U vrijeme neprekinutog rasta Internet marketinga, newsletter je postao jedan od uobičajenih i najisplativiji mehanizam za stvaranje odnosa s novim korisnicima, ali i za izgradnju i održavanje povjerenja sa postojećim. Međutim, ukoliko takav mehanizam ne ispunjava zahtjeve koji proizlaze iz GDPR ono poslodavce može koštati u obliku novčanih kazni ali i naknada šteta.
E-mail adrese za slanje newslettera tvrtke najčešće prikupljaju putem svoje web stranice kada kupac ostavlja svoje e-mail u svrhu kupovine proizvoda (roba ili usluge) ili kada se interesira za neki od proizvoda tvrtke ili pak iz javno dostupnih izvora.
Da li je u takvoj situaciji nužno uvijek prikupiti privolu kako bi slanje newsletter bilo u skladu s GDPR? Odgovor je ne. Međutim, koja će se točno zakonita osnova primjeniti uvijek će ovisiti o pojedinostima konkretne obrade kao i o vrsti usluge/proizvoda te radi li se o pravnoj ili fizičkoj osobi.
Naime, GDPR smatra da postoji legitimni interes tvrtke ili drugog voditelja obrade za potrebe izravnog marketinga. Međutim, da bi takav interes bio opravdan on mora zadovoljiti određene uvjete. U prvom redu, takav interes prethodno mora biti utvrđen temeljem provedenog testa razmjernosti. Zatim, moraju biti pružene sve relevantne informacije o obradi osobama čiji se podaci obrađuju i omogućiti im isticanje prigovora kao i upoznati ih sa pravima koje temeljem GDPR mogu ostvariti.
PRIMJER 1.
Prikupljanje e-mail adrese za slanje newslettera putem web stranice
Web stranica je mjesto putem kojeg tvrtka može nuditi svoje proizvode (roba ili usluge) ali i samo pružati informacije o svojim proizvodima kako bi potencijalne kupce zainteresirala za kupnju. Zbog toga često susrećemo formu za upis email adrese u svrhu primanja newslettera od tvrtke. Ipak, takva praksa često ne ispunjava očekivanja tvrtke u stvaranju željene baze kontakata, pa dio njih omogućuje dodatne pogodnosti uz koje nužno potrošač ostavlja svoj e-mail. Primjeri toga mogu biti web forme za dogovaranje poslovnog sastanka, slanje kataloga ili brošure tvrtke, probni period korištenja usluge i slično.
U navedenoj situaciji tvrtka ne mora tražiti izričiti pristanak za slanje newslettera već može temeljem svog utvrđenog legitimnog interesa nastaviti obrađivati takvu e-mail adresu radi dostave obavijesti o svojim proizvodima sve dok takav interes postoji ili dok vlasnik e-mail adrese ne prigovori, te obradu ograniči ili je potpuno zabrani.
Naime, GDPR navodi da se može smatrati da postoji opravdan legitimni interes tvrtke (voditelja obrade) u slučaju odgovarajućeg relevantnog odnosa poput one kada je vlasnik podatka, u ovom slučaju e-mail adrese, klijent te tvrtke. Pri tome nije nužno da je osoba već kupila proizvod, dovoljno je da je iskazala interes i stupila interakciju koja može dovesti do konkretne kupnje. Stoga ukoliko utvrdimo valjani legitimni interes, onda za slanje obavijesti o proizvodima i uslugama nije nužno prikupljati privole.
PRIMJER 2.
Prikupljanje e-mail adrese za slanje newslettera iz javno dostupnih izvora
Drugi čest slučaj je prikupljanje e-mail adresa za slanje newslettera iz javno dostupnih izvora temeljem utvrđenog legitimnog interesa tvrtke. Jednostavan primjer za takvu obradu daje nam Agencija za zaštitu osobnih podataka u slučaju kada tvrtka koja se bavi seminarima/edukacijama iz raznih područja želi uspostaviti novi marketinški kanal, koji bi obuhvatio službenike za zaštitu podataka u poslovnim subjektima. Obrada bi se sastojala u slanju newslettera s edukacijskim sadržajima za službenike za zaštitu podataka. U ovom slučaju može se smatrati da je dostava takvih materijala od koristi za navedene primatelje. Također, službenici za zaštitu podataka mogu realno očekivati da će se njihova e-mail adresa preuzimati sa web stranica u svrhu kontaktiranja vezano za posao koji obavljaju. Međutim, valjani legitimni interes tvrtka ne bi imala u slučaju da na tako prikupljene e-mail adrese službenika za zaštitu podataka šalje ponude za edukaciju u području npr. prodaje vozila ili knjigovodstva jer se isto ne može smatrati od važnosti za posao koji službenici obavljaju niti oni realno mogu očekivati da ih se kontaktira u vezi prodaje vozila ili knjigovodstva.
Obradu osobnih podataka u marketinške svrhe kao što je e-maila adresa, GDPR je već unaprijed predvidio i smatra ih opravdanim legitimnim interesom te stoga nije potrebna privola kada se radi o poslovnim e-mail adresama. No, da bi takav interes bio valjan, on nužno mora zadovoljiti određene uvjete i procedure. Uslijed nedovoljne jasnoće i neprimjerene usklađenosti sa GDPR, marketinška aktivnost zna se često provoditi ograničeno ili nezakonito. Da bi se to izbjeglo pravilna primjena GDPR u marketingu može biti korisni za rast čitavog poslovanja tvrtke.
Autori: Ines i Marko Krečak, Službenik za zaštitu podataka Feralis
Naše kolumne:
PoslovniPuls: Centar Feralis - Intervie
SEEBIZ.EU: GDPR & Društvene mreže
Glas Istre: Nove tehnologije & GDPR
Povezane teme:
Cotrugli Business School & Feralis Privacy Center: Webinar - GDPR & Marketing
Povezane usluge:
Službenik za zaštitu podataka - cjelokupna briga o zaštiti podataka
Usklađivanje poslovanja s GDPR
