Valstybinė duomenų apsaugos inspekcija patikrino dvylika didžiųjų maisto, namų apyvokos prekių parduotuvių ir vaistinių tinklų. Atliekant tikrinimus buvo siekiama nustatyti, ar pasirinktos bendrovės tinkamai tvarko asmens duomenis lojalumo programų ir tiesioginės rinkodaros tikslais, ar nerenka perteklinių asmens duomenų.
Atliekant patikrinimus buvo vertinama asmens duomenų tvarkymo teisinės sąlygos, tvarkomų asmens duomenų apimtis, informacija, pateikiama duomenų subjektams, duomenų subjekto teisė nesutikti su jo asmens duomenų tvarkymu tiesioginės rinkodaros tikslu įgyvendinimas bei asmens duomenų saugojimo terminai. VDAI nustatė, kad trys bendrovės, tvarkydamos asmens duomenis profiliavimo tikslais, nepagrįstai kaip teisiniu pagrindu rėmėsi bendrovės teisėtu interesu; keturios bendrovės rinko perteklinę informaciją apie savo klientus; dauguma bendrovių nesuteikė klientams reikiamos informacijos apie jų tvarkomus asmens duomenis ir (ar) ją suteikė klaidingai; trys bendrovės, siųsdamos SMS žinutes su tiesioginės rinkodaros pasiūlymais, nesuteikė aiškios, nemokamos ir lengvai įgyvendinamos galimybės nesutikti arba atsisakyti duomenų naudojimo tiesioginės rinkodaros tikslais; keturiose bendrovėse nebuvo nustatyti konkretūs asmens duomenų saugojimo terminai.
Asmens duomenų teisinės apsaugos įstatymas tiesioginę rinkodarą apibrėžia kaip bet kokią veiklą, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.
Dažniausiai klaidingai manoma, kad jei siūlomos nemokamos prekės ir (ar) paslaugos, tai nelaikytina tiesiogine rinkodara. Tačiau dėl tokio pobūdžio pranešimų siuntimo šiuo metu Lietuvos įstatymuose nedaroma išlygų nei nevyriausybinėms organizacijoms, nei valstybės įstaigoms ir institucijoms.
Valstybinės duomenų apsaugos inspekcijos nuomone, tiesioginės rinkodaros pasiūlymais nebūtų laikomi, pvz., sveikinimai, elektroninių laiškų siuntimas, kurių turinys susijęs su sutarčių vykdymu, priminimas apie skolą ir kt.
Tiesioginės rinkodaros pranešimas elektroninių ryšių kanalais (SMS, el. laiškais ir kt.) asmeniui gali būti siunčiamas tik gavus jo išankstinį sutikimą, nepriklausomai nuo to, tai fizinis ar juridinis asmuo.
Dažnai klaidingai manoma, kad juridinių asmenų duomenų tvarkymui Bendrasis duomenų apsaugos reglamentas yra netaikomas, todėl išankstinio sutikimo dėl tiesioginės rinkodaros pranešimų siuntimų nereikia gauti. Tačiau reikalavimas gauti išankstinį sutikimą yra kildinamas ne iš Bendrojo duomenų apsaugos reglamento, o iš Elektroninių ryšio įstatymo. Atkreiptinas dėmesys, kad sutikimai gali būti gaunami įvairiais būdais, t.y. per akcijas, žaidimuose, pildant anketas, tampant lojalumo programos dalyviu ir pan., tačiau labai svarbu yra užtikrinti, kad sutikimas atitiktų Bendrojo duomenų apsaugos reglamento reikalavimus.
Jei esamiems klientams yra suteikiama aiški, nemokama ir lengvai įgyvendinama galimybė nesutikti arba atsisakyti kontaktinių duomenų naudojimo tiesioginės rinkodaros tikslais, kai šie duomenys yra renkami ir, jei klientas iš pradžių neprieštaravo dėl tokio duomenų naudojimo, siunčiant kiekvieną žinutę, įmonės gali naudoti šiuos kontaktinius duomenis savo paties panašių prekių ar paslaugų rinkodarai.
Kitaip tariant, jeigu tiesioginės rinkodaros adresatas yra esamas klientas ir pranešimu siekiama reklamuoti paties prekių tiekėjo ar paslaugų teikėjo prekes ar paslaugas, reikalaujama ne sutikimo, bet užtikrinimo, kad asmenims būtų „suteikiama galimybė“ <…> prieštarauti“.
Iš esmės sutartiniai asmens ir paslaugų teikėjo santykiai yra teisinis pagrindas, leidžiantis pirmą kartą susisiekti e. paštu. Tačiau asmenys turi turėti galimybę prieštarauti tolimesniems ryšiams – ši galimybė turėtų būti ir toliau siūloma nemokamai kartu su kiekvienu paskesniu tiesioginės rinkodaros pranešimu, išskyrus visas tokio atsisakymo perdavimo išlaidas.
Įmonė, įstaiga ir (ar) organizacija, tvarkydama asmenų duomenis tiesioginės rinkodaros tikslais, privalo pateikti visą informaciją, susijusią su duomenų tvarkymu.
Bendrasis duomenų apsaugos reglamentas labai aiškiai nurodo, kokią informaciją reikia suteikti asmeniui, kai yra renkami jo asmens duomenys. Tai yra jo duomenis renkančios įstaigos, įmonės ar organizacijos duomenys (pavadinimas, juridinio asmens kodas, kontaktiniai duomenys), duomenų apsaugos pareigūno (jei toks yra paskirtas) kontaktiniai duomenys, duomenų tvarkymo tikslai ir t.t.
Tačiau reikia nepamiršti, kad jeigu asmuo davė sutikimą jo asmens duomenis naudoti tiesioginės rinkodaros tikslais, jis turi teisę kreiptis dėl savo, kaip duomenų subjekto, teisių įgyvendinimo: teisės būti informuotam, teisės susipažinti su asmens duomenimis, teisės reikalauti ištaisyti duomenis, teisės reikalauti ištrinti duomenis, teisės apriboti duomenų tvarkymą, teisės į duomenų perkeliamumą. Be kita ko, asmuo turi teisę iš tiesioginės rinkodaros siuntėjo gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi ir kokiems duomenų gavėjams buvo teikiami bent per paskutinius vienerius metus.
Ir, žinoma, viena svarbiausių duomenų subjekto teisių jam jau davus sutikimą tvarkyti asmens duomenis tiesioginės rinkodaros tikslais – aiški, nemokama ir lengvai įgyvendinama galimybė ne tik duoti sutikimą dėl jo asmens duomenų tvarkymo tiesioginės rinkodaros tikslu, bet ir nesutikti ar vėliau atšaukti duotą sutikimą.
Bendrasis duomenų apsaugos reglamentas neapibrėžia, kokius asmens duomenis galima tvarkyti tiesioginės rinkodaros tikslais, tačiau labai aišku, kad reikia laikytis duomenų kiekio mažinimo principo, t.y. tiesioginės rinkodaros tikslais gali būti tvarkomi tik tokie asmens duomenys, kurie yra būtini, siekiant asmeniui pasiūlyti tam tikrą prekę ir (ar) paslaugą.
Pavyzdžiui, jei nesiunčiate asmenims personalizuotų pasiūlymų, nerengiate pasiūlymų įvertindami su tais asmenimis susijusius asmeninius aspektus, galbūt vertėtų pagalvoti, kad tiesioginės rinkodaros tikslais būtų proporcinga tvarkyti tik asmenų kontaktinius duomenis, t.y. telefono numerį ir (ar) el. pašto adresą.
Asmens duomenys negali būti tvarkomi neribotą laiką, todėl asmens duomenų tvarkymo taisyklėse ar kitame dokumente turėtų būti reglamentuota duomenų saugojimo trukmė.
Reikėtų turėti omenyje, kad duomenų tvarkymo terminas turi būti proporcingas siekiamam tikslui, taigi negali būti nepagrįstai ilgas. Manytina, kad tik išimtinais atvejais duomenys tiesioginės rinkodaros tikslais gali būti saugomi ilgiau nei vienus metus.
Vyresnioji teisininkė Raminta Stravinskaitė
Komentaras publikuotas vz.lt
