Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 26 Decembrie 2024
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
PortalProtectiaDatelor.ro Un produs marca Rentrop&Straton
  • Intrebari si raspunsuri
  • Modele de documente
  • Opinia Specialistului
  • track_changesControl protectia datelor
  • Cercetarile efectuate in scop de marketing versus vanzarile mascate

    04 Nov 2018
    Andreea COMAN Raspuns oferit de
    Andreea COMAN
    Avocat SAVESCU & ASOCIATII


    Regulile marketingului direct nu se vor aplica in cazul in care o organizatie contacteaza clientii pentru a efectua cercetari de piata reala (de exemplu, scopul este de a folosi cercetarea de piata pentru luarea deciziilor in domeniul comercial sau politicilor publice) sau contractarea unei firme de cercetare pentru a face acest lucru, deoarece acest lucru nu va implica comunicari de publicitate sau materiale de marketing.

    Cu toate acestea, organizatiile care efectueaza cercetari de piata vor trebui sa respecte alte prevederi din domeniul protectiei datelor cu caracter personal si in special sa se asigure ca prelucreaza orice date cu caracter personal care pot identifica o persoana vizata, in mod corect, in conditii de securitate corespunzatoare si numai pentru scopuri de cercetare.

    In orice caz, o organizatie nu poate evita regulile marketingului direct etichetand mesajul sau ca un studiu sau cercetare de piata, daca de fapt se incearca vanzarea de bunuri sau servicii sau pentru a colecta date cu caracter personal pentru a-i ajuta pe altii (sau altele) sa contacteze persoane in scopuri de marketing la o data ulterioara. Acest lucru este uneori cunoscut drept vanzare mascata sub pretextul cercetarii.

    Daca apelul sau mesajul include orice materiale promotionale sau se colecteaza date cu caracter personal pentru a le utiliza in exercitii de marketing viitoare, apelul sau mesajul va fi considerat efectuat pentru scopuri de marketing direct. Organizatia trebuie sa comunice acest lucru si sa se conformeze regulilor aplicabile marketingului direct din perspectiva protectiei datelor cu caracter personal.

    In cazul in care o organizatie pretinde pur si simplu ca desfasoara un studiu atunci cand scopul sau real (sau unul dintre scopurile sale) este de a vinde bunuri sau servicii sau colecteaza date cu caracter personal in scopuri de marketing, aceasta va incalca regulile cu privire la protectia datelor cu caracter personal atunci cand le va prelucra.

    Organizatiile nu trebuie sa solicite firmelor de cercetare de piata pe care le angajeaza sa:
    • promoveze produsele lor (aceasta va include solicitarea ca firma de cercetare sa utilizeze bunuri/servicii ale organizatiei ca o modalitate de a stimula participarea); sau
    • sa le ofere datele de cercetare in scopuri de vanzare sau marketing viitor, cu exceptia situatiei in care persoanele vizate contactate au agreat acest lucru si toate comunicatiile sunt conforme regulilor PECR.

    Daca pe parcursul efectuarii unui proiect de cercetare de piata o organizatie descopera erori in baza de date a clientului, consideram ca se pot utiliza datele ce fac obiectul cercetarii pentru a corecta aceste erori fara a incalca regulile GDPR sau PECR. Acest lucru este in conformitate cu obligatia prevazuta de al patrulea principiu GDPR, respectiv, asigurarea faptului ca datele cu caracter personal sunt corecte si actualizate.

    Cu toate acestea, organizatiile nu trebuie sa utilizeze in mod deliberat cercetarea de piata ca o metoda de pastrare actualizata a datelor cu caracter personal ale clientilor in baza lor de date.

    Organizatiile de caritate, partidele politice si alte organizatii non-profit

    Marketingul direct nu este limitat la promovarea bunurilor si serviciilor in scop de vanzare. Include de asemenea promovarea de catre o organizatie a convingerilor si idealurilor. Acest lucru inseamna ca regulile de comercializare directa se vor aplica campaniilor promotionale si activitatilor de strangere de fonduri ale organizatiilor non-profit. De exemplu, o organizatie caritabila sau un partid politic contacteaza persoanele fizice pentru a da curs strangerii fondurilor sau voturilor sau contacteaza sustinatorii sai pentru a-i incuraja sa participe la o intrunire publica, activitati ce intra sub incidenta regulilor marketingului direct.

    Organizatiile non-profit nu sunt exceptate nici ele de la necesitatea conformarii cu GDPR sau PECR si, prin urmare, vor trebui sa se asigure ca activitatile lor respecta legislatia in domeniu.

    Organizatiile non-profit trebuie sa fie constiente ca definitia marketingului direct va acoperi orice mesaje ce contin elemente de marketing chiar daca nu acesta este scopul principal al mesajului.

    Exemplu:
    O organizatie caritabila efectueaza un apel telefonic administrativ catre o persoana vizata care efectueaza donatii cu debit direct cu nivel ridicat in scopul strangerii de fonduri intr-un anumit context, dorind sa confirme detaliile tranzactiei bancare. In cazul in care apelul pur si simplu confirma detaliile, atunci apelul nu va fi reglementat de normele marketingului direct.

    Cu toate acestea, daca organizatia caritabila se foloseste de apelul administrativ pentru a sugera persoanei vizate sa mareasca nivelul donatiei sau ii furnizeaza orice alte informatii promovand activitatea de caritate, atunci acest lucru va inseamna ca apelul inceteaza sa mai fie pur administrativ si se vor aplica direct normele marketingului direct.

    Organizatiile non-profit trebuie sa se asigure ca in mod clar si vizibil explica sustinatorilor care dintre detaliile lor vor fi utilizate si in ce scop, precum si sa obtina consimtamantul lor clar si specific pentru marketingul electronic.


    Exemplu:
    O persoana vizata vede un anunt al unei organizatii de caritate intr-un ziar si decide sa doneze 5 lei printr-un mesaj-text. Cu toate ca persoana vizata a decis sa doneze cu aceasta ocazie (si a furnizat ca rezultat numarul sau de telefon organizatiei de caritate), acest lucru nu inseamna ca organizatia are acordul sau pentru utilizarea datelor de contact in scopul contactarii despre viitoarele campanii. Organizatia de caritate, prin urmare, nu poate utiliza detaliile de contact ale persoanei vizate in scopuri de marketing.

    Organizatiile caritabile ar trebui sa aiba in mod particular grija atunci cand comunica prin mesaje-text sau prin e-mail. Aceasta pentru ca exceptia soft-in se aplica doar comercializarii produselor si serviciilor. Organizatiile non-profit se pot folosi de optiunea soft opt-in pentru produsele sau serviciile pe care le ofera. Dar acestea nu vor putea efectua campanii prin mesaje text sau e-mail-uri fara consimtamantul specific, chiar si al sustinatorilor existenti.

    Organizatiile non-profit care doresc sa partajeze/vanda listele lor de marketing cu alte organizatii trebuie sa se asigure ca sustinatorii lor sunt constienti de acest lucru atunci cand datele cu caracter personal au fost colectate si ca acordul specific pentru a partaja/vinde datele cu caracter personal a fost obtinut. Consimtamantul sustinatorilor nu se poate deduce doar pentru ca o lista de marketing urmeaza sa fie distribuita sau vanduta catre o organizatie care are scopuri/obiective similare cu organizatia originara o astfel de presupunere nu respecta cerintele legale.

    Consimtamantul
    Consimtamantul este regula esentiala pentru marketingul direct. Organizatiile, in general, vor trebui sa obtina acordul unei persoane vizate inainte sa ii transmita mesaje, emailuri, faxuri, apeluri telefonice, apeluri automatizate in scop de marketing direct. De asemenea, organizatiile vor avea nevoie, de obicei, de consimtamantul clientului pentru a transmite datele sale de contact catre o alta intreprindere. In cazul in care acestea nu pot demonstra ca au avut un consimtamant valabil, ele pot fi supuse sanctiunilor.

    Pentru a fi valid, consimtamantul trebuie sa fie dat in cunostinta de cauza si acordat in mod liber, clar si specific. Organizatiile ar trebui sa pastreze inregistrari clare cu privire la aspectele pentru care consimtamantul a fost obtinut, astfel incat acestea sa poata demonstra conformitatea lor cu GDPR in situatia unui control sau formularii unei plangeri.

    Aspecte-cheie pentru un consimtamant valid:
    • Acordat in mod liber persoana vizata trebuie sa aiba o alegere reala cu privire la acordarea sau nu a consimtamantului in scop de marketing. Organizatiile nu ar trebui sa constranga sau sa stimuleze in mod nejustificat persoana vizata sa consimta sau sa penalizeze pe oricine refuza. In cazul in care consimtamantul pentru marketing este o conditie pentru abonarea la un serviciu, compania va trebui sa demonstreze modul in care acest lucru indica faptul ca acordul a fost dat in mod liber.
    • Specific in contextul marketingului direct, consimtamantul trebuie sa fie specific tipului de comunicare in scop de marketing (de exemplu, apeluri automate sau mesaje-text) pe care organizatia le transmite.
    • Informat persoana vizata trebuie sa inteleaga pentru ce anume consimte. Organizatiile trebuie sa se asigure ca explica exact, in mod clar si vizibil, aspectele cu care persoana vizata este de acord, in cazul in care acest lucru nu este evident. Includerea informatiilor intr-o politica de confidentialitate densa sau ascunse intr-un document in miniatura, greu de gasit, dificil de inteles sau rar citit nu va fi suficient pentru a stabili existenta consimtamantului informat.

    Exemplu:
    O companie efectueaza apeluri telefonice in scop de marketing catre o persoana vizata. Pe parcursul apelului persoana vizata este intrebata daca ar fi bucuroasa sa fie contactata de catre o parte terta in scopuri de marketing. Persoana vizata este de acord si apoi este redat un mesaj automat in care o voce electronica enumera rapid denumirile companiilor care sunt greu de inteles.

    Acesta nu constituie un consimtamant informat. In primul rand, persoanei vizate i s-a solicitat sa fie de acord cu marketingul de la terte parti inainte sa fie informata cu privire la cine sunt acestea de fapt. In al doilea rand, fisierul audio comprimat, redat persoanei vizate este practic de neinteles. Mai mult decat atat, chiar daca a fost redat inainte de obtinerea consimtamantului, acest lucru nu ar constitui un consimtamant informat de vreme ce listarea a fost mult prea rapida pentru a alege dintre companiile enumerate.
    • Un indiciu/o indicatie ce semnifica acord consimtamantul trebuie sa fie o expresie pozitiva a alegerii. Nu trebuie neaparat sa fie o declaratie proactiva de exemplu, consimtamantul poate uneori sa fie acordat prin transmiterea unui formular online, daca exista o declaratie clara ca aceasta actiune va fi luata in considerare ca acord si exista optiunea retragerii consimtamantului. Dar organizatiile nu isi pot asuma consimtamantul ca fiind rezultatul unui esec al dezabonarii, cu exceptia situatiei in care aceasta este parte dintr-un pas pozitiv, cum ar fi inregistrarea pentru un serviciu sau finalizarea unei tranzactii.

    Exemplu:
    O companie decide ca doreste sa utilizeze baza de date de clienti pentru a-i marketa. In prealabil, clientii nu si-au exprimat consimtamantul sa primeasca mesaje de marketing astfel incat compania transmite o notificare clientilor prin care ii incunostinteaza ca doreste sa le transmita detalii despre ofertele speciale prin posta sau prin e-mail. Notificarea furnizeaza clientilor un numar de telefon la care acestia sa apeleze in situatia in care nu doresc sa primeasca marketing.

    Lipsa unui raspuns din partea clientilor nu constituie consimtamant valid pentru activitati de marketing. Esecul de apelare a numarului de telefon pus la dispozitie pentru a renunta la asa-zisul consimtamant nu satisface cerinta ca persoanele vizate sa furnizeze un indiciu semnificativ de exprimare a consimtamantului. Compania, cu atat mai mult, nu va putea sa marketeze clientii pe aceasta baza.

    Definitia de baza a consimtamantului se aplica in aceeasi masura si pentru regulile PECR. Acest lucru inseamna ca acordul pentru mesajele de marketing electronic este mult mai bine definit decat in alte contexte si trebuie sa fie extrem de clar si specific. In particular:
    • Beneficiarul a notificat expeditorul persoana vizata trebuie sa notifice organizatiei consimtamantul pentru marketing. O organizatie trebuie sa aiba grija atunci cand se intemeiaza pe consimtamantul indirect (acordat unei terte parti) care a fost initial acordat unei alte organizatii. Persoana vizata trebuie sa fi avut intentia ca acordul sau sa fie transmis organizatiei in scop de marketing.
    • Acordurile de moment acordul este in curs de desfasurare. Consimtamantul pentru un anume mesaj sau care este in mod clar dat doar pentru o perioada scurta de timp sau intr-un anumit context nu va fi luat in considerare ca acord pentru toate mesajele viitoare de marketing. Apreciem, de asemenea, ca acordul de moment dureaza atata vreme cat circumstantele raman neschimbate si va expira daca intervine o schimbare insemnata.
    • Tipul de comunicare persoana vizata trebuie sa specifice tipul de comunicare pentru care isi exprima consimtamantul. Cu alte cuvinte, organizatia nu poate efectua un apel automat decat daca persoana si-a exprimat acordul in acest sens, nu poate transmite mesaje-text decat daca persoana vizata a consimtit sa le primeasca. Consimtamantul acordat pentru receptionarea apelurilor nu poate fi extins pentru a acoperi mesajele-text sau e-mail-urile si vice-versa. O declaratie generala de exprimare a acordului pentru primirea materialelor de marketing poate fi valida pentru e-mail-uri, dar nu va acoperi apelurile sau mesajele-text.
    • Trimise de expeditor persoana vizata trebuie sa specifice consimtamantul pentru receptionarea mesajelor de la expeditorul acestora. Din nou, acest lucru inseamna ca organizatiile trebuie sa fie atente la consimtamantul acordat initial unei terte parti.

    In lumina noilor prevederi ale Regulamentului, prelucrarea datelor pe baza de consimtamant presupune respectarea unor standarde legale specifice. A prelucra date pe baza consimtamantului inseamna a da persoanei vizate reala libertate de alegere si control sporit asupra prelucrarii. Reguli de obtinere si gestionare a consimtamantului:
    1. Consimtamant explicit. Consimtamantul trebuie sa fie exprimat in mod explicit,
    intr-o maniera clara si specifica (manifestare pozitiva a consimtamantului). Utilizarea unor metode de exprimare implicita / tacita a consimtamantului (spre exemplu, casute de acord pre-bifate) nu este o practica legala.
    1. Consimtamant nelegal. Furnizarea unui serviciu solicitat de/oferit persoanei vizate nu poate fi conditionata de acordarea consimtamantului pentru prelucrare din partea respectivei persoane, intrucat astfel consimtamantul nu ar fi liber exprimat.
    2. Consimtamant separat. Consimtamantul trebuie solicitat (i) in mod separat de termeni si conditii ori alte documente de informare si prezentare si (ii) in mod specific pentru fiecare scop pentru care se face prelucrare pe acest temei juridic.
    3. Consimtamant documentat. Consimtamantul trebuie documentat si dovada acestuia trebuie pastrata. Ca principiu, operatorul trebuie sa poata demonstra cine a dat consimtamantul, cand, prin ce metoda si ce informatii au fost furnizate cu ocazia preluarii consimtamantului.
    4. Consimtamant revocabil. Persoana vizata are dreptul de a retrage consimtamantul in orice moment (forma de manifestare a dreptului de a fi uitat ), iar operatorul trebuie sa ofere un mecanism de retragere facil si sa actioneze pentru a da eficienta retragerii in cel mai scurt timp posibil.

    Consimtamantul implicit
    Nici GDPR, nici PECR nu prevad ca acordul pentru marketing trebuie sa fie explicit, desi este o buna practica sa fie asa. Consimtamantul implicit poate fi valid in anumite situatii cu alte cuvinte, daca este rezonabil sa se creada ca persoana vizata a consimtit pentru marketing, chiar daca acest lucru nu a fost stipulat in prea multe cuvinte.

    In orice caz, organizatiile nu se pot baza pe consimtamantul implicit cu ignorarea necesitatii obtinerii consimtamantului sau presupunand nevoia acestuia doar in situatia in care s-ar formula o plangere in acest sens. Chiar si consimtamantul implicit trebuie sa fie acordat in mod liber, specific si informat si trebuie sa implice o actiune pozitiva care sa indice acordul (de exemplu, facand click pe un buton sau inregistrandu-se pentru un serviciu). Persoana vizata trebuie sa inteleaga ca a consimtit si pentru ce a consimtit in mod exact si trebuie sa aiba, de asemenea, dreptul de optiune.

    Recomandam operatorilor de date cu caracter personal sa nu transforme consimtamantul pentru marketing ca o conditie pentru inregistrarea pentru un serviciu decat daca pot demonstra in mod clar cum anume consimtamantul pentru marketing este necesar pentru acel serviciu si de ce consimtamantul nu poate fi obtinut in mod separat. De asemenea, este relevant sa luati in considerare daca exista o optiune de alte servicii si cat de corect este de a cupla acordul pentru marketing cu abonarea la serviciul respectiv. De asemenea, este important sa evaluati daca aceasta abordare creeaza un dezechilibru intre individ si organizatie.

    In alte imprejurari, utilizarea datelor cu caracter personal este atat de evidenta incat actul de furnizare a datelor cu caracter personal este suficient pentru a indica consimtamantul de exemplu, furnizarea adresei postale pentru finalizarea unei tranzactii online indica in mod clar exprimarea acordului pentru a folosi acea adresa in scopul livrarii marfii. Poate fi de asemenea clar ca utilizarea datelor cu caracter personal reprezinta parte a unui serviciu sau unei activitati de exemplu, in cazul in care un website afiseaza un banner clar ce arata ca folosind website-ul vor rezulta cookie-uri, facand click pe paginile respective va rezulta acordul implicit pentru utilizarea cookie-urilor respective, atata timp cat sunt puse la dispozitie suficiente informatii pentru informarea utilizatorilor.

    In orice caz, este foarte putin probabil ca marketingul direct sa fie evident sau parte integranta dintr-un alt serviciu sau activitate in acelasi mod. Va fi dificil sa se demonstreze ca un client a inteles ca a fost de acord sa primeasca mesaje in scop de marketing, cu exceptia cazului in care li se explica ca actiunea sa va fi considerata in acest sens si a existat o optiune libera de a consimti sau nu.

    Nu este suficient pentru consimtamantul implicit daca o asemenea explicatie este furnizata doar ca parte a politicii de confidentialitate sau printr-o notificare greu de gasit, inteles etc. Clientul nu va fi constient pentru ce consimte, ceea ce inseamna ca nu este informat si, in consecinta, nu exista consimtamant valid.

    Operatorii de date cu caracter personal trebuie sa se asigure ca exista la dispozitia clientilor informatii clare si relevante, explicandu-le exact pentru ce consimt si ce optiuni au.

    Pe scurt, consimtamantul implicit in contextul marketingului direct prin mesaje nu este in mod neaparat o optiune la indemana, ci, mai degraba, operatorii trebuie sa urmeze pasii similari pentru obtinerea consimtamantului explicit. De exemplu, daca consimtamantul explicit poate fi obtinut prin utilizarea unei casute opt-in, consimtamantul implicit necesita o declaratie proeminenta combinata cu o casuta opt-out, de renuntare. Prin urmare, recomandam organizatiilor sa utilizeze casute opt-in pentru a obtine acordul explicit.

    Newsletter PortalProtectiaDatelor.ro

    Munca la domiciliu - Aspecte practice privind GDPR

    Ramai la curent cu toate solutiile propuse de specialisti.
    Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!

    Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

    x