ZAKON O ZAŠTITI PODATAKA O LIČNOSTI – DA LI SE NEŠTO PROMENILO?

15 Nov 2019

Prošla su skoro tri meseca od kada je na snazi Zakon o zaštiti podataka o ličnosti (ZZPL), domaća verzija GDPR. U marketing i e-commmerce zajednici nije bilo većih potresa, jer su stručnjaci i građani uglavnom fokusirani na rešavanje problema neusklađenosti rada javnih službi sa ZZPL. Međutim, to ne znači da su prodavci savesni, već samo da nisu prvi na listi prioriteta građana.

Srbija je požurila da primeni GDPR, čije su odredbe uglavnom sadržane u Zakonu o zaštiti podataka o ličnosti. Novi zakon primenjuje se od 23. avgusta ove godine i važan je za tri grupe kompanija iz sektora internet marketinga i e-commerce-a:

Za kompanije koje prodaju proizvode i usluge na teritoriji EU;
Za kompanije koje prikupljaju podatke o svojim kupcima;
Za posrednike koji razmenjuju, kupuju i prodaju podatke o kupcima.

Targetiranje građana EU je dobro definisano, i naše kompanije su dužne da strogo primenjuju GDPR ako ne žele probleme na stranim tržištima. Bez obzira na kom je domenu sajt, ako sajt nudi proizvode građanima EU na njihovom maternjem jeziku, sa plaćanjem u njihovoj valuti, obavezno je ispunjavanje svih normi koje GDPR predviđa, od jasnog načina davanja saglasnosti za upotrebu ličnih podataka, mogućnosti odabira koji se podaci čuvaju, mogućnosti dobijanja i brisanja podataka, do stroge kontrole korišćenja podataka i određivanja osobe u kompaniji koja je zadužena za bezbednost podataka.

Obaveze domaćih kompanija prema ZZPL / GDPR

Najkompleksnija su pravila o prikupljanju podataka koji pripadaju svim kupcima, domaćim i stranim, a najviše je i kompanja koje prikupljaju takve podatke. To uključuje sve krupnije online prodavnice, odnosno najmanje 20.000 sajtova kompanija čije je sedište u Srbiji. Međutim, većina kompanija koristi cookies tako da može da prati korisnika na internetu i servira mu oglase, dok u isto vreme ne može da identifikuje osobu, tj. nema dovoljno podataka da zna o kojoj osobi je tačno reč. Ovaj vid prikupljanja podataka nije u suprotnosti sa GDPR. Tako, sajt može da sadrži cookies koji sajtu govore šta je korisnik ranije gledao, koja su njegova interesovanja i slično, i tu je dovoljno jedno opšte “Prihvatam kolačiće”. Na osetljivu teritoriju se dolazi kada kompanija poseduje lične podatke korisnika, kao što su ime, email adresa ili broj telefona, posebno ako te podatke koristi u marketinške svrhe.

Preuzmite Zakon o zaštiti podataka o ličnosti (PDF)

Tu dolazimo na najosetljiviji teren kada je u pitanju Zakon o zaštiti podataka o ličnosti, a to je način na koji kupac daje pristanak da prodavac uzme i iskoristi njegove lične podatke. Sajtovi bi morali da sadrže eksplicitno i vrlo kratko objašnjenje o tome koji se podaci prikupljaju i za šta se tačno koriste, što ni u svetu, a još manje kod nas još nije slučaj. Uopštene rečenice i dalje preovladavaju, što nije u duhu GDPR, tako da očekujemo da će jasnije definisani podzakonski akti ili nekoliko uspešnih žalbi pred sudovima učiniti da prodavci ponude jasnije smernice kako se podaci koriste, odnosno kako se štite. Nažalost, ako negde kupac ostavi broj telefona, velika je verovatnoća da će uskoro dobiti viber reklamu od potpuno nepoznate kompanije, i to bi ZZPL morao da eliminiše.

Nema više blanko pristanka

Sa druge strane, ako se kupcu jasno predoči za šta će se koristiti njegovi podaci i on se sa time složi, kompanija ih može koristiti na bilo koji navedeni način. Fizičke prodavnice, u kojima kupac popunjava i potpisuje kratak formular, najdalje su otišle na našem tržištu u tom smislu (posebno prodavnice sportke opreme). Blanko staglasnost, u kojoj neko klikne na “Prihvatam uslove” ne znači da kompanija može da radi sve što želi sa njegovim podacima, čak i ako je na nekoj stranici tačno navedeno za šta će se podaci koristiti, jer GDPR pretpostavlja da kupac nije dužan da čita komplikovane disclaimer-e.

Isto važi i za davanje saglasnosti za deljenje podataka sa trećim licima. Više nije dovoljno da kupac označi da daje pristanak da se njegovi podaci dele sa drugima, već mora posebno da pristane na deljenje podataka sa svakom trećom stranom pojedinačno. Ova obaveza dovela je dramatičnog pada u deljenju podataka unutar EU, jer je većina sajtova odmah otkazala saradnju sa agencijama koje se bave sakupljanjem adresa i drugih podataka. Iako se adresama sada ne trguje otvoreno, kompanije često razmenjuju podatke sa svojim partnerima, što predstavlja kršenje GDPR, a ta praksa veoma je živa i u Srbiji.

Da li ste poslali kupcima mejl o usklađenosti sa ZZPL?

Mnoge kompanije nisu svesne da se odredbe iz ZZPL ne odnose samo na prikupljanje novih podataka već i na komunikacije koje su upućene starim kontaktima. Svim starim kontaktima iz godinama sakupljanih baza mora se poslati update koji objašnjava usklađenost sa ZZPL i pruža im priliku da ponovo odaberu koje vrste obaveštenja žele da primaju i kako žele da se koriste njihovi podaci. Većina evropskih kompanija poslala je još prošle godine te mejlove, mada su ih mnoge svele na jedno veliko “Prihvatam” dugme, što ponovo nije u skladu sa GDPR.

Šta je sa vrstama promocija u kojima nema mogućnosti za selekciju opcija, kao što su SMS marketing, viber marketing ili telefonski pozivi? Domaći i evropski zakoni predviđaju da kupac mora dati direktnu saglasnost za svaki vid promocije, što kod nas apsolutno nije slučaj, a ta pravila ne poštuju čak ni evropske kompanije koje posluju u Srbiji, kao što su osiguravajuće kompanije, koje izdašno koriste usluge call centara.

Konačno, tu dolazimo i do pitnja u kojoj meri su strane kompanije, posebno evropske, dužne da poštuju odredbe GDPR i ZZPL u Srbiji, tj. kada su u pitanju građani Srbije. Među 20 najvećih web kompanija koje posluju globalno, samo je Twitter imenovao osobu koja je zadužena za usklađenost poslovanja u Srbiji sa GDPR regulativom. Bilo bi veoma dobro kada bi ovaj primer za početak sledili Google i Facebook, međutim za sada će naši građani ostati samo pod zaštitom ZZPL, koji nema mehanizam pritiska na velike strane kompanije.