Директният маркетинг е инструмент, който се използва от огромна част от бизнеса.  Ефективността му е доказана от много проучвания и е призната от специалистите. Недоброто познаване на правната уредба на директния маркетинг от бизнеса обаче води до нарушаване на закона или в някои случаи дори до неизползването на този инструмент поради страх от неспазване на изискванията му. Все още немалка част от търговците продължават да си задават въпроса дали и кога трябва да събират съгласие за изпращане на маркетинг информация и дали могат да изпращат маркетингови съобщения на клиентите си без да са получили съгласие за това.

В настоящата статия ще отговорим на тези въпроси, като разгледаме изискванията през призмата на Регламент (ЕС) 2016/679 („Регламентът/-а“, „GDPR[1]), чието влизане в действие постави доста въпросителни пред маркетолозите. Ще разясним правилата за осъществяване на директен маркетинг, с фокус имейл маркетинга, като за целта ще разгледаме действащите към момента разпоредби на Закона за електронните съобщения (ЗЕС)[2] и Закона за електронната търговия (ЗЕТ)[3]. Именно със ЗЕС в националното ни законодателство са транспонирани изискванията на Директива 2002/58/ЕО (Директива за правото на неприкосновеност на личния живот и електронни комуникации), позната още като „ePrivacy“ – Директивата. Към момента още не е факт, но предстои тази директива да бъде отменена от дългоочаквания „ePrivacy“ – Регламент[4], който би следвало да урежда въпросите, свързани с правото на неприкосновеност при електронните комуникации и от който се очаква да разшири обхвата на уредената към момента с „ePrivacy“ – Директивата материя.

Съгласно предложения текст на „ePrivacy“ – Регламента, под „директен маркетинг“ в електронна среда може да се разбира „всяка форма на реклама, чрез която физическо или юридическо лице изпраща преки маркетингови съобщения непосредствено до един или повече идентифицирани или идентифицируеми крайни ползватели, които използват електронни съобщителни услуги“. Това определение кореспондира и с дефинициите, възприети и от други европейски държави в националното им законодателство.

Важни обстоятелства, които диктуват приложимите правила при директния маркетинг

За извършването на директния имейл маркетинг се вземат предвид различни обстоятелства, които водят до прилагането на специфични правила. Основните са:

  1. дали лицето, спрямо което ще се извършва директен маркетинг, е настоящ клиент на дружеството/организацията (т.е. дали вече е част от базата данни с клиенти на дружеството/организацията);
  2. дали лицето, с което ще се комуникира с цел директен маркетинг, е физическо или юридическо лице.

Директен имейл маркетинг към лица, които са настоящи клиенти

Директен имейл маркетинг към настоящи клиенти може да се извършва на някое от следните правни основания:

  • на база предварително получено съгласие от лицата;
  • на база легитимен интерес.

1. Предварително полученото съгласие трябва да отговаря на правилата на GPDR за събиране на съгласие – да е дадено свободно, с някакъв потвърдителен акт/действие (а не да се презюмира), да е за конкретно нещо, да е информирано, като администраторът на лични данни предоставя описание на конкретната цел на обработването, информация дали данните ще се споделят с други партньори (трябва отделно съгласие за това), какъв е начинът за оттегляне на съгласието, да включва и препратка (линк) към Уведомлението за поверителност на дружеството/организацията, което да информира за политиката, която администраторът прилага за защита на данните.

2. Легитимният интерес като правно основание за обработването на лични данни за целите на директния маркетинг е изрично посочен като основание за такова обработване от GDPR (съображение 47). За да е приложимо това основание, съгласно Регламента е необходимо да са налице следните условия:

  • вече установени взаимоотношения с лицето (например, лицето, с което ще се комуникира, вече да е клиент на дружеството/организацията);
  • още при събиране на данните на физическото лице, то да може да очаква, че данните могат да бъдат използвани за целите на директен маркетинг (т.е. още при установяване на отношенията с него – при подписване на договора, например, лицето да бъде уведомено, че данните му могат да се използват, за да му се изпраща маркетинг информация).

Принципно, чрез балансиращия тест, който се извършва (и следва да се документира) при позоваване на легитимен интерес, даден експерт може лесно да си отговори на въпроса дали това основание е приложимо. Информация за същността, етапите и правилата при оценка на легитимния интерес можете да видите в Становище 06/2014 относно понятието за законни интереси на администратора на лични данни съгласно член 7 от Директива 95/46/ЕО[5].

При директен маркетинг в електронна среда трябва да се спазват и правилата, установени в Закона за електронните съобщения. Съгласно чл. 261, ал. 2 от ЗЕС, ако едновременно са изпълнени долуизброените условия, съгласието на лицето за директен маркетинг по електронен път не е необходимо (съответно като основание по Регламента може да се използва легитимният интерес):

  • дружеството/организацията е получило електронната поща на лицето при сключена с него сделка за предоставяне на свои продукти или услуги;
  • при сключването на сделката дружеството/организацията му е предоставило информация, че възнамерява да използва електронната му поща с цел свой директен имейл маркетинг и му е дало възможност още тогава „да изрази несъгласие“ (т.е. да възрази) срещу това;
  • в изпращаните имейли с цел директен маркетинг дружеството/организацията предлага на лицето свои продукти или услуги, сходни на тези, за които е била сключена сделката, при която е получило електронната поща.

Следва да обърнем внимание на използваната в ЗЕС формулировка относно възможността лицето „да изрази несъгласие“. Това е текст отпреди влизането в действие на GDPR и сегашните правила за легитимно получено съгласие. Тази стара формулировка нерядко създава трудности и неясноти при практическото прилагане на закона при извършване на директен маркетинг, вкл. относно приложимото основание. Често сме виждали да се използва текст с поле за маркиране, който гласи „не съм съгласен да получавам маркетинг-имейли…“, като неотбелязването на полето би навело на мисълта за съгласие: потребителят е съгласен данните му да се използват за целите на директен маркетинг, но все пак изричен потвърдителен акт на дадено съгласие липсва. Ние препоръчваме в текста, с който се дава възможност за изразяване на т.нар. „несъгласие“ по ЗЕС, да се използва формулировката „възразявам срещу получаване на маркетинг-имейли …“, която кореспондира на легитимния интерес като приложимо основание за маркетинга в тези случаи.

Независимо на какво основание се извършва директният маркетинг, в края на всяко имейл съобщение, изпратено с такава цел, на лицата трябва да се предоставя възможност да се откажат от/да възразят срещу по-нататъшното получаване на подобни съобщения.

Когато основанието за обработване на данните е съгласие, при неговото оттегляне трябва да се преустанови използването на данните за директен маркетинг.

Когато основанието за обработване е легитимен интерес и е налице отправено възражение, използването на данните с цел директен маркетинг се преустановява неминуемо и без да се поставя под въпрос дали интересите и основните права на субекта на данни имат преимущество над интереса на администратора на лични данни (това е изрично изискване на GDPR за легитимния интерес при директен маркетинг, закрепено в чл. 21, пар. 3, което не важи за други случаи на обработване на лични данни на основание легитимен интерес). Допустимо е, а е и препоръчително, при направен отказ/възражение, да се изпраща автоматичен имейл-потвърждение за това, че лицето е изключено от съответния списък, на лицата от който се изпращат маркетинг съобщения (за да се избегнат грешки при отказ, направен от друго лице, след като му е препратен маркетинговият имейл, например).

Независимо от правното основание, при обработването на данни с цел директен маркетинг изключително важно е предварително да се предоставя информация (по чл. 13  или чл. 14 от GDPR  – в зависимост от източника, от който са получени данните) по ясен и прозрачен начин, за да се спазят изискванията на чл. 5, пар. 1, б. „а“ от Регламента.

Директен имейл маркетинг към лица, които не са клиенти на дружеството/организацията

 В тези случаи, на първо място, следва да се направи разграничение между това дали става въпрос за физически или за юридически лица.

Ако говорим за физически лица, важно е да се определи дали те са или не са „потребители“ по смисъла на Закона за защита на потребителите (ЗЗП)[6], към която дефиниция препраща ЗЕТ.

 1. Директен имейл маркетинг към физически лица – „потребители“

„Потребител“, по смисъла на ЗЗП, е „всяко физическо лице, което придобива стоки или ползва услуги, които не са предназначени за извършване на търговска или професионална дейност, и всяко физическо лице, което като страна по договор по ЗЗП действа извън рамките на своята търговска или професионална дейност“.

Съгласно ЗЕС, директен имейл маркетинг към лицата, отговарящи на понятието „потребител“, може да се извършва само след предварително взетото им съгласие за това. Относно естеството на съгласието, тук следва да се има предвид решение на Съда на ЕС от 1 октомври 2019 г. по дело C‑673/17[7]. В него Съдът отговаря категорично, че, независимо от това, че изисканото съгласие е по силата на Директива 2002/58/ЕО (транспонирана при нас със ЗЕС),  правилата за съгласието следва да са тези, които са формулирани в GDPR  (т.е. трябва да е свободно дадено, с потвърдителен акт, а не да е съгласие „по подразбиране“, дадено чрез конклудентни действия).

Възможна е и друга хипотеза. Данните на лицата, които ще се използват за директен маркетинг, да са получени от партньор на дружеството/организацията. В такъв случай, при получаване на данните трябва да се уверите, че практиките, които съответният партньор прилага при събиране на данни за маркетинг, съответстват на законодателството, както и, че можете, при необходимост (принципът на „отчетност“ по чл. 5, пар. 2 от Регламента), да доказвате този факт.

При изпращане на имейл с маркетинг съдържание до физическите лица – „потребители“ по ЗЗП, им се предоставя информация за източника на данните, както и другата изискуема информация по чл. 13-14 от Регламента. Ако информацията, която трябва да се предостави, е твърде обемна, може в самия текст, с който се събира съгласието, да се посочат най-важните елементи (например – откъде имате данните, за какво ги използвате), а другата част от информацията да е в Декларацията/Уведомлението Ви за поверителност, към което да сложите линк. Този момент е много важен, за да се спазва изискването на Регламента за предоставяне на информация в кратка, прозрачна, разбираема и лесно достъпна форма съгласно чл. 12, пар. 1. Допълнително, в своите Насоки от 29 ноември2017 г. относно прозрачността съгласно Регламент 2016/679 (последно преработени и приети на 11.04.2018 г.)[8], Работната група по чл. 29 разяснява и дава практически насоки как това изискване за кратка, прозрачна, разбираема и лесно достъпна форма да бъде спазвано в действие.

Разбира се и тук важи следното:

  • в края на всяко имейл-съобщение, на лицата се предоставя възможност да се откажат от по-нататъшното получаване на подобни съобщения, безплатно и по лесен начин (съображение 70 от Регламента);
  • при отказ (оттегляне на съгласието), използването на данните на лицата с цел директен маркетинг се преустановява.

2. Директен имейл маркетинг към физически лица, които не са „потребители“ по смисъла на ЗЗП

ЗЕС не поставя изискване за събиране на предварително съгласие при изпращане на маркетинг имейл към тези лица. Вероятно логиката, която стои зад този по-облекчен режим, е свързана с това, че с тези лица се комуникира с оглед на тяхното професионално качество и затова до голяма степен режимът е сходен с този при извършване на директен маркетинг към юридически лица (техни представители).

При директен имейл маркетинг към лицата по тази точка е важно да се обърне внимание на изискванията на чл. 6, ал. 1 от ЗЕТ, а именно: да се осигури ясното и недвусмислено разпознаване на търговското съобщение като „непоискано“ още с постъпването му при получателя.

И тук отново трябва да се спазват същите правила за предоставяне на прозрачна информация – информация за изпращача на имейлите и т.н., както и правилата за лесен начин за възразяване срещу по-нататъшното получаване на подобни съобщения и техническа възможност за преустановяване на комуникацията при направен отказ/възражение от страна на получателя.

3. Директен имейл маркетинг към юридически лица

Една от често срещаните хипотези в тези случаи е събиране на данни за контакт на юридически лица от публични източници (интернет сайтове, публични регистри и др.). И този тип имейл маркетинг може да се извършва без да е взето предварителното съгласие. Самата комуникация е насочена към юридическото лице, независимо от това, че може да се изпраща на имейл на конкретно физическо лице като контактно лице за юридическото лице. Тук следва да посочим, че съгласно съображение 14 от него, Регламентът не обхваща обработването на лични данни, които засягат „юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и данните за връзка на юридическото лице“.

Много важно е преди изпращане на маркетинговия имейл задължително да се направи проверка дали съответната електронна поща на юридическото лице не фигурира във водения от Комисията за защита на потребителите електронен регистър на електронните адреси на юридическите лица, които не желаят да получават непоискани търговски съобщения (това изискване е закрепено в чл. 6, ал. 3 от ЗЕТ).

И тук, съгласно чл. 6, ал. 1 от ЗЕТ, трябва да се осигури ясното и недвусмислено разпознаване на търговското съобщение като „непоискано“ още с постъпването му при получателя.

В края на всяко имейл съобщение на лицата се предоставя възможност да възразят срещу по-нататъшното получаване на подобни имейли.

Профилиране на лица и директен маркетинг

Съгласно Регламент (ЕС) 2016/679, „профилиране“ означава „всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение“.

Профилирането за целите на директния маркетинг често включва прогнози, изводи или предположения за лицата, към които е насочен маркетингът, като това може да помогне за по-добро таргетиране на предлагани продукти и/или услуги. Профилирането обаче трябва да отговаря на изискванията на Регламента за добросъвестно и прозрачно обработване (да се предоставя информация, че данните ще бъдат използвани по този начин ).

В най-често срещания случай профилиране се извършва на основание съгласие (например, при автоматизираното вземане на решения, включващо профилиране, което може да засегне в значителна степен физическото лице – съображение 71, чл. 21, пар. 2, б. „в“ във връзка с пар. 1 на същия член от Регламента). Профилиране обаче може да се извършва и на основание легитимен интерес, вкл. за целите на директния маркетинг (чл. 21, пар. 1 във връзка с пар. 2 на същия член от Регламента), като физическите лица имат право по всяко време да възразят срещу такова обработване на данните им.

Насоките от 3 октомври 2017 г. относно автоматизираното вземане на индивидуални решения и профилирането за целите на Регламент (ЕС) 2016/679 на Работната група за защита на личните данни по чл. 29 (последно преработени и приети на 6 февруари 2018 г.)[9] разясняват подробно тази материя.

Настоящото изложение не претендира за изчерпателност, изготвено е с информативна цел и не представлява предоставен правен съвет или консултация.

[1] РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) – https://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:32016R0679
[2] Закон за електронните съобщения (ЗЕС) – https://www.lex.bg/laws/ldoc/2135553187
[3] Закон за електронната търговия (ЗЕТ) – https://www.lex.bg/bg/laws/ldoc/2135530547
[4] Регламент на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения и за отмяна на Директива 2002/58/ЕО
[5] Становище 06/2014 относно понятието за законни интереси на администратора на лични данни съгласно член 7 от Директива 95/46/ЕО – https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_bg.pdf
[6] Закон за защита на потребителите (ЗЗП) – https://www.lex.bg/laws/ldoc/2135513678
[7] Решение от 01.10.2019 г. по дело C‑673/17 на Съда на ЕС – http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=BG&mode=lst&dir=&occ=first&part=1&cid=4610311
[8] Насоки от 29.11.2017 г. относно прозрачността съгласно Регламент 2016/679 (последно преработени и приети на 11.04.2018 г.) – https://www.cpdp.bg/userfiles/file/WP29/wp260rev01_bg.pdf
[9] Насоки от 03.10.2017 г. относно автоматизираното вземане на индивидуални решения и профилирането за целите на Регламент (ЕС) 2016/679 на Работната група за защита на личните данни по чл. 29 (последно преработени и приети на 06.02.2018 г.) – https://www.cpdp.bg/userfiles/file/WP29/wp251rev01_bg.pdf

16
Коментирайте

avatar
нови хронологично най-добре оценени
Да си искат
Да си искат
29 юни 2020 9:15
Гост

Да си искат съгласие бе. Стига глупости

Nenov
Nenov
29 юни 2020 9:14
Гост

Добър анализ. Благодарим. Добре е да знаем какво може и какво не!

Димитрова
Димитрова
29 юни 2020 9:13
Гост

Добра статия. На време казва всичко нижно

Фреди Ф
Фреди Ф
29 юни 2020 9:12
Гост

Истината е дълга.

Есмералда
Есмералда
29 юни 2020 9:13
Гост

Е да малко е дълго, но фактите трябва да се изтъкнат

Диди
Диди
29 юни 2020 23:44
Гост

Или някъдебпи средата.

56789
56789
29 юни 2020 9:10
Гост

Я си искай съгласие, че после ще патиш като ти праснат глобата! В България обаче масово се презюмира, че си съгласен, щом не си върнал имейл с изричното разкарайте се, не ме безпокойте. Манталитет

Тодор Р
Тодор Р
29 юни 2020 9:14
Гост

Е то и с СМС спаменето е така бе. Трябвало задължително да праятя, че не искам. Еми не не искамм. Аз не знам някой да иска да го спами А1 или Вииваком.

въпрос
въпрос
29 юни 2020 9:07
Гост

какво ще кажат авторките за случаите, когато си натиснал, че не искаш да получаваш съобщения и въпреки това те не спират – какво може да се направи?

Никой
Никой
29 юни 2020 9:14
Гост

Пускаш жалба до КЗП.

Някой
Някой
29 юни 2020 9:28
Гост

До КЗД*, а не до КЗП.

Temelko
Temelko
29 юни 2020 9:15
Гост

Че е казус. Еми казус е. Нямат право да ти пращат.

гаранция Франция
гаранция Франция
29 юни 2020 9:05
Гост

Големият проблем идва, когато се използват чужди бази данни. Как всъщност можеш да разбереш как са събрани имейли, телефони и тн. чувствителни данни от фирмата, на която си платил? Питаш всичко наред ли ви е и те ти казват даааа, ама гаранция – Франция

Гергана Т
Гергана Т
29 юни 2020 9:16
Гост

Вече всеки има вскичко. НЕ се смущавай. Това е бъдещето

Bobi M
Bobi M
29 юни 2020 9:17
Гост

Е така са събрани. Как били събрани. Събрани са много лесно. Чрез приложения и всякакви одобрения дето си дал без да си разбрал даже, само за да можеш да позлваш някакво приложение. Това е. И затова и на програмистите се дават толкова големи заплати за да поскарат едно приложение. Уж за забавление. И ти се забавляваш ползвайки го де. Ама реално ти смуче данни къде си и какво правиш. Толкоз! Ако щеш.

Анонимен
Анонимен
29 юни 2020 9:03
Гост

Изключително полезно! С този GDPR, който всички позабравиха с новия регламент, па и старата директива, да се ориентира човек е доста трудно. Поздравления за авторките.