Kakšne omejitve prinaša GDPR direktnemu marketingu?

| 25. 4. 2019
V prvem članku GDPR po GDPR (Komentar) smo na kratko predstavili trenutno pravno stanje z evropsko Splošno uredbo o varstvu podatkov (GDPR oz. Uredba) v Sloveniji.
Direktni marketing in GDPR

V prvem članku GDPR po GDPR smo na kratko predstavili trenutno pravno stanje z evropsko Splošno uredbo o varstvu podatkov v Sloveniji.

Poleg predstavitve pravnega stanja smo tudi na kratko pokomentirali (ne)uspešne prakse implementacije v povezavi z razumevanjem namena in ciljev, ki jih je glede varstva osebnih podatkov postavila Evropska unija.

Ker se je v času pred in tudi po uveljavitvi GDPR maja 2018 v določenem delu poslovne javnosti (predvsem področja marketinga in spletnih storitev/trgovin) ustvaril (neutemeljen) strah, da Uredba prinaša konec spletne prodaje, se v drugem članku posvečamo vprašanju, kakšne omejitve prinašajo pravne spremembe direktnemu marketingu.

Pravne zahteve

Uredba kot eno ključnih vsebinskih razširitev varstva osebnih podatkov vpeljuje taksativno naštete pravne podlage. Zbiranje in obdelava osebnih podatkov je zakonita zgolj in le, če je opravljena na predpisani pravni podlagi. Te pravne podlage so soglasje, izvajanje pogodbe, zakonska obveznost, zaščita življenjskih interesov, izvajanje javne oblasti in zakoniti interes.

Poleg tega kot ključno obveznost upravljavca (organizacije, ki določa sredstva in namene zbiranja in obdelave) določa seznanitev posameznika z naslednjimi ključnimi informacijami v povezavi z osebnimi podatki:

 1. Kdo obdeluje osebne podatke posameznika
 2. Kateri osebni podatki se obdelujejo
 3. Zakaj se obdelujejo
 4. Komu so posredovani
 5. Koliko časa se bodo podatki hranili
 6. Katere pravice imajo posamezniki
 7. Obstoj profiliranja in avtomatiziranega odločanja
 8. Opredelitev obdelave za drug namen

Soglasje (e-novice)

Kot prvi primer napačnega razumevanja in aplikacije Uredbe bi izpostavili e-sporočila za potrditev soglasja za naročnino na e-novice, ki so jih podjetja in organizacije pošiljala pred in po 25. majem 2018. Iz neznanih razlogov se je večina ponudnikov pri reviziji obstoječe baze naročnikov e-novic oprla na soglasje in ne na druge bolj primerne pravne podlage.

Večina ponudnikov e-novic ob reviziji baze naročnikov na e-novice ni presojala, ali že obstaja veljavno soglasje naročnika skladno z GDPR ali spremenila pravne podlage za naročnino in o tem obvestila naročnike, ampak je ubrala domnevno operativno najlažjo pot in vsem svojim naročnikom poslala zahtevo po obnovitvi oz. ponovni potrditvi soglasja. Tovrstna praksa je bila iz več vidikov sporna in problematična iz naslednjih razlogov.

Kot rečeno bi morale organizacije opraviti revizijo ali so obstoječa soglasja veljavna tudi po zahtevah GDPR in na podlagi teh zaključkov sprejemati nadaljnje odločitve. Če bi ponudnik presodil, da veljavna soglasja obstajajo, bi moral svoje naročnike zgolj obvestiti, katere osebne podatke zbira in obdeluje o naročniku.

Če pa bi ponudnik presodil, da veljavnih soglasij nima, potem ne bi smel uporabljati e-poštnih naslovov za pošiljanje e-sporočil za obnovitev/ponovno potrditev soglasij, ampak bi moral naročniško bazo izbrisati in jo začeti graditi na novo, skladno z zahtevami GDPR.

Zakoniti interes (direktni marketing)

Največji absurd, ki se je pokazal ob zgoraj opisanem postopanju glede e-novic, je v tem, da že sam GDPR direktno nakazuje, da za namen direktnega marketinga soglasje ni najbolj primerna pravna podlaga.

V recitalu 47 Uredbe je namreč zapisano, da “se obdelava osebnih podatkov za neposredno trženje lahko šteje za opravljeno v zakonitem interesu.” Določeno zadržanost pri uporabi te pravne podlage je mogoče pripisati tudi zelo skopi ureditvi in omembi samega zakonita interesa v Uredbi.

Če je na eni strani ureditev soglasja v GDPR zelo vsebinsko konrektizirana s pogoji, je na drugi strani opredelitev zakonitega interesa skopa, saj določa zgolj:

[Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:] obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.”

Na podlagi teh zahtev se je izoblikoval t.i. test zakonitega interesa, ki je sestavljen iz treh delov:

 • Test namena: ali organizacija zasleduje zakoniti interes?
 • Test potrebnosti: ali je obdelava potrebna za ta namen?
 • Test uravnoteženosti: ali interesi posameznika prevladajo nad zakonitim interesom?

Poleg omenjenega direktnega marketinga GPDR že sam omenja oz. nakazuje, da je za namen obdelave podatkov o strankah ali zaposlenih, trženje, preprečevanje goljufij, prenose znotraj skupine ali varnost informacijske tehnologije primerna podlaga zakonitega interesa.

Sam recital 47 sicer postavlja še dodatne pogoje, in sicer da [zakoniti interes] “lahko predstavlja pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca.”

Tak zakoniti interes lahko na primer obstaja, kadar obstaja zadevno in ustrezno razmerje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, na primer kadar je tak posameznik stranka upravljavca ali dela zanj.”

V vsakem primeru bi bila za ugotovitev obstoja zakonitega interesa potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave.

“Tudi obdelava osebnih podatkov, nujno potrebna za preprečevanje zlorab, pomeni zakoniti interes zadevnega upravljavca podatkov.”

Za skladno uporabo je poleg samega besedila Uredbe potrebno upoštevati tudi mnenja in priporočila EDPB – European Data Protection Board (edpb.europa.eu), ki je nadomestilo Delovno skupino po 29. členu Direktive 95/46/ES, kot organ, ki Evropski komisiji daje strokovna mnenja s področja varstva osebnih podatkov. Posledično so se izoblikovali podrobni vprašalniki, ki organizaciji omogočajo poglobljeno vsebinsko presojo in izpolnitev testa zakonitega interesa.

Zaključimo lahko, da v primeru, da podjetje v internem postopku potrdi svoj zakoniti interes za zbiranje in obdelavo osebnih podatkov svojih naročnikov/uporabnikov za namen direktnega marketinga, pridobivanje soglasij ni potrebno.

Neželena komunikacija

Toda tovrstni zaključek trči ob določbo slovenskega Zakona o elektronskih komunikacijah, ki v 158. členu določa:

(1) Uporaba samodejnih klicnih in komunikacijskih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (npr. klicni avtomati, SMS, MMS), telefaksov ali elektronske pošte za namene neposrednega trženja je dovoljena samo na podlagi naročnikovega ali uporabnikovega predhodnega soglasja.

(2) Fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev pod pogojem, da kupcu ponuja jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega elektronskega naslova takrat, ko so ti podatki za stike pridobljeni in ob vsakem sporočilu v primeru, da kupec ni zavrnil takšne uporabe že na začetku.

Ključen pogoj, ki ga ustvarjata citirana odstavka, je predvsem v tem, da naj bi imel posameznik možnost zavrnitve ob pridobitvi osebnih podatkov za namen direktnega marketinga, kar predpostavlja, da bi morali ponudniki pridobivati izrecno soglasje za definiran namen.

Ocenjujemo, da je tak zaključek pravno nevzdržen, predvsem zaradi primarnosti evropskega prava (hierarhično je evropska uredba višji pravni akt od slovenskega zakona). Določbe GDPR glede zakonitega interesa pa ne omogočajo tovrstne vsebinske konkretizacije z nacionalno zakonodajo.

Drugi razlog pa se izkaže v primerjalni analizi. EU direktiva, na podlagi katere je bil sprejet Zakon o elektronskih komunikacijah, določa, da se lahko uporabi elektronskega naslova za elektronsko pošto za namen neposrednega trženja (marketinga) ugovarja po pridobitvi elektronskega naslova, slovenski zakon pa je nepojasnjeno in neargumentirano ta prag zvišal na trenutek ob pridobitvi.

Kategorija: Novice, Zakonodaja


Jaz tebi!