Strokovnjakinja za varstvo osebnih podatkov, odvetnica Rosana Lemut Strle nam je na skupnem dogodku DMS, Infohiše, IAB Slovenija in Slovenske oglaševalske zbornice povedala, katerim pogojem morajo podjetja pri uporabi tovrstnih podatkov zadostiti.

• Treba je poznati razliko med osebnimi podatki, ki so javnosti dostopni, ker so po zakonu javni ali javno dostopni in osebnimi podatki, ki so varovani.
• Osebne podatke iz javnih knjig lahko po določbah ZVOP-2 uporabimo le za namen, za katerega so bili zbrani (npr. zemljiška knjiga), torej ne v marketinške namene.
• Javni kontaktni podatki, ki jih podjetja objavijo zaradi poslovanja s strankami, se smejo uporabiti za marketinške namene, a le, če je baza kontaktov ažurna, kar pa je lahko svojevrsten izziv. (ZVOP-2 v 93. členu sicer prepoveduje izvajanje neposrednega marketinga kontaktom, ki so bili zbrani iz javno dostopnih virov ali v okviru izvrševanja javnih nalog ali so jih posamezniki dali prostovoljno ali za njihovo uporabo dali privolitev, dovoljuje pa uporabo podatkov za organiziranje uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali delovanje komisij ... a Rosana Lemut Strle ob tem opozarja, da je za takšno omejitev ni najti opore v splošni uredbi o varstvu podatkov, pravne prakse s tega področja pa še ni. Kot je dejala, je neposredni marketing bistveno več kot le prodaja blaga ali storitev, zakon bo to moral upoštevati.)
• Pri uporabi podatkov za neposredni marketing je treba vedeti, da ima posameznik, četudi smo podatke pridobili zakonito, npr. z njegovo privolitvijo, vedno možnost ugovora takšni obdelavi njegovih osebnih podatkov. Če pride do ugovora, njegovih osebnih podatkov ne smete več uporabljati za namene neposrednega trženja.
• Če želimo posamezniku pošiljati marketinška sporočila preko smsov, mmsov, je nujno njegovo predhodno soglasje. Soglasje oziroma privolitev mora biti nedvoumno dana, svobodna, informirana in specifična. Nekatera podjetja privolitev pridobivajo glede na kanal, a je vseeno, kakšno prakso podjetja izberejo, lahko se privolitev daje tudi za vse kanale skupaj, pomembno je, da se daje ločeno po namenih.

• Elektronski pošto našega kupca lahko za neposredni  marketing uporabimo v primeru, če smo mu ob pridobitvi e-naslova povedali, da bomo njegov naslov uporabili za ta namen, hkrati pa mu moramo dati (že ko so podatki pridobljeni) možnost, da to odkloni. Ravno tako mu moramo ob vsakem marketinškem sporočilu dati možnost, da nadaljnje prejemanje marketinških vsebin odkloni.
• Pri marketingu prek govornih klicev je potrebno soglasje naročnika ali uporabnika, a ni potrebno predhodno soglasje. Posameznika lahko pokličete za namen pridobitve privolitve za uporabo njegovih osebnih podatkov za neposredni marketing. Če vprašani privolitve ne poda, aktivnosti neposrednega marketinga ne izvedete. Posameznik ima tudi možnost, da v imeniku zahteva dodajanje označbe, da prepoveduje uporabo svojih podatkov za marketinške ali raziskovalne namene. Pred izvajanjem neposrednega trženja prek govornih klicev, je treba prveriti morebitne takšne zapise v imenikih.
• Pravni temelj za kakršno koli obdelavo podatkov je sicer vedno treba gledati v povezavi z namenom. Najbolj ustrezna podlaga za neposredni marketing je tako privolitev, še posebej pa to velja za ciljni marketing – trženje posamezniku prilagojenih ponudb blaga in storitev.
• Pošiljanje komercialnih sporočil na splošne naslove podjetij (npr. info@) je dovoljeno, če so ta jasno razpoznavna, jasno je opredeljen pošiljatelj ter naveden tudi naslov, na katerega lahko prejemnik pošlje zahtevo za prenehanje prejemanja tovrstnih sporočil.
• Pošiljanje na osebne elektronske naslove (npr. marija@ ali marija.novak@) pa je dovoljeno, če za to imamo privolitev oziroma, če gre za katero od izjem (če gre za našega kupca ali če fizična oseba svoj elektronski naslov javno objavi).
• Neposredno trženje ni dovoljeno na e-naslove, ki so pridobljeni v okviru različnih storitev drugih, kot je npr. Bizi.si. Odgovornost za zakonitost obdelave osebnih podatkov je na podjetju, ki izvaja neposredno trženje, četudi mu podatke nudi druga družba. Ta je odgovorna za svoje kršitve pravil varstva osbenih podatkov, izvajalec neposrednega trženja pa za kršitve iz njegove sfere.  Za oba velja, da vselej začneta s preverjanje zakonitosti obdelave osbenih podatkov, ali imata za namen, ki ga z osebnimi podatki zasledujeta, pravni temelj. V tem pogledu so pomembni tudi splošni pogoji različnih družbenih omrežij oziroma platform z osebnimi podatki.

- Splošna uredba o varstvu podatkov,
- ZVOP-2 (posebej 74. in 75. člen, 86., 92., 93. člen),
- Direktiva EU 2019/1024 Evropskega parlamenta o odprtih podatkov in ponovni uporabi - informacij javnega sektorja,
- ZDIJZ in Uredba o posredovanju in ponovni uporabi informacij javnega značaja,
- Direktiva 58/2002,
- ZEKom-2 (posebej 217. in 226. člen),
- ZEPT (posebej 6. člen).
Smernice EDPB št. 8/2020 o ciljnem usmerjanju v uporabnike družbenih omrežij (točke 50, 55, 56 in 57)