Oglasno sporočilo
Ana, poznamo vas iz kolumn v Večeru, v pol leta se je z vaše strani za podjetnike nabralo že kar nekaj koristnih informacij s številnih področij pravnih vprašanj, pa tudi iz rubrike na vaši spletni strani Vprašajte Ano, preden pa se lotiva iskanja odgovora na vprašanje iz naslova tega intervjuja, bi temo iz Mailchimpa, najbolj popularne aplikacije za pošiljanje množičnih elektronskih sporočil, razširila tudi na vse ostale tuje in domače ponudnike. Lahko za začetek pojasnite, ali obstaja kakšna razlika med email marketing orodji glede na sedež podjetij, ki jih ponujajo, se pravi, ali se nahajajo v Sloveniji oz. v EU ali izven EU?
Najbolj običajen primer iz slovenske prakse je, ko slovensko podjetje pošilja email sporočila slovenskim naslovnikom, ampak povsem ista pravila veljajo tudi, če se naslovniki nahajajo v EU ali pa tudi, če se nahajajo na primer v ZDA.
GDPR velja za vse pravne subjekte, ki imajo sedež v EU kot tudi za vse državljane EU. V primeru, da smo slovensko podjetje, ki izbere zunanjega ponudnika programske opreme za množično pošiljanje e-pošte, ki ima sedež v ZDA, se je potrebno zavedati, da z uporabo te programske opreme, osebne podatke dejansko prenesemo v ZDA.
Ker pa ZDA ni država, ki bi bila s strani EU pripoznana kot država, ki nudi ustrezno varnost osebnih podatkov, tukaj takoj naletimo na težavo. Zavezani smo namreč k skladnosti z GDPR, ker pa ZDA teh standardov ne izpolnjuje, se je potrebno poslužiti dodatnih varnostnih ukrepov in pravnih podlag, da zagotovimo skladnost poslovanja.
Če pa, nasprotno, izberemo ponudnika, ki ima sedež v EU, pa ne pride do prenosa osebnih podatkov v tretje države, saj za vse države članice velja GDPR in nam pri prenosu ni potrebno izpolnjevati dodatnih pogojev in zahtev.
Pomembno je, da pri izbiri programske opreme za množično pošiljanje e-pošte gledamo in smo pozorni na to, ali bazira v EU, in ne samo na to, ampak tudi, ali ima v EU tudi svoje strežnike, kjer se bodo naši osebni podatki shranjevali.
Ker če mi zaupamo podjetju, ki sicer ima sedež v EU, osebne podatke, pa jih oni shranjujejo na serverjih v tujini, smo še vedno prenesli svoje osebne podatke v tujino.
Če imamo pošiljatelja e-pošte, ki ima vse skupaj v EU, to se pravi vse serverje in vse podatke, smo si seveda olajšali pot in bomo lažje zagotovili varnost osebnih podatkov, saj je tak ponudnik zavezan z GDPR in dolžan zagotavljati enako varstvo kot mi. Če pa, na primer, izberemo ameriškega ponudnika, pa pride do prenosa osebnih podatkov v tretje države, zato moramo zagotoviti da bo za varstvo osebnih podatkov poskrbljeno na enak način kot v EU. To pa je seveda težje pri velikih korporacijah, ker mi kot njihovi odjemalci nimamo prav dosti vpliva na to, na kakšen način jih bodo oni varovali.
Navadno gre za vzemi ali pusti rešitev, tako da se s tem izpostavljamo večjim tveganjem, ker ponavadi niti nimamo informacij, ali to podjetje dejansko varuje osebne podatke tako, da bomo mi lahko izpolnjevali zahteve GDPR.
Ali obstaja razlika tudi glede na to, ali pošiljatelj obdeluje bazo, ki se tiče prejemnikov iz EU ali pa gre za kontakte iz ostalih držav?
Je razlika in ni razlika. Tukaj se tiče bolj ozemeljske veljavnosti GDPR in v bistvu GDPR velja za vsa podjetja, ki so v EU, to se pravi za vse pravne subjekte. Lahko gre za podjetje, zavod, javni sektor in tako naprej, hkrati pa varuje tudi vse fizične osebe, katerih osebne podatke tak pravni subjekt obdeluje.
Se pravi, če smo mi slovensko podjetje in obdelujemo samo ameriške kontakte, smo še vedno zavezani z GDPR, ker smo inkorporirani v Sloveniji. Enako velja za npr. ameriško podjetje, ki obdeluje podatke državljanov EU. Če pa imamo na primer podjetje, ki je inkorporirano v Bosni in obdeluje samo bosanske državljane, v tem primeru pa GDPR seveda za njih ne velja. Velja pa njihova nacionalna zakonodaja.
Ima še katera druga država izven EU-ja podobno zaostreno zakonodajo?
Ja, veliko zakonodaj se sprejema po zgledu GDPR. Mogoče najbolj znan je Californian Consumer Privacy Act (CCPA, Kalifornijski zakon o zasebnosti). To se pravi, gre za zakonodajo ameriške zvezne države Kalifornije. Znana je tudi avstralska zakonodaja. Tudi Nova Zelandija se je odločila za nekaj podobnega. Sledijo tudi države kot so Indija, Brazilija, Južna Koreja in Švica.
Tako da v bistvu GDPR se po večini replicira bolj kot ne na vse konce sveta. Je pa to bolj počasen proces. Marsikaj se dogaja, veliko je nekih političnih težav, na katere države naletijo. Ampak ja, v bistvu prihaja do podobnih zakonodaj povsod po svetu.
Ali veljajo v Sloveniji enaka pravila kot drugje v EU ali pa smo v čem drugačni in zakaj?
GDPR je po svoji naravi uredba in kot taka je enaka za vse države članice EU. To je tudi bistvo uredbe, da jo morajo sprejeti vse države članice v točno takšnem besedilu, kot je, kar je tudi glavna razlika z recimo drugim evropskim aktom, z direktivo, ki pa v bistvu postavlja smernice, tako da imajo države članice tam več manevrskega prostora.
GDPR uredba pušča zelo malo prostora državam članicam za odmik od samega besedila GDPR. To je dovoljeno pri določenih področjih, recimo pri ukrepih, kot sta biometrija in videonadzor, kjer uredba omogoča državam članicam, da postavijo dodatne pogoje, ki jih določa sama uredba.
Slovenija je pa trenutno posebna v tem, da ni uspela sprejeti procesnega zakona. Kar pomeni, da je naša GDPR uredba trenutno “brezzobi tiger“, ker še nimamo možnosti izrekanja kazni. Ampak upam, da se bo to spremenilo v kratkem.
In sicer zato, ker bomo brez neke pametne procesne zakonodaje težko spremenili kulturo in postavili varstvo osebnih podatkov dejansko v ospredje in s tem tudi omogočali posameznikom, da imajo nek nadzor nad tem, kaj se z njihovimi osebnimi podatki počne.
Že z vidika porasta spletnih trgovin je prišlo tudi do zelo, zelo velikega porasta raznoraznih prevar in zlorab. Kar tako dobiš enega izmed tistih mailov, da si podedoval 14,5 milijonov od svojega strica iz Amerike.
Ko dobimo tak mail in se mu vsi hahljamo, si mislimo: »Kdo, pa še v bistvu na to nasede,«, ampak se ne zavedamo, da je nekdo prišel do teh mailov najverjetneje zato, ker je ena izmed spletnih trgovin ali pa družbenih omrežij, kjer smo mi pustili osebne podatke in smo jim zaupali, te podatke (vede ali nevede) prepustila nekomu, ki jih zdaj izkorišča in lahko povzroči škodo. Gre za to, da smo naše podatke zaupali nekomu, ki jih ni bil sposoben zavarovati.
In to je tisto, zaradi česar si vsaj tisti, ki se ukvarjamo z obdelavo osebnih podatkov, želimo tudi kazni.
Je mogoče preprečiti, da bi spletne trgovine prodajale podatke naprej?
Do določene mere ja. Tukaj pridemo na področje kibernetske varnosti, ki je čedalje bolj pomembna v digitalnem svetu. Samo prodajo kontaktov včasih lahko zaslediš, če slediš denarju, težje je najti tistega, ki je vdrl v spletno trgovino. Problematične so predvsem male spletne trgovinice, ki so postavljene na nekih vnaprej pripravljenih platformah brez kakršnihkoli zaščitnih ukrepov, imajo pa zelo veliko osebnih podatkov.
Seveda, ker saj bi radi čim boljši marketing, in zato bi radi čim več podatkov, ampak ne skrbijo pa za varnost in ti podatki se potem valjajo na nekih domačih računalnikih v Excelovih tabelah in so s tega vidika zelo izpostavljeni.
Ali je pravno gledano glede privolitve prejemnika kakšna razlika, če pošljemo mejl s ponudbo individualno eni sami osebi, se pravi, da pošiljatelj pride na idejo, da bi lahko svoj izdelek ponudil določenemu prejemniku, sede za računalnik in mu napiše mejl in ga odpošlje, ali pa če ga nato pošlje še desetim ali tisoč drugim, individualno ali pa prek posrednika?
V bistvu pri pošiljanju mailov, tukaj se zdaj recimo osredotočamo na neke e-novice, se moramo najprej vprašati ali sploh rabimo privolitev, ker se mi zdi, da se v Sloveniji zelo hitro osredotočimo na privolitev kot pravno podlago za obdelavo osebnih podatkov.
Ampak moramo vedeti, da to ni edina stvar. GDPR v šestem členu določa različne pravne podlage za obdelavo osebnih podatkov in sem lahko spadajo tudi recimo zakonodaja in zakoniti interes, ena izmed njih je pa tudi privolitev, ki je pa seveda najbolj zaslovela v “pred GDPR obdobju“ maja 2018, ko je bilo privolitev cel kup.
V bistvu, pravno gledano, ali je kakšna razlika med tem, če pošljemo eni osebi ali pa večim, je odgovor »ne«. Vseeno je, koliko osebam pošljemo. Mi moramo vedeti, na kateri pravni podlagi to pošiljamo, in seveda določiti ustrezno pravno podlago, še preden pošljemo mail.
To se pravi, ugotoviti moramo, kaj je tisto, kar nam dejansko dovoljuje, da pošljemo ta mail s takšno vsebino, potem pa je v bistvu vseeno, ali pošljemo enemu ali pa tisočim. Če smo opredelili namen, zakaj to obdelujemo, in če smo zbrali ustrezno pravno podlago, potem je to ustrezno pošiljanje in ustrezna obdelava osebnih podatkov.
Ali torej glede privolitve sploh igra kakšno vlogo, ali mejling pošiljamo individualno ali pa prek sistemov za množično pošto, kot je Mailchimp?
Ponavadi uporabljajo ljudje Mailchimpe zaradi drugih funkcij, to je analitika in seveda, ker omogoča 'trackanje' posameznikov. Tukaj je zelo pomembno, kako se lotimo privolitve, saj nam v Sloveniji Zakon o elektronskih komunikacijah dejansko omogoča, da pošiljamo e-novice našim obstoječim kupcem.
To se pravi, mi kot ponudniki, recimo, če prodajamo personalizirane skodelice, imamo pravico, da tiste, ki so že kupili to našo skodelico, obvestimo, da imamo zdaj še krožničke. In to v bistvu lahko delamo na podlagi zakona brez privolitve.
Zaplete pa se, ko ljudje izkoristijo to zakonodajo in pošljejo maile na veliko, hkrati pa te svoje posameznike 'trackajo' z uporabo orodij kot je tudi Mailchimp. To se pravi, jim sledijo, gledajo, kaj so odprli, na katero novico so klikali, kateri filmček so pogledali, koliko časa so gledali in tako naprej.
Tukaj pa gre v bistvu za nov namen obdelave osebnih podatkov. To se pravi, če je golo pošiljanje namen obdelave osebnih podatkov, in s tem mi obvestimo posameznika o tem, kaj počnemo v našem podjetju, ni problema, saj se lahko opremo na zakonodaji kot pravno podlago.
'Trackanje' je to, da spremljamo, kaj oni počnejo, zakaj to počnejo ali kaj jih zanima, in v bistvu sestavljamo neke profile na podlagi tako pridobljenih informacij, to je pa profiliranje in gre za nov namen obdelave osebnih podatkov, ki je ločen od samega pošiljanja, in pogojen s soglasjem.
Pridemo v en tak paradoksalen trenutek, kjer posameznik ne potrebuje soglasja, da pošlje sam e-mail, medtem ko ga za marketinško orodje, ki se uporabljajo v ozadju, potrebuje. To je najpomembnejša razlika med tem, ali mi pošljemo iz Gmaila ali Outlooka ali pa uporabljamo kakšna marketinška orodja z nekimi dodanimi funkcionalnostmi.
Kaj pa, ali je kakšna razlika, če pošiljatelj prejemniku pošlje elektronsko pošto samo enkrat in potem nikoli več, ali pa če potencialnega kupca kontaktira nato vsak mesec?
Razlika je predvsem v tem, kakšno pravno podlago je pošiljatelj izbral, preden nas je začel kontaktirati. Če smo mu na sejmu prodajalcu dali osebne podatke, ker nas zanima nakup sedežne garniture, in nas potem to podjetje kontaktira tako, da nam pošlje ponudbo ali pa dodatna vprašanja za pripravo ponudbe, je takšno ravnanje pričakovano. Pošiljatelj lahko to komuniciranje opredeli na pravni podalgi zakonitega interesa ali celo pogodbenega razmerja. Torej imamo pravno podlago in namen obdelave za obdelavo osebnih podatkov.
Vsako podjetje ima seveda interes, da kontaktira potencialnega kupca in mu predstavi svojo ponudbo. Ampak če recimo ta isti proizvajalec potem mene nadleguje z novicami, pa me kar avtomatično začne prijavljati na e-novice in zasuva s svojo pošto, to pa potem ni več v obsegu tega zakonitega interesa.
V tem primeru, ko razmišljamo, kaj lahko s tem enim mailom, ki smo ga dobili, naredimo, je zelo pomembno tako imenovano načelo najmanjšega obsega osebnih podatkov. To se pravi tisti, ki zbira osebne podatke, mora vedno gledati, da ima čim manjši obseg osebnih podatkov in da jih ima samo toliko, kolikor jih potrebuje za izpolnitev določenega namena.
To je zelo pomembno, ker ponavadi si služba za marketing reče: »Mi potrebujemo čim več podatkov, da bomo lažje prodali«. Gre za to, da izberemo nek namen, kot je recimo priprava ponudbe za tisto sedežno garnituro, o kateri sem prej govorila, in potem se v bistvu vprašamo: »Ali zato, da nekomu pripravim ponudbo za sedežno garnituro, potrebujem njegov mail večkrat, kot samo takrat, ko ga kontaktiram v zvezi s tem? Ali je res upravičeno, da mu pošiljam e-novice, čeprav nimajo nobene veze s sedežno garnituro?«
In v bistvu, to je to razmišljanje, ki nam bo pomagalo določati, kaj lahko z določenim mailom v resnici počnemo. Ker pri GDPR je vse odvisno od okoliščin konkretnega primera, tukaj ni “instant“ rešitev, ki bi zadostile vsem podjetjem.
Seveda je treba potem ta problem rešiti že takoj, ko imamo prvič kupca v trgovini, in mu damo takrat za izpolniti ustrezen obrazec, v katerem on privoli na prejemanje e-novic in pa obenem tudi zanimivih ponudb.
Če smo naredili ta korak, smo pokrili tudi pošiljanje e-novic, ampak potem imamo dva ločena namena obdelave; pripravo ponudbe in pošiljanje e-novic, ki ju moramo tako tudi obravnavati.
Kaj pa, ko mu pošljemo ponudbo? Da ga povabimo še, da se prijavi na e-novice? To je tudi možnost, da nadoknadimo zamujeno?
Tudi lahko. V bistvu je zelo pomembno, da mi to pravilno skomuniciramo. Da se ta mail kar avtomatično ne znajde v vseh možnih bazah, ampak da res pogledamo, kaj je združljivo s tem prvotnim namenom, ko smo ta mail dobili, torej pošiljanje ponudbe v našem primeru.
Pa kaj je v bistvu tisto, kar zahteva neko ločeno akcijo na naši strani, da spet pridobimo pravno podlago in namen obdelave.
Obstajajo določene baze iz javnih virov. Jih lahko pošiljatelji izkoristijo za kontaktiranje ali ne?
Ja, kar se tiče javnih virov, recimo, če imamo maile, ki so objavljeni na spletni strani določenega podjetja, so načeloma ti maili dovoljeni za kontaktiranje na podlagi tega zakonitega interesa, vendar zopet v določenem obsegu.
Ampak seveda, spet se moramo vprašati, kaj je ta namen in zakaj je ta mail objavljen. To se pravi, če imamo primer šole, ki objavlja kontaktne podatke svojega računovodstva ali pa tajništva, lahko kot nekdo, ki ima biro za pisarniško opremo, pošljemo ponudbo tja. Ker v bistvu lahko smatramo, da je naš zakoniti interes ponuditi storitve tej osebi, ker se potrebuje naše storitve pri svojem delu.
Manj verjetno je, da ta oseba iz računovodstva objavlja mail, ker želi imeti doma novo vzmetnico. Torej v bistvu gre za nek zelo logičen sistem, da mi dejansko ponujamo tiste storitve in zbiramo tiste maile, kjer lahko utemeljeno pričakujemo, da oni našo ponudbo pričakujejo.
Kaj pa pošiljanje elektronskih ponudb na info?
Kar se pa tiče info mailov je tako, da načeloma ne gre za osebni podatek, ker ne vemo, kdo je na drugi strani, tako da GDPR za te maile ne velja. Izjema pa je v bistvu, da če mi vemo, da se za info mailom skriva na primer Marjeta, potem pa moramo ta mail tretirati kot osebni podatek. Kako to vemo? Če recimo poznamo podjetje, ker sodelujemo z njimi in vemo, da samo Marjeta bere info mail.
In zdaj prosim še za vaš odgovor na izhodiščno vprašanje, ki sva ga dala v naslov: Ali me lahko, če v Mailchimp uvažam kontakte, za katere nimam privoljenja, doleti kaj hujšega od opomina ali simbolične kazni?
Trenutno ne, ampak kar pa lahko takega pošiljatelja doleti po tem, ko bo 'Zakon o varstvu osebnih podatkov 2' sprejet v Sloveniji, pa je v bistvu kar precejšnja kazen.
Zakaj je Mailchimp problematičen v tem smislu?
Mailchimp je problematičen zato, ker je eden izmed tistih ponudnikov, ki imajo svoje baze in svoje podjetje bazirano v ZDA, kar pomeni, da gre tukaj za prenos osebnih podatkov v tretjo državo.
Zavedati se moramo, da gre pri prenosu v ZDA za prenos v tretjo državo, ki ne zagotavlja dovolj dobrega standarda varovanja osebnih podatkov. Tako da v bistvu mora pošiljatelj v tem primeru poskrbeti, da ima ustrezno podlago tudi za prenos osebnih podatkov.
Gre v bistvu za dva ločena namena obdelave, prvi namen obdelave je ta, o katerem smo že govorili, to se pravi pošiljanje e-novic. Medtem ko pa se pri prenosu v Ameriko doda še en namen obdelave, ki je pa v bistvu prenos v tretjo državo.
In tukaj je potrebno zadostiti dodatnim pogojem, ki jih je treba izpolnjevati, in sicer je treba zagotoviti, da ta tretja oseba, v našem primeru je to Mailchimp, izpolnjuje ustrezne zaščitne ukrepe in je treba preveriti, ali so ustrezni glede na to, kaj zahteva GDPR.
V primeru, da ni teh ustreznih zaščitnih ukrepov sprejetih, potem je ta prenos dopusten samo v res določenih specifičnih primerih, med drugim bi potrebovali izrecno privolitev posameznika za prenos, kar pomeni, da bi v bistvu potrebovali dvo- do tristopenjsko privolitev, da bi v resnici z Mailchimpom prišli normalno skozi.
Poleg zgornje privolitve, so še drugi pogoji, ki so pa še bolj abstraktni. Že to je bilo zelo abstraktno.
Ko bo nova zakonodaja sprejeta, bodo v bistvu podjetja, ki zdaj delajo z Mailchimpom, zelo težko naprej sodelovala z njim naprej, saj nimajo ustreznih privolitev prejemnikov mailov, naknadno pa jih bodo težko dobivala.
Ja, večina jih najverjetneje nima privolitve za prenos v tretje države (v tem primeru v Ameriko). Ampak zopet ne gre za privolitev ampak za tveganje, ki se mu izpostavljamo s prenosom podatkov v ZDA. Ne vemo namreč, ali bo/je Mailchimp na tej točki sprejel ustrezne zaščitne ukrepe, ki bi bili skladni z GDPR, kar je glavni problem. Mailchimp že zatrjuje, da so 'GDPR compliant', ampak v bistvu z njimi pa se tega ne da skomunicirati, smo že poskušali.
Trenutno je največji izziv s ponudniki kot je Mailchimp ravno komunikacija, saj gre za ogromne korporacije, s katerimi težko vzpsotaviš stik. To pa je problemaitčno, saj težko pridobimo informacije o varovanju osebnih podatkov.
Po sprejemu zakona v Sloveniji, pa bo možno dobiti tudi kazen za nezakonit prenos osebnih podatkov v tretjo državo, kamor sodi Amerika. To pomeni, da se z izbiro ponudnika, ki se nahaja v Ameriki, izpostavimo temu dodatnemu tveganju, ki mu nismo izpostavljeni, če izberemo ponudnika znotraj EU.
Torej, urediti zadeve že zdaj.
Da, saj bo takrat tveganje za uporabo Mailchimpa, ali pa kakšne druge take aplikacije, še večje.
Roman Zajec
Več o tej temi si lahko preberete na Anini spletni strani: consilium.si/kontakti-privolitev
