GDPR и директният маркетинг. Какви задължения имат Администраторите на лични данни?

GDPR и директният маркетинг.

Какви задължения имат Администраторите на лични данни?  

Регламент (ЕС) 2016/679 започна да се прилага от 25.05.2018 г. и внесе многобройни промени и нови изисквания за защитата на личните данни. Една от сферите, които се засягат от неговото действие, е маркетингът в почти всички негови форми и проявления. Особено внимание се обръща на така наречения „директен маркетинг“, а търговците, които използват такава форма на изпращане на рекламни съобщения до конкретни потребители, имат съответните задължения в качеството им на Администратори на лични данни.

На първо място, Администраторът на лични данни трябва да има основание за обработката на лични данни. Такова основание може да бъде едно от изброените в чл. 6 от Регламента, като не е задължително това да бъде съгласието.

Съгласно съображение 47 от Регламента, обработването на лични данни за целите на директния маркетинг може да се разглежда като осъществявано поради легитимен (законен) интерес. За да се използва това основание, Администраторът следва да може да докаже, че използването на лични данни е пропорционално и има минимално въздействие върху поверителността.

В останалите случаи следва да се използва съгласието като основание за обработката. То трябва да бъде:

• Свободно дадено;
• Конкретно за специфичните цели;
• Информирано – т.е. лицата следва да разбират за какво се съгласяват;
• Недвусмислено – т.е. не следва да остава съмнение относно намерението на лицето;
• Доказуемо.

В Регламента са залегнали принципите при обработка на лични данни, чието спазване следва да бъде осигурено от Администратора. Последният трябва да гарантира, че личните данни са:

• Обработвани законосъобразно, добросъвестно и по прозрачен начин;
• Събирани за конкретните цели на директния маркетинг;
• Ограничени до минимум във връзка с тези цели;
• Точни и поддържани в актуален вид;
• Съхранявани във форма, която да позволява идентифицирането на субекта на данни за период, не по-дълъг от необходимото;
• Обработвани по начин, който предоставя подходящо ниво на сигурност, като се използват необходимите технически и организационни мерки за тяхната защита.

Администраторът е длъжен да предоставя необходимата информация на потребителите относно какви лични данни се обработват, за какви цели, за колко време ще бъдат съхранявани и какви мерки за тяхната защита са предприети.

Разбира се, най-голямо внимание е обърнато на правата на физическите лица относно обработката на личните им данни във връзка с директния маркетинг.

Едно от най-важните им права е правото на възражение срещу обработката, в случай че законното основание, което Администраторът използва, е легитимен интерес. Съгласно съображение 70 от Регламента, потвърдено в чл. 21, пар. 2, когато личните данни се обработват за целите на директния маркетинг, субектът на данни следва да има право безплатно и по всяко време да направи възражение срещу такова обработване. За това си право физическото лице трябва задължително да бъде уведомено.

В случай че лицето е дало съгласие за обработката, то може винаги да го оттегли, като Администраторът трябва да осигури, че това може да бъде извършено достатъчно лесно, безплатно и по всяко време.

Администраторът трябва задължително да се съобрази с искането на лицето. Последствията и от двете действия е невъзможността личните данни да бъдат използвани в бъдеще.

На последно място е нужно да се обърне внимание на маркетинга, насочен към деца. Регламентът изисква специална защита на личните данни, касаещи деца. За защита на техните лични данни, следва да се прилагат още по-засилени технически и организационни мерки. Администраторът не трябва да се възползва от уязвимостта на децата. Често те не осъзнават, че данните им ще бъдат използвани с цел директен маркетинг. Затова Администраторът има задължението на ясен и достъпен език да обясни какво прави с личните данни по начин, по който децата да разбират това. Маркетинг, насочен към деца, не трябва да съдържа нищо, което е вероятно да доведе до физически, умствени или морални вреди. Те имат всички права, както всеки субект на лични данни.