Uneori, în timpul prezentărior sau cursului CIPM ajung, în urma discuțiilor, să dau următorul exemplu personal (deși subiectul este mai mult de natură juridică și, nefiind de profesie jurist, ar trebui să evit să emit astfel de opinii):

dealerul auto de la care am cumpărat mașina poate să îmi trimită prin email, mesaje de informare legate de reduceri de preț la piese de schimb, apropierea termenului reviziei, scadența unei facturi etc chiar dacă nu are consimțămîntul meu explicit, în baza interesului legitim (nu detaliez. explicații acum). Nu poate în schimb să îmi trimită mesaje care nu au legătură cu relația comercială dintre noi (de exemplu că este sponsorul unui raliu. Pentru asta are nevoie de consimțămînt explicit). Mai trebuie să existe o condiție: mesajul de email trebuie să îmi ofere posibilitatea de „unsubscribe„ :

(1) În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) sau al articolului 6 alineatul (1) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. – GDPR Art. 21  – Dreptul la opoziție

La ultimul curs, am fost corectat și mi s-a spus că nu am dreptate și că, în condițiile GDPR, trebuie obligatoriu consimțămînt pentru continuarea comunicărilor prin email. Indirect mi s-a spus că induc în eroare cursanții. Corecția primită este o dovadă a ceea ce se întîmplă acum: primesc o mulțime de mailuri pentru reconsimțămînt, înclusiv pe relația B2B. Nu am contestat niciodată opinia unui jurist, chiar dacă nu sînt convins mereu de argumente. Nu am făcut-o nici de astă dată.

Așadar, în continuare prezint doar texte/prevederi/explicații oficiale pe care se bazează exemplul meu, urmînd ca fiecare dintre cei care ajungeți pe aici să verificați corectitudinea concluziilor mele.

Ce zice legea națională aplicabilă (încă) la acest moment

Comunicările nesolicitate

  (1) Este interzisă efectuarea de comunicări comerciale prin utilizarea unor sisteme automate de apelare și comunicare care nu necesită intervenția unui operator uman, prin fax ori prin poștă electronică sau prin orice altă metodă care folosește serviciile de comunicații electronice destinate publicului, cu excepția cazului în care abonatul sau utilizatorul vizat și-a exprimat în prealabil consimțământul expres pentru a primi asemenea comunicări.

(2) Fără a aduce atingere prevederilor alin. (1), dacă o persoană fizică sau juridică obține în mod direct adresa de poștă electronică a unui client, cu ocazia vânzării către acesta a unui produs sau serviciu, în conformitate cu prevederile Legii nr. 677/2001, persoana fizică sau juridică în cauză poate utiliza adresa respectivă, în scopul efectuării de comunicări comerciale referitoare la produse sau servicii similare pe care acea persoană le comercializează, cu condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la obținerea adresei de poștă electronică, cât și cu ocazia fiecărui mesaj, în cazul în care clientul nu s-a opus inițial. – Art. 12 L506/2004

serviciu de comunicaţii electronice – un serviciu, furnizat de regulă cu titlu oneros, care constă, în întregime sau în principal, în transportul semnalelor prin reţelele de comunicaţii electronice, incluzând serviciile de telecomunicaţii şi serviciile de transmisie prin reţelele utilizate pentru difuzarea serviciilor de programe audiovizuale, dar fără a include serviciile prin care se furnizează conţinutul informaţiei transmise prin intermediul reţelelor conţinut; de asemenea, nu se includ serviciile societăţii informaţionale, definite prin art.1 pct.1 din Legea nr.365/2002 privind comerţul electronic, cu modificările şi completările ulterioare, care nu constau, în întregime sau în principal, în transportul semnalelor prin reţelele de comunicaţii electronice; – OG 34/2002

2. Ce zice GDPR/WP29/ePrivacy Regulation (versiunea draft)

De la WP29 avem Opinion 06/2014 on the notion of legitimate interests of the data controllerunder Article 7 of Directive 95/46/EC, iar în GDPR

Under Article 13 of the ePrivacy Directive, for certain types of – more intrusive – direct marketing activities (such as e-mail marketing and automated calling machines) consent is the rule. As an exception, in existing client relationships where a controller advertises its own ‘similar’ products or services, it is sufficient to provide an (unconditional) opportunity to ‘opt-out’ without justification.

Ceva mai departe în timp, avem Opinion 5/2004 on unsolicited communications for marketing purposes under Article 13 of Directive 2002/58/EC:

3.5. The exception for similar products and services

Paragraph 2 of Article 13 provides for a harmonised exception  to the opt-in rule which applies for existing customers, subject to certain conditions.
“2. Notwithstanding paragraph 1, where a natural or legal person obtains from its customers their electronic contact details for electronic mail, in the context of the sale of a product or a service, in accordance with Directive 95/46/EC, the same natural or legal person may use these electronic contact details for direct marketing of its own similar
products or services provided that customers clearly and distinctly are given the opportunity to object, free of charge and in an easy manner, to such use of electronic contact details when they are collected and on the occasion of each message in case the customer has not initially refused such use.”

În GDPR:

Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind desfășurată pentru un interes legitim. – Recital 47

În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing direct, persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări, inclusiv creării de profiluri în măsura în care aceasta are legătură cu marketingul direct, indiferent dacă prelucrarea în cauză este cea inițială sau una ulterioară, în orice moment și în mod gratuit. Acest drept ar trebui adus în mod explicit în atenția persoanei vizate și prezentat în mod clar și separat de orice alte informații. – Recital 70

Atunci când prelucrarea datelor cu caracter personal are drept scop marketingul direct, persoana vizată are dreptul de a se opune în orice moment prelucrării în acest scop a datelor cu caracter personal care o privesc, inclusiv creării de profiluri, în măsura în care este legată de marketingul direct respectiv. – Art. 21 (2)

În propunerea de REGULAMENT AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice și de abrogare a Directivei 2002/58/CE (Regulamentul privind viața privată și comunicațiile electronice) – (ePrivacy Regulation)

Prin urmare, este justificat să se solicite obținerea consimțământului utilizatorului final înainte de trimiterea comunicațiilor electronice comerciale în scopuri de marketing direct către utilizatorii finali pentru a proteja în mod eficace persoanele fizice împotriva intruziunii în viața lor privată, precum și pentru a proteja interesele legitime ale persoanelor juridice. Securitatea juridică și necesitatea de a asigura perenitatea normelor de protecție împotriva comunicațiilor electronice nesolicitate justifică nevoia de a defini un set unic de norme care nu variază în funcție de tehnologiile folosite pentru a transmite aceste comunicări nesolicitate, garantând, în același timp, un nivel echivalent de protecție pentru toți cetățenii pe întreg teritoriul Uniunii. Cu toate acestea, este rezonabil să se permită utilizarea datelor de contact prin e-mail în contextul unei relații existente cu un client pentru oferirea de produse sau servicii similare. O astfel de posibilitate ar trebui să se limiteze la întreprinderea care a obținut datele de contact electronic în conformitate cu Regulamentul (UE) 2016/679. – , Recital 33

În cazul în care o persoană fizică sau juridică obține datele de contact pentru poștă electronică de la clientul său, în contextul vânzării unui produs sau a unui serviciu, în conformitate cu Regulamentul (UE) 2016/679, această persoană fizică sau juridică poate folosi respectivele date de contact pentru marketingul direct al propriilor produse sau servicii similare numai în cazul în care clienților li se oferă posibilitatea în mod clar și distinct de a se opune, în mod gratuit și facil, unei astfel de utilizări. Dreptul de a se opune este acordat la momentul colectării datelor de contact și de fiecare dată când este trimis un mesaj. – Art. 16

(Am primit solicitare de consimțămînt pentru comunicare prin email inclusiv de la firma cu care persoana juridică pe care o reprezint are contract servicii de găzduire web…..)