Objavljeno: 19.4.2019.
Nastavno na Vaš upit koji je zaprimila ova Agencija vezan za obradu osobnih podataka u svrhu marketinga (uključujući slanje newsletter-a) sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:
Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije, pa tako i u Republici Hrvatskoj, izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119.
Navedena Opća uredba o zaštiti podataka u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi, a pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.
Zaštita koja se pruža Općom uredbom o zaštiti podataka u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište. Njome se ne obuhvaća obrada osobnih podataka koja se tiče pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe (uvodna izjava 14. Opće uredbe o zaštiti podataka). S druge strane, svaki podatak koji se odnosi na fizičku osobu, bilo da djeluje u okviru svojih poslovnih aktivnosti ili ne, je osobni podatak koji je zaštićen Općom uredbom o zaštiti podataka, uzimajući u obzir obrtnike, samostalna zanimanja i fizičke osobe koje imaju položaj poduzetnika.
S tim u vezi navodimo kako se službeni (poslovni) e-mail i službeni (poslovni) broj mobitela smatraju službenim podacima, međutim ukoliko se pomoću strukture (adrese internetskog protokola) službenog e-maila može direktno ili indirektno identificirati određena fizička osoba, on se ujedno smatra i njenim osobnim podatkom, a ne samo službenim te se u tom slučaju primjenjuju odredbe Opće uredbe o zaštiti podataka. Također, važno je naglasiti da se poslovni e-mail i poslovni broj mobitela koriste u svrhu službenog (poslovnog) kontaktiranja vezanog uz djelatnost pravne osobe te se u druge svrhe ne smiju koristiti.
Što se tiče slanja reklamnih materijala i sl. navodimo kako se komunikacija sa ispitanicima može i ostvaruje na različite načine, primjerice slanjem personaliziranih pisama poštom, kontaktiranjem putem telefona, a osobito koristeći razvoj tehnologije (putem elektroničke pošte, SMS-om, MMS-om, skočni prozori tzv. Pop-up i sl.).
Napominjemo kako Opća uredba o zaštiti podataka ne definira što je izravni/direktni marketing, međutim on obuhvaća sve promidžbene ili marketinške materijale, a ne samo komercijalni marketing.
Općenito govoreći za svaku obradu osobnih podataka u točno određenu svrhu mora postojati relevantna pravna osnova, pa tako i za marketing.
Osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanje svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenje količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti) (članak 5. Opće uredbe o zaštiti podataka).
Sukladno članku 6. Opće uredbe o zaštiti podataka obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ističemo članak 21. stavak 2. Opće uredbe o zaštiti podataka koji propisuje da ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom. Ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe. Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito mora skrenuti pozornost na navedeno pravo te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije.
Vezano uz navedeno, članak 17. stavak 1. točka c) Opće uredbe o zaštiti podataka propisuje da ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispitanik uložio prigovor na obradu u skladu s člankom 21. stavkom 2. (pravo na brisanje/pravo na zaborav).
Osim Opće uredbe o zaštiti podataka, u konkretnom slučaju, u primjeni je Zakon o elektroničkim komunikacijama („Narodne novine“, broj: 73/08, 90/11, 133/12, 80/13, 71/14 i 72/17) kao poseban zakon koji uređuje elektroničku komunikaciju. Naime u članku 107. stavak 1. predmetnog Zakona propisano je kako je uporaba automatskih pozivnih i komunikacijskih sustava bez ljudskog posredovanja, telefaksnih uređaja ili elektroničke pošte, uključujući SMS poruke i MMS poruke, u svrhu izravne promidžbe i prodaje dopuštena samo uz prethodno pribavljenu privolu pretplatnika ili korisnika usluga. Sukladno stavku 2. istog članka, fizička ili pravna osoba može upotrebljavati podatke o adresama elektroničke pošte, koje je pribavila od svojih potrošača u svrhu prodaje proizvoda i usluga, za izravnu promidžbu i prodaju isključivo vlastitih sličnih proizvoda ili usluga, uz uvjet da ti potrošači imaju jasnu i nedvojbenu mogućnost besplatnog i jednostavnog prigovora na takvu uporabu podataka o adresama elektroničke pošte prigodom njihova prikupljanja i prigodom zaprimanja svake elektroničke poruke, u slučaju da potrošač nije unaprijed odbio takvu uporabu podataka. Citirane odredbe predmetnog članka ne primjenjuju se na pozive pravnim osobama u svrhu izravne promidžbe i prodaje.
Prema tome, zakonita osnova za slanje newsletter-a bila bi privola (primjenjujući članak 107. stavak 1. Zakona o elektroničkim komunikacijama) odnosno legitimni interes (primjenjujući članak 107. stavak 2. Zakona o elektroničkim komunikacijama).
Kada govorimo o privoli, ona je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose (članak 4. stavak 1. točka 11. Opće uredbe o zaštiti podataka).
Prema uvodnoj izjavi 32. Opće uredbe o zaštiti podataka privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku ili usmene izjave. To bi moglo obuhvaćati označavanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom.
Nadalje, sukladno članku 7. Opće uredbe o zaštiti podataka, kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka, a ispitanik ima pravo u svakom trenutku povući svoju privolu.
Izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (uvodna izjava 42. Opće uredbe o zaštiti podataka).
Važno je napomenuti da ako se voditelj obrade odluči pozvati na privolu za bilo koji dio obrade, mora biti spreman pridržavati se te odluke i zaustaviti taj dio obrade ako ispitanik povuče privolu. Slanje poruke o tome da će se podaci obrađivati na temelju privole, uz istodobno pozivanje na neku drugu zakonitu osnovu, bilo bi u osnovi nepošteno prema pojedincima. Na primjer, nije dopušteno naknadno upotrijebiti osnovu legitimnog interesa za obradu ako je bilo problema s valjanošću privole. Zbog obveznog navođenja zakonite osnove na koju se poziva voditelj obrade u trenutku prikupljanja osobnih podataka, voditelj obrade mora prije prikupljanja odlučiti o tome koja će se zakonita osnova primijeniti.
Ističemo uvodnu izjavu 171. Opće uredbe o zaštiti podataka koja propisuje da ako se obrada temelji na privoli na temelju Direktive 95/46/EZ (koja je stavljena izvan snage) te ako je način na koji je ta privola dana u skladu s uvjetima iz Opće uredbe o zaštiti podataka, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene predmetne Opće uredbe o zaštiti podataka. Stoga u tom slučaju voditelj obrade ne mora ponovno tražiti privolu svojih korisnika.
Međutim, ukoliko voditelj obrade utvrdi da prethodno pribavljene privole ispitanika/korisnika prema starom zakonodavstvu (pribavljene prije stupanja na snagu Opće uredbe o zaštiti podataka) ne udovoljavaju standardima koje propisuje Opća uredba o zaštiti podataka, potrebno je da poduzme odgovarajuće mjere za ispunjavanje tih standarda, na primjer obnavljanje privole tako da bude u skladu s Općom uredbom o zaštiti podataka.
Nadalje, što se tiče legitimnog interesa kao zakonite osnove za obradu osobnih podataka, uvodna izjava 47. Opće uredbe o zaštiti podataka propisuje da legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu. Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga.
Slijedom navedenog, ukoliko između voditelja obrade i ispitanika postoji relevantan i odgovarajući odnos te ukoliko ispitanik može u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu, temelj za slanje newsletter-a je legitiman interes voditelja obrade. Budući da je obrada zakonita ako postoji najmanje jedan pravni temelj iz članka 6. stavak 1. Opće uredbe o zaštiti podataka, za slanje newsletter-a u opisanim okolnostima nije potrebno pribaviti i privolu ispitanika, već je sukladno citiranom članku 21. Opće uredbe o zaštiti podataka potrebno ispitaniku ostaviti mogućnost odjave odnosno da se usprotivi navedenoj obradi osobnih podataka.
Nadalje, što se tiče obrade osobnih podataka u svrhu marketinga putem telefona, sukladno članku 11.a Zakona o zaštiti potrošača („Narodne novine“, broj: 41/14 i 110/15) zabranjeno je upućivati pozive i/ili poruke putem telefona potrošačima koji su se upisali u registar potrošača koji ne žele primati pozive i/ili poruke u okviru promidžbe i/ili prodaje putem telefona. Navedeni registar vodi se pri Hrvatskoj regulatornoj agenciji za mrežne aktivnosti (u daljnjem tekstu: HAKOM). Upis i/ili ispis iz predmetnog registra obavljaju trgovci-operatori elektroničkih komunikacija (više o tome možete saznati na službenoj stranici HAKOM-a: URL: https://www.hakom.hr/hr/e-registar-ne-zovi/224).
Upis/ispis podataka u Registar „NE ZOVI“ obavlja operator koji s korisnikom telefonskog broja ima sklopljen pretplatnički ugovor ili se s istim nalazi u korisničkom odnosu unaprijed plaćene usluge, bez naknade, na temelju pisanog zahtjeva korisnika telefonskog broja upućenog operatoru putem posebnog obrasca i to osobno, pisanim putem ili putem elektroničke pošte s adrese koja je prethodno provjerena i registrirana pri operatoru kao adresa elektroničke pošte korisnika telefonskog broja (članak 6. stavak 1. Pravilnika o registru „NE ZOVI“, „Narodne novine“, broj: 47/16). Sukladno članku 8. navedenog Pravilnika, u slučaju promjene operatora i zadržavanja istog telefonskog broja, potrošač nije dužan ponovno zahtijevati upis/ispis iz Registra „NE ZOVI“.
Također, sukladno članku 47. stavak 1. Zakona o elektroničkim komunikacijama operatori javno dostupnih telefonskih usluga moraju redovito obnavljati javni imenik svojih pretplatnika, osim pretplatnika koji su u pisanom obliku izričito zabranili unošenje svojih podataka u imenik, a koji mora biti javno dostupan svim korisnicima usluga u prikladnom elektroničkom obliku.
Osim navedenog, sukladno članku 8. Pravilnika o sveobuhvatnom javnom imeniku i službi davanja obavijesti o pretplatnicima, „Narodne novine“, broj: 137/12), svaki pretplatnik javno dostupne telefonske usluge u javnim komunikacijskim mrežama ima pravo zatražiti uključivanje, povlačenje privole, odnosno brisanje svih ili dijelova vlastitih podataka iz objavljenih imenika ili nadopuniti sve ili samo dio podataka koji se odnose na njegovu pretplatu bez naplate troškova. Pretplatnik javno dostupne telefonske usluge u javnim komunikacijskim mrežama takav zahtjev dostavlja isključivo svom operatoru javno dostupne telefonske usluge.
Zaključno, Opća uredba o zaštiti podataka sukladno načelima poštene i transparentne obrade zahtijeva da je ispitanik informiran o postupku obrade i njegovim svrhama, stoga Vas upućujemo na odredbe članka 13. Opće uredbe o zaštiti podataka kojim je propisano koje je sve informacije voditelj obrade dužan pružati svojim ispitanicima ako se osobni podaci prikupljaju od ispitanika odnosno na odredbe članka 14. ukoliko osobni podaci nisu dobiveni od ispitanika.
