Efektīvs mārketings ir viens no stūrakmeņiem veiksmīgai komersanta darbībai, tomēr jāuzmanās, ja mārketinga aktivitāšu ietvaros veic personas datu apstrādi, piemēram, uz e-pasta adresēm vai īsziņu formā sūta informāciju par jauniem pakalpojumiem, akcijām vai piedāvājumiem, ja komunikācija ar esošajiem vai potenciālajiem klientiem notiek sociālajos tīklos, tiek rīkoti konkursi, loterijas u.c. aktivitātes mārketinga ietvaros. Jau šo aktivitāšu plānošanas procesā ir būtiski izvērtēt, vai un kuri personas datu izmantošanas noteikumi potenciāli plānotajām marketingā aktivitātēm varētu būt saistoši - Eiropas Parlamenta un Padomes Regulai (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgā datu aizsardzības regula (Regula), Fizisko personu datu apstrādes likums vai kāds cits.
Papildus var būt jāievēro speciālais konkrētās jomas normatīvais akts, kurā netiešā veidā arī var būt paredzēta personas datu izmantošanas kārtība, piemēram, Reklāmas likums (RL), Informācijas sabiedrības pakalpojumu likums (ISPL), Preču un pakalpojumu loteriju likums.
Jāsaprot, vai tiek veikta personas datu apstrāde
Ne visu mārketinga akciju ietvaros tiek veikta personas datu apstrāde, tomēr daudzos gadījumos izmanto personas datus. Piemēram, ja klientu aptauju, lai iegūtu viedokli par sadarbību ar komersantu, veic papīra formātā un tās ietvaros klientam nav jānorāda informācija, kas varētu to identificēt, tad personas datu apstrāde netiek veikta. Tomēr, ja aptauju veic elektroniski un tās ietvaros kopā ar klienta viedokli iegūst IP adresi, iespējams, ka tiek veikta personas datu apstrāde. Ja aptauju veic, aizpildot papīra formāta anketu, un tās ietvaros klientam lūgts norādīt arī e-pasta adresi, ja klients vēlas turpmāk saņemt informāciju par komersanta jaunajiem pakalpojumiem, tad aptaujas ietvaros sniegtais viedoklis vairs nav anonīms un varētu tikt atzīts par personas datiem, jo e-pasta adrese varētu identificēt fizisku personu.
Kas atbildīgs par personas datu izmatošanu
Galvenā par personas datu izmantošanu atbildīgā persona parasti ir "pārzinis". Regulas kontekstā ar pārzini saprotama persona, kura viena vai kopā ar citu personu nosaka personas datu apstrādes mērķus un līdzekļus. Līdz ar to, ja komersants saviem klientiem uz komersanta rīcībā esošajām klientu e-pasta adresēm nolemj sūtīt reklāmu, komersants atzīstams par šīs personas datu izmantošanas pārzini un ir atbildīgs par rīcības atbilstību Regulai, neatkarīgi no tā, ka faktisko izsūtīšanu veic cits komersants. Šis cits komersants varētu tikt atzīts par apstrādātāju, kam, salīdzinot ar pārzini, ir atšķirīgs pienākumu un atbildības apjoms.
2018.gada vasarā Eiropas Savienības tiesa spriedumā atzina, ka pārzinis var būt arī komersants, kas pats neveic personas datu apstrādi. Līdz ar to arī atbildība par personas datu apstrādi var būt komersantam, neatkarīgi no tā, vai faktiski veikta apstrāde. Šajā lietā komersants sociālajā tīklā "Facebook" bija izveidojis fanu lapu un, pamatojoties uz fanu lapā komersanta veiktajiem iestatījumiem un noteiktajiem kritērijiem, "Facebook" veica sociālā tīkla lietotāju personas datu apstrādi nolūkā gūt no fanu lapas apmeklējumiem izrietošo statistiku. "Facebook" komersantam nodeva tikai statistiku, anonimizētus datus, tomēr tiesa atzina, ka tāds "Facebook" vietnē mitinātas fanu lapas uzturētājs, iestatot parametrus atbilstoši savai mērķauditorijai, kā arī savas darbības vadības vai reklāmas mērķiem, piedalās savas fanu lapas personas datu apstrādes nolūku un līdzekļu noteikšanā. Tāpēc konkrētajā gadījumā šis uzturētājs kopā ar Facebook kvalificējams par šādu apstrādi atbildīgo pārzini. Līdz ar to atbildība par personas datu apstrādi ne vienmēr ir atkarīga no tā, vai faktiski personas datu apstrāde tiek veikta.
Piekrišana vai komersanta leģitīmās intereses
Lielākoties gadījumos, kad personas datus apstrādā mārketinga nolūkos, tiesiskais pamats šādai rīcībai ir fiziskās personas piekrišana vai komersanta leģitīmās intereses. Šobrīd vairumā gadījumu komersants var izvēlēties, kuru no tiesiskajiem pamatiem izmantot.
Izvēle varētu būt par labu leģitīmajām interesēm, jo attiecībā uz šī tiesiskā pamata izmantošanu, prasības nav tik stingras. Piemēram, piekrišanu var iegūt tikai ar fiziskas personas aktīvi veiktu darbību, savukārt leģitīmās intereses nodrošina tiesisko pamatu, ja fiziskā persona ir informēta par tās personas datu apstrādi un neiebilst pret to. Piekrišana ir jāiegūst katram mērķim atsevišķi. Piekrišanu atsaucot, apstrāde bez ierunām ir jāpārtrauc un piekrišanu nedrīkst ietvert līgumā kā vienu no vairākiem darījuma noteikumiem, kurus parakstot tiek dota arī piekrišana.
Visi šie nosacījumi nav saistoši, ja kā tiesiskais pamats tiek izmantotas leģitīmās intereses. Tomēr komersantiem ir jābūt uzmanīgiem, jo atsevišķos gadījumos leģitīmās intereses nevar tik izmantotas piekrišanas vietā un vienīgais iespējamais tiesiskais pamats var būt tikai piekrišana. Piemēram, ja reklāma uz e-pasta adresi tiek sūtīta fiziskai personai, kura nav bijusi komersanta klients, tad atbilstoši ISPL, tikai piekrišana, nevis leģitīmās intereses, var nodrošināt tiesības veikt šādu personas datu apstrādi. Arī tad, ja komersants, reklamējot savas preces, pakalpojumus, tēlu, vēlas izmantot fiziskās personas attēlu saskaņā ar RL, leģitīmas intereses nebūs pietiekams tiesiskais pamats.
Nesen uz personisko darba e-pasta adresi saņēmu vēstuli no komersanta, kurš šajā vēstulē norādīja, ka mana e-pasta adrese ir iegūta no manas vizītkartes, kura ir komersanta rīcībā, un šīs e-pasta vēstules mērķis ir noskaidrot, vai es turpmāk vēlos saņemt no šī komersanta informāciju par tā pakalpojumiem. Es nebiju devusi šim komersantam savu piekrišanu, ka mani vizītkartē ietvertie dati tiks izmantoti konkrētam mērķim, kā arī manā rīcībā nebija informācija un es nevarēju paredzēt, ka komersants varētu izmantot manus personas datus, lai sazinātos ar mani par šī komersanta piedāvātajiem pakalpojumiem. Līdz ar to šajā gadījumā varētu secināt, ka komersanta rīcībai nav tiesiska pamata – nav iegūta ne mana piekrišana, nepastāv arī priekšnosacījumi, lai komersanta leģitīmās intereses nodrošinātu tiesisko pamatu.
Līdzīgā gadījumā Lielbritānijas uzraudzības iestāde sodīja "Honda Motor Europe Ltd." par to, ka šis komersants izsūtīja e-pasta vēstules, lai noskaidrotu, vai personas vēlas nākotnē saņemt no komersanta mārketinga sūtījumus, bet nespēja pierādīt, ka personas devušas piekrišanu šādai e-pasta adreses izmantošanai. Uzraudzības iestāde atzina, ka e-pasta vēstules sūtīšana, lai noskaidrotu, vai persona vēlas saņemt mārketinga informāciju nākotnē, pati par sevi ir datu apstrāde mārketinga nolūkos, kurai nepieciešams tiesiskais pamats.
Attiecībā uz tiesisko pamatu jāņem vērā, ka, iespējams, 2019. vai 2020.gadā varētu stāties spēkā jauna regula – e-privātuma regula, ar kuru varētu vēl vairāk ierobežot datu izmantošanu mārketinga nolūkos, tostarp ierobežot to gadījumu skaitu, kad piekrišanas vietā kā tiesisko pamatu varētu izmantot komersanta leģitīmās intereses.
Tiesisks, nemainīgs mērķis un tam atbilstošs datu apjoms
Lai gan datu apstrādei pastāv piekrišana vai cits tiesiskais pamats, ir jāievēro arī citi datu apstrādes principi. Piemēram, ja loterijas vajadzībām nepieciešams iegūt personas tālruņa numuru, lai paziņotu par loterijas rezultātiem, tad nav pieļaujams pieprasīt, lai persona norāda arī savu e-pasta adresi, lai komersants vēlāk uz to nosūtītu mārketinga informāciju, kas nav saistīta ar konkrēto loteriju. Uzraudzības iestādes kritiski raugās uz datu apstrādes gadījumiem, kad personas dati no fiziskām personām tiek izvilināti jeb personas faktiski tiek "piespiestas" dot savus datus. Piemēram, šāda situācija ir gadījumā, kad nosacījums dalībai klientu lojalitātes programmā vai loterijā ir e-pasta adreses iesniegšana, lai uz to nosūtītu reklāmu.
Savā praksē, veicot atbilstības auditus, esam redzējuši piemērus, kur komersants, slēdzot ar klientiem līgumu par pakalpojumu nodrošināšanu, lūdza klientiem norādīt informāciju par savām interesēm un hobijiem, ar ko tie aizraujas, nepaskaidrojot, vai, kad, kādā veidā šī informācija tiks izmantota un cik ilgi tā tiks glabāta. Komersants paskaidroja, ka informāciju vēlējās iegūt, lai pēc tam izlemt, vai un kā to izmantot, piemēram, piedāvājot tieši viņam atbilstošus pakalpojuma risinājumus. Ievērojot, ka konkrēts datu iegūšanas mērķis nebija identificēts un informācija par to netika sniegta datu iegūšanas brīdī, bija jākonstatē neatbilstība Regulas prasībām. Jāņem vērā, ka brīdī, kad personas dati tiek ievākti, komersantam ir skaidri jāzina, kādam mērķim tie tiks izmantoti un cik ilgi tie tiks glabāti. Princips "gan jau saimniecībā kādreiz noderēs" nav pieļaujams.
Svarīgs ir arī mērķa nemainīguma princips, piemēram, ja komersants vēlas izmantot publiski pieejamus personas datus. Piemēram, komersants konstatē, ka fiziska persona savā "Facebook" profilā publicējusi savu fotogrāfiju un tajā persona ir redzama, izmantojot konkrētā komersanta pakalpojumus vai lietojot tā ražotās preces. Ja komersants, izmantojot "Facebook" funkcionalitāti, atzīmē šo attēlu ar "patīk" vai dalās ar to, tad šāda datu apstrāde, kas ir atbilstoša "Facebook" lietošanas noteikumiem, ir pieļaujama. Taču komersants nedrīkst bez konkrētās fiziskās personas saskaņojuma šādu attēlu izmantot sevis reklamēšanai, piemēram, ievietot savā mājas lapā vai reklāmas bukletos, neskatoties uz to, ka tie ir publiski pieejami attēli. Līdzīgs ierobežojums attiecas uz citā veidā publiski pieejamiem datiem – piemēram, komersants nedrīkst bez saskaņojuma ar konkrēto personu to nofotografēt vai nofilmēt publiska pasākuma apmeklējuma laikā un iegūto materiālu izmantot savai reklāmai. Arī publiski pieejami dati ir jāizmanto atbilstoši to publiskošanas mērķim un šī mērķu atbilstība ir jāspēj pierādīt tam, kurš veic šo personas datu izmantošanu.
Personām jābūt skaidri informētām par to datu izmantošanu
Būtiski nodrošināt arī fizisko personu skaidru informēšanu par to datu apstrādi. Procesa pārredzamības nodrošināšana ir būtiska pati par sevi, kā arī ir viens no priekšnoteikumiem piekrišanas vai leģitīmo interešu kā tiesiskā pamata pastāvēšanai. Informēšanas process ir jāveic, izstrādājot un fiziskām personām darot pieejamas privātuma atrunas, privātuma politikas, kurās jāietver konkrēta saskaņā ar Regulu norādāma informācija. Piemēram, ja tiek organizēts pasākums klientiem, kurā tiek plānots fotografēt un filmēt, lai materiālus ievietotu komersanta "Facebook" profilā, tad jau uzaicinājumā uz pasākumu ir jāietver privātuma atruna, tostarp jānorāda, ka tiks veikta filmēšana un fotografēšana, norādot arī šīs aktivitātes pārzini, mērķi un sekas (kur, kādā veidā attēli tiks publiskoti, cik ilgi tie tiks izmantoti). Tomēr personai jādod arī iespēja apmeklēt pasākumu un vienlaikus paturot iespēju nebūt redzamai publiskotajos attēlos.
Būtisks ir ne tikai šīs privātuma atrunas, politikas saturs pēc būtības, bet arī veids, kā šis saturs tiek pasniegts. Regulā noteikts, ka informācija ir jāsniedz viegli uztveramā, saprotamā un skaidri salasāmā veidā. Viens no galvenajiem kritērijiem, lai secinātu vai informācija ir sniegta atbilstoši, ir tas, vai fiziskā persona, izlasot informāciju, varēja saprast un paredzēt sekas – kad, kādas darbības un kādā veidā tiks veiktas ar tās datiem. Piemēram, neatbilstoši ir personai norādīt, ka tās personas dati tiks apstrādāti mārketinga nolūkos, jo šāda vispārīga informācija par nolūku nesniedz skaidru priekšstatu, proti, kādas tieši darbības tiks veiktas, kādas sekas fiziskajai personai radīsies datu apstrādes rezultātā.
2019.gada janvārī Francijas uzraudzības iestāde piemēroja 50 milj. eiro sodu uzņēmumam "Google" par Regulas pārkāpumiem. Tika konstatētas šādas neatbilstības:
- - nav nodrošināta pārredzamības principa ievērošana – informācija par datu apstrādi nav sniegta viegli pieejamā veidā, apstrādes mērķi ir aprakstīti pārāk vispārīgi un neskaidri, nav saprotams, kas ir tiesiskais pamats personalizēto reklāmu nosūtīšanai (piekrišana vai leģitīmās intereses), daļa obligāti sniedzamās informācijas nav sniegta vispār (piemēram, informācija par datu glabāšanas ilgumu);
- - piekrišanas, kuras tiek iegūtas, lai nodrošinātu tiesisko pamatu personalizēto reklāmu nosūtīšanai, nav atbilstošas – tās nav pietiekami informatīvas un nepārprotamas (nav iegūtas ar darbību jeb konkrētu, apstiprinošu aktivitāti no lietotāja puses) un specifiskas (nav iespēja dot piekrišanu par katru datu apstrādes mērķi atsevišķi, tā vietā lietotājs faktiski ir spiests piekrist dažādu mērķu kopumam).
Tādējādi gūts apliecinājums tam, ka uzraudzības iestādes strikti interpretē datu subjektu informēšanas un tiesiskā pamatojuma pamatprincipus. Līdz ar to šai lietai vajadzētu kalpot par pamudinājumu ikvienam komersantam izvērtēt un nepieciešamības gadījumā uzlabot gan fizisko personu informēšanas praksi, gan datu iegūšanas un izmantošanas pamatu u.c. Regulas prasību piemērošanu.
Šie ir daži būtiskākie principi un aspekti, par ko jādomā, veicot datu apstrādi mārketinga nolūkos, bet ne visi. Tāpat, kā citos datu apstrādes gadījumos, ir jānodrošina arī datu drošība, atbilstoši jāorganizē attiecības ar ārpakalpojumu sniedzējiem, ja tie iegūst personas datus, sniedzot atbalstu mārketinga pasākumos, kā arī jāievēro citas Regulas prasības.
Papildus jāņem vērā, ka visas datu aizsardzības prasības attiecināmas ne tikai uz klientu, bet arī uz darbinieku datu izmantošanu mārketinga nolūkos. Piemēram, ja birojā vēlas fotografēt darba procesu, kurā redzami arī darbinieki, lai izveidotu reklāmas materiālu jaunu darbinieku piesaistīšanai, tad nevar paļauties, ka šāda darbinieku datu apstrāde ir atļauta pati par sevi, pamatojoties uz darba līgumu un Darba likumu. Šāda aktivitāte neizriet no darbinieka saistībām, nav saistīta ar tiešo darba pienākumu izpildi, līdz ar to tai ir jāatbilst Regulas prasībām, tostarp jānodrošina atsevišķs tiesiskais pamats, jāveic darbinieku informēšana, dodot iespēju darbiniekam arī panākt, ka informācija par to netiek publiskota.
