gdpr-direct-marketing-АД Господинов и Генчев

Какви са изискванията на GDPR и PECR?

С влизането в сила на Общия регламент относно защита на данните (GDPR), много компании започнаха да си задават въпроса дали техният директен маркетинг отговаря на закона. Трябва ли винаги да искаме съгласие, за да изпращаме рекламни бюлетини? Ами ако имаме данните преди влизането в сила на Регламента? Как да докажем, че сме получили съгласието на клиентите си и че то още е валидно? Това са само част от неизвестните, които притесняват бизнеса във връзка с обработването на лични данни за целите на директния маркетинг. 

Въпреки широко разпространеното мнение, съгласие за получаване на маркетингови съобщения не винаги е необходимо – в повечето случаи самите клиенти очакват и искат да получават информация за продуктите, от които се интересуват. Често бизнесът може да разчита на своя легитимен интерес, но в точно определени от закона хипотези. За да знаем кои са текакто и кои права трябва да гарантираме на субектите на данни, трябва да познаваме изискванията на двата основни европейски актауреждащи защитата на данните при директен маркетинг – GDPR и PECR. 

Кои европейски актове регулират директния маркетинг? 

Защитата на личните данни е уредена по общ начин в GDPR (General Data Protection Regulation). Регламентът обаче не урежда всички особености, свързани с обработването на лични данни за целите на директния маркетинг. Важни разпоредби се съдържат и в т.нар. e-Privacy Directive (Директива 2002/58/ЕО), която регулира  защитата на личните данни в в сектора на електронните комуникации.  

Докато GDPR утвърждава общите изисквания за защита на личните данни и права на субектите, то e-Privacy Directive включва специални правила във връзка с маркетинговите съобщения, използването на „бисквитки“, трафични данни и данни за местоположението. Регулациите се занимават предимно с уредбата на непоисканите търговски съобщения, а такова е всяко едно съобщениекоето не е изрично и активно поискано от потребителя.

В България, основната част от e-Privacy Директивата е транспонирана в Закона за електронните съобщения (ЗЕС).

Правни основания за обработване на лични данни 

Принципът, съгласно GDPR, а и съгласно e-Privacy Директивата е ясен – за да се обработват лични данни, включително и за директен маркетинг, трябва да е налице законово основание за това. В общия случай основанията са два вида – съгласие и легитимен интерес.

Съгласно чл. 13, пар.1 от e-Privacy Директивата, осъществяването на все по-популярните форми на електронен маркетинг – изпращане на маркетингови съобщения чрез имейл, SMS или автоматични телефонни обаждания става само след предварително дадено съгласие на абоната. Но това не означава, че за другите форми на директен маркетинг не е необходимо съгласие или друго законово основание, за да може да бъдат обработвани личните данни на субектите. Напротив – общото изискване на чл.6 от GDPR за законност важи при всяка операция с данни на физически лица. Това се признава и от българския ЗЕС, който изисква съгласие на абоната за всички форми на директен маркетинг – чл.261, ал.1 ЗЕС, включително, например обаждане по телефон с участието на човек (неавтоматизирано). 

Често организациите могат да разчитат и на своя легитимен интерес, за да изпращат маркетингови съобщения на клиентите си. В този смисъл е и съображение 47 от GDPR, според което “…Обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради законен интерес.”. Въпреки това фактът, че бизнесът може да разчита на легитимния си интерес не означава, че във всеки случай това е законното правно основание за обработване. Преценката ще зависи от конкретната ситуация. 

Също така, GDPR задължава организациите, обработващи данни въз основа на легитимен интерес да дадат право на субектите да възразят срещу обработването. А когато то е за целите на директния маркетинг – възражението винаги се счита за основателно – чл.21, пар.3 GDPR.

Какво е soft opt-in и кога може да разчитате на него? 

Soft opt-in представлява предвидената в e-Privacy Директивата и чл.261 ЗЕС възможност компаниите да изпращат директни маркетингови съобщения на своите клиенти без да е необходимо да искат тяхното предварително съгласие. За да бъде това възможно, трябва да са налице следните предпоставки:   

  1. данните на клиента да са получени във връзка с реализиране на предходна търговска сделка или при преддоговорни отношения; 
  2. изпратеното съобщение рекламира единствено подобни стоки или услуги; 
  3. клиентът има възможност по лесен начин да откаже получаването на маркетингови съобщения както преди събирането на данните, така и при всяко следващо изпратено съобщение. 

Това означава, че ако искате да изпращате информационни бюлетини и промоции на потребителите на Ваши стоки и/или услуги, не е нужно да искате тяхното активно съгласие. Задължително обаче трябва да им предоставите възможност да се откажат от директния маркетинг, когато попълват данните си и преди да ги изпратят (напр. преди да купят стока през електронен магазин).

Съгласно ЗЕС, независимо от основанието  да се обработват личните данни на субектите при директен маркетинг, то осъществяването му ще е незаконосъобразно, ако:

1. не може да се идентифицира лицето, което ги изпраща, или 

2. съобщението не включва валиден адрес, на който получателят може да изпрати заявка за отказ от получаване на съобщения, или 

3. съобщението не отговаря на изискванията за прозрачност по Закона за електронната търговия, или насърчава получателите да посещават сайтове, които не отговарят на тези изисквания.

Права на субектите на лични данни 

Важно е да се отбележи, че без значение дали разчитате на легитимен интерес + soft opt-in, или на изрично съгласие, трябва да осигурите възможност на получателите по всяко време да възразят данните им да бъдат обработвани за целите на директния маркетинг. Това трябва да бъде направено възможно по най-лесния и удобен за тях начин. 

При всяко едно изпратено маркетингово съобщениесубектите на лични данни се ползват с пълна сила от всички правагарантирани им от GDPR. Затова трябва да сте сигурниче им предоставяте достатъчно информациякоято да Ви идентифицира при всяко едно маркетингово съобщениеОсвен това трябва да гарантиратече субектите могат по всяко време да поискат обновяването и редакцията на данните сикакто и че ще анонимизирате или изтриете всички техни данникоито не са Ви необходими за целите на директния маркетинг или на друго правно основание 

 

Заключение: 

Преди да побързате да искате съгласие за получаване на маркетингови съобщения, обмислете дали не можете да разчитате на законния си интерес като търговец да изпращате рекламни и промоционални материали на клиентите си. Ако сте получили данните им по повод направена от тях покупка, най-вероятно ще може да се възползвате от възможността за soft opt-in. В случай че разчитате на съгласие – обновявайте редовно маркетинговите си списъци, за да се убедите, че то е налично и дадено за конкретната цел. И в двата случая от изключително значение е да давате ясна информация на получателите кои сте Вие, както и да им осигурите възможност да се откажат да получават повече съобщения.  

Това е само основата на законосъобразния директен маркетинг. Ако искате Вашият бизнес да отговаря на всички законови изисквания и добри практики – свържете се с екипа на GGLaw и ние ще гарантираме, че осигурявате най-високите нива на защита на личните данни.  

Поискай консултация

 

    *Първоначалната консултация има за цел да Ви ориентира какъв тип услуга Ви е необходима във Вашия случай и колко струва тя. Съгласно, чл.9 и 45 от Закона за адвокатурата и чл.5 от Етичния кодекс на адвоката, опазването на Вашите тайни е наша основна мисия и клетвено задължение.

    ПУБЛИКАЦИИ

     

    Поискай консултация