Delo v digitalnem trženju danes zahteva kup veščin in sodelovanje z različnimi oddelki od IT, računovodstva do pravne službe, pravi Zoran Savin iz IAB Slovenija. K temu je treba prišteti še varstvo osebnih podatkov in vse uredbe, ki se dotikajo tega področja. Kako najti ravnovesje med oddelkom trženja in pooblaščeno osebo za varstvo podatkov (DPO)? O tem smo se pogovarjali s Savinom, ki se bo tega področja lotil tudi na 11. Dnevih prava zasebnosti in varovanja informacij 3. in 4. aprila.
»Menim, da mora obstajati jasna slika ciljev na strani različnih oddelkov. DPO mora tako razumeti cilje komuniciranja in potrebo po nenehnih spremembah, ki so odziv na izredno dinamičen trg. Marketing pa mora razumeti stališča varstva podatkov, ki so veliko bolj toga. Drugače povedano: gre za nekakšno vlečenje vrvi, kjer se mogoče zdi, da vleče vsak v svojo smer, a pravzaprav oba vlečeta v korist podjetja in družbe,« pravi Savin.
Kako torej najti ravnotežje?
Ko gre za projekte s področja marketinga, je glavni vodja marketinga. DPO pa mora ob tem poskrbeti za skladnost s pravili s področja varstva osebnih podatkov, pravi Savin. A čeprav sta ob tem naloga doseganja ciljev in razumevanje projekta na ramenih oddelka marketinga, vloga pooblaščene osebe za varstvo osebnih podatkov ne sme biti zanemarjena. »V praksi se izkaže, da je lahko DPO, ki je strokovno izjemno podkovan in ima hkrati posluh za doseganje poslovnih ciljev, tisti košček v mozaiku, ki zagotavlja res dobre projekte,« pravi Savin.
Do navzkrižij pa prihaja predvsem zaradi pomanjkanja razumevanja dela oziroma ciljev v drugih oddelkih. »Ko govorimo o oddelkih skladnosti in marketinga, gre večinoma za zelo drugačna razmišljanja. Na splošno gledano, bi lahko rekli, da gre celo za dva različna pola. Marketing je po svoji usmerjenosti zelo ekspanziven, medtem ko ima skladnost cilje, ki so nekoliko bolj usmerjeni v varnost. In posledično so v takih oddelkih tudi taki ljudje,« razlaga sogovornik in dodaja, da po uskladitvi ciljev in interdisciplinarnega znanja na obeh straneh te razlike v večini odpadejo.
Kje se pojavlja največ nerazumevanja?
»Delo v digitalnem marketingu dandanes zahteva zelo široko interdisciplinarno znanje. In v tem kontekstu vidim največ napak ali ovir,« pravi sogovornik. Kot smo našteli že na začetku, so to znanja z različnih področij, ki zahtevajo sodelovanje z različnimi oddelki v podjetjih. »Nihče ne zahteva, da imamo v marketingu dejanske sposobnosti interpretiranja zakonov ali pisanja programske kode, a potrebno je splošno poznavanje izzivov, da bi lahko svoje projekte uspešno usmerjali proti ciljem.« Tu tako pride na plan sposobnost povezovanja in sodelovanja med različnimi oddelki.
Kje pa svojo vlogo opravijo pravila o varstvu podatkov? Podjetja se danes bolje zavedajo pomena varstva osebnih podatkov in vseh pravil, omejitev in drugega, kar pride s tem, pravi Savin in nadaljuje, da obstaja zavedanje, da je ob vsaki interakciji treba preskočiti tudi izziv varstva osebnih podatkov. »Prav tako bi lahko rekel, da se zavedamo osnovnih razlik v tipih podatkov, denimo zavedamo se razlike med zasebnimi in poslovnimi naslovi. Opazno pa sta tudi veliko boljša razumevanje in uvedba politike piškotkov.«
Kaj pa neposredno trženje?
To področje sicer ni v celoti povezano z digitalnim trženjem, a ima tudi kup pravil in omejitev, kaj smete in česa ne. Ko govorimo o neposrednem trženju, govorimo o trženju po e-pošti, telefonu, SMS, navadni pošti … Torej takrat, ko do (potencialnega) kupca pridete neposredno, ne pa da upate, da je na spletni strani ali ob cesti opazil vaš oglas.
Po danes veljavnih pravilih je neposredno trženje dopustno le, če imate eno izmed pravnih podlag, denimo privolitev posameznika ali zakoniti interes. S prihodom GDPR in zakona o varstvu osebnih podatkov (ZVOP-2) je bilo tako razveljavljeno pravilo, da lahko za trženje po navadni pošti uporabite javno dostopne osebne podatke.
Če želite denimo pošiljati trženjsko e-pošto (ali SMS), potrebujete privolitev posameznika. In ko ta privolitev prekliče, mu sporočil ne smete več pošiljati. Seveda, privolitev mora biti tako enostavno preklicati, kot jo je dati. Glede zakonitega interesa pa je tako, da že sam GDPR piše, da se za neposredno trženje lahko kot pravna podlaga uporabi tudi zakoniti interes. A že takoj razjasnimo, zakoniti interes ne sme biti zasilni izhod. Češ, če nimamo privolitve, imamo pa zakoniti interes. Ni tako preprosto. Kot pri vsaki pravni podlagi morate tudi uporabo zakonitega interesa dokazati.
Vseeno pa 226. člen ZEKom-2 ponuja izjemo. Če od kupca pridobite naslov elektronske pošte, ta naslov lahko uporabljate za neposredno trženje svojih podobnih izdelkov ali storitev, a le pod pogojem, da kupcu ponudite jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega e-naslova takrat, ko ste njegove podatke pridobili, in ob vsakem nadaljnjem sporočilu. Seveda, če kupec ni že na začetku te možnosti zavrnil.
Uporaba osebnih podatkov iz javnih evidenc nikakor ne more biti neomejena, saj bi bilo to v nasprotju tako z načelom omejitve namena in načelom sorazmernosti (oziroma najmanjšega obsega podatkov), v enem izmed mnenj, ki se je nanašalo na neposredno trženje prek navadne pošte, piše urad informacijske pooblaščenke. Zato ob tem svarijo pred interpretacijo, da lahko vsaka obdelava osebnih podatkov iz javno dostopnih virov zadosti merilom obdelave na podlagi zakonitih interesov upravljavca. Podatkov pač ne smete zbirati na zalogo, za vsak slučaj, če jih boste kdaj potrebovali.
