Ar neišnyks “šaltieji skambučiai” įsigaliojus BDAR? Ar turimas duomenų subjekto sutikimas visais atvejais išsprendžia problemas? Jeigu dirbate pardavimuose, tikėtina, kad Jūsų metiniuose planuose šiemet įrašyti didesni skaičiai nei pernai. Ir tai suprantama, kadangi nuolatinis augimas yra pardavimų DNR. Vadinasi, turėsite paskambinti dar daugiau nepažįstamų asmenų ir siūlyti jiems keisti mobiliojo ryšio operatorių, įsigyti vienokių ar kitokių prekių, pateikti atsiliepimą apie suteiktas paslaugas ar pan. Iš kitos pusės, tikriausiai kiekvienas esame sulaukęs skambučių su panašiais siūlymais.

Taip vadinamieji „šaltieji skambučiai“ (angl. cold calling) yra ne kas kita kaip vienas iš įmonių vykdomos tiesioginės rinkodaros būdų. Taip siekdamos siūlyti savo prekes ir teikiamas paslaugas įmonės tvarko asmens duomenis. Todėl šių metų gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) joms yra itin aktualus.

Teisinerizika.lt

Analizuojant šio teisės akto nuostatas kyla klausimas ar jam įsigaliojus įmonės vis dar galės vykdyti tokius skambučius? Ar nesustos verslo augimas? Kaip turės būti organizuojamas marketingo valdymas ir planuojami marketingo projektai?

”Šaltieji skambučiai“ – vienas iš tiesioginės rinkodaros būdų

Tiesiogine rinkodara yra laikoma veikla, skirta paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų[1]. „Šaltieji skambučiai“ (angl. cold calling) paprastai yra naudojami pristatyti bei siūlyti įmonės prekėms ar teikiamoms paslaugoms. Taigi įmonės, skambindamos potencialiems pirkėjams ir siūlydamos savo prekes ar paslaugas, atlieka tiesioginę rinkodarą. Šiuo tikslu tokios įmonės tvarko potencialių klientų asmens duomenis, pavyzdžiui, telefono numerį, vardą, pavardę, taip pat informaciją apie įsigyjamas prekes ar suteiktas paslaugas. Kaip tie duomenys tvarkomi, nustato įmonės vidaus dokumentas – Asmens duomenų tvarkymo taisyklės.

Duomenų tvarkymo teisėtumo pagrindas

Tam, kad duomenų tvarkymas būtų laikomas teisėtu reikalinga, kad jis atitiktų bent vieną iš BDAR 6 str. 1 d. nurodytų duomenų tvarkymo pagrindų. Atsižvelgiant į minėtą BDAR straipsnį, kai turimi galvoje “šaltieji skambučiai”, galėtų būti analizuojami šie duomenų tvarkymo teisėtumo pagrindai: 1) duomenų tvarkymas atliekamas asmens sutikimo pagrindu; 2) duomenų tvarkymas atliekamas siekiant teisėtų įmonės, tvarkančios asmens duomenis (duomenų valdytojo) arba trečiosios šalies interesų. Nurodyti duomenų tvarkymo pagrindai yra susiję su atitinkama specifika, todėl verta paanalizuoti kiekvieną iš jų detaliau.

Duomenų subjekto sutikimas kaip duomenų tvarkymo pagrindas

Duomenų tvarkymui sutikimo pagrindu BDAR kelia itin griežtus reikalavimus.

Duomenų subjekto sutikimas turi būti konkretus, informacija pagrįstas, laisva valia duotas vienareikšmis nurodymas konkrečiu tikslu tvarkyti asmens duomenis. Remiantis BDAR preambule tyla, iš anksto pažymėti langeliai arba neveikimas neturėtų būti laikomi sutikimu. Svarbu atkreipti dėmesį, kad jeigu duomenų subjekto sutikimas tvarkyti asmens duomenis buvo duotas paslaugų teikimo tikslais, tai automatiškai nesuteikia teisės juos tvarkyti tiesioginės rinkodaros tikslu[2]. Tai, kad buvo gautas sutikimas duomenų valdytojas turės įrodyti, taigi įrašus, patvirtinančius sutikimo gavimą, reikalinga saugoti.

Be to duomenų subjektas turi teisę bet kada atšaukti savo sutikimą. Dar daugiau, BDAR 7 str. 3 d. įtvirtinta, kad jį atšaukti turi būti taip pat lengva kaip ir duoti, todėl duomenų valdytojas turi apgalvoti kaip užtikrins šios teisės įgyvendinimą. Taigi, grindžiant duomenų tvarkymą minėtu pagrindu reikalinga įvertinti ar gautas duomenų subjekto sutikimas atitinka visus BDAR keliamus reikalavimus ir tai, kad jis bet kada gali būti atšauktas. Toks atvejis iš esmės reikštų, jog tolesnis tokių duomenų tvarkymas nebeturėtų būti vykdomas, “šaltieji skambučiai” turėtų nutilti.

Duomenų tvarkymas teisėto intereso pagrindu

BDAR preambulėje nurodoma, kad asmens duomenų tvarkymas tiesioginės rinkodaros tikslais gali būti vertinamas kaip atliekamas vadovaujantis teisėtu interesu[3]. Tačiau svarbu atkreipti dėmesį į tai, kad remiantis BDAR 6 str. 1 d. f punktu šiuo pagrindu galima remtis tuo atveju, kai teisėti duomenų valdytojo ar trečiosios šalies interesai neviršija duomenų subjekto interesų arba pagrindinių teisių ir laisvių. Iš esmės duomenų tvarkymo teisėtumą siekiant grįsti teisėto intereso pagrindu reikalinga įvertinti tris aspektus.

Pirma, reikalinga įvardinti teisėtą interesą.[4] Pats BDAR teisėtais interesais laiko sukčiavimo prevenciją, tiesioginę rinkodarą, duomenų valdytojo klientų ir darbuotojų asmens duomenų tvarkymą.[5] Įmonių, vykdančių „šaltuosius skambučius“, teisėtu interesu bendruoju atveju galėtų būti laikoma laisvė užsiimti verslu, įtvirtinta ir Europos Sąjungos pagrindinių teisių chartijos 16 straipsnyje. Tačiau kiekviena įmonė, atsižvelgdama į savo vykdomą verslą, turėtų sukonkretinti ir išskirti atitinkamą interesą.

Antra, duomenų tvarkymas turėtų būti būtinas siekiant duomenų valdytojo teisėto intereso. Būtinas reiškia, kad duomenų tvarkymas yra tikslinga ir proporcinga priemonė tikslui pasiekti.[6]

Trečia, reikalinga įvertinti balansą tarp duomenų valdytojo ir duomenų subjekto interesų, t.y., kiekvienu konkrečiu atveju įvertinti ar įmonės teisėti interesai neviršija duomenų subjekto interesų ir pagrindinių teisių bei laisvių. Situacija, kai duomenų subjektai pagrįstai nesitiki, kad jų duomenys bus naudojami arba toks duomenų naudojimas gali sukelti žalą, bus laikoma, kad duomenų subjekto interesai yra viršyti ir tvarkyti asmens duomenis teisėto intereso pagrindu nebus galimybės.[7]

Tačiau atkreiptinas dėmesys, kad kol nėra priimtas naujasis Asmens duomenų teisinės apsaugos įstatymas (šiuo metu yra parengtas tik jo projektas), vis dar galioja ankstesnė įstatymo redakcija. Joje nurodoma, kad asmens duomenys tiesioginės rinkodaros tikslais gali būti tvarkomi tik po to, kai duomenų subjektas duoda sutikimą[8].

Neįsigaliojusiame Reglamente dėl privatumo ir elektroninių ryšių yra nustatyta, kad turėtų būti numatytos priemonės, skirtos galutiniams paslaugų gavėjams apsaugoti nuo tiesioginės rinkodaros tikslais siunčiamų neužsakytų pranešimų, kuriais kišamasi į privatų galutinių paslaugų gavėjų gyvenimą. Reglamente akcentuojama, kad nepriklausomai nuo naudojamų technologijų ir kanalų šiems pranešimams perduoti, laikoma, kad privatumo pažeidimo lygis ir sukeliami nepatogumai yra gana panašūs. Todėl, siekiant veiksmingai apsaugoti asmenis nuo kišimosi į jų asmeninį gyvenimą ir teisėtus juridinių asmenų interesus, tikslinga reikalauti, kad, prieš galutiniams paslaugų gavėjams tiesioginės rinkodaros tikslais siunčiant komercinius elektroninius pranešimus, būtų gautas galutinių paslaugų gavėjų sutikimas[9].

Atsižvelgiant į tai kas išdėstyta, akivaizdu, kad yra gana prieštaringa situacija dėl tiesioginės rinkodaros vykdymo teisėto intereso pagrindu. Tikėtina, kad tai galės išspręsti reglamento taikymo praktika, kurią formuos teismai.

Teisė nesutikti su duomenų tvarkymu tiesioginės rinkodaros tikslais

Reikalinga atkreipti dėmesį, kad nepriklausomai nuo duomenų tvarkymo teisėtumo pagrindo, kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais svarbu užtikrinti, kad duomenų subjektas galėtų bet kuriuo metu pasinaudoti savo teise nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi šiuo tikslu. Remiantis BDAR 21 str. 4 d. apie tai duomenų subjektą reikalinga informuoti ne vėliau kaip pirmą kartą su juo susisiekiant. Atkreiptinas dėmesys, kad kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys šiais tikslais nebetvarkomi.

Duomenų tvarkymo reikalavimų neįgyvendinimo pasekmės

Kaip žinia, “šaltieji skambučiai” ne visada baigiasi sėkmingai. Tiesioginės rinkodaros vykdymas skambinant potencialiems klientams ne visada paverčiamas skambinančiojo prekių ar paslaugų užsakymu.

Praktikoje neretai pasitaiko atvejų, kai tokiais skambučiais sutrukdyti asmenys kreipiasi į priežiūros institucijas ir apskundžia paslaugas ar prekes telefonu siūlančias įmones, kaip negalinčias paaiškinti, iš kokių šaltinių buvo gauti asmenų duomenys. Todėl  “šaltieji skambučiai”, vykdomi tinkamai neįgyvendinus tiek aukščiau nurodytų, tiek kitų BDAR įtvirtintų reikalavimų, gali pritraukti  Valstybinės duomenų inspekcijos dėmesį.

Teisinerizika.lt

Rizikuojama sulaukti šios įstaigos klausimyno. Jame paprastai prašoma nurodyti ne tik duomenų gavimo šaltinius, šių duomenų tvarkymo pagrindus bet ir atsakyti į kitus susijusius klausimus. Toks skundo tyrimas vadovaujantis naujojo Asmens duomenų apsaugos įstatymo projektu gali užtukti iki pusės metų[10]. Skundą ar jo dalį pripažinus pagrįsta Valstybinė duomenų apsaugos inspekcija gali nuspręsti skirti baudą, kuri gali siekti net iki 4% įmonės metinės apyvartos.

Išvados

Įsigaliojus BDAR įmonės ir toliau galės didinti savo pardavimus, užtikrinti savo augimą. “Šaltieji skambučiai”, tikėtina, neišnyks, marketingo projektai ir toliau galės būti vykdomi. Paprastai nauji reikalavimai nesustabdo įmonių, siekiančių vykdyti savo verslą, bet skatina jas ieškoti būdų šių reikalavimų atitikčiai užtikrinti. Tikėtina ne išimtis ir „šaltuosius skambučius“ vykdančios įmonės. Taip vykdydamos tiesioginę rinkodarą jos turėtų atkreipti ypatingą dėmesį į įsigaliojusio reguliavimo reikalavimus duomenų tvarkymo teisėtumui. Taip pat būtina peržiūrėti vykdomas procedūras ir siekti balanso tarp savo ir duomenų subjektų interesų. Priešingu atveju rizikuojama, kad įmonei bus pritaikytos BDAR numatytos sankcijos, siekiančios iki 4% įmonės metinės apyvartos.

[1] ADTAĮ projekto 2 str. 1 d.

[2] Tokia išvada kyla iš BDAR preambulės 32 p. nuostatos, kad kai duomenys tvarkomi ne vienu tikslu, sutikimas turėtų būti duotas dėl visų duomenų tvarkymo tikslų.

[3] BDAR preambulės 47 p.

[4] https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

[5] BDAR preambulės 47 p.

[6] https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

[7] https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/

[8] ADTAĮ 14 str. 1 d.

[9] Reglamentas dėl privatumo ir elektroninių ryšių preambulės 33 punktas https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX%3A52017PC0010

[10] ADTAĮ projekto 32 str.

Susiję sprendimai:

Asmens duomenų apsauga Teisininko patarimai