Zdi se, da je promet na spletu vse bolj reguliran, zbiranje podatkov vse bolj omejeno, tehnološko pa Evropa za ZDA zaostaja 10 do 20 let, je opozoril Jaka Repanšek (RePublis), predsednik Oglaševalskega razsodišča, na dnevu e-zasebnosti, ki so ga skupaj pripravili Društvo za marketing Slovenije, IAB Slovenija, Info hiša in Slovenska oglaševalska zbornica.

Evropska komisija je ob nastopu mandata napovedala evropsko digitalno desetletje, v katerem gre pričakovati sprejem številnih predpisov, ki bodo urejali digitalni svet; nova uredba o e-zasebnosti naj bi bila uveljavljena do leta 2025 in bo med drugim urejala piškotke, spletne identifikatorje, profiliranje ter številne nove tehnologije v digitalnem okolju. Na ravni Evropske unije sta bila že sprejeta Akt o digitalnih storitvah (DSA – Digital Services Act) in Akt o digitalnih trgih (DMA – Digital Markets Act). Prvi bo dokončno uveljavljen februarja, drugi pa marca prihodnje leto. Septembra letos bo v celoti uveljavljen Akt o upravljanju podatkov (DGA - Data Governance Act), v procesu sprejemanja pa še je Akt o podatkih (Data Act).

Nov zakonodajni sveženj evropske digitalne regulative na področju e-zasebnosti bo po besedah Jake Repanška vplival na bistveno več podjetij in poslovnih modelov kot katera koli predhodna ureditev na tem področju.

Kakšna je torej prihodnost digitalnega oglaševanja?

Kot rešitev na dane zakonodajne okvirje se nakazujejo tri možnosti: ciljani oglasi, naključni oglasi ali naročnina na spletne vsebine.

Študija Evropske komisije o trendih razvoja digitalnega oglaševanja
Med drugim je Študija Evropske komisije o trendih razvoja digitalnega oglaševanja pokazala, da evropski trg digitalnega oglaševanja ni konkurenčen, saj so se prihodki velikih platform v zadnjih desetih letih povečali za več kot 500 %, prihodki največjih evropskih založnikov pa so stagnirali. Oglaševanje je temeljni način financiranja internetnih storitev in vsebin, zato gre pričakovati številne ukrepe, ki bi evropske digitalne oglaševalce in naročnike naredili bolj konkurenčne velikim (ameriškim) platformam. Pri tem Jaka Repanšek opozarja, da zgolj regulativa ne bo dovolj, treba bo vlagati tudi v razvoj, znanje in tehnologijo.

Če se podjetja želijo pripraviti na »evropsko digitalno desetletje«, bi bile ključne smeri razvoja naslednje:

• Lastni podatkovni silosi osebnih podatkov, saj so slovenske in evropske rešitve varnejše in bolj predvidljive pri omejevanju izvoza podatkov, omejevanju povezovanja baz podatkov …
• Ureditev izvoza podatkov v tretje države (izven EU).
• Avtonomne baze podatkov oziroma povezovanje podatkov z ustreznimi pravnimi podlagami, pri katerih je temeljna pravna podlaga privolitev posameznikov.
• Vedno večji bo poudarek na anonimizaciji, tehničnih ukrepih za varovanje podatkov, kibernetski varnosti.
• Piškotki za zdaj ostajajo pomemben in pravno varen inštrument zajema osebnih podatkov na spletu (ob upoštevanju določb GDPR in prakse Informacijskega pooblaščenca).
• Previdnost pri rešitvah brez piškotkov (ang. cookieless) ni odveč, saj se pogosto izkaže, da to niso.
• Vodilo naj bo transparentnost in pošten odnos do uporabnikov.
• Pomembno: Za namestitev in upravljanje s piškotki je odgovoren izdajatelj spletnega mesta.

Privolitev ostaja temeljna pravna podlaga za obdelavo osebnih podatkov

Nova uredba o e-zasebnosti naj bi razširila obstoječa področja varovanja zasebnosti in uvedla nova, kot so mobilne aplikacije, on-line oglaševalske mreže, internet stvari, OTT komunikacijske storitve, e-pošto, telefonijo, instant sporočila, nadležno e-pošto (spam), pogovore (chat) z uporabniki, WhatsApp, Skype, telekomunikacijske vsebine in metadato ter izjeme pri posegih v zasebnost v okviru preprečevanja in pregona kaznivih dejanj. Kljub vsemu naštetemu naj bi temeljna pravna podlaga za obdelavo podatkov ostala privolitev.

Kako bodo urejeni piškotki, še ni povsem jasno, saj se nekateri zavzemajo za »generalno« nastavitev privolitve na ravni brskalnika, ki pa bi bila najstrožja možna, nato pa bi jo uporabniki lahko omilili z lastnimi nastavitvami (na primer: »reject 3rd party  cookies«, »never accept cookies«, »accept only 1st party cookies« ali »always accept cookies«).

Kateri interesi bodo prevladali, še ni povsem jasno, kot ključne kritike predlogu uredbe pa je Jaka Repanšek navedel, da v številnih delih predlog uredbe (tudi glede piškotkov) nasprotuje uredbi GDPR. Financiranje spletnih mest bo vse bolj ogroženo, saj so številna odvisna od digitalnega oglaševanja, hkrati pa se pogojevanje dostopa do spletne vsebine ne bi štelo za nesorazmerno, če bi bila uporabniku na voljo tudi plačljiva vsebina.

Preberite še: Podatki so zasebna lastnina – posamezniki dajemo le dovoljenje za uporabo

Kaj se z ZVOP-2 spreminja za marketing?

Evropska zakonodaja je podlaga tudi za Zakon o varstvu osebnih podatkov (ZVOP-2), ki je začel veljati januarja letos in je zamenjal ZVOP-1. Slovenija je bila med vsemi članicami EU zadnja, ki je na podlagi Splošne uredbe o varstvu osebnih podatkov (GDPR) iz leta 2018 sprejela na novo prilagojeno nacionalno zakonodajo. Kaj novi zakon prinaša za marketing, je razložila Bojana Pleterski (Info hiša).

• Neposredno trženje
  ZVOP-2 ne naslavlja več neposrednega trženja, to urejata GDPR uredba in zakon o elektronskih komunikacijah (ZEKom-2), ko gre za neposredno komunikacijo v digitalnem okolju. GDPR ureja običajno pošto, ki jo lahko podjetja pošiljajo na podlagi zakonitega interesa ali privolitve. ZEKom-2 pa ureja e-pošto, SMS-, MMS-sporočila in (avtomatske) klice, kar podjetja lahko izvajajo na podlagi privolitve. Le pri e-pošti se lahko sklicujejo na t. i. »soft opt-in« – možnost pošiljanja marketinških vsebin obstoječim uporabnikom, kupcem, naročnikom, če ste jim to tudi napovedali.
  ‍
• Dnevniki obdelav
  Od 26. januarja 2025 bodo morala podjetja, ki redno in sistematično spremljajo posameznika, izvajajo obsežne obdelave posebnih vrst osebnih podatkov in če tako določa zakon, voditi dnevnik obdelav podatkov. Voditi ga bodo morala podjetja, za katera bo z DPIA (ocena učinka v zvezi z varstvom podatkov) ugotovljeno tveganje, ki se lahko učinkovito upravlja z vodenjem dnevnika. Dnevnik obdelav bo moral vsebovati:
  - kaj je podjetje s podatki počelo,
  - kdaj je to počelo,
  - komu vse so bili podatki na voljo.

• Obdelava kontaktnih podatkov
  ‍Uporaba kontaktnih podatkov posameznikov iz javno dostopnih virov ni dovoljena za neposredno trženje, je pa dovoljena za organiziranje uradnih srečanj, izobraževanj, usposabljanj in drugih podobnih dogodkov. Za namene obveščanja javnosti pa se lahko obdeluje osebna imena, nazive, fotografije, videoposnetke posameznikov, pridobljene na dogodkih ter te podatke tudi objavi, če posameznik te obdelave ni prepovedal.

• Kazni
  Nov zakon prinaša tudi kazni; tako po GDPR kot po ZVOP-2. Poleg glob lahko Informacijski pooblaščenec odredi uskladitev dejanj obdelave, prepove obdelavo osebnih podatkov ali jo omeji, odredi, da mora podjetje ugoditi posameznikovi zahtevi po pravici ali izreče opomin.

Na kaj naj bodo podjetja še posebej pozorna?

Bojana Pleterski na podlagi prakse Informacijskega pooblaščenca ponuja nekaj nasvetov, na kaj naj bodo podjetja še posebej pozorna.

• Politika zasebnosti posameznega podjetja naj bo transparentna. Podjetja naj na enostaven način povedo, na kakšen način obdelujejo osebne podatke uporabnikov.
• Veliko težav je pri razumevanju pojma skupno upravljanje – gre za obdelave, kjer dva ali več upravljavcev skupaj določijo namene (razloge, obseg in cilje) in načine obdelave (sredstva in metode) osebnih podatkov. V takšnem primeru je treba skleniti dogovor, ki mora jasno odražati vloge in odgovornosti vsakega upravljavca.
• Uporaba zakonitega interesa kot podlage za uporabo osebnih podatkov ni zgolj odločitev podjetja, pač pa je potrebna analiza, ali so interesi podjetja pretehtali nad interesi posameznika.

Preberite še: Obdelujte podatke svojih uporabnikov na zakonit način