COMUNICARILE NESOLICITATE, CE SUNT? VORBIM SI DE PRIMELE AMENZI ACORDATE DE CATRE ANSPDCP PENTRU ACEASTA INCALCARE A GDPR.
Mesajele comerciale sau trimiterea de comunicari nesolicitate cu scop de marketing.
Ce sunt acestea? In cuprinsul Regulamentului GDPR nu gasim o definitie clara a acestora, insa avem cateva lamuriri in curpinsul ghidului lansat de Grupul de Lucru Art. 29, denumit ‘’Orientări privind procesul decizional individual automatizat și crearea de profiluri în sensul Regulamentului (UE) 2016/679’’ sunt cateva mentiuni cu privire la modul in care trebuie realizata aceasta prelucrare:’’În concordanță cu articolul 12 alineatul (2), operatorii care colectează date cu caracter personal de la persoane fizice pentru a le utiliza în scopuri de marketing direct trebuie ca, la momentul colectării, să aibă în vedere să pună la dispoziția persoanelor vizate o modalitate ușoară pentru a preciza că nu doresc ca datele lor cu caracter personal să fie utilizate în scopuri de marketing direct, mai degrabă decât să le solicite acestora să își exercite ulterior dreptul la opoziție’’.
In Romania, ANSPDCP nu a oferit prea multe detalii referitor la aceasta prelucrare, insa a indrumat doritorii sa consulte ghidul lansat de Grupul de Lucru art. 29, a carui varianta in limba romana o gasiti accesand linkul https://www.dataprotection.ro/servlet/ViewDocument?id=1602 .
Cele mai multe informatii legate de acest subiect le veti regasi in prevederile Legii 506/2004, care are un articol dedicat acestei prelucrari, este vorba de art. 12, plus multe alte referiri incluse. Aceasta lege o regasiti accesand site-ul ANCOM, linkul https://www.ancom.ro/uploads/articles/file/lege%20506_2004.pdf
Comunicarile nesolicitate in scop de marketing sunt acele comunicari care au ca scop final actiuni de marketing(vanzarea si promovarea unui bun, a unui produs, serviciu, etc.) si care sunt trimise catre un utilizator prin diverse canale de comunicare, in lipsa unei solicitari din partea persoanei respective.
Pentru a putea trimite aceste mesaje, un operator de date trebuie sa obtina consimtamantul persoanei in cauza, dar si sa lase activa optiunea de dezabonare/oprire/stopare a acestor comunicari. Este foarte important sa tineti cont de acest detaliu.
Un drept foarte important al persoanelor vizate, atunci cand prelucrarea se face pe baza consimtamantului, este acela de a le lasa libera optiunea de retragere a consimtamantului fara sa fie conditionata de absolut nimic.
Consimtamantul trebuie obtinut dupa ce persoana in cauza a fost informata, folosind termeni clari si usor de inteles, pentru ce anume va este necesar acest consimtamant, care sunt garantiile pe care le oferiti persoanei respective cu privire la protejarea datelor sale, care sunt datele de care aveti nevoie, scopul urmarit si faptul ca are dreptul oricand sa isi retraga consimtamantul, potrivit GDPR.
Cand o persoana isi retrage consimtamantul, trebuie sa puneti punct acelei prelucrari, exceptie fac situatiile in care exista un alt temei legal care sa permita continuarea prelucrarii.
Poate pentru ca nu avem inca acesta idee, de a respecta dreptul la viata privata, bine intiparita, poate ca aceasta cursa acerba dupa clientela noua sau poate dorinta nemarginita de a realiza un profit cat mai mare, determina pe multi dintre operatorii de date sa comita greseli, prin faptul ca nu respecta prevederile GDPR referitor la actiunile lor de marketing.
Un prim exemplu este cel al neregulilor constatate de inspectorii ANSPDCP in urma unui control realizat la sediul operatorului Elefant Online S.A.
S-a constatat faptul ca operatorul trimitea mesaje comerciale fara a avea, sau fara sa poata face dovada faptului ca a obtinut consimtamantul persoanelor vizate.
In comunicatul ANSPDCP se arata ca: ’’ Sancțiunea a fost aplicată întrucât operatorul nu a făcut dovada obținerii consimțământului prealabil expres și neechivoc pentru transmiterea de mesaje comerciale prin e-mail încălcându-se dispozițiile referitoare la comunicările nesolicitate prevăzute de art. 13 alin. (1) lit. q) din Legea nr. 506/2004.’’
ANSPDCP a primit o sesizare de la o persoana vizata care a reclamat faptul ca, desi se dezabonase atât pe site-ul operatorului, cât și prin link-urile de dezabonare din newslettere, acesta a continuat să primească din partea Elefant Online S.A. mesaje comerciale nesolicitate pe adresa sa de e-mail.
Mai exact, operatorul a creat posibilitatea de dezabonare insa nu s-a asigurat ca procesul este complet si operational. Trebuia sa se asigure ca, in situatia in care un client va alege optiunea de dezabonare, acesta nu va mai primi acele mesaje dupa exprimarea acestei optiuni.
IMPORTANT! Odata aplicata o astfel de masura, ea trebuie si testata. Este cel mai sigur si eficient mod de a descoperi daca lucrurile merg asa cum v-ati dorit sa mearga.
’’În acest context, s-a recomandat societății luarea măsurilor necesare respectării prevederilor art. 12 din Legea nr. 506/2004, în vederea transmiterii de mesaje comerciale prin mijloace de comunicare electronică numai cu consimţământul expres prealabil al destinatarilor’’ au mai transmis reprezentantii ANSPDCP. Aceste recomandari sunt bune pentru operatorul in cauza, insa si pentru toti ceilalti operatori care se afla in aceeasi situatie. Ce inseamna acest lucru?
Inseamna ca:
– este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare care nu necesită intervenţia unui operator uman, prin fax ori prin poşta electronică sau prin orice altă metodă care foloseşte serviciile de comunicaţii electronice destinate publicului, cu excepţia cazului în care abonatul vizat şi-a exprimat în prealabil consimţământul expres pentru a primi asemenea comunicări.
– avand in vedere cele mentionate mai sus, exista insa posibilitatea ca, dacă un operator de date obţine în mod direct adresa de poştă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, operatorul în cauză poate utiliza adresa respectivă în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare, pe care acesta le comercializează, cu condiţia de a oferi în mod clar şi expres posibilitatea de a se opune printr-un mijloc simplu şi gratuit unei asemenea utilizări, atât la obţinerea adresei de poştă electronică, cât şi cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus iniţial.
– este interzisă efectuarea de comunicări comerciale prin poştă electronică in cazul în care identitatea reală a operatorului este ascunsă sau nu se specifică o adresă valabilă la care destinatarul să poată transmite solicitarea sa referitoare la încetarea efectuării unor asemenea comunicări.
Acestea sunt prevederile art. 12 din legea 506/2004.
In cazul Elefant Online SA, sanctiunea a fost in valoarea de 10.000 lei.
Un alt caz, insa cu aceeasi problema constatata, a fost acela al INTELIGO MEDIA SA, operatorul din spatele platformei avocatnet.ro.
Aici avem de-a face cu o dilema. Poate va veti intreba de ce?
Ei bine, veti afla in cele ce urmeaza!
Mai intai sa vedem despre ce a fost vorba:
Din cele relatate in comunicatul de presa, aflam ca: ’’Sancțiunea a fost aplicată ca urmare a unor sesizări prin care se semnala faptul că pentru crearea unui cont nou pe website-ul avocatnet.ro se afișează o căsuță nebifată, cu un text alăturat cu următorul conținut: «Nu vreau să primesc „Personal Update”, informarea trimisă zilnic, gratuit, pe email, de avocatnet.ro». Potrivit acestor condiții stabilite de operator, în măsura în care un utilizator omite bifarea acestei căsuțe, el este automat abonat, respectiv e-mailul său este introdus automat în baza de abonați la această informare. Astfel, abonarea a avut loc în absența unei manifestări de voință din partea utilizatorilor, care să indice în mod clar acceptarea prelucrării în scopul stabilit de operator.’’
Unde a gresit operatorul? In primul rand este o incalcare grava a prevederilor GDPR cu privire la obtinerea consimtamantului, acesta trebuie sa fie rezultatul unei manifestari de vointa liber exprimata, specifică, în cunoştinţă de cauză şi clară. Operatorul avea obligatia de a se asigura ca persoana vizata si-a exprimat clar una din optiuni, de a se abona sau de a nu se abona. In situatia in care persoana vizata nu si-a exprimat niciuna din optiuni, atunci nu puteti considera ca daca nu a ales sa nu se aboneze, prin eliminare, probabil ca isi doreste sa se aboneze. GRESIT! GDPR prevede clar ca daca nu avem consimtamantul clar si liber exprimat al clientului atunci NU este legala acea prelucrare. Mare atentie la acest detaliu!
Mai multe detalii referitor la modul in care se obtine consimtamantul valid si situatiile in care NU vorbim de un astfel de consimtamant, gasiti in cuprinsul Regulamentului GDPR in considerentul (32) si cuprinsul articolului 7.
Prelucrarea bazata pe consimtamant trebuie sa intruneasca urmatoarele obligatii:
– Persoana vizată are dreptul să îşi retragă în orice moment consimţământul. Retragerea consimţământului nu afectează legalitatea prelucrării efectuate pe baza consimţământului înainte de retragerea acestuia. Înainte de acordarea consimţământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimţământului se face la fel de simplu ca acordarea acestuia;
– În cazul în care consimţământul persoanei vizate este dat în contextul unei declaraţii scrise care se referă şi la alte aspecte, cererea privind consimţământul trebuie să fie prezentată într-o formă care o diferenţiază în mod clar de celelalte aspecte, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu;
– În cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal;
– Consimtamantul poate sa nu fie valabil atunci cand vorbim de o subordonare sau dezechilibru al puterilor(exemplu: situatia unui angajat in raport cu angajatorul sau, o prelucrare pe baza consimtamantului nu este indicata in acest caz, fiind vorba de un dezechilibru, angajatul se simte constrans de raportul de subordonare si nu isi poate exprima liber vointa. La fel se intampla si in cazul autoritatilor publice);
Este clar faptul ca operatorul a gresit din aceasta privinta, dilema sta insa in alt aspect, si anume acela ca, e-mailurile pe care le trimitea operatorul nu contineau mesaje comerciale ci erau simple articole care informau abonatii cu privire la modificarile legislative, noutatile din domeniul juridic, etc.
Practic, operatorul nu transmitea aceste mesaje cu scop de marketing, ci de informare.
Daca operatorul va considera necesar sa mearga mai departe pentru a solicita lamuriri cu privire la modul in care s-a realizat aceasta investigatie, asteptam cu interes punctul de vedere al autoritatilor.
ANSPDCP a tinut sa precizeze faptul ca in cadrul investigatiei au semnalat ca nereguli faptul ca: ‘’
(1) Pentru transmiterea prin e-mail a informării zilnice, operatorul a prelucrat datele în baza unui temei legal neadecvat scopului, respectiv ”executarea unui contract’’.
(2) Operatorul nu a putut face dovada obținerii unui consimțământ explicit, în condițiile prevăzute de art. 7 din RGPD, pentru un număr de 4357 de utilizatori, cărora le-a prelucrat datele cu caracter personal.
(3) În acest context, subliniem că potrivit art. 7 din RGPD, în cazul în care prelucrarea se bazează pe consimţământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată şi-a dat consimţământul pentru prelucrarea datelor sale cu caracter personal. ’’
In acest caz sanctiunea a fost in valoare de 9000 Euro.