Dacă ne-am fi dorit ca lumea să fie simplă, probabil c-am fi rămas la cele 10 porunci ale lui Moise, scurte și ușor de înțeles de toată lumea. Doar că noi, oamenii, ne-am dorit complexitate. Am luptat pentru ea în războaie și revoluții. Și, într-un final, ne-am pomenit cu o diversitate de reguli pe care e greu să le urmărească cineva cu adevărat. Evident, acum ne dorim o viață simplă. Doar că nu se mai poate.
Așa se face că, astăzi, multe acte normative impun reguli, dar oferă și excepții de la acele reguli. Și unele și altele, reguli sau exceptii, au propria lor viață. Nici unele nici altele nu sunt de aruncat la coș. Câtă vreme legea consacră niște excepții, ele trebuie privite la fel de serios cum privim regulile. Și trebuie aplicate, dacă ne încadrăm în conditiile pe care le presupun acele excepții, pentru că ea, legea, nu e construită să omoare viața reala, ci să o facă mai coerentă.
În toată Europa, există o discuție permanentă cu privire la modul în care se aplica regulile de la intersecția Regulamentului European privind Protectia Datelor si Directiva ePrivacy. De înțelegerea modului în care funcționează acest ecosistem cu reguli și excepții depind, uneori, industrii întregi. Așa că, în articolul prezent, o să povestim despre o astfel de situație, în care intersecția celor două acte normative dă naștere unor drepturi de care multe organizații nu știu că există.
Popescu își cumpără ceva de pe net
Să luăm un exemplu ce se întâmplă extrem de des în practică: Popescu face o comandă online, pe un site de comerț electronic. Pentru a realiza comanda, siteul îi cere anumite informații pe care le prelucrează pentru că are o obligație legală să o facă (cum sunt informațiile de ordin fiscal, spre exemplu), dar și o serie de informații care să ajute compania în cauză să poata negocia ori să își poată executa contractul respectiv (spre exemplu, un email la care i se poate comunica prețul, ori i se poate confirma comanda sau i se poate explica faptul că produsele nu sunt pe stoc etc.). Așa funcționează comerțul online.
Magazinul face mai multe prelucrări cu privire la datele lui Popescu
Dacă iesim din zona de business și începem să gândim în contextul legislației privind prelucrarea datelor cu caracter personal, lucrurile devin și mai interesante.
De fapt, compania-furnizor realizează, la momentul comenzii, mai multe tipuri de prelucrări: unele generate din obligație legală (partea de facturare, etc), altele generate de contractul în care a intrat cu persoana cumpărătorului (adresa de acasă, emailul la care se trimit notificarile cu privire la starea comenzii etc).
Puse pe hârtie, putem distinge aici prelucrarea 1, prelucrarea 2. Regula e că, pentru fiecare astfel de operațiune, Popescu trebuie informat cu privire la o serie de elemente pe care ar trebui să le știe (care e scopul, cât se pastreaza datele, daca sunt transferate undeva etc).
Doar că magazinele vor să facă și marketing
Până aici, vorbim despre reguli generale. Și, ca să continuam cu regulile, să ne gândim și că acel magazin are o nevoie suplimentara. Aici intervine viața reală. Magazinul ar vrea să poată să-i mai trimită, din când în când, lui Popescu, câte un mail în care să îi spuna că, pe lângă aragazul pe care l-a cumpărat, compania vinde și ustensile de gătit, spre exemplu.
Atunci când își pune problema de a-i trimite și astfel de oferte, compania se gândește ce legislatie e aplicabilă. Afla că, de fapt, nu există niciunde o definiție a marketingului direct dar că, în schimb, legislația (Legea 365 din 2002, privind comertul electronic), vorbește despre comunicări commerciale. Tot din acea lege, compania află că nu poate folosi adresa de poștă electronică a lui Popescu decât daca are acordul lui anterior (poșta electronică înseamnă, în același timp, și email și messenger și SMS ori alte sisteme online de comunicație care asigură păstrarea mesajului trimis la destinatar, până ce acesta îl poate citi). Cu alte cuvinte, are nevoie să-i obțină consimțământul pentru trimiterea de comunicări comerciale.
Așa e regula.
Compania află, însă, că în situația sa (ar vrea să facă marketing online) mai este aplicabilă o lege, Legea 506 din 2004, care transpune în Romania directiva ePrivacy (norma specială, aplicabilă comunicațiilor electronice, care derogă de la regulile generale privitoare la protecția datelor cu caracter personal - GDPR).
Ce scrie în Legea 506 din 2004?
Ca regula, în art. 12 alin (1) se reia ideea din Legea 365/2002. Cu alte cuvinte, pentru a-i trimite comunicări comerciale lui Popescu, e nevoie de consimțământul lui prealabil.
Puțin mai jos, însa, la art. 12 alin (2), Legea 506 din 2004 mai spune ceva.
Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obține în mod direct adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial.
Compania desface aceasta frază alambicată în bucăți ușor de urmărit și află, astfel, următoarele:
-
Dacă obține adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001
-
Atunci poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează
-
Cu condiția de a oferi în mod clar și expres clienților posibilitatea:
-
de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, la obținerea adresei de poștă electronică
-
de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial
Cu alte cuvinte, ca să poată fi aplicabilă excepția de la articolul 12 (2), e nevoie să fie întrunite, cumulativ, mai multe condiții. Le vom discuta pe rând, pentru o mai bună înțelegere a situației practice.
-
Compania trebuie să obțină adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001.
Tehnic, dacă e să vorbim în limbajul legislației privind protectia datelor, e nevoie ca acea companie să obțină adresa de poștă electronică în contextul unor prelucrari de date realizate pe temeiul ”contract”, așa cum e el definit astăzi de GDPR (succesorul Directivei ce fusese transpusa în Romania prin legea 677).
Ce tip de operațiuni de prelucrare ar putea fi realizate folosindu-se temeiul ”contract”? Dacă ne uităm în GDPR vedem că, simplist vorbind, e vorba despre două situații:
- operatiunile de prelucrare generate de activitățile de executare efectivă a contractului.
- operatiunile de prelucrare care constituie pași anteriori pentru intrarea într-un contract, la cererea persoanei vizate
European Data Protection Board vine și întărește această idee, prin Ghidul 2 din 2019, publicat zilele trecute (ghidul poate fi parcurs aici). Un extras (punctul 46, pagina 13) din acest ghid ne dă și mai multe informații importante.
At the time of processing, it may not be clear whether a contract will actually be entered into. The second option of Article 6(1)(b) may nonetheless apply as long as the data subject makes the request in the context of potentially entering into a contract and the processing in question is necessary to take the steps requested. In line with this, where a data subject contacts the controller to enquire about the details of the controller’s service offerings, the processing of the data subject’s personal data for the purpose of responding to the enquiry can be based on Article 6(1)(b).
Cu alte cuvinte, compania nu e legată doar de situația strictă de a realiza o vânzare efectivă a unor produse ori servicii către Popescu, ci poate obține adresa acestuia de poștă electronică prin intermediul unei inițiative de negociere / solicitări de informație / perioadă de acces demonstrativ la serviciu, inițiative care îi apartin lui Popescu.
Tehnic, deci, pentru a se îndeplini această condiție, compania ar trebui să obțină acele date atât în contextul vânzării efective (am discutat mai sus cazul), dar e la fel de acceptabilă și situația în care obține acele date în contextul negocierii unui potențial contract. În ambele situații, compania îndeplinește conditia 1.
-
Dacă a obținut adresa de poștă electronică cu îndeplinirea condiției 1, atunci poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează.
Tehnic, aici sunt două lucruri importante de menționat.
În primul rând, că trebuie să vorbim despre aceeași organizație. Nu poate obține compania X adresa de poștă electronică, pentru ca mai apoi să paseze informațiile companiei Y să facă marketing pentru produse similare. Poate, doar, dacă ar fi operatori asociați pentru acea prelucrare.
În al doilea rând, că trebuie să fie vorba despre produse și servicii similare. Din multe puncte de vedere, discuția este extrem de largă, iar faptul că un produs e similar cu altul e o analiză subiectivă pe care trebuie să o construiască fiecare companie. Aș puncta doar că similar, așa cum e prevazut de lege, nu înseamnă identic. Nu e permis să faci marketing doar la televizoare, dacă mi-ai vandut un televizor. Ar fi stupid. Cred că ai putea să îmi vinzi telecomenzi ori, poate, sisteme home theater. Am văzut și interpretări care spun că, în funcție de specificul magazinului, similar poate însemna mai mult (dacă cumperi dintr-un mall online) sau mai puțin (dacă cumperi dintr-un magazin de nișă). Rămâne, însă, o condiție subiectivă.
-
Dacă ai obținut adresa de poștă electronică potrivit condiției 1 și o folosești pentru comunicări comerciale la produse similare, potrivit condiției 2, atunci trebuie să mai bifezi încă două conditii:
Simplist, ar trebui să îi oferi lui Popescu posibilitatea:
- de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, la obținerea adresei de poștă electronică
- de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial
Așa cum e formulat textul, se înțelege un lucru foarte clar: daca se vorbește despre opozitie, suntem în prezența interesului legitim. Prin urmare, excepția reglementată de art. 12 (2) din legea 506 din 2004 vizează prelucrarea datelor pe interes legitim.
Apoi, mai e de punctat faptul că suntem în prezența unei situații (probabil singulare) în care legea de la noi reglementează ideea de ”soft opt-în” cum e numit în străinătate. Ca să asiguri respectarea acestor două condiții, trebuie să incluzi în formularul în care colectezi adresa de poștă electronică a lui Popescu o căsuță pe care, dacă o bifează, înseamnă că se opune prelucrării în scopul trimiterii de comunicări comerciale pentru produse similare. Principiul funcționează, deci, pe dos ca în cazul consimtamantului, unde căsuța respectivă, dacă e bifată, înseamnă consimțământ. Aici, căsuța bifată înseamnă opoziție.
În plus, ori de câte ori îi trimiți lui Popescu comunicări comerciale respectând toate condițiile de mai sus, trebuie să îi dai posibilitatea să se dezaboneze de la ele (să se opună prelucrării ulterioare).
Deci GDPR nu interzice Marketingul direct pe interes legitim?
Bun, am trecut prin toate condițiile de mai sus și totuși, ceva nu e clar, se gândește compania. GDPR interzice marketingul direct realizat altfel decât pe consimtamant. Așa mi-a spus mie cineva. În realitate, GDPR menționează expres că ”prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim” (preambul 47).
Sigur, legea 506 din 2004, ca și Legea 365 din 2002 vorbesc despre consimțământ, în contextul trimiterii de comunicări comerciale.
Doar că tot legea 506 reglementează, cu titlu de excepție, trimiterea de comunicări comerciale cu privire la produse și servicii similare. Care prelucrare se face pe interes legitim. Dacă și doar dacă, anterior, datele au fost obținute în urma unei prelucrari bazate pe contract (în forma executării contractului sau a pașilor anteriori pentru intrarea într-un contract).
De aceea, întemeierea pe această excepție are, ca expresie practică, un cumul de prelucrări pe contract (obținerea datelor), urmate de prelucrări pe interes legitim (trimiterea de comunicări comerciale).
Cum spuneam și la începutul articolului, excepțiile nu sunt cu nimic mai prejos decât regulile. Mai mult, aș putea spune, excepțiile sunt importante tocmai pentru că legiuitorul, considerand că e nevoie de ele, a ales să le gândească și să le menționeze expres în legislație.
Chiar și în viitorul regulament ePrivacy, care va inlocui Directiva veche și, implicit, legea 506 din 2004, de transpunere a Directivei, păstrează această excepție și o întărește chiar. Semn că e importantă. Și trebuie aplicată.
Legile nu trebuie să omoare viața reală, trebuie doar să o facă mai coerentă.
avocatnet.ro explicăm legislația
Comentarii articol (1)