Pentru o companie care activează în industria transporturilor, în categoria datelor cu caracter personal intră o varietate de informații care în final ne conduc la identificarea unei persoane fizice.
Ne putem referi aici atât la date cu caracter personal mai uzuale, precum numele, prenumele, numărul de telefon sau adresă de e-mail, dar și la date cu caracter personal mai neobișnuite, precum locația unei persoane, imaginea, vocea, comportamentul, inclusiv comportamentul la volan, datele obținute prin intermediul tahografului.
De asemenea, se impune să precizăm că GDPR face referire și la categorii speciale de date cu caracter personal, supuse unui regim mai strict de prelucrare, așa cum sunt: datele cu privire la starea de sănatate, datele biometrice, genetice, convingerile religioase, filosofice sau politice.
Cum vor fi afectare activitățile de marketing în acest context?
În ceea ce priveste activitățile de marketing situația nu se va schimba fundamental față de reglementarea actuală. Comunicările de marketing direct utilizând canale de comunicare precum e-mail, SMS/MMS vor fi în continuare supuse exigenței consimțământului.
Persoana vizată va trebui să își exprime acordul cu privire la primirea unor comunicări de marketing din partea unui operator.
Ceea ce este cu certitudine este nou, este nivelul de granularitate al consimțământului, respectiv persoanei vizate va trebui să i se ofere posibilitatea de a opta pentru canalul pe care dorește să fie contactat, va trebui să aibă posibilitatea de a decide dacă doreste comunicări de marketing doar cu privire la serviciile operatorului sau și cu privire la serviciile partenerilor operatorului.
De asemenea, operatorul trebuie să se pregătească ca atunci când persoana vizată își retrage consimțământul acordat pentru primirea comunicărilor de marketing, aceste comunicări să nu mai fie transmise către respective persoană.
În acest sens, este esențial ca societatea de transport să verifice modalitatea în care aceasta a obținut anterior acordul persoanelor vizate pentru marketing, în baza prevederilor anterioare existente, și să evalueze necesitatea reobținerii acestui acord, în lumina dispozițiilor GDPR.
Mai precis, GDPR menționează în mod clar că acordul obținut anterior va rămâne valabil în măsura în care a fost obținut cu respectarea condițiilor avute în vedere de GDPR.
Totodată, nu trebuie omisă nici situația clienților existenți, cu privire la care, în funcție de modalitatea de efectuare a activităților de marketing (respectiv dacă aceștia sunt contactați prin servicii de comunicații electronice, precum e-mail, telefon, SMS etc), pot fi avute în vedere prevederile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protecția vietii private în sectorul comunicațiilor electronice (care implementează actuala directivă în materia prelucrării datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, ePrivacy Directive).
Astfel, în cazul în care transportatorul a obținut în mod direct adresa de poștă electronică (în sensul legii, fiind avută în vedere atât adresa de e-mail, precum și numărul de telefon etc), cu ocazia vânzării către acesta a unui produs/serviciu, transportatorul poate utiliza datele respective ale utilizatorilor, în scopul efectuării efectuării de comunicări comerciale referitoare la serviciile proprii, cu condiția de a oferi în mod clar și expres clienților posibilitatea de a se opune printr-un mijloc simplu și gratuit unei asemenea utilizări, atât la momentul inițial al obținerii datelor de contact, precum și cu ocazia fiecărui mesaj ulterior (soft opt-in).
Din experiența noastră, probabil și în contextul unor acțiuni de control aproape inexistente ale autorităților în legătură cu această posibilitate permisă de lege, în practică, sunt extrem de puține companii care se pot baza pe excepția de soft opt-in prevazută de Legea nr. 506/2004.
Regulamentul nu distinge în funcție de aria teritorială
Mai trebuie notat de asemenea că Regulamentul nu distinge în funcție de aria teritorială în care un operator activează
GDPR este aplicabil tuturor operatorilor care au sediul în Uniunea Europeană, precum și celor care, chiar dacă nu au sediul în Uniunea Europeană, prestează servicii sau oferă bunuri persoanelor vizate în Uniunea Europeană sau care monitorizează comportamentul persoanelor vizate în cadrul Uniunii Europene.