Današnji servisi e-pošte zaista su odlični u filtriranju neželjene pošte i osiguravanju da se u vašem sandučiću nađu samo poruke koje želite. Ipak, tu i tamo se svakakve poruke provuku, i to je dovoljno da vam digne tlak.
Stvari međutim nisu tako jasne kao što se čine. Izuzev očitih poruka kojima je cilj prevara – kao naprimjer popularne poruke u kojima se pošiljatelj predstavlja kao nigerijski princ i traži predujam kako bi vam poslao milijune, postoje razne vrste marketinških e-poruka sumnjive zakonitosti koje se ipak tretiraju drugačije od prevara. Mnogi bi stručnjaci za privatnost današnje zakonske okvire opisali aljkavima; baš taj pojam vrlo dobro uobličava trenutno stanje stvari.
Stanje ‘preko bare’
U usporedbi sa situacijom na Starom kontinentu, u SAD-u i Kanadi prilično je lako, naravno ako se bavite internetskim oglašavanjem.
Američki zakon CAN-SPAM (skraćenica koja otprilike znači ‘zaustavimo neželjenu poštu’), prihvaćen 2003, može se donekle smatrati ‘američkim GDPR-om’ jer je za cilj imao ujednačiti propise o privatnosti osobnih podataka u cijelom SAD-u.
Taj zakon, zanimljivo je, ne zabranjuje slanje nenajavljenih e-poruka, ali u istima mora jasno pisati tko ih šalje i zašto. Primatelja se ne smije dovoditi u zabludu u vezi sa svrhom poruke. Privola nije potrebna, ali pošiljatelj mora ostaviti svoje podatke i pružiti primatelju mogućnost da se jednostavno odjavi od primanja daljnjih poruka.
Zakoni u Kanadi nešto su stroži, jer zahtijevaju određeni oblik privole. No, zakon prihvaća institut prešutne privole. Bilo koji oblik prethodne poslovne komunikacije dovoljan je da tvrtka smatra kako ima poslovnu povezanost s vama, a time i dozvolu za slanje marketinških e-poruka. I dalje se od takvih poruka potrebno odjavljivati.
Komercijalna e-pošta u Europskoj uniji
Stanje u Europskoj uniji prilično je strože što se oglašavanja tiče. GDPR, i njegov manje poznat polubrat koji se tek treba donijeti, Uredba o privatnosti i elektroničkim komunikacijama (ePrivacy Regulation), znatno će smanjiti slobode tvrtki za kontaktiranje potencijalnih kupaca i klijenata. GDPR će na snagu stupiti 25. svibnja 2018., dok se na Uredbi o ePrivatnosti i dalje radi.
Nakon GDPR-a
GDPR (Opća uredba o zaštiti podataka) adrese e-pošte smatra osobnim podacima, i kao takvima, prije započinjanja ikakve obrade ili njihova korištenja, uglavnom potrebna je privola (ili neka od ostalih pravnih osnova).
Baš kao što nisu dozvoljena neželjena poštanska pisma, neće biti ni e-pošta. Naprimjer, tvrtke neće biti u mogućnosti slati personalizirana adresirana pisma komercijalne naravi bez prethodne privole. Kako vas onda razne trgovine obasipaju lecima? Jednostavno, jer oni ne sadrže vaše osobne podatke, za razliku od adrese e-pošte.
Tvrtke bi slanje e-pošte mogle pravdati institutom legitimnog interesa. Na kraju krajeva, takve poruke imaju velik potencijal za tvrtku (novi kupci), a primateljima predstavlja tek neznatnu smetnju.
To bi donekle moglo proći, no radi se o skliskom terenu bez daljnjih naputaka od strane Radne skupine iz članka 29. Moguće je, premda malo vjerojatno, da će se povremene kampanje putem e-pošte tolerirati ako budu maksimalno transparentne. Prema uvodnoj izjavi br. 47 GDPR-a, taj se način legitimira: izravno oglašavanje izrijekom je navedeno kao primjer legitimnog interesa.
Napominjemo da se gore navedeno ne odnosi na adrese e-pošte tvrtki. Nenajavljene e-poruke (dok god nisu nelegalnog sadržaja) smiju se slati na poslovne adrese, jer se one ne smatraju osobnim podacima.
Uredba o ePrivatnosti
Uredba o ePrivatnosti, odnosno službeno Uredba o privatnosti i elektroničkim komunikacijama, čini situaciju još zamršenijom. Ona se tek treba donijeti, s ciljem da naslijedi postojeću istoimenu direktivu. Budući da se radi o uredbi, a ne direktivi, ona počinje važiti u cijeloj EU danom stupanja na snagu, bez potrebe da je usvoje parlamenti država članica.
To se dakako sviđa Europskoj komisiji, koja želi da se ta uredba usvoji što prije. Trenutno, međutim, nije vjerojatno da će stupiti na snagu istovremeno s GDPR-om, premda su ove dvije uredbe zamišljene da se međusobno nadopunjuju.
Trenutno važeća Direktiva o privatnosti i elektroničkim komunikacijama razlikuje više vrsta marketinških aktivnosti – preko telefona, faksa, e-pošte itd., i sve ih regulira na različite načine. Naprimjer, nenajavljeni poštanski leci dozvoljeni su osim ako osoba jasno istakne da ih ne želi primati. Nenajavljeni telefonski pozivi, s druge strane, dozvoljeni su samo kad se kontaktiraju postojeći kupci.
Sve bi se to trebalo promijeniti usvajanjem nove Uredbe o ePrivatnosti. U njoj se ne razlikuju vrste izravnog oglašavanja, i neželjene marketinške poruke su zabranjene. Definicija privole preuzima se izravno iz GDPR-a, dakle privola mora biti dana jasno i bez pritiska. Ne postoji načelo prešutne privole, a neizjašnjavanje ne podrazumijeva privolu. Više o privolama saznajte ovdje.
Sve se to zaokružuje golemim kaznama kao i u GDPR-u: do 2 milijuna eura ili do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Dragi Ivane, molim vas da mi više ne šaljete reklamne poruke.
Podvlačenje crte
Sagledano u cijelosti, GDPR i Uredba o ePrivatnosti u trenutnom obliku djeluju kao vrlo konfliktan i zbunjujuć skup propisa.
Jasno je da se komunikacija s prethodnim ili trenutnim klijentima, čije osobne podatke tvrtka već posjeduje, smatra dozvoljenom. Razumno je očekivati da će tvrtke klijentima poslati poruku-dvije kako bi ih upoznali s novim proizvodima, osobito jer su ovi već prije izrazili zanimanje samom kupnjom usluga ili proizvoda. To je poznato pod pojmom prešutne, doslovno prevedeno ‘meke’ privole – mada biste vi u ovom slučaju trebali obradu zasnivati na legitimnom interesu (s napomenom da ćete probleme izbjeći tako što prilikom prikupljanja podataka tražite izričitu privolu za oglašavanje). Imajte na umu da svejedno trebate osobama osigurati lako i jednostavno odjavljivanje od primanja daljnje komunikacije.
Što se tiče nenajavljenih e-poruka upućenih osobama koji nisu korisnici tvrtke, tu je situacija i dalje nejasna. Prema uvodnoj izjavi 47. GDPR-a, dozvoljena je obrada podataka u svrhu izravnog oglašavanja. To bi značilo da je slanje nenajavljenih poruka u redu, dok god ne dovode korisnika u zabludu i omogućuju lako odjavljivanje.
Međutim, ako malo pobliže analizirate nadolazeću Uredbu o ePrivatnosti, za oglašavanje preko e-pošte potrebna je izričita privola. U najboljem slučaju, dakle, slanje nenajavljenih poruka dozvoljava se samo u ograničenom do zanemarivom broju situacija s vrlo jasnim legitimnim interesom, no to je vrlo nesiguran temelj za obradu podataka.
Osvježavanje privole
E-mail adrese postojećih klijenata smijete zadržati u bazi ako ste privolu za njihovo korištenje stekli na način sukladan GDPR-u. Budući da je to upitno (ako i jeste, vjerojatno to niste na adekvatan način dokumentirali. No nije sve izgubljeno – imate “džokera” u vidu obnavljanja privole.
Postojećim korisnicima, naime, smijete poslati novi e-mail u kojima ih lijepo molite da vam daju dozvolu za daljnju komunikaciju. Ako se ne odazovu, znači da niste prikupili privolu i da tu adresu morate ukloniti iz svoje baze. Sve koje prihvate smijete zadržati. Posljedice će vjerojatno biti pogubne – izgubit ćete dobar dio pretplatnika. No izbor vam je još gori – ili to ili brisanje, kao što su neki već napravili…
Što dalje?
S velikom pažnjom pratimo daljnji razvoj situacije, osobito što se tiče promjena u Uredbi o ePrivatnosti. Također, glavnu ulogu u interpretaciji GDPR-a imaju nadzorna tijela i već spomenuta Radna skupina iz članka 29., koji se o ovom problemu tek moraju izjasniti. Kako sada stvari stoje, ne preporučujemo slanje e-poruka potencijalnim korisnicima bez prethodne privole, ali komunikacija s postojećim i bivšim klijentima dozvoljena je dok god se odvija u razumnim okvirima.
Sve ovo ovisit će o interpretaciji legitimnog interesa od strane nadzornih tijela. No ako ne dođe do nekih iznenađenja, privole (dozvole) su i dalje najbolji način da budete sigurni u zakonitost vaših oglašivačkih aktivnosti. Oglašavanje kakvo je dozvoljeno u SAD-u zasigurno neće biti dozvoljeno i u EU-u.
