Opća uredba o zaštiti podataka (GDPR) krenula je u primjenu sredinom prošle godine. Poduzetnici kojima je direktni marketing bio jedan od glavnih promotivnih kanala već osjećaju značajne posljedice vezane uz smanjene prihode od prodaje. Većina tih posljedica uzrokovana je pogrešnim pravnim interpretacijama odredbi same Uredbe, dok je manji dio njih uzrokovan manjkavostima aplikacija za direktni marketing ili nepoznatim podrijetlom kontakata na newsletter listama.

Cilj svake uspješne marketinške kampanje je planirani utjecaj na ponašanje potrošača. Najznačajnije marketinške metode novog doba mogu se svesti na jednostavan algoritam – sistem lijevka. Automatizirano prikupljanje velikog broja svih vrsta podataka o ciljnoj skupini u svrhu filtracije i dolaska do esencije onog što čini vašeg potrošača – njega kao pojedinca na kojeg možete direktno utjecati. Stručnom terminologijom to je pretvaranje Big Date u Smart Datu koja je baza za prediktivnu analizu i predviđanje novih trendova u potražnji. Sva ta profiliranja svakako imaju svoju cijenu, a ona je direktno zadiranje u privatnost pojedinca. Sve dok je pojedinac s time upoznat i suglasan radi se o legitimnom interesu, no što kad on tog nije niti svjestan?

Klikanjem na newsletter u većini slučajeva link će vas odvesti na web stranicu ili webshop s konkretnom ponudom. S obzirom da dolazite putem newslettera koji ste dobili na svoju e-mail adresu, vi ste automatski identificiran pojedinac kojem se svaki klik na lokaciji na koju vas je newsletter odveo pomno prati i analizira. Kombiniranjem par analitičkih programa koji vam tijekom tog procesa ostavljaju kolačiće točno se može procijeniti koje su vaše kupovne i privatne preferencije i, malo dubljom analitikom, tko su vaši prijatelji na društvenim mrežama te koliko ste na njima aktivni. Sve te informacije napredni algoritmi pretvorit će u vašu „potrošačku personu“ i početi vam prikazivati oglase vezane uz vaša područja interesa.

Učinkovite marketinške metode uvijek se svode na pojedinca i prikupljanje podataka o njegovoj demografiji, sociografiji i psihografiji, a analitička situacija se multiplicira povećanjem broja uređaja kojima je isti taj pojedinac povezan na Internet. Kako su tijekom godina metode prikupljanja tih podataka postajale sve sofisticiranije i dostupnije, a kvaliteta podataka u analitičkom smislu sve viša, otvorilo se i tržište prodaje ili zloupotrebe tih istih podataka.

Nova europska Opća uredba o zaštiti podataka (GDPR) donesena je kako bi ojačala prava pojedinaca te povećala odgovornost i obaveze onih koji prikupljaju, obrađuju i pohranjuju njihove osobne podatke. Također je svojim odredbama definirala i ujednačila pravila zaštite osobnih podataka kao i sankcije za povrede u svim državama članicama.

Istovremeno dok su pojedinci čiji se osobni podaci prikupljaju i obrađuju dobili prava na njihovu zaštitu, pojedine tvrtke postale su žrtvama vlastite pogrešne interpretacije određenih stavaka same Uredbe. Osobito se to odnosilo na interpretaciju legitimno prikupljenih kontakata na newsletter listama koje su u Hrvatskoj najčešći kanal direktnog marketinga kod mikro i malih poduzetnika. Isključivši poduzetnike koje za svoje kontakte pretplatnika na newsletter listi ne mogu dokazati podrijetlo odnosno pojedinci se nisu svojevoljno na njih prijavili, velik broj poduzetnika koji posjeduje njihovo legitimno podrijetlo napravio je dva propusta koja su ih stajala velikog broja potrošača, a posljedično tome i značajnog smanjenja prihoda ostvarenog tim komunikacijskim kanalom.

Prvi propust bio je taj što se većina njih odlučila poslati tzv. newsletter s privolom na sam dan početka primjene Uredbe iako u kratko vrijeme nakon toga nisu imali predviđenu sljedeću kampanju. S obzirom da je tih dana većina građana zatrpana velikim brojem takvih poruka, rijetki su ga pročitali, a još manje njih je na njega povratno odgovorilo kad se radilo o obvezi ažuriranja profila ili odgovora u svrhu pristanka ostanka na listi.

Drugi veliki propust bio je što mnogi poduzetnici nisu razumjeli razliku između obavijesti ispitanika o obradi i specifičnih okolnosti oslanjanja na privolu te posljedično i kriterija za traženje i dokumentiranje adekvatne privole prema standardima Uredbe.

U slučaju kad poduzetnici nisu imali dokaz o postojećoj prethodnoj suglasnosti pretplatnika na listu te u nedostatku nekog drugog pravnog temelja takve obrade, najčešće adekvatno procijenjenog legitimnog interesa uslijed postojećeg odnosa primatelja i društva, trebalo je poslati e-mail sa zahtjevom za ažuriranjem profila i upoznavanjem s uvjetima obrade i upotrebom osobnih podataka.

Prema našem istraživanju iz siječnja 2019. godine na uzorku od 67 hrvatskih poduzetnika koji regularno šalju newslettere, poduzetnicima koji su poslali newsletter sa zahtjevom za ažuriranjem profila je ostalo u prosjeku tek 11% od ukupnog broja kontakata što je neprocjenjiva šteta s obzirom da se radi o onima koji su imali u potpunosti legitimno podrijetlo pretplatnika.

Istraživanje koje smo proveli na 233 hrvatska poduzetnika tijekom 2018. godine, pokazalo je da je opća razina informiranosti hrvatskih tvrtki o standardima zaštite osobnih podataka koju donosi Uredba poražavajuće niska odnosno čak 61% tvrtki nije bilo upoznato sa sadržajem, glavnim novostima kao niti početkom primjene Uredbe i obvezom usklađivanja.

Najzastupljenije metode digitalnog marketinga kod mikro i malih poduzetnika u Hrvatskoj i dalje su newsletter u omjeru od čak 80%, telefonski poziv 15% te 27% direktni kontakt na društvenim mrežama. Od poduzetnika koji koriste newsletter, njih preko 50% ne zna kako ili ne može dokazati podrijetlo pretplatnika na svojim listama, a kamoli identificirati neki postojeći, a odgovarajući pravni temelj.

Zaštita osobnih podataka temeljno je pravo pojedinaca na području Unije, a Uredba predstavlja izraz tog prava i uređuje standarde sigurne obrade podataka vodeći računa o pravima i interesima ispitanika. U nadolazećem razdoblju, sasvim je sigurno da će se marketinška industrija trebati upoznati i educirati o adekvatnim postupcima zaštite osobnih podataka. Vijesti iz različitih država članica Unije govore o postupcima koji se pokreću pred nadzornim tijelima, često protiv najvećih imena IT i drugih industrija. Osim toga, kako se ispitanici sve bolje i temeljitije informiraju o svojim pravima, očekuje se porast zahtjeva za informiranjem i pristupom podacima te ostvarivanja drugih prava ispitanika. Dolazi era pravno regulirane zaštite podataka, a sustavi upravljanja informacijskom sigurnosti ISO27001 u poslovnim procesima postat će sinonim standardizacije poslovanja u tom smjeru.

Autor članka: Natalija Parlov Una, doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost, odnose s javnošću i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja bihevioralnog marketinga, plasmana na vanjska tržišta te međunarodnih odnosa i informacijske sigurnosti. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s GDPR-om

Koautor članka: Željko Sičaja je doktorand Međunarodnih odnosa te direktor sektora analitike i informacijske sigurnosti u poznatoj tvrtki APICURA Business Intelligence. Stručnjak za sigurnosna područja s dugogodišnjim iskustvom rada u sigurnosnim službama te Ministarstvima vanjskih i unutarnjih poslova Republike Hrvatske. Autor je brojnih znanstvenih i stručnih radova iz područja procesne forenzike, međunarodnih odnosa i informacijske sigurnosti

Koautor članka: Tihomir Katulić je docent pravnih znanosti s Pravnog fakulteta Sveučilišta u Zagrebu. Autor je radova iz područja regulative zaštite osobnih podataka, intelektualnog vlasništva i informacijske sigurnosti. Redovito savjetuje i sudjeluje u projektima usklađivanja domaćih i stranih trgovačkih društava i institucija vezanih uz europsku pravnu regulativu