Τετάρτη 30 Μαΐου 2018

Lawspot.gr: Γιατί η αποστολή email «συγκατάθεσης» για τον GDPR είναι λάθος;

αναδημοσίευση απο το
 

29/05/2018 

Τα email μας κατακλύστηκαν από μηνύματα για "συγκατάθεση με βάση τον GDPR". 

Είναι όμως σωστή αυτή η πρακτική;

Τις τελευταίες εβδομάδες τα email μας κατακλύστηκαν από μηνύματα εταιρειών και πάσης φύσεως οργανισμών, με τα οποία ζητούσαν από τους παραλήπτες να επιβεβαιώσουν ότι επιθυμούν να συνεχίσουν να λαμβάνουν newsletter, προσφορές ή άλλο σχετικό περιεχόμενο.
Το φαινόμενο αυτό έλαβε τεράστιες διαστάσεις, εξαντλώντας σε πολλές περιπτώσεις την υπομονή των παραληπτών και προκαλώντας αρνητικά σχόλια, ειδικά από ανθρώπους που γνωρίζουν καλά το σχετικό νομικό πλαίσιο.
Ένας άνθρωπος ο οποίος αναμφισβήτητα γνωρίζει εις βάθος το πλαίσιο σχετικά με τις πρακτικές αυτές, ο πληροφορικός ελεγκτής της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Δρ. Γιώργος Ρουσόπουλος, προχώρησε σε μία ανάρτηση, η οποία εκθέτει με συνοπτικό και κατανοητό τρόπο, τους λόγους για τους οποίους η αποστολή των εν λόγω emails είναι εσφαλμένη.
Σημαντική σημείωση:
Ο Δρ. Ρουσόπουλος εκφράζει προσωπική άποψη και όχι επίσημη θέση της Αρχής. Ως Lawspot προσυπογράφουμε πλήρως την άποψη του κ. Ρουσόπουλου και αναδημοσιεύουμε την ανάρτηση έπειτα από σχετική άδεια.
«Τις τελευταίες δύο εβδομάδες τα email μας και τα κινητά μας κατακλύστηκαν από μηνύματα που μας ζητούσαν να επιβεβαιώσουμε ότι επιθυμούμε να συνεχίσουμε να λαμβάνουμε τα «αγαπημένα» μας newsletter ή προσφορές από τα «αγαπημένα» μας καταστήματα.
Στην αρχή είχαν ενδιαφέρον και τα αντιμετωπίσαμε με χαμόγελο, ειδικά κάποια μηνύματα που δημιουργήθηκαν από ευφάνταστους διαφημιστές. Σταδιακά όμως έγινε κουραστικό και τελικά έγινε εκνευριστικό. Τόσο εκνευριστικό που με έκανε να γράψω.
Και το αστείο είναι ότι… για την αποστολή των διαφημιστικών email δεν εφαρμόζεται o GDPR!
Έκπληξη;
Όχι για όσους ξέρουν. 
Όσοι έχουν ακούσει για ePrivacy γνωρίζουν ότι η συγκατάθεση δεν είναι η μόνη προϋπόθεση για να στέλνεις διαφημιστικά email/SMS. Και επίσης γνωρίζουν ότι είναι η ePrivacy οδηγία (2002/58/ΕΚ με τις τροποποιήσεις με την 2009/136/ΕΚ) που εφαρμόζεται, ως ειδικότερη! Όχι ο GDPR, που το γράφει και ρητά στο άρ. 95. Κι όσοι έχουν μελετήσει ελαφρά το άρθρο 11 του ν. 3471/2006 και τη νομολογία της ΑΠΔΠΧ (ε, δεν είναι και λίγες οι αποφάσεις με πρόστιμα για spam) ξέρουν τόσο για opt-in, όσο και για soft opt-in.
Πολύ απλά, για να στέλνεις διαφημιστικά email, η συγκατάθεση είναι μια μόνο προϋπόθεση. Με την ePrivacy οδηγία υπάρχει και το soft opt-in, που δίνει την ευχέρεια στις επιχειρήσεις να διαφημίζουν στους πελάτες τους χωρίς συγκατάθεση, αρκεί: α) να πήραν το email νομίμως στο πλαίσιο πώλησης ή άλλης παρόμοιας συναλλαγής, β) να είχαν ενημερώσει εκείνη τη στιγμή (τη στιγμή της συλλογής του email) ότι θα χρησιμοποιήσουν το email και για διαφήμιση, γ) να διαφημίζουν παρόμοια προϊόντα και δ) να δίνουν δυνατότητα δωρεάν και εύκολης διαγραφής σε κάθε μήνυμα.
Πρακτικά, για ένα e-shop είναι απλούστατο! Κατά την εγγραφή ενός χρήστη, όταν δίνει το email o χρήστης, έχει κι ένα opt-out checkbox (αν δεν θέλεις να σου στέλνουμε προσφορές πάτα εδώ...) κι όλα είναι εντάξει! Και είναι εντάξει και με το GDPR… γιατί δεν εφαρμόζεται ο GDPR…
Άρα τι κάνουν όσοι στέλνουν αυτά τα email «επιβεβαίωσης»;
Τι πρέπει μόνο να προσέχουν οι εταιρείες; Απλά να μπορούν να αποδείξουν αδιαμφισβήτητα (με παρόμοιο με το GDPR τρόπο) ότι είχαν συγκατάθεση ή ότι απέκτησαν το email στο πλαίσιο συναλλαγής με τα παραπάνω χαρακτηριστικά (αλλά όχι συγκατάθεση).
Τι συμβαίνει λοιπόν όταν μια εταιρεία ζητάει επιβεβαίωση;
Αναλύω τις 3 περιπτώσεις:
1. Αν είχε τα email με συγκατάθεση (opt-in), κινδυνεύει να χάσει τις επαφές της, ενώ ήδη μπορεί να στέλνει. Άσκοπο και επιχειρηματικό λάθος.
2. Αν είχε τα email επειδή τα απέκτησε κατά τη συναλλαγή νομίμως (όπως παραπάνω, με soft opt-in), ζητάει συγκατάθεση ενώ μπορεί να στέλνει χωρίς συγκατάθεση. Και πάλι άσκοπο και επιχειρηματικό λάθος.
3. Αν είχε τα email αλλά δεν είχε τηρήσει στοιχεία για να αποδεικνύει τη συγκατάθεση (ή το ότι τα απέκτησε νομίμως με soft opt-in) απλά παρανομεί και μόνο που στέλνει το μήνυμα που ζητάει συγκατάθεση. Και παραβιάζει το αρ. 11 του ν. 3471/2006, όχι το GDPR ή το ν. 2472/97 έως εχτές.
Σε κάθε περίπτωση λοιπόν η εταιρεία είναι χαμένη! Αφήστε που 90-95% των χρηστών συνήθως δεν δίνουν συγκατάθεση με τέτοια μηνύματα ενώ με την περίπτωση «3» διακινδυνεύουν να αντιμετωπίσουν καταγγελία ή μια ωραία αγωγή (δείτε τι αποζημιώσεις προβλέπει ο ν. 3471/06 και γελάστε…).
Και το χειρότερο είναι ότι ο κόσμος έχει ήδη αγανακτήσει και αμφιβάλλω πόσο στα σοβαρά θα πάρει τις ουσιαστικές αλλαγές του GDPR και τα επαυξημένα δικαιώματά του.
Τουλάχιστον όμως τώρα κανείς στις επιχειρήσεις δεν μπορεί να πει ότι δεν έχει ακούσει τον όρο GDPR, έστω και για τους λάθος λόγους…».

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου