Korona i biznis
28. veljača 2020.

GDPR i direktni marketing - sve što MORATE znati 

Direktni marketing   
piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Velik broj aktivnosti direktnog marketinga pojedinih tvrtki i dalje se nastavio nesmetano odvijati, često potpuno neusklađeno sa zakonodavnim okvirom. U svrhu lakšeg snalaženja s usklađivanjem metoda direktnog marketinga, prenosim dijelove kontrolne liste ICO-a (op.a. Information Commissioner's Office – britansko nadzorno tijelo) vezane uz provjeru njihove usklađenosti s GDPR-om te dopunjenu dijelovima objavljenih mišljenja AZOP-a u područjima gdje su aplikativna na pojedinu smjernicu.

Tijekom provođenja planiranja aktivnosti direktnog marketinga vaša organizacija mora jasno definirati koji podaci će se prikupljati ili koji će se ranije prikupljeni podaci koristiti, dodijeliti odgovornosti i ovlasti za pristup tim informacijama te osigurati usklađivanje planiranih aktivnosti s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o elektroničkim komunikacijama (ZEK). Svakako morate na adekvatan način osigurati i nadzor zaštite podataka tijekom digitalne marketinške kampanje bilo da se odlučite dati odgovornost jednoj osobi ili imenovati nadzornu skupinu koja bi bila odgovorna za praćenje učinkovitosti zaštite osobnih podataka, osobito ako se radi o kampanjama koje u svojoj provedbi uključuju i angažman trećih strana.

Organizacija mora definirati sve politike i procedure zaštite osobnih podataka koje su u skladu s odredbama GDPR-a i ZEK-a, a koje će zaposlenicima koji provode aktivnosti direktnog marketinga ili angažiranim trećim stranama pružiti smjernice na koji način osigurati zakonitost postupanja tijekom provedbe kampanje. Politike i procedure moraju biti redovito ažurirane, a sve promjene redovito i u cijelosti komunicirane uključenim stranama. Organizacija mora mjeriti i učinkovitost zadanih organizacijskih i tehničkih mjera te provoditi procjene rizika od potencijalnih incidenata prilikom provođenja obrade osobnih podataka, kao i osigurati redoviti nadzor nad zadanim sustavom.

Edukacija iz područja direktnog marketinga

Svi djelatnici u vašoj organizaciji kojima je radno mjesto vezano uz marketing moraju biti upoznati s politikama i procedurama zaštite podataka, kao i svojim odgovornostima u tom kontekstu. Redovito informiranje o promjenama u zakonskoj regulativi ili ažuriranju postojeće dokumentacije doprinosi podizanju razine svjesnosti i održavanja odgovarajuće razine zaštite osobnih podataka. Ukoliko se ukaže potreba, zaposlenicima sa specifičnim ulogama u provođenju marketinških aktivnosti treba omogućiti i dodatne edukacije vezane uz zaštitu osobnih podataka.

Pravna osnova za obradu putem direktnog marketinga

Prema GDPR-u i ZEK-u, privola mora biti potvrdna radnja iz koje je jasno da je ispitanik pristao na korištenje njegovih osobnih podataka za direktni marketing. Unaprijed označena opt-in polja nisu dopuštena, a neaktivnost samog ispitanika ne podrazumijeva njegov pristanak na obradu.

Prilikom definiranja svrhe obrade dužni ste osigurati:

  • da je privola za direktni marketing odvojena od obrada koje imaju drugu svrhu
  • da je ispitanik informiran o svim kanalima marketinške komunikacije kojima će biti kontaktiran davanjem privole za korištenje svojih podataka (e-mail, SMS, call-centar, pošta itd.)
  • da ispitanik može odabrati željenu metodu kontaktiranja te da mu nije uvjetovano „sve ili ništa“ ukoliko ne pristane na neku od metoda – tzv. granularna privola
  • da je ispitanik informiran da li uz vašu organizaciju još neka treća strana na osnovu iste privole obrađuje njegove osobne podatke.

Morate biti u mogućnosti dokazati da ste provjerili identitet ispitanika prilikom davanja privole odnosno da netko nije dao privolu u tuđe ime (što u praksi predstavlja priličan izazov za provedbu), datum i vrijeme davanja privole, koje svrhe obrade ona pokriva i na koji način je dobivena od ispitanika. Također morate imati osiguranu mogućnost ažuriranja osobnih podataka ispitanika te morate čuvati dokaz na koji ste način informirali ispitanika o njegovim pravima u trenutku davanja privole.

Ukoliko u svom portfelju imate više brendova za koje prikupljate privole, povezanih usluga ili čak povezanih tvrtki, morate temeljito provjeriti za koji od njih je dana privola i ne koristiti je u svrhe promocije drugog brenda, usluge ili tvrtke osim ukoliko na privoli niste ispitanika i o tome informirali i dali mu mogućnost odabira. 

Prikupljanje privola putem on-line servisa za proizvode ili usluge koje koriste djeca zahtijeva i uspostavljanje sustava verifikacije starosti ispitanika, kako bi se osigurala zaštita ispitanika koji su mlađi od 16 godina, a za koje pristanak moraju dati roditelji ili staratelji.

Treba napomenuti da postoje i marketinške aktivnosti za koje nije nužno tražiti privolu ispitanika. Pravna osnova legitimnog interesa primjenjuje se u slučajevima gdje ZEK ne zahtijeva eksplicitnu privolu, što treba dubinski analizirati pri izboru metode marketinške komunikacije uz preporučenu provedbu tzv. LIA-e (Legitimate Interest Assessment) odnosno procjene legitimnog interesa.

Marketinške baze

Ukoliko posjedujete bazu kontakata koju koristite u marketinške svrhe, u svakom trenutku morate biti u stanju dokazati na koji način je dobivena privola ispitanika i koje su sve svrhe na njoj navedene. Baza mora biti uredno održavana i ažurirana, s pristupom odobrenim samo i isključivo ovlaštenim osobama koje provode predmetne marketinške aktivnosti. Dijeljenje baze s trećim stranama dopušteno je samo ukoliko je prilikom dobivanja privole ispitanik bio informiran o toj činjenici (i to morate moći dokazati) te tada s trećom stranom u Ugovoru o zaštiti podataka morate imati definirane odgovornosti obiju strana. U Izjavi o privatnosti morate navesti kojom metodom marketinške komunikacije se koristite, s kime dijelite prikupljene podatke, u koju svrhu se podaci prikupljaju, pravnu osnovu obrade podataka te na koji način ispitanici mogu povući svoju privolu ili uložiti prigovor.

Elektronička pošta

Prije slanja bilo kakvog marketinškog materijala morate biti sigurni da je ispitanik na to pristao putem „opt-in“ opcije odnosno dao svoj pristanak za slanje elektroničkih marketinških poruka e-mailom, tekstualnim, slikovnim ili video porukama. Postoji i mogućnost "soft opt-in" prijave prema dolje definiranim kriterijima.

"Soft Opt-in" znači da možete slati marketinške tekstove ili e-mailove postojećim kupcima ako:

  • ste dobili kontaktne podatke tijekom prodaje (ili pregovora o prodaji) proizvoda ili usluge toj osobi;
  • prodajete samo svoje slične proizvode ili usluge
  • ste ispitaniku omogućili mehanizam odjave s liste u svakoj poruci na jednostavan način.

Ako svoje kupce želite obavještavati o sličnim proizvodima ili uslugama i imate njihovu privolu za slanje marketinških materijala morate redovito ažurirati vašu bazu i prije svakog slanja provjeravati točnost podataka i definirani rok čuvanja podataka kako biste bili sigurni da je privola i dalje bila valjana. Neprofitne organizacije moraju obratiti posebnu pozornost prilikom slanja marketinških komunikacija tekstom ili e-mailom jer je primjena opcije soft opt-indopuštena samo u svrhe komercijalnog marketinga proizvoda i usluga.

Pošiljatelj marketinškog materijala mora pružiti ispitaniku informacije o svojoj tvrtki te mu osigurati mehanizam odjave iz vaše baze u svakoj poruci koja mu je upućena na način koji nije kompliciraniji od načina na koji je prvotno dao svoju privolu. Ispitanici svakako moraju imati osiguranu mogućnost prigovora i odjave čak i ako koristite pravnu osnovu legitimnog interesa za svrhu direktnog marketinga.

Poštanski marketing

U slučaju da vaša organizacija šalje svoje marketinške materijale putem poštanskih usluga, ispitanicima mora biti osigurana mogućnost prigovora i unutar organizacije uspostavljen proces administriranja prigovora unutar mjesec dana od zaprimanja. Također, morate ažurno voditi registar odjave s liste primatelja vaših marketinških materijala putem poštanskih usluga i promotivne materijale ne slati više tim putem na kontakte koji su se odjavili s te vrste distribucijskog kanala iako isti kontakti i dalje mogu biti prijavljeni na primanje vaših materijala putem drugih kanala (e-mail, sms i slično). Ljudi se odjavljuju s liste poštanskog marketinga ukoliko su često ili duže vremena odsutni s mjesta prebivališta ili boravišta kako bi se osigurali od provala u prostorije uslijed većeg nakupljanja poštanskog materijala koji ukazuje na njihovu odsutnost ostajući pritom i dalje prijavljeni na liste elektroničkog slanja promotivnih materijala istih tvrtki.

Čuvanje podataka

Uz definirane rokove i politiku čuvanja podataka morate uspostaviti procese kojima ćete omogućiti redovito ažuriranje podataka i uklanjanje svih podataka koji se ne koriste u definiranu svrhu te podataka koji su netočni ili zastarjeli. Ispitaniku moraju biti osigurana prava na ispravak i na brisanje njegovih osobnih podataka najkasnije u roku od mjesec dana od njegovog zahtjeva.

Podaci koje prikupljate aktivnostima direktnog marketinga trebaju biti primjereni, relevantni i ograničeni samo na ono što je svrha obrade. Dobro pratite rokove čuvanja podataka koje ste definirali u evidenciji aktivnosti obrade jer ste po njihovom isticanju dužni ukloniti tu bazu ili je u potpunosti anonimizirati.

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa te stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te usklađivanja poslovanja s europskom pravnom regulativom. Auditorica je najveće njemačke certifikacijske kuće TÜV NORD za međunarodne standarde sustava upravljanja informacijskom sigurnosti ISO 27001, sustava upravljanja društvenom sigurnosti i kontinuitetom poslovanja ISO 22301, sustava upravljanja kvalitetom ISO 9001 te sustava upravljanja za suzbijanje podmićivanja ISO 37001. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn