Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri.
Acest site foloseste Cookie-uri, conform noului Regulament de Protectie a Datelor (GDPR), pentru a va asigura cea mai buna experienta online. In esenta, Cookie-urile ne ajuta sa imbunatatim continutul de pe site, oferindu-va dvs., cititorul, o experienta online personalizata si mult mai rapida. Ele sunt folosite doar de site-ul nostru si partenerii nostri de incredere. Click AICI pentru detalii despre politica de Cookie-uri. Sunt de acord cu politica de cookie
X

Autentificare cont

Tine-ma minte

Ati uitat parola? Click aici pentru a recupera user/parola

Nu aveti cont?
X

Recuperare user/parola

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

X

Deblocare automata cont

Te rugam sa introduci adresa de email pe care ai folosit-o la inregistrarea contului tau.

Autentificare Inregistrare cont
Portal actualizat la 6 Octombrie 2024
Contine toate actele normative din domeniu, actualizate la zi - parteneriat Legis
PortalProtectiaDatelor.ro Un produs marca Rentrop&Straton
  • Intrebari si raspunsuri
  • Modele de documente
  • Opinia Specialistului
  • track_changesControl protectia datelor
  • Metode de obtinere a consimtamantului

    04 Nov 2018
    Alexandru MATEI Raspuns oferit de
    Alexandru MATEI
    Avocat


    Varianta cea mai clara de obtinere a consimtamantului consta in invitarea clientului sa bifeze o casuta, confirmand ca doreste sa primeasca mesaje de marketing prin canalele specifice (de exemplu, posta, e-mail, apeluri telefonice etc.). Aceasta reprezinta cea mai buna practica si sfatuim operatorii sa adopte o astfel de abordare, cu toate ca nu este singura cale de obtinere a consimtamantului.

    In viziunea noastra, trebuie sa existe forme de comunicare sau actiuni pozitive prin care persoanele vizate sa indice in mod clar si in cunostinta de cauza acordul lor. Poate fi vorba despre a da click pe o iconita, trimiterea unui e-mail, abonarea la un serviciu sau confirmare verbala.

    Esential este ca persoana vizata trebuie sa inteleaga in mod complet ca actiunea sa va fi considerata acord si trebuie sa inteleaga exact pentru ce consimte. De asemenea, operatorii trebuie sa puna la dispozitia persoanelor vizate o metoda simpla de refuz al exprimarii consimtamantului (de exemplu, casuta opt-out), pentru a se asigura ca acordul este dat in mod liber.
    Retineti faptul ca operatorii nu pot transmite email sau mesaje text persoanelor vizate prin care sa le solicite consimtamantul pentru viitoare mesaje de marketing. Acel email sau mesaj este prin el insusi transmis in scop de marketing direct si face obiectul acelorasi reguli. Situatia este asemanatoare si in cazul apelurilor.

    Casutele opt-in si opt-out

    Este important sa intelegeti ce inseamna opt-in si opt-out (si ce nu inseamna) si cum sa le folositi efectiv.

    Casutele opt-in sunt casutele in care o bifare indica faptul ca persoana este de acord sa primeasca marketing direct. O buna practica este sa puneti la dispozitie o casuta nebifata si sa invitati persoanele vizate sa confirme acordul lor prin bifarea sa. Acesta este cel mai sigur mod de a dovedi consimtamantul, de vreme ce este necesar sa existe o alegere pozitiva a persoanei de exprimare a consimtamantului explicit si in mod clar.

    Cand se apeleaza la casute opt-in, organizatiile ar trebui sa isi aduca aminte ca pentru obtinerea consimtamantului explicit trebuie sa se conformeze regulilor PECR pentru fiecare tip de marketing electronic (de exemplu, apeluri automate, faxuri, mesaje-text sau e-mail-uri). O practica buna ar fi sa puneti la dispozitie casute opt-in similare pentru apeluri si emailuri transmise in scop de marketing.
    Exemplu opt-in (buna practica)
    Bifati daca doriti sa primiti informatii despre produsele sau ofertele noastre prin posta/ prin e-mail/ prin telefon/ prin mesaj-text/ prin apel inregistrat .

    Unele organizatii utilizeaza casute prebifate opt-in si se bazeaza pe utilizator sa debifeze daca nu doresc sa consimta. In realitate, aceasta practica se aseamana mai mult cu o casuta opt-out de vreme ce se presupune consimtamantul, atata vreme cat utilizatorul nu debifeaza casuta. O astfel de casuta pre-bifata nu va demonstra in mod automat consimtamantul, fiind dificil de demonstrat ca bifarea casutei reprezinta o alegere pozitiva si informata a utilizatorului.

    O casuta opt-out este cea pe care utilizatorul trebuie sa o bifeze atunci cand doreste sa renunte la a mai primi mesaje de marketing. In orice caz, faptul ca cineva nu a reusit sa renunte inseamna doar faptul ca nu s-a opus. Nu inseamna in mod automat ca a consimtit. De exemplu, este posibil nici sa nu fi vazut casuta daca au utilizat un smartphone sau un dispozitiv similar cu un ecran mai mic. Din acest motiv, va sfatuim sa utilizati in schimb casutele opt-in.

    Chiar si asa, in unele circumstante, esuarea de la bifarea unei casute opt-out (sau debifarea unei casute opt-in) poate face parte dintr-un mecanism mai larg de indicare a consimtamantului. De exemplu, daca utilizatorul trebuie sa intreprinda o actiune pozitiva pentru transmiterea unui formular (de exemplu, click pe un buton), si organizatia furnizeaza un mesaj clar si vizibil in aceste coordonate, faptul ca o casuta opt-out nu a fost bifata ar putea conduce la stabilirea faptului ca facand click pe un buton a reprezentat o actiune pozitiva ce indica consimtamantul:

    Exemplu Opt-out
    Trimitand acest formular de inregistrare veti indica acordul dumneavoastra sa primiti
    e-mail-uri in scop de marketing de la noi. Daca nu doriti sa primiti astfel de mesaje, bifati aici: .

    Organizatiile trebuie sa se asigure intotdeauna ca limbajul folosit este clar, usor de inteles si nu este ascuns, ocult. Evitati frazele care contin termeni juridici si sintagme confuze cu dublu inteles. Asigurati-va ca este usor de inteles daca o casuta este un opt-in sau opt-out si utilizati o metoda consistenta - folosind un amestec de casute opt-in si opt-out poate fi foarte confuz pentru clienti si poate insemna demonstrarea mai dificila a consimtamantului informat.
    Utilizati casute opt-in ori de cate ori este posibil, dar daca utilizati casute opt-out (sau casute pre-bifate opt-in), asigurati-va ca acestea sunt plasate vizibil si greu de evitat.

    Consimtamantul indirect (terta parte)
    Orice operator de date cu caracter personal terta parte care se va baza pe consimtamant trebuie sa fie indicat definirea categoriei de parti terte nu este acceptata sub imperiul GDPR.

    Trebuie sa pastrati inregistrari si sa demonstrati pentru ce anume a consimtit persoana vizata, inclusiv cand au consimtit.

    Utilizam notiunea de consimtamant indirect pentru a acoperi stiuatiile in care o persoana ii comunica unui operator ca isi da acordul sa primeasca marketing de la alte organizatii. Adesea acest lucru este cunoscut ca fiind consimtamantul tertei parti sau parte terta opt-in .
    Acest lucru este relevant pentru orice organizatie care utilizeaza liste de marketing cumparate, situatie in care nu ar exista niciun contact prealabil cu clientii respectivi care sa fi comunicat in mod direct organizatiei ca sunt de acord cu marketingul sau. Dar in cazul listei de broker sau al altei surse terte parte s-ar putea pretinde ca clientii au consimtit sa primeasca marketing de la alte organizatii.

    Desi exista o practica comerciala stabilita pentru opt-in terta parte , in privinta listelor pentru formele traditionale de marketing, organizatiile trebuie sa fie constiente de faptul ca acordul indirect nu va fi suficient pentru mesajele-text, e-mail-uri sau apeluri automate. Asta pentru ca regulile marketingului electronic sunt mai stricte si reflecta natura mai intruziva a naturii comunicarilor electronice. Regulile PECR impun ca un client sa notifice expeditorul ca este de acord sa primeasca mesaje de la el. In majoritatea situatiilor, consimtamantul indirect nu va trece acest test de vreme ce clientul nu a notificat in mod direct expeditorul, ci a notificat pe altcineva. Astfel, ca buna practica, recomandam ca un operator sa transmita mesaje, e-mail-uri sau sa efectueze apeluri automate doar daca au obtinut consimtamantul in mod direct de la acea persoana.

    De asemenea acceptam ca un acord indirect, in anumite circumstante, poate fi valid daca este suficient de clar si specific. In esenta, daca un client a anticipat ca datele sale cu caracter personal ar fi transferate catre o alta organizatie si astfel ar fi consimtit sa primeasca mesaje de la aceasta din urma. Acest lucru va fi apreciat in concret in functie de ce au comunicat persoanele vizate la momentul la care consimtamantul a fost obtinut.

    In mod evident, organizatiile nu pot deduce acordul doar pentru ca a fost dat unei organizatii similare sau unei organizatii din acelasi grup, ci trebuie sa fie extins in aceeasi masura si organizatiei care trimite mesaje efectiv.

    Consimtamantul indirect poate fi de asemenea valid daca organizatia respectiva a fost indicata in mod expres. Dar daca consimtamantul a fost unul general (de exemplu, marketing de la tertele parti selectate), acesta nu va fi considerat valid pentru apeluri, mesaje-text sau e-mail-uri transmise in scop de marketing.

    De asemenea, consimtamantul poate fi valid daca se descrie in mod clar si precis categoriile de organizatii si organizatia care doreste sa utilizeze consimtamantul in mod clar se identifica cu descrierea. Acordul probabil nu este valabil in cazul in care unei persoane vizate i se prezinta categorii generale de organizatii printr-o lista lunga, aparent exhaustiva. Denumirile categoriilor utilizate trebuie sa fie bine definite si usor de inteles pentru persoanele vizate. In practica, acest lucru inseamna ca, categoriile de companii trebuie sa fie suficient de bine specificate, astfel incat persoanele vizate sa poata prevedea in mod rezonabil tipurile de companii de la care vor primi marketing, cum vor primi marketing si ce anume vor primi.

    Exemplu:
    Politica de confidentialitate contine urmatoarea informatie: Este posibil sa folosim datele cu caracter personal pe care ni le puneti la dispozitie si sa conlucram cu alte terte parti parteneri de afaceri care va vor transmite noi oportunitati de vanzare cu amanuntul prin e-mail direct sau telemarketing. Afacerea noastra poate include furnizori de servicii si aplicatii de marketing direct si e-mail in scop de marketing.

    Aceasta declaratie nu reprezinta un consimtamant valid pentru o terta parte pentru a marketa o persoana vizata. Nu este clar despre ce anume este vorba sau ce face in concret operatorul. Categoriile de terte parti sunt de asemenea foarte generale si potential a acoperi un numar mare de organizatii.

    Este extrem de putin probabil ca un client ar intentiona sa fie de acord cu apeluri nelimitate viitoare de marketing sau mesaje text de la oricine si de oriunde. Intrebarea este ce ar astepa in mod rezonabil un client, avand in vedere contextul? Ar anticipa ei ca au consimtit sa primeasca mesaje de la o companie anume? In cazul in care natura promotiei este destul de diferita de contextul in care consimtamantul a fost initial obtinut, acordul este putin probabil sa fie valabil conform PECR chiar daca acesta a fost exprimat superficial pentru a include si tertele parti.

    Retineti, de asemenea, faptul ca acordul nu dureaza pentru totdeauna si factorul timp este si mai important atunci cand discutam despre consimtamant indirect. Chiar daca clientul a intentionat initial sa notifice consimtamantul sau catre o terta parte la un anumit moment dat, este putin porbabil ca acesta sa continue sa notifice noilor terte parti la o data mult mai tarzie. Perioada pentru care va subzista intentia clientului in acest sens va depinde de context.

    Operatorii trebuie sa retina ca acordul pentru marketingul prin terte parti este primul pas in acest proces. De exemplu, clientul isi da acordul organizatiei A sa transfere datele sale catre organizatia B. Acest consimtamant originar, initial, nu poate fi utilizat de organizatia B pentru transferarea datelor clientului catre alte organizatii.

    De asemenea, organizatiile trebuie sa efectueze verificari riguroase despre cum si cand a fost obtinut consimtamantul, de catre cine si ce anume a exprimat clientul. Nu este acceptabil sa va bazati pe acordul indirect fara a va lua masuri corespunzatoare pentru a dovedi acordul daca este contestat. Operatorii de date cu caracter personal trebuie sa se asigure ca acordul a fost obtinut in mod valid, ca este destul de recent si ca in mod evident este extins lor sau altor organizatii similare lor. Daca este vorba despre un consimtamant general pentru marketing de la orice terta parte, va fi foarte dificil sa demonstrati consimtamantul specific pentru apeluri, texte sau e-mail-uri. Si, cel putin, orice promovare (de exemplu, prin e-mail) trebuie sa fie in concordanta cu contextul in care consimtamantul a fost dat de exemplu, care vizeaza o piata similara.

    Exemplu:
    O agentie de turism solicita clientilor sa participe la un sondaj prin care sa isi exprime impresiile lor aferente unei calatorii. Sondajul include o casuta pentru a opta pentru mesaje de marketing de la terte parti. Datele clientilor sunt apoi transmise catre un lant de brokeri. Cinci ani mai tarziu, o societate cumpara o lista cu datele clientilor respectivi pentru a le trimite mesaje de promovare a produselor sale. Avand in vedere ca acordul clientilor a fost obtinut cu mult timp in urma, precum si faptul ca nu exista nicio legatura intre produsul initial de calatorie si produsul ulterior, acest lucru nu va reprezenta consimtamant valabil pentru apeluri sau mesaje text din partea companiei care ofera, spre exemplu, produse de uz casnic.

    Este foarte important ca operatorii sa aiba incredere in orice sursa de consimtamant indirect. Daca o lista a unor brokeri sau orice alta parte terta nu poate furniza detalii despre cum si cand a fost obtinut consimtamantul, organizatiile nu ar trebui sa se bazeze pe aceasta. Daca o organizatie primeste plangeri de la persoanele vizate carora le-a fost comunicat ca au consimtit indirect pentru primirea mesajelor, acest lucru ar trebui sa fie un semnal de alarma in privinta sursei si ar trebui stopata utilizarea datelor cu caracter personal pe viitor avand la baza consimtamantul indirect din acea sursa.

    Unele organizatii poate ca ar dori sa-i contacteze pe clientii lor cu materiale de marketing referitoare la terte parti. Acest lucru ar putea lua diferite forme: partea terta furnizeaza intreg continutul materialelor pe care un operator le distribuie sau ar putea fi vorba despre un branding comun exercitat intre operator si terta parte.

    Exemplu:
    Un supermarket decide sa sprijine o organizatie de caritate cu ocazia sarbatorilor de iarna si transmite clientilor sai emailuri prin care promoveaza activitatea sa de caritate. In timp ce emailurile promoveaza activitatea de caritate, in aceeasi masura constituie promovarea supermarketului in sine, prin promovarea valorilor sale.

    In aceste circumstante, desi organizatia nu transmite mai departe detaliile de contact ale clientilor sai catre o terta parte, este nevoie sa se asigure ca are acordul clientilor ca acestia sa primeasca materiale de marketing ce promoveaza tertele parti. Daca este posibil, ar constitui o buna practica pentru organizatii sa compare listele lor cu listele tertelor parti.

    Termene-limita

    GDPR confera persoanelor vizate un drept special, de retragere a consimtamantului. Trebuie sa incunostintati persoanele vizate despre dreptul lor de renuntare si sa le oferiti cai usoare de retragere a consimtamantului oricand.

    Nu exista perioade de timp-limita dupa care consimtamantul in mod automat ar expira, desi acesta nu va ramane valabil pentru totdeauna. Perioada pentru care va fi valid va depinde de context - intrebarea este daca ramane rezonabil a-l considera ca pe o indicatie continua a dorintelor curente ale unei persoane vizate.

    Desigur, consimtamantul poate fi retras in mod explicit oricand. O organizatie poate sa aiba o dovada clara ca o persoana vizata a consimtit pentru marketing de exemplu, o casuta bifata. Cu toate acestea, daca ulterior o persoana vizata se plange despre faptul ca primeste mesaje sau alege sa se dezaboneze sau sa renunte, acest lucru inseamna ca organizatia nu mai detine consimtamantul persoanei respective si trebuie sa stopeze marketingul bazat pe acel consimtamant. Indiciile cu privire la cele mai recente dorinte ale unei persoane vizate in ceea ce priveste primirea de materiale de marketing sunt extrem de importante. Pentru consimtamantul indirect obtinut de la o terta parte este o buna practica sa intrebati persoanele vizate daca doresc sa isi retraga consimtamantul de la alte organizatii in aceeasi masura si sa informati tertele parti-surse sa suprime acele detalii si sa informeze la randul sau orice alti utilizatori.

    Chiar daca consimtamantul nu este retras in mod explicit, va fi dificil sa va bazati pe el ca o indicatie generala a dorintelor persoanei vizate odata cu trecerea timpului. Mai mult, acordul obtinut conform PECR este in mod expres considerat a fi dat pentru moment . Consideram ca acest lucru implica o perioada de continuitate si stabilitate, si ca orice schimbare semnificativa a imprejurarilor ar putea insemna ca acordul nu mai subzista.

    Perioada exacta pentru care o organizatie se poate baza pe un consimtamant obtinut la un moment dat va depinde de circumstantele si asteptarile persoanelor vizate, care pot fi afectate de contextul in care consimtamantul a fost acordat si de natura relatiei.

    Daca consimtamantul a fost in mod originar dat in contextul unei campanii promotionale specifice, anticipata ca ar dura o scurta perioada de timp, s-ar putea sa nu fie suficienta mentinerea consimtamantului respectiv pentru alte mesaje de marketing odata ce campania se incheie. De exemplu, acordul pentru mesaje despre lansarea viitoare a unui anumit produs nou nu indica clar existenta consimtamantului pentru mesajele despre un alt produs, un an mai tarziu.

    Daca un client isi exprima consimtamantul cand se inregistreaza pentru un serviciu, acordul va expira daca se dezaboneaza sau daca anuleaza abonarea in mod subsecvent. Operatorul de date ar trebui sa nu se bazeze pe acel consimtamant in vederea transmiterii de mesaje nesolicitate pentru a recastiga acel client.

    In mod particular, organizatiile trebuie sa fie atente la consimtamantul indirect (de exemplu, consimtamantul dat unei terte parti) pentru apeluri, mesaje-text sau e-mail-uri. Persoana vizata trebuie sa aiba intentia de a notifica organizatiei acordul sau cu privire la transmiterea de mesaje. Este putin probabil ca aceasta intentie sa dureze foarte mult. Chiar daca initial persoanele vizate au dorit sa primeasca marketing de la o anumita organizatie la momentul la care si-au exprimat consimtamantul si pentru ca acest marketing sa dureze indefinit, persoanele vizate nu se vor astepta ca dintr-o data sa primeasca apeluri, mesaje-text sau e-mail-uri de la organizatii noi la o data mult mai tarzie.

    Ca regula generala, in cazul in care o organizatie contacteaza persoanele vizate pentru prima data prin telefon, mesaj-text sau e-mail, recomandam sa nu va bazati pe orice consimtamant indirect mai mult de sase luni chiar cazul in care acordul acopera in mod clar organizatia. In orice caz, acceptam si situatiile in care in anumite cazuri specifice in care circumstantele indica in mod clar ca persoana vizata s-ar astepta sa primeasca marketing la o anumita data ulterioara (de exemplu, consimtamantul dat pentru primirea ofertelor sezoniere a produselor sau a serviciilor anuale de reinnoire a asigurarii).

    Dovada consimtamantului
    Daca va bazati pe consimtamant trebuie sa fiti capabil sa demonstrati ca persoana vizata si-a dat acordul pentru prelucrarea datelor sale cu caracter personal pentru un scop particular. Acest lucru inseamna ca trebuie sa tineti evidente ale consimtamantului cine, cand, cum si ce le-ati spus persoanelor vizate.

    Daca cineva se plange ca nu si-a dat acordul sa primeasca mesaje de marketing, organizatia poate fi supusa riscului de sanctiuni, cu exceptia cazului in care poate demonstra ca persoana vizata si-a exprimat un consimtamant valid.

    Organizatiile ar trebui sa se asigure ca detin inregistrari clare despre cum a consimtit si in legatura cu ce anume fiecare persoana vizata. Adica ar trebui sa inregistreze data exprimarii consimtamantului si ce informatii au fost furnizate persoanei vizate pentru a consimti. Nu ar trebui sa se bazeze pe liste cumparate, decat daca vanzatorul sau lista tertei parti furnizeaza astfel de detalii. Organizatiilor ar putea sa li se solicite sa creeze inregistrari proprii ca dovezi pentru demonstrarea conformitatii in eventualitatea unei plangeri.

    Newsletter PortalProtectiaDatelor.ro

    Munca la domiciliu - Aspecte practice privind GDPR

    Ramai la curent cu toate solutiile propuse de specialisti.
    Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!

    Da, doresc sa ma abonez si sa primesc informatii despre produsele, serviciile, evenimentele etc. oferite de Rentrop & Straton. Termeni si conditii de utilizare a site-ului Nota de informare

    x