Ali pomeni izročitev poslovne vizitke soglasje za zakonito obdelavo osebnih podatkov po GDPR?

By Urban Kryštufek, partner v ITLAW

Prenehanje uporabe pravil ZVOP-1 glede obdelave osebnih podatkov za namene neposrednega trženja

Od 25.5 2018 naprej bo v Sloveniji neposredno začela veljati Splošna Uredba o varstvu osebnih podatkov 2016/679 (General Data Protection Regulation,  v nadaljevanju GDPR). S predmetnim dnem bodo tako prenehala veljati specifična pravila obstoječe zakonodaje (Zakon o varstvu osebnih podatkov, ZVOP-1) glede obdelave osebnih podatkov (v nadaljevanju: OP) za namene neposrednega trženja, ki bodo zamenjana z bolj splošnimi relevantnimi pravili GDPR.

Neposredno trženje na podlagi prevlade zakonitih interesov upravljavca

GDPR za razliko od ZVOP-1, kjer je za primere neposrednega trženja (praviloma) potrebno soglasje posameznika (razen če upravljavec pridobi OP iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti), katerega OP se obdelujejo, poleg soglasja kot zakonito pravno podlago za tovrstne obdelave predvideva tudi primere ko zakoniti interesi upravljavca OP (ali tretje osebe) prevladajo nad temeljnimi pravicami in svoboščinami posameznika (f. točka 1.odst. 6.člena v povezavi z recitalom 47). Recital 47 GDPR tako med drugim pravi, da se obdelava osebnih podatkov za neposredno trženje lahko šteje za opravljeno v zakonitem interesu. V nadaljevanju predmetni recital tudi pravi, da je potrebno pri ugotavljanju upravičenosti zakonitih interesov (konkretnega) upravljavca (ali tretje osebe) nad temeljnimi pravicami in svoboščinami posameznika (ki jih določa predvsem  Listina EU o temeljnih pravicah), upoštevati razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca. Kot primer zakonitega interesa predmetni recital navaja obstoj ustreznega (pravnega) razmerja med upravljavcem in prizadetim posameznikom.

Kdaj so predmetne okoliščine izpolnjene zaenkrat še ni popolnoma jasno, saj se relevantno stališče Delovne skupine iz člena 29 (WP 217, str. 51) nanaša na Direktivo 95/46/EG, vendar slednje vseeno lahko nudi koristno pomoč pri interpretaciji predmetnega pravnega standarda.

Ali bodo razumna pričakovanja prizadetega posameznika izpolnjena je odvisno od tega v kolikšni meri bo upošteval upravljavec informacijske dolžnosti iz 13. in 14. člena glede obdelave GDPR v primeru neposrednega trženja. Če bo upravljavec transparentno in izčrpno obvestil posameznika o predvideni uporabi OP za namene neposrednega trženja, bo posameznik lahko razumno pričakoval, da bodo njegovi OP uporabljeni skladno s predmetnim obvestilom.

Pri predmetni presoji je potrebno tudi upoštevati, da imajo posamezniki, ki so naslovniki ciljnega trženja, tudi pravico do ugovora (2.odst. 21.člena GDPR) na katero jih je potrebno (že ob prvem kontaktu) izrecno opozoriti (4.odst. 21.člena GDPR). Uporaba predmetne pravice ima za posledico, da se OP ne smejo več obdelovati za namene neposrednega trženja (3. odst. 21.člena GDPR). Potrebno je tudi upoštevati ali je prizadeti posameznik že stranka upravljavca oz. že uporablja njegove storitve (recital 47 GDPR). Nadalje je potrebno pri predmetni oceni upoštevati tudi splošna načela 1.odst. 5.člena GDPR, in sicer predvsem:

• zakonita obdelava OP


• načelo minimizacije obdelave OP


• točnost OP

Neodvisno od izvedbe potrebne ocene je potrebno upoštevati informacijske dolžnosti iz 13. in 14. člena GDPR.

Obdelava posebnih kategorij osebnih podatkov samo na podlagi izrecnega soglasja posameznika

Posebne kategorije osebnih podatkov iz 9.člena GDPR se lahko obdelujejo za namene direktnega marketinga zgolj na podlagi izrecnega soglasja posameznika.

Predmetno je predvsem relevantno za podjetja iz področja zdravstvene industrije (lekarne, bolnišnice, sanatoriji, optike, itd.).

Posebne meje iz 3. točke 10. člena Zakona o varstvu potrošnikov pred nepoštenimi poslovnimi praksami (ZVPNPP)

Tudi skladno z novo regulativo (GDPR) ni možno neposredno trženje na podlagi prevlade zakonitih interesov upravljavca v primeru uporabe kontaktnih podatkov potrošnikov za trženje po telefonu, telefaksu, sms-ih, elektronski pošti (ali drugem ustreznem sredstvu za sporazumevanje na daljavo), ampak zgolj (kot že dosedaj) na podlagi izrecnega soglasja posameznika. Vse drugo ne bi bilo združljivo z jasno določbo 3 tč. 10. člena ZVPNPP (tovrstno trženje brez izrecnega soglasja posameznika predstavlja agresivno poslovno prakso) in razumnimi pričakovanji prizadetega posameznika (recital 47 GDPR). Potrebno bodo tudi počakati v kolikšni meri bo predvidena ePrivacy Uredba (nadomestila naj bi ePrivacy direktivo) vsebovala specifične določbe na področju elektronskega (neposrednega) trženja (npr. izključno opt-in rešitve), saj je zadevna zakonodaja na predmetnem področju glede na GDPR lex specialis.

Veljavnost obstoječih privolitev

Obstoječe privolitve so še vedno veljavne, če so v skladu z relevantnimi pogoji iz GDPR (recital 171 GDPR). Privolitev mora biti tako dana z jasnim pritrdilnim dejanjem, ki pomeni, da posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazi soglasje k obdelavi OP v zvezi z njim (11. točka 4.člena GDPR v zvezi z recitalom 32 GDPR). To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik sprejema predlagano obdelavo svojih OP. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev mora zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, je potrebno privolitev dati za vse namene obdelave (recital 32 GDPR). Tako lahko upravljavec takšno obdelavo še naprej izvaja po datumu začetka uporabe GDPR, če obstoječa privolitev izpolnjuje prej navedene pogoje. Pri tem je potrebno med drugim tudi preveriti ali obstoječe privolitve izpolnjujejo pogoje iz 7.člena GDPR in ali je upoštevana starostna meja za privolitev z zvezi s storitvami informacijske družbe (1.odst. 8.člena GDPR).

Primer iz prakse pri trženju storitev družb korporativnim strankam

Družbe praviloma tržijo svoje storitve korporativnim strankam na podlagi predstavitev svojih storitev in produktov slednjim v njihovih poslovnih prostorih. Pri zadevnem trženju pride praviloma do izmenjave posetnic med predstavniki  družb in potencialnih korporativnih klientov. Postavlja se vprašanje ali lahko predstavnik družbe na podlagi prejete posetnice s strani predstavnika bodoče stranke, na elektronski naslov slednjega (naveden na tej posetnici) posreduje reklamni material v zvezi s storitvami in produkti, ki jih ponuja njegova družba, torej na podlagi tihe privolitve oz. konkludentnega ravnanja predstavnika potencialnega klienta (izročitev posetnice).

V predmetnem primeru B2B trženja je potrebno najprej povedati, da je elektronski naslov, ki pripada posamezniku njegov osebnih podatek, in to ne glede na to, ali gre za njegov zasebni elektronski naslov (npr. janez.novak@gmail.com) ali njegov službeni osebni elektronski naslov (npr. janez.novak@podjetje.si). Zato mora imeti podjetje v tem primeru ustrezno pravno podlago za izvajanje neposrednega trženja. Zakoniti interesi družbe (kot upravljavca OP v tem primeru) kot ustrezna pravna podlaga za izvajanje direktnega trženja ni podan, saj so razumna pričakovanja posameznika glede na razmerje do družbe, da bo preko službenega osebnega elektronskega naslova (ali druge ustrezne komunikacijske poti) sicer prejel določeno vsebino s strani predstavnika zadevne družbe, vendar pa bo imel pri tem možnosti izbire ali bo sporočila komercialne vsebine sprejel ali ne (t.j. možnost opt-in). Predmetna tiha privolitev tudi ne more predstavljati veljavnega soglasja po GDPR, saj je lahko privolitev veljavno dana le z jasnim pritrdilnim dejanjem, kar pa izročitev posestnice seveda ni, kot je bilo že podrobno obrazloženo zgoraj.

Zato mora predmetna družba na službeni elektronski naslov dotičnega posameznika poslati elektronsko sporočilo, ki vsebuje (tehnično) možnost, da posameznik sprejme ali zavrne reklamni del predmetnega sporočila. Pri oblikovanju predmetne opt-in klavzule je potrebno upoštevati relevantne določbe GDPR (11. točka 4.člena v zvezi z recitalom 32, 7. člen v zvezi z recitalom 42 in drugim stavkom recitala 43). Poleg tega mora zadevno sporočilo izpolnjevati zahteve glede informacijskih dolžnosti po 13. in 14.členu GDPR. Zadevna družba je skladno z 2.odst. 5. člena GDPR dolžna tudi dokazati, da ima zakonito pravno podlago za obdelovanje OP v tem primeru. Zadevno elektronsko sporočilo predstavlja ustrezen dokument za dokazovanje skladnosti s predmetno določbo.

Drakonske kazni v primeru nezakonitega obdelovanja osebnih podatkov za namene neposrednega trženja

GDPR (5a odst. 83. člena) predpisuje izredno visoke finančne kazni v primeru kršitev določb obdelave OP za namene direktnega marketinga, in sicer v znesku do 20.000.000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu (odvisno od tega, kateri znesek je višji).

Prihodnji pogled na obdelavo osebnih podatkov za namene neposrednega trženja

V kolikor obdelava OP za namene neposrednega trženja ne temelji na podlagi privolitve posameznika, se bo dopustnost obdelave OP za tovrstne namene v bodoče presojala na podlagi standarda zakonitega interesa upravljavca iz f. točke 1.odst. 6.člena GDPR. S tem GDPR razširja možnosti upravljavca za skladno izvajanje direktnega marketinga, kar obenem pomeni zmanjšanje pravic posameznika v primerjavi z ZVOP-1.

Ker sam GDPR (dovolj konkretno) ne opredeljuje vsebine predmetnega standarda, bi bilo priporočljivo, da bi se v zvezi s tem oblikovali enotni EU standardi (npr. v okviru vseevropskih pravil ravnanja). Pričakovati je tudi, da bo v zvezi s tem Evropski odbor za varstvo podatkov (po uveljavitvi GDPR bo zamenjal Delovno skupino iz člena 29) sprejel ustrezne smernice.