se obdelujejo
  4. Komu so posredovani
  5. Koliko časa se bodo podatki hranili
  6. Katere pravice imajo posamezniki
  7. Obstoj profiliranja in avtomatiziranega odločanja
  8. Opredelitev obdelave za drug namen

Soglasje (e-novice)

Kot prvi primer napačnega razumevanja in aplikacije Uredbe bi izpostavili e-sporočila za potrditev soglasja za naročnino na e-novice, ki so jih podjetja in organizacije pošiljala pred in po 25. majem 2018. Iz neznanih razlogov se je večina ponudnikov pri reviziji obstoječe baze naročnikov e-novic oprla na soglasje in ne na druge bolj primerne pravne podlage.

Večina ponudnikov e-novic ob reviziji baze naročnikov na e-novice ni presojala, ali že obstaja veljavno soglasje naročnika skladno z GDPR ali spremenila pravne podlage za naročnino in o tem obvestila naročnike, ampak je ubrala domnevno operativno najlažjo pot in vsem svojim naročnikom poslala zahtevo po obnovitvi oz. ponovni potrditvi soglasja. Tovrstna praksa je bila iz več vidikov sporna in problematična iz naslednjih razlogov.

Kot rečeno bi morale organizacije opraviti revizijo ali so obstoječa soglasja veljavna tudi po zahtevah GDPR in na podlagi teh zaključkov sprejemati nadaljnje odločitve. Če bi ponudnik presodil, da veljavna soglasja obstajajo, bi moral svoje naročnike zgolj obvestiti, katere osebne podatke zbira in obdeluje o naročniku.

Če pa bi ponudnik presodil, da veljavnih soglasij nima, potem ne bi smel uporabljati e-poštnih naslovov za pošiljanje e-sporočil za obnovitev/ponovno potrditev soglasij, ampak bi moral naročniško bazo izbrisati in jo začeti graditi na novo, skladno z zahtevami GDPR.

Potrebujete pomoč pri implementaciji GDPR?

Pošljite nam mail na info@mladipodjetnik.si ali nas pokličite na 030 708 807.

Zakoniti interes (direktni marketing)

Največji absurd, ki se je pokazal ob zgoraj opisanem postopanju glede e-novic, je v tem, da že sam GDPR direktno nakazuje, da za namen direktnega marketinga soglasje ni najbolj primerna pravna podlaga.

V recitalu 47 Uredbe je namreč zapisano, da “se obdelava osebnih podatkov za neposredno trženje lahko šteje za opravljeno v zakonitem interesu.” Določeno zadržanost pri uporabi te pravne podlage je mogoče pripisati tudi zelo skopi ureditvi in omembi samega zakonita interesa v Uredbi.

Če je na eni strani ureditev soglasja v GDPR zelo vsebinsko konrektizirana s pogoji, je na drugi strani opredelitev zakonitega interesa skopa, saj določa zgolj:

[Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:] obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.”

Na podlagi teh zahtev se je izoblikoval t.i. test zakonitega interesa, ki je sestavljen iz treh delov:

  • Test namena: ali organizacija zasleduje zakoniti interes?
  • Test potrebnosti: ali je obdelava potrebna za ta namen?
  • Test uravnoteženosti: ali interesi posameznika prevladajo nad zakonitim interesom?

Poleg omenjenega direktnega marketinga GPDR že sam omenja oz. nakazuje, da je za namen obdelave podatkov o strankah ali zaposlenih, trženje, preprečevanje goljufij, prenose znotraj skupine ali varnost informacijske tehnologije primerna podlaga zakonitega interesa.

Sam recital 47 sicer postavlja še dodatne pogoje, in sicer da [zakoniti interes] “lahko predstavlja pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca.”

Tak zakoniti interes lahko na primer obstaja, kadar obstaja zadevno in ustrezno razmerje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, na primer kadar je tak posameznik stranka upravljavca ali dela zanj.”

V vsakem primeru bi bila za ugotovitev obstoja zakonitega interesa potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave.

“Tudi obdelava osebnih podatkov, nujno potrebna za preprečevanje zlorab, pomeni zakoniti interes zadevnega upravljavca podatkov.”

Za skladno uporabo je poleg samega besedila Uredbe potrebno upoštevati tudi mnenja in priporočila EDPB – European Data Protection Board (edpb.europa.eu), ki je nadomestilo Delovno skupino po 29. členu Direktive 95/46/ES, kot organ, ki Evropski komisiji daje strokovna mnenja s področja varstva osebnih podatkov. Posledično so se izoblikovali podrobni vprašalniki, ki organizaciji omogočajo poglobljeno vsebinsko presojo in izpolnitev testa zakonitega interesa.

Zaključimo lahko, da v primeru, da podjetje v internem postopku potrdi svoj zakoniti interes za zbiranje in obdelavo osebnih podatkov svojih naročnikov/uporabnikov za namen direktnega marketinga, pridobivanje soglasij ni potrebno.

Neželena komunikacija

Toda tovrstni zaključek trči ob določbo slovenskega Zakona o elektronskih komunikacijah, ki v 158. členu določa:

(1) Uporaba samodejnih klicnih in komunikacijskih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (npr. klicni avtomati, SMS, MMS), telefaksov ali elektronske pošte za namene neposrednega trženja je dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja.

(2) Fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni in ob vsakem sporočilu v primeru, da kupec ni zavrnil takšne uporabe že na začetku.

Ključen pogoj, ki ga ustvarjata citirana odstavka, je predvsem v tem, da naj bi imel posameznik možnost zavrnitve ob pridobitvi osebnih podatkov za namen direktnega marketinga, kar predpostavlja, da bi morali ponudniki pridobivati izrecno soglasje za definiran namen.

Ocenjujemo, da je tak zaključek pravno nevzdržen, predvsem zaradi primarnosti evropskega prava (hierarhično je evropska uredba višji pravni akt od slovenskega zakona). Določbe GDPR glede zakonitega interesa pa ne omogočajo tovrstne vsebinske konkretizacije z nacionalno zakonodajo.

Drugi razlog pa se izkaže v primerjalni analizi. EU direktiva, na podlagi katere je bil sprejet Zakon o elektronskih komunikacijah, določa, da se lahko uporabi elektronskega naslova za elektronsko pošto za namen neposrednega trženja (marketinga) ugovarja po pridobitvi elektronskega naslova, slovenski zakon pa je nepojasnjeno in neargumentirano ta prag zvišal na trenutek ob pridobitvi.

LinkedIn

Blaž Jamšek, univ. dipl. iur.

Blaž Jamšek, univ. dipl. iur, je pravnik, podjetnik in tehnološki navdušenec. Kot pravni svetovalec je specializiran za področja informacijske tehnologije, finančno-tehnoloških zagonskih podjetij in alternativnih metod investiranja.

Ima večletne izkušnje s pravnim svetovanjem mladim in zagonskim podjetjem. Te pridobiva ob delu z domačimi in tujimi podjetji različnih velikosti. V zadnjem času je Blaž med drugim prevzel tudi funkcijo senior pravnika v Zavodu mladi podjetnik, v okviru svojih nalog pa vodi tudi naše pravno svetovanje.

Elektronska pošta: blaz.jamsek (at) mladipodjetnik.si

Morda vas zanima tudi sorodna vsebina
Julija se obeta nov zakon o varstvu osebnih podatkov

Julija se obeta nov zakon o varstvu osebnih podatkov

Marca letos je Vlada RS oz. ministrstvo za pravosodje v javno obravnavo zainteresirani javnosti posredovala predlog dolgo pričakovanega novega zakona o varstvu osebnih podatkov (ZVOP-2). Iz obrazložitve predloga je zastavljena časovnica, da naj bi bil nov zakon sprejet ter uveljavljen julija 2019. Več >

Pregled posledic: kaj je prinesel GDPR?

Pregled posledic: kaj je prinesel GDPR?

Devet mesecev po uveljavitvi Splošne uredbe o varstvu osebnih podatkov, petih izvedbah MP delavnice o GPDR, konferenci pred uveljavitvijo ter več desetih strankah, ki smo jim pripravili zahtevane pravne akte in jih poučili o njihovih GDPR obveznostih, je prišel čas za kratek pregled in povzetek dogajanja pred in po uveljavitvi. Več >

Kršitev GDPR zakonodaje: Googlu naložena 50 milijonska kazen

Kršitev GDPR zakonodaje: Googlu naložena 50 milijonska kazen

Francoski informacijski pooblaščenec (CNIL), ki skrbi za spoštovanje zakonodaje na področju varovanja osebnih podatkov, je pri poslovanju spletnega giganta Google ugotovil kršitev določb uredbe GDPR. Podjetju je bilo naloženo plačilo kazni v višini 50 milijonov evrov, kar je do sedaj najvišja izrečena kazen na tem področju. Več >

GDPR: Uredba o varstvu podatkov

GDPR: Uredba o varstvu podatkov

GDPR - Splošna uredba o varstvu podatkov (SUVP) je meseca maja prinesla nova pravila in obveznosti za organizacije, ki pri svojem poslovanju obdelujejo osebne podatke med drugim bistveno strožji nadzor in omejitve pri uporabi osebnih podatkov o obiskovalcih spletnih strani in mest. Več >

Kako naj se manjša podjetja spopadajo z GDPR spremembami?

Kako naj se manjša podjetja spopadajo z GDPR spremembami?

Spremenjena ureditev GDPR je prizadela predvsem manjša podjetja. Kako naj se taka podjetja spopadajo z izzivi, ki jih prinašajo spremembe na področju varovanja osebnih podatkov oziroma kakšne mehanizme uporabiti, da bi se jim olajšalo prehod na nov način poslovanja? Več >

Inovativni načini, kako lahko podjetja spremembe na področju GDPR obrnejo v svoj prid

Inovativni načini, kako lahko podjetja spremembe na področju GDPR obrnejo v svoj prid

Prilagoditev novim pravilom na področju GDPR je številnim podjetjem predstavljala slabo voljo in težave. Vendar pa so se nekatera podjetja dobro pripravila na spremembe in z inovativnimi načini na njihov račun pritegnila še več privržencev. Kako jim je to uspelo? Več >

Je vaša spletna trgovina usklajena z uredbo GDPR?

Je vaša spletna trgovina usklajena z uredbo GDPR?

Ste v vašem podjetju storili vse potrebno, da zaradi kršenja Splošne uredbe o varstvu podatkov ali GDPR ne bi na vaš naslov priromala kakšna kazen s strani inšpektorjev? Več >

Priprava na Uredbo GDPR

Priprava na Uredbo GDPR

25.5.2018 se začne uporabljati Splošna uredba o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov. V naslednjih korakih vas bomo seznanili, kaj morate storiti pred uredbo. Pomembno je, da se zavedate, da je GDPR uredba, ki vas zavezuje, v primeru kršitev in neizpolnjevanja pravil, ki jih določa, pa so globe visoke. Več >

Kako bo nova politika varovanja zasebnosti vplivala na trženje

Kako bo nova politika varovanja zasebnosti vplivala na trženje

Na področju varovanja zasebnosti in podatkov se v kratkem obetajo pomembne spremembe. Kako bo nova politika vplivala na trženje? Več >

Oznake:,
© 2007-2025 Zavod mladi podjetnik, so.p. - Vse pravice pridržane |  Piškotki