Tiesioginė rinkodara ir BDAR: sutikimas, opt-out ir baudos rizika

Tiesioginė rinkodara pagal BDAR gali būti vykdoma remiantis dviem teisėtais pagrindais: duomenų subjekto sutikimu (BDAR 6 str. 1 d. a p.) arba teisėtu interesu (BDAR 6 str. 1 d. f p.). Sutikimas turi būti laisvas, konkretus, informuotas ir nedviprasmiškas — tai reiškia, kad iš anksto pažymėtos varnelės ar tylus sutikimas nėra teisėti. Teisėtas interesas leidžia siųsti rinkodaros pranešimus esamiems klientams, jeigu jie pirko panašias prekes ar paslaugas ir neprieštaravo tokiam naudojimui. Tačiau teisėto intereso taikymui būtina atlikti balansavimo testą, dokumentuojantį, kad Jūsų interesai neviršija duomenų subjekto teisių. Svarbu pažymėti, kad Lietuvoje galioja ir Elektroninių ryšių įstatymas (ERĮ), numatantis papildomus reikalavimus nesavanoriškam rinkodaros pranešimų siuntimui elektroninėmis ryšio priemonėmis. VDAI praktikoje dažnai baudžiama už tai, kad įmonės neteisingai kvalifikuoja rinkodaros sutikimą kaip bendrą naudojimo sąlygų sutikimą — tai laikoma negaliojančiu sutikimu pagal BDAR 7 str.

Double opt-in — tai dviejų etapų sutikimo procesas, kai vartotojas pirmiausia pateikia savo el. pašto adresą, o vėliau patvirtina sutikimą paspausdamas nuorodą patvirtinimo laiške. Nors BDAR tiesiogiai neįpareigoja naudoti double opt-in, šis metodas yra laikomas geriausia praktika ir suteikia įmonei aiškius sutikimo įrodymus. Pagal BDAR 7 str. 1 d. duomenų valdytojas privalo įrodyti, kad duomenų subjektas davė sutikimą — double opt-in sistema automatiškai generuoja tokius įrodymus su laiko žyma ir IP adresu. Praktiškai rekomenduojama sutikimo formoje nurodyti: (1) tikslų siuntėjo pavadinimą, (2) siuntinių dažnumą, (3) turinio tipą, (4) galimybę bet kada atsisakyti. Venkite bendrų formuluočių, pvz., „sutinku gauti informaciją" — tokios formuluotės VDAI laiko nepakankamomis. Sutikimo įrašai turi būti saugomi tol, kol trunka rinkodaros veikla ir dar trejus metus po paskutinio kontakto, kad galėtumėte atsakyti į galimus VDAI tyrimus.

BDAR 47 konstatuojamoji dalis numato vadinamąją „esamo kliento" išimtį: jeigu asmuo pirko Jūsų prekes ar paslaugas, galite jam siųsti panašių produktų rinkodaros pranešimus teisėto intereso pagrindu, nebent jis prieštaravo. Tačiau ši išimtis turi aiškias ribas. Pirma, produktai ar paslaugos turi būti „panašios" — negalima skaitmeninio produkto pirkėjui siųsti informacijos apie visiškai nesusijusias paslaugas. Antra, klientas pirkimo metu turėjo turėti galimybę nesutikti su rinkodaros pranešimais (opt-out). Trečia, kiekvienoje žinutėje turi būti aiški atsisakymo galimybė. Lietuvoje ERĮ 69 str. numato, kad rinkodaros pranešimus SMS ar el. paštu galima siųsti tik gavus išankstinį sutikimą, tačiau esamo kliento išimtis taikoma ir čia — jeigu produktai yra analogiški ir klientas turėjo galimybę nesutikti. Balansavimo testo dokumentą rekomenduojama rengti raštu ir saugoti kartu su privatumo politika.

BDAR 21 str. 3 d. numato, kad kai duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kada nesutikti su tokiu tvarkymu. Šią teisę privalu aiškiai ir atskirai nuo kitų pranešimų nurodyti duomenų subjektui — tai reiškia, kad opt-out nuoroda turi būti matoma ir funkcionali kiekviename rinkodaros el. laiške. Techniniams reikalavimams keliami konkretūs standartai: (1) atsisakymo procesas turi būti ne ilgesnis kaip vienas paspaudimas, (2) el. pašto valdymo sistemas turi apdoroti atsisakymo užklausas per 10 dienų (geriausia — nedelsiant), (3) atsisakius rinkodaros, asmens duomenys negali būti toliau naudojami šiam tikslui. VDAI tikrina, ar įmonės realiuoju laiku atnaujina savo el. pašto sąrašus — jeigu klientas atsisakė, bet ir toliau gauna laiškus, tai yra aiškus BDAR pažeidimas. Svarbu taip pat nurodyti, kad atsisakymas rinkodaros pranešimų neturi įtakos sutartiniam santykiui — klientas ir toliau gaus svarbius operatyvinius pranešimus apie užsakymus ar sąskaitas.

Valstybinė duomenų apsaugos inspekcija (VDAI) pastaraisiais metais aktyviai tiria tiesioginės rinkodaros pažeidimus. Pagal BDAR 83 str. 5 d. maksimali bauda už sutikimo reikalavimų pažeidimą gali siekti 20 mln. EUR arba 4 % metinės pasaulinės apyvartos. Lietuvoje VDAI dažniausiai baudžia nuo 1 000 iki 50 000 EUR smulkiam ir vidutiniam verslui. Dažniausiai nustatomi pažeidimai: (1) rinkodaros sutikimo sugretinimas su bendromis naudojimo sąlygomis, (2) pirkto el. pašto sąrašo naudojimas be sutikimo, (3) opt-out mechanizmo nebuvimas arba jo neveiksmingumas, (4) sutikimo įrašų nebuvimas. 2024–2025 metų VDAI sprendimuose ypač akcentuojamas reikalavimas saugoti sutikimo įrodymus — įmonės, negalinčios pateikti sutikimo žurnalo, automatiškai patenka į aukštos rizikos kategoriją. Rekomenduojame atlikti vidinį el. pašto rinkodaros auditą bent kartą per metus ir dokumentuoti visas rinkodaros veiklas privatumo politikoje bei duomenų tvarkymo veiklos registre (BDAR 30 str.).

Siekiant užtikrinti visišką atitiktį BDAR reikalavimams tiesioginės rinkodaros srityje, rekomenduojame įdiegti šį veiksmų planą: (1) Atlikite esamo el. pašto sąrašo auditą — patikrinkite, ar kiekvienam kontaktui turite galiojantį sutikimo įrodymą arba dokumentuotą teisėto intereso pagrindą. (2) Atnaujinkite registracijos formas, kad jos atitiktų double opt-in standartą su konkrečia sutikimo formuluote. (3) Integruokite realaus laiko opt-out valdymą su el. pašto rinkodaros platforma (pvz., Mailchimp, Brevo ar pan.) ir CRM sistema. (4) Atnaujinkite privatumo politiką, aiškiai nurodydami rinkodaros duomenų tvarkymo tikslą, teisėtą pagrindą ir saugojimo laikotarpį. (5) Įtraukite rinkodaros duomenų tvarkymo veiklas į BDAR 30 str. numatytą tvarkymo veiklos registrą. (6) Apmokyti atsakingus darbuotojus — rinkodaros komanda turi žinoti BDAR reikalavimus ir nesiųsti pranešimų nepatikrintiems kontaktams. Šis planas taip pat padeda įmonei pasirengti galimam VDAI patikrinimui, nes institucija gali paprašyti pateikti sutikimų žurnalą ir privatumo politiką.