Отговор
Преди да получите от друга организация списък с контакти или база с данни за връзка с физически лица, тази организация трябва да може да докаже, че данните са получени в съответствие с Общия регламент относно защитата на данните и че те може да се използват за рекламни цели. Например, ако организацията ги е придобила въз основа на съгласие, съгласието трябва да включва възможността за предаване на данните на други получатели за техния собствен директен маркетинг.
Вашето дружество/организация трябва също така да се увери, че списъкът или базата данни са актуални и че не изпраща реклами на лица, които възразяват срещу обработването на личните им данни за целите на директния маркетинг. Вашето дружество/организация също така трябва да се увери, че ако използва за целите на директния маркетинг комуникации, като например имейл, то спазва правилата, посочени в Директивата за правото на неприкосновеност на личния живот и електронни комуникации (Директива 2002/58/EО1.
Такива списъци следва да се обработват въз основа на законните интереси и физическите лица ще имат право да възразят срещу подобно обработване. Освен това Вашето дружество/организация трябва да информира физическите лица, най-късно по време на първата комуникация с тях, че е събрало личните им данни и че ще ги обработва за изпращане на реклами.
Пример
Двама приятели, г-жа А и г-н Б, управляват съответно фитнес зала и книжарница. Всеки събира данни от съответните си клиенти. Книжарницата на г-н Б не върви добре. В неговата база данни има вписани няколко клиенти, а в книжарницата му не влизат много хора. Той казва на г-жа А, че има нова биографична книга на известен спортист и пита дали клиентите на г-жа А биха били заинтересовани да получат реклама за книгата. Условията на известието за поверителност на г-жа А информират клиентите ѝ, че тя би могла да сподели данните им с партньори, които предлагат продукти в областта на здравето и фитнеса. При условие че е предоставено конкретно съгласие за предаване на данните на други получатели за техния собствен директен маркетинг, г-жа А може да изпрати списъка на клиентите на г-н Б. Не могат да бъдат изпратени данни за субект на данни, който е възразил срещу обработката на личните му данни.
Позовавания
- член 4, параграф 10, членове 5, 6, 14, 21 от GDPR;
- Становище на EDPB относно прозрачността по Регламент 2016/679;
- Директива за правото на неприкосновеност на личния живот и електронни комуникации 2002/58/EC, правила за директния маркетинг, по-специално член 13.
Example
Two friends, Mrs. A and Mr. B, run, respectively, a gym and a book shop. Each collects data from their respective customers. Mr. B’s book shop isn’t doing well. His client database has few entries and not many people walk into his shop. He tells Mrs. A that he has a new biography of a famous athlete and asks whether Mrs. A’s clients would be interested in receiving advertising about the book. The terms of Mrs. A’s privacy notice informed her clients that she could share the data with partners offering products in the health and fitness area. As far as specific consent was given for the purpose of transmitting the data to other recipients for their own direct marketing, Mrs. A can send the client list to Mr. B. No data can be sent about an individual who objected to the processing of their personal data.
References
- Article 4(10) and Articles 5, 6, 14 and 21 of the GDPR
- EDPB guidelines on Transparency under Regulation 2016/679
- ePrivacy Directive 2002/58/EC rules on direct marketing, in particular Article 13
1 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.07.2002 p.37).