GDPR: 10 BŪTISKI JAUTĀJUMI, KO ŅEMT VĒRĀ MĀRKETINGA SPECIĀLISTIEM

KĀ ZINĀMS, JAU 2018. GADA 25 MAIJĀ SPĒKĀ STĀSIES ES VISPĀRĪGĀ DATU AIZSARDZĪBAS REGULA (GDPR), KAS BŪTISKI IETEKMĒS TO, KO UN KĀ DRĪKSTAM DARĪT AR PERSONU DATIEM.

Lai palīdzētu uzņēmumu mārketinga speciālistiem pārbaudīt, vai jau ir paveikti būtiskākie darbi pirms GDPR stāšanās spēkā, esam sagatavojuši 10 svarīgu jautājumu apskatu saistībā ar GDPR un mārketingu. Brīdinām, ka rakstam ir tikai informatīva nozīme un tas nevar tikt uzskatīts par juridiski saistošu.

1) KAS UZŅĒMUMAM IR JADARA, LAI TAS DRĪKSTĒTU IEVĀKT DATUS PAR CILVĒKIEM?

Pirmkārt, ir skaidri jādefinē personas datu apstrādes nolūks un jāpamato, kāds ir šīs apstrādes tiesiskais pamats. Uzņēmumiem, veicot savas mārketinga aktivitātes, tiesiskais pamats lielākoties būs tieši pašas personas izteikta piekrišana (piemēra, ja kāds pierakstās uzņēmuma jaunumu saņemšanai, tad datu apstrādes tiesiskais pamats ir pašas personas izteikta piekrišana)

2) KĀ SAŅEMT PERSONU PIEKRIŠANU VIŅU DATU APSTRĀDEI?

GDPR nenosaka konkrētu formu, kādā piekrišana ir jādod – tā var būt kā digitāla, rakstiska, tā arī mutiska. Uzņēmumiem svarīgi ir spēt pierādīt, ka tā vispār ir tikusi dota. Kas būtiski – piekrišanas došanai ir jābūt skaidrai, informētai un arī nepārprotamai. Savukārt piekrišanas tekstam jābūt vienkāršā valodā sagatavotam, norādot datu apstrādes mērķi, kā arī personas iespējas atsaukt savu piekrišanu. Personas atsaukums savu datu apstrādei nevar kalpot par pamatu kādām negatīvām sekām (piemēram, augstāka cena kādam produktam vai pakalpojumam tikai paša atsaukuma dēļ).
Atļauja ir jāprasa atsevišķi par katru datu apstrādes mērķi. Piemēram, ja uzņēmums savu komerciālo informāciju vēlas nodot ar zvana, sms un epasta palīdzību, tad personai ir jābūt iespējai pašai izvēlēties, kuru no šiem saziņas kanāliem tā izvēlas (tie nedrīkst būt atzīmējami ar vienu vienotu “ķeksīti”). Tāpat šī piekrišana nedrīkst būt automātiski apvienota ar piekrišanu vēl kam (piemēram, vispārējiem lietošanas vai pakalpojuma saņemšanas nosacījumiem).

3) VAI NEPIECIEŠAMS ATKĀRTOTI PRASĪT PIEKRIŠANU TĀM PERSONĀM, KURI DATI IR IEVĀKTI VĒL PIRMS INFORMĀCIJAS PAR GDPR?

Teorētiski – nē, praktiski – jā. Ja dati jau to ievākšanas brīdī tika ievākti saskaņā ar GDPR noteikumiem, tad šāda atkārtotas piekrišanas vaicāšana nav nepieciešama. Realitātē gan ir maz ticams, ka piekrišanas, kas iegūtas jau pirms vairākiem gadiem, tika saņemtas atbilstoši GDPR prasībām.

4) KAS MAINĀS EPASTU MĀRKETINGĀ?

Labas ziņas ir tiem uzņēmumiem, kuri epastus izmanto, lai sūtītu komerciālus piedāvājumus tieši uzņēmumiem. Arī turpmāk uzņēmumiem un to pārstāvjiem drīkstam sūtīt komercpiedāvājumus, pirms tam viņiem nejautājot atļauju. Svarīgs izņēmums – šiem piedāvājumiem ir jābūt adresētiem uzņēmumu pārstāvjiem nevis kā privātpersonām, bet gan uzņēmumu darbiniekiem.
Piemērs: ja atrodam internetā pieejamu uzņēmuma finanšu direktora epasta adresi, tad droši varam viņam sūtīt savus komercpiedāvājumus, kas viņam būs saistoši kā konkrētā uzņēmuma darbiniekam (piemēram, par pilna servisa līzinga pakalpojumiem viņa pārstāvētā uzņēmuma autoparkam). Ja vēlamies sūtīt piedāvājumus par apdrošināšanu viņa personīgajai automašīnai, tad to bez atļaujas darīt nedrīkstam.
Interesanta nianse – ja uzņēmums publiskajā telpā kā savu oficiālo epastu ir norādījis adresi, kas bāzēta, piemēram, gmail.com vai inbox.lv, tā arī ir uzskatāma par uzņēmuma adresi un tai drīkst sūtīt komercpaziņojumus. Tomēr svarīgi atcerēties, ka jebkuram komerciālam paziņojumam norādīt arī, kā iespējams no tiem atteikties un arī nodrošināt iespēju sazināties ar epasta sūtītāju.
Ja vēlamies sūtīt informāciju privātpersonām, tad ir jāsaņem viņu brīva un nepārprotama piekrišana (un vislabāk, ja pēc epasta ievadīšanas, piemēram, mājaslapā, saņemam personas otro apstiprinājumu, kas tiek veikts, jau atverot konkrēto epastu).

5) KĀ TURPMĀK LEGĀLI IEVĀKT EPASTUS, PIEMĒRAM, TESTOS/KONKURSOS DAŽĀDOS SOCIĀLAJOS TĪKLOS?

Tāpat kā pārējos gadījumos – nepieciešams iegūt GDPR prasībām atbilstošu piekrišanu, norādot, kas un kādā veidā šos datus izmantos.

6) JA CILVĒKS IR PIEKRITIS SAŅEMT KOMERCIĀLUS PAZIŅOJUMUS SMS FORMĀTĀ, VAI DRĪKSTAM VIŅAM SŪTĪT ARĪ EPASTUS?

Nē, piekrišana, kas dota viena konkrētā uzdevuma īstenošanai, nav attiecināma uz citiem uzdevumiem. Mums, protams, neviens nav aizliedzis cilvēkiem pajautāt, vai viņi būtu ar mieru saņemt informāciju citus kanālos un/vai par citiem pakalpojumiem.

7) KAS BŪTU JĀIEVIEŠ UZŅĒMUMA MĀJASLAPĀ?

Uzņēmuma mājaslapā būtu ieteicams izvietot lapas lietošanas noteikumus un privātuma politiku.

8) KĀDAS IR BŪTISKĀKĀS LIETAS, KO AR PERSONU DATIEM NEDRĪKST DARĪT PĒC GDPR STĀŠANĀS SPĒKĀ?

Nedrīkst datus glabāt mūžīgi – uzņēmuma izstrādātajā datu apstrādes politikā ir jabūt definētam termiņam un šī termiņa pamatojumam;
Izmantot atšķirīgiem nolūkiem, nekā ir datu ievākšanas brīdī ticis norādīts;
Nosūtīt datus ārpus Eiropas Savienības (bez atbilstošas procedūras);
Tos nodot trešajām personām, neinformējot datu īpašniekus;
Nerūpēties par datu nepieejamību trešajām pusēm;
Nesniegt atbildes uz personu pieprasījumiem pēc informācijas, kādi viņa dati ir uzņēmuma rīcībā.

9) KĀ TIKS KONTROLĒTA GDPR IEVĒROŠANA?

Latvijā kontroles funkcijas ir piešķirtas Datu valsts inspekcijai, kura var veikt datu apstrādes pārbaudas – kā pēc savas iniciatīvas, tā arī uz sūdzību pamata.

10) KĀDA IR ATBILDĪBA PAR GDPR PĀRKĀPUMIEM UN/VAI NEATBILSTĪBU?

Par to iespējams piemērot administratīvo atbildību (maksimālais sods: 20 miljoni EUR vai līdz 4% no uzņēmuma apgrozījuma), kriminālatbildību (ja tas darīts ar apzināti kaitniecisku nolūku un/vai ir radījis būtisku kaitējumu personai), civilatbildību (persona var saņemt kompensāciju par nodarīto kaitējumu, neatkarīgi no tā, vai tas ir materiāls vai nemateriāls).
Ja vēlaties iegūt plašāku informāciju par GDPR piemērošanu, iesakām iepazīties ar Datu valsts inspekcijas sarūpētajām rekomendācijām un vadlīnijām.