S 25.5.2018 je pričela veljati Splošna uredba o varstvu podatkov oz. GDPR.
To je tudi glavni razlog, da ponudniki posametnike "zasipamo" z prošnjami za soglasje.
Namen uredbe je sicer plemenit, saj nas usmerja v smer, v katero naj bi kot informacijska družba šli, vendar pa marsikateremu podjetju povzroča sive lase, saj ne vedo, kaj za njih velja in kaj morajo urediti.
V naslednjem članku se bomo posvetili pošiljanju e-sporočil oz. e-mail kampanij po GDPR. Predvsem bomo poskušali odgovoriti na vprašanje, kaj mora podjetje storiti, da bo lahko e-kampanije pošiljalo tudi po 25.5.2018.
Začnimo na začetku. Kaj so osebni podatki
Splošna uredba določa, da "osebni podatek" pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom na katerega se nanašajo osebni podatki. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Osebni podatek je tako praktično vsak podatek, ki ga pridobimo, hranimo, obdelujemo od posameznika.
Osebni podatek je tako tudi e-naslov, razen v kolikor gre za splošni e-naslov podjetja, iz katerega ni mogoče prepoznati posameznika (več o tem v nadaljevanju).
Pošiljanje mailingov po 25.05.2018
Vsi smo v zadnjem času zasuti s sporočili, v katerih nas pozivajo k potrditvi ali k podaji soglasij. Glavni razlog za to je v konkretnejši opredelitvi soglasja v GDPR.
Ta namreč določa, da „privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.
Privolitev mora biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim. Privolitev lahko dana s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo.
To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov.
POZOR! Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.
Privolitev mora zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, je treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.
Za privolitev se domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi taka ločena privolitev bila v posameznem primeru ustrezna, ali če je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo, čeprav za zadevno izvajanje taka privolitev ne bi bila potrebna.
In od tu izhajajo vsa ta sporočila, ki jih prejemamo v zadnjem času. Da bi zadostili pogojem iz uredbe, ponudniki pošiljajo posameznikom nova soglasja, ki so skladna z uredbo. Večina soglasij pridobljenih namreč ne zadošča zgornjim pogojem.
Tudi mi potrebujemo soglasje za pošiljanje mailingov?
Kot omenjeno, večina soglasij novim pogojem ne ustreza. Tudi v kolikor ste majhno podjetje, ki je pridobilo e-poštne naslove od uporabnikov samih in prostovolno preverite ali razpolagate z ustreznim soglasjem, da mailinge pošiljate tudi še naprej.
Vsekakor boste morali novo, ustrezno soglasje pridobiti, če ste e-naslov pridobili s pogojevanjem (denimo v zameno za brezplačno e-knjigo, kot obvezno možnost pri registraciji, ipd.), oz. če soglasje vsebinsko iz katerega drugega razloga ni ustrezno novi uredbi.
Naj ponovimo. Čeprav ste do sedaj lahko pošiljali sporočila svojim uporabnikom in čeprav imate za to soglasje, pa je to soglasje skoraj gotovo premalo opredeljeno ali kako drugače ustrezno, da bi to lahko počeli tudi po uveljavitvi GDPR. Zato je zelo verjetno in priporočljivo, da pridobite novo soglasje, ki temu ustreza.
Soglasje za prejemanje mailingov po GDPR
|
Vsako soglasje, tudi soglasje za prejemanje e-sporočil mora po GDPR biti:
- prostovoljno,
- brez pogojevanja,
- dokazljivo (obdelovalec mora dokazati kdaj in kako je bilo soglasje dano),
- specifično, in dano zgolj za določen namen,
- informirano (posameznik mora vedeti za kaj daje soglasje in kakšne so njegove pravice),
ter mora pomeniti nedvoumen izraz volje soglašajočega, kar mora biti zajeto z jasnim in eksplicitnim potrditvenim dejanjem.
Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.
Pomembno je, tudi da upravljavec ne sme pogojevati storitve s soglasjem, razen če je obdelava potrebna za storitev.
 e-obrazec: Soglasje za prejemanje e-sporočil po GDPR (za elektronsko objavo)
Če je privolitev dana v pisni obliki, mora biti jasno razmejena od drugega besedila v konkretnem dokumentu in predložena na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku.
e-obrazec: Soglasje za prejemanje e-sporočil po GDPR (fizična oblika) |
|
Soglasje za prejemanje e-sporočil po GDPR (za elektronsko objavo)
Soglasje za prejemanje e-sporočil po GDPR (fizična oblika) |
Vsebina soglasja za prejemanje mailingov po GDPR
Ob pridobitvi soglasja mora upravljavec zagotoviti točne in popolne informacije o vseh pomembnih vprašanjih, vključno z vrsto podatkov, ki se obdelujejo, namene obdelave, identiteto upravljavca in identiteto vseh drugih prejemnikov podatkov.
Ko posameznik poda soglasje, mora poznati:
- identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja,
- kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja,
- namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo,
- v primeru avtomatizirane obdelave, zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba,
- uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo in
- podatke o prenašanju podatkov v tretjo državo.
Dodatno tudi:
- obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
- obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
- kadar obdelava temelji na privolitvi, obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
- pravico do vložitve pritožbe pri nadzornem organu;
- ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
- obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Osnovne in jasne informacije so lahko podane že v soglasju, konkretnejše in podrobnejše informacije pa naj bodo navedene v politiki varstva osebnih podatkov, do katere naj bo posameznik napoten v soglasju. Vsebina tako soglasja, kot tudi politike osebnih podatkov morata biti predložena v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku.
e-obrazec: Politika ravnanja z osebnimi podatki po GDPR |
|
Politika ravnanja z osebnimi podatki po GDPR |
Za splošne e-naslove podjetja soglasje NI potrebno
Kot pojasnjuje informacijski pooblaščenec, je lahko objekt varstva osebnih podatkov le posameznik, torej fizična oseba, in ne pravna oseba.
V kolikor gre tako za poslovni e-naslov, iz katerega se ne da razbrati posameznika, ponovnega soglasja ne potrebujete.
info@podjetje.com
marketing@podjetje.com
podpora@podjetje.com
... |
NI
potrebno ponovno soglasje |
ime.priimek@podjetje.com
ime@podjetje.com
priimek@podjetje.com
... |
JE
potrebno ponovno soglasje |
Obveščanje obstoječih kupcev
Kot omenjeno, je potrebno za pošiljanje e-mailingov posameznikovo izrecno soglasje, skladno z GDPR, razen če gre za splošni e-naslov podjetja ali če imate podlago v drugih zakonih, denimo v Zakonu o elektronskih komunikacijah.
ZEKom-1 v 158. členu določa, da lahko fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni in ob vsakem sporočilu v primeru, da kupec ni zavrnil takšne uporabe že na začetku.
Pri tem mora biti jasna identiteta pošiljatelja, v imenu katerega se sporočilo pošilja, in z veljavnim naslovom, na katerega lahko prejemnik pošlje zahtevo za prenehanje pošiljanja takih sporočil.
Prav tako se lahko uporabi elektronski naslov fizičnih oseb za elektronsko pošto, če ta elektronski naslov pravna oseba javno objavi kot svoj kontaktni elektronski naslov.
Seveda pa je potrebno omeniti, da lahko na tej podlagi le pošiljate e-sporočila. Nimate denimo soglasje za statistično obdelavo in analizo teh sporočil. Zato tudi v tem primeru predlagamo, da pridobite soglasje, ki ustreza GDPR.
Zato tudi v tem primeru predlagamo, da pridobite novo, ustrezno soglasje.
Kako pridobim novo soglasje za pošiljanje e-sporočil?
V kolikor za pošiljanje e-kampanij uporabljate katerega od sistemov za množično pošiljanje e-kampanij, se lahko obrnete nanj in preverite kako pridobite novo soglasje. Večina jih ponuja možnost ustvarjanja kampanij za pridobivanje soglasij. Nekaj informacij za nekatere ponudnike smo zbrali spodaj.
Soglasja pridobite tudi, v kolikor sporočila pošiljate ročno. V tem primeru bi priporočali, da uporabnike pozovete, da na vaši spletni strani izpolnijo novo ustrezni soglasje, ali da vam soglasje podajo v odgovoru na vaše sporočilo, ali pa od njih pridobite celo pisno soglasje. Pomembno je, da soglasje ustreza novim zahtevam, ter da ste sposobni kdaj in kako ste ga pridobili.
e-obrazec: Soglasje za prejemanje e-sporočil po GDPR (za elektronsko objavo)
e-obrazec: Soglasje za prejemanje e-sporočil po GDPR (fizična oblika)
Povežite se z nami...
Koristne povezave v zvezi s člankom:
Pravni dokumenti:
Soglasja:
Pravilniki in interni akti:
Pogodbe in sklepi:
Brezplačni pravni članki in priročniki: