Obrada ličnih podataka u svrhu direktnog marketinga sa aspekta propisa Republike Srbije

Obrada ličnih podataka u svrhu direktnog marketinga sa aspekta propisa Republike Srbije

Obrada ličnih podataka za potrebe direktnog marketinga je vrlo važna tema s obzirom na to da direktni marketing predstavlja bitan aspekt poslovanja velikog broja kompanija.

U nastavku će biti više reči o tome kako zakon definiše direktni marketing i koje su glavne obaveze za kompanije koje koriste direktni marketing sa aspekta obrade ličnih podataka.

I. Zakonska definicija direktnog marketinga

Direktni marketing, u zakonu prepoznat kao direktno oglašavanje, članom 62. Zakona o oglašavanju („Sl. glasnik RS", br. 6/2016 i 52/2019 - dr. zakon) definisan je kao upućivanje oglasne poruke imenovanom ili na drugi način pojedinačno određenom licu i to:

1) na daljinu, putem dostave pismena ili drugih adresiranih pošiljki, ubacivanjem pošiljki u kućni sandučić za poštu ili na drugi način ostavljanje u određenom stambenom ili poslovnom prostoru, elektronskom poštom ili drugim vidom neposredne elektronske komunikacije;

2) neposrednim obraćanjem, uručivanjem materijala koji sadrži oglasnu poruku ili na drugi način putem lične komunikacije (prezentacija, promocija, putem telefona i sl.).

II. Obaveze kompanije - oglašivača sa aspekta obrade ličnih podataka

Poznato je da u praksi vrlo često kompanije, agresivnim marketinškim pristupom, slanjem i-mejlova i telefonskim pozivanjem, vrše obradu ličnih podataka bez adekvatnog zakonskog osnova, pritom kršeći i niz drugih obaveza, od kojih je najbitnije načelo transparentnosti u postupanju prilikom obrade ličnih podataka.

1) Koji je zakonski osnov za obradu ličnih podataka u svrhu direktnog marketinga?

S jedne strane Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS", br. 87/2018) uvodi legitimni interes rukovaoca kao novi zakonski osnov za obradu ličnih podataka, te u tom kontekstu u članu 37. pominje i direktno oglašavanje koje bi moglo da se vrši na osnovu legitimnog interesa rukovaoca kao zakonskog osnova za obradu ličnih podataka.

Ipak, Zakon o zaštiti podataka o ličnosti ne uređuje ovo pitanje na eksplicitan način, pre svega kao posledica činjenice da su istim inkorporisane samo normativne odredbe GDPR-a a ne uvodne odredbe GDPR-a koje predviđaju legitimni interes kao mogući osnov za obradu ličnih podataka.

Međutim, bez obzira na gore navedeno, treba imati u vidu da je pitanje zakonskog osnova za obradu ličnih podataka u Republici Srbiji regulisano posebnim zakonom.
Članom 63. stav 1 Zakona o oglašavanju definisano je da je za direktno oglašavanje prema fizičkim licima potrebna njihova prethodna saglasnost.

Dakle, pristanak, odnosno saglasnost je zakonski osnov za obradu ličnih podataka u svrhu direktnog marketinga.
Shodno stavu 4 istog člana, pristanak za direktno oglašavanje neće biti potreban jedino kada se oglašavanje vrši prema licima koja obavljaju profesionalnu ili poslovnu delatnost, u vezi sa tom delatnošću (poslovna komunikacija).

Ovaj izuzetak treba vrlo restriktivno tumačiti i u praksi u slučaju bilo koje dileme izbegavati primenu istog, odnosno ući u postupak pribavljanja pristanka za direktno oglašavanje. S obzirom na to da je bilo dosta pitanja u praksi, na ovom mestu treba napomenuti da je i i-mejl adresa lični podatak ukoliko se na bilo koji način može povezati sa identitetom određenog fizičkog lica.

2) Kakav pristanak treba da bude kako bi se obrada ličnih podataka u svrhu direktnog marketinga smatrala zakonitom?

Ovo je često pitanje koje se javlja u praksi, posebno u situacijama kada se pristanak pribavlja putem mejla. Kao što je mnogima poznato, shodno Zakonu o zaštiti podataka o ličnosti, pristanak mora biti dobrovoljan, određen, nedvosmislen i informisan.

Ono što kompanije često zapostavljaju prilikom pribavljanja pristanka za obradu ličnih podataka u svrhu direktnog marketinga jeste obezbeđivanje informisanosti ljudi pre davanja pristanka.
Kompanije su dužne da prilikom svake obrade ličnih podataka pruže licima čije podatke obrađuju sve informacije propisane članom 23. odnosno članom 24. Zakona o zaštiti podataka o ličnosti.

Iako nije izvor prava u Republici Srbiji, a u nedostatku domaće sudske prakse i mišljena, kao odgovor na pitanje kada je pristanak dovoljno informisan mogu biti od velike pomoći smernice Evropskog odbora za zaštitu podataka o ličnosti (EDPB).

Shodno smernicama i mišljenju EDPB-a, da bi kompanije obezbedile informisanost pristanka, sve tražene informacije mogu se dostaviti u više slojeva.

Tako, ukoliko se pristanak pribavlja putem mejla, prvi sloj informacija mogu dostaviti u mejlu i isti mora da sadrži najmanje sledeće informacije:

- podatke o kompaniji/rukovaocu;
- svrha obrade;
- kategorija ličnih podataka koji će biti predmet obrade;
- o mogućnosti odustanka od pristanka;
- o korišćenju ličnih podataka za automatizovano donošenje pojedinačnih odluka (ako je to slučaj);
- o mogućim rizicima prilikom prenosa ličnih podataka u države koje ne obezbeđuju adekvatni nivo zaštite (ako se vrši takav prenos).

Sve ostale informacije u vezi sa obradom ličnih podataka mogu se dostaviti u drugom sloju. Najbolja praksa bi bila da prilikom slanja prvog i-mejla prilog istog čini link do drugog nivoa informacija koji će voditi do obaveštenja u vezi sa obradom ličnih podataka koja se nalazi na veb-sajtu kompanije/rukovaoca.

Naravno, rukovalac uvek može da optira za integralni pristup, odnosno za pružanje svih informacija o obradi ličnih podataka odjednom, što često može biti i praktičniji pristup, posebno u slučajevima pribavljanja pisanog

pristanka, kada sama forma pristanka može u sebi sadržati sve informacije propisane zakonom.
S obzirom na fleksibilniji pristup zakonodavca, pristanak u navedene svrhe može se pribaviti i putem mejla, čak i usmenim putem s tim da usmeno davanja pristanka nije preporučjivo za kompanije imajući u vidu da je na rukovaocima teret dokazivanja postojanja pristanka.

Na kraju, ovde treba napomenuti da je potrebno voditi računa i o načelu minimizacije podataka, odnosno obrade samo onih podataka koji su neophodni radi ostvarenja svrhe zbog kojih su isti prikupljeni. Osim osnovnih podataka o imenu, prezimenu, i-mejlu, broju telefona i u nekim situacijama podatak o poziciji, drugi lični podaci neće biti neophodni za potrebe direktnog marketinga.

Autor teksta: Petar Mijatović