Novosti, savjeti, primjeri iz prakse

Blog

gdpr-i-newsletter
11. prosinca 2017. | Piše: Dijana Kladar

GDPR i newsletteri

Vrlo često čujem diskusije poduzetnika koji izmjenjuju svoja iskustva uz slanje newslettera. Imaju razne ideje za načine na koje bi došli do baza svojih korisnika. Većinom ne znaju postupaju li u skladu sa zakonom i često spominju da je prikupljanje e-mail adresa za newslettere područje „sive zone“.

Postalo je uvriježeno mišljenje da je nebitno otkud ste prikupili nečije e-mail adrese u svrhu slanja newslettera ako ste naveli da se primatelj newslettera može u bilo kojem trenutku odjaviti.

No, to nije točno. Iako primatelj mora imati opciju odjave primanja newslettera, navedena opcija vas ne oslobađa odgovornosti ako nemate i pravni temelj za njihovo slanje.

Privole kao pravni temelj

Kod marketinških usluga se uglavnom sve svodi na privole. Nju morate imati kako biste nekoj osobi poslali newsletter i morate toj istoj osobi omogućiti da svoju privolu na jednostavan način povuče, odnosno da se odjavi s primanja newslettera.

Koristiti e-mail adrese koje je netko prikupio u tvrtki u kojoj je radio, a zatim ih upotrijebi u poslovanju kod nekog drugog poduzetnika, protivno je zakonu. Ako nadzorno tijelo to otkrije u vašem poslovanju  ili vas prijavi osoba čiju adresu koristite za promidžbu, možete biti kažnjeni novčanim kaznama i odgovarati za naknadu štete. Štetu koja je nastala potrebno je dokazati prema pravilima o odgovornosti za štetu koju propisuje naš Zakon o obveznim odnosima. Stoga pažljivo rukujte prikupljenim e-mail adresama, osigurajte privolu za njihovo korištenje i koristite ih isključivo u one svrhe za koje su osobe dale svoju privolu.

Polja za privole ne smiju biti unaprijed označena

Privola se može dati označavanjem polja kvačicom, a unaprijed označeno polje kvačicom ili pak manjak aktivnosti i šutnja ne smatraju se davanjem privole. Za davanje privole zahtijeva se aktivnost osobe koja je daje te zato nije prihvatljivo unaprijed označiti polje kvačicom. Ako se privola daje za višestruke svrhe, potrebno je dati privolu za svaku svrhu posebno, označavajući npr. svako polje zasebnom kvačicom.

Organizacija u trenutku provođenja nadzora nad svojim poslovanjem mora moći dokazati da je dobila privolu za korištenje osobnih podataka u svrhu marketinga. Pojedinac ima pravo u svakom trenutku povući svoju privolu, čime se ne dovodi u pitanje dopuštenost obrade osobnih podataka prije njezina povlačenja.

U nekim slučajevima ne morate voditi evidenciju aktivnosti

Organizacija koja šalje newslettere, prema GDPR-u, morat će, uz određene iznimke, voditi evidenciju aktivnosti obrade koju više neće morati prijavljivati Agenciji za zaštitu osobnih podataka.

Evidencija aktivnosti obrade se ne mora voditi ako imate manje od 250 zaposlenih, osim ako obrada osobnih podataka kod takvih organizacija nije povremena ili ako se radi o obradi koja će vjerojatno prouzročiti visoki rizik za prava i slobode pojedinaca. U tom slučaju, evidencija aktivnosti obrade osobnih podataka mora se voditi bez obzira na to koliko zaposlenika organizacija ima.

Prema sadašnjem Zakonu o elektroničkim komunikacijama, trgovac može upotrebljavati podatke o adresama elektroničke pošte koje je dobio od potrošača. Svrha upotrebe može biti izravna promidžba:

  • za prodaju isključivo vlastitih sličnih proizvoda
  • za prodaju isključivo vlastitih sličnih usluga

Uvjet je da ti potrošači imaju jasnu i nedvojbenu mogućnost besplatnog i jednostavnog prigovora na takvu uporabu podataka o adresama elektroničke pošte:

  • prigodom njihova prikupljanja
  • prigodom zaprimanja svake elektroničke poruke

u slučaju da potrošač nije unaprijed odbio takvu uporabu podataka.

Sa stupanjem GDPR-a na snagu, morat ćete osigurati privole potrošača za upotrebu njihove elektroničke pošte isključivo u svrhe za koje su dali svoju privolu.