Zakonodaja s področja informacijske družbe sega na številna področja, od informacij javnega značaja, elektronskih komunikacija do kazenskega zakonika.
V nadaljevanju prikazujemo nekoliko podrobjeje ureditev področja informacijske varnosti.
Neželena elektronska sporočila (spam) in slovenska zakonodaja
Področje neposrednega trženja s pomočjo elektronskih komunikacij (in posledično področje neželenih elektronskih sporočil in nenaročene oglasne pošte) v Sloveniji urejajo štirje zakoni, trije specialni (Zakon o elektronskih komunikacijah, Zakon o varstvu potrošnikov in Zakon o elektronskem poslovanju na trgu), ter sistemski zakon (Zakon o varstvu osebnih podatkov):
- Zakon o elektronskih komunikacijah (ZEKom-UPB1),
- Zakon o varstvu potrošnikov (ZVPot-UPB2),
- Zakon o elektronskem poslovanju na trgu (ZEPT),
- Zakon o varstvu osebnih podatkov (ZVOP-1).
Osnovna načela glede neposrednega trženja, ki so predpisana v naštetih zakonih, bi lahko na hitro povzeli z naslednjimi točkami:
- pošiljatelj mora predhodno pridobiti soglasje vsakega naslovnika,
- naslovnik ima pravico kadarkoli zavrniti nadaljno uporabo svojega elektronskega naslova,
- pošiljatelj mora pri obdelavi osebnih podatkov upoštevati Zakon o varstvu osebnih podatkov.
Spodaj so navedeni relevantni členi posameznih zakonov s kratko razlago (opombe so del razlage in niso deli besedil zakonov). Na koncu je navedena tudi pristojna ustanova, ki izvaja nadzor nad izvajanjem posameznih zakonskih določil.
Zakon o elektronskih komunikacijah
(Ur. l. RS, št. 13/07-UPB1)
Zakon o elektronskih komunikacijah obravnava neposredno trženje z uporabo elektronskih komunikacij v 109. členu.
109. člen
(neželene komunikacije)
(1) Uporaba samodejnih klicnih sistemov za opravljanje klicev na naročnikovo telefonsko številko brez človekovega posredovanja (klicni avtomati), faksimilnih naprav ali elektronske pošte1 za namene neposrednega trženja je dovoljena samo na podlagi naročnikovega2predhodnega soglasja.
(2) Ne glede na določbe prejšnjega odstavka lahko fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih podobnih izdelkov ali storitev, vendar mora kupcu dati možnost, da kadarkoli na brezplačen in enostaven način zavrne takšno uporabo njegovega elektronskega naslova.
(3) Uporaba drugačnih sredstev za neposredno trženje s pomočjo elektronskih komunikacij kot so določena v prejšnjih dveh odstavkih tega člena, je dovoljena le s soglasjem naročnika.
(4) Elektronske pošte za potrebe neposrednega trženja s skrito ali prikrito identiteto pošiljatelja, v imenu katerega se sporočilo pošilja, ali brez veljavnega naslova, na katerega lahko prejemnik pošlje zahtevo za prekinitev takega neposrednega trženja, ni dovoljeno pošiljati.
1 Elektronska pošta je vsako sporočilo v obliki besedila, glasu, zvoka ali slike, poslano po elektronskem komunikacijskem omrežju, ki se lahko shrani v tem omrežju ali v prejemnikovi terminalski opremi, dokler je prejemnik ne prevzame.
2 Naročnik oziroma naročnica (v nadaljnjem besedilu: naročnik) je vsaka fizična ali pravna oseba, ki z izvajalcem javnih komunikacijskih storitev sklene pogodbo za uporabo teh storitev oziroma za njihovo zagotavljanje s strani izvajalca.
Zakon o elektronskih komunikacijah prepoveduje uporabo klicnih avtomatov, faksimilnih naprav ali elektronske pošte in drugačnih sredstev elektronskih komunikacij z namenom neposrednega trženja brez predhodnega soglasja naročnika. Izjemoma lahko fizična ali pravna oseba, ki od kupca svojih izdelkov ali storitev pridobi njegov elektronski naslov za elektronsko pošto, ta naslov uporablja za neposredno trženje svojih izdelkov ali storitev, vendar mora kupcu dati možnost, da kadarkoli na brezplačen in enostaven način zavrne takšno uporabo njegovega elektronskega naslova.
Vsa elektronska sporočila morajo biti poslana iz veljavnega (elektronskega) naslova. Elektronska pošta poslana z namenom neposrednega trženja mora vsebovati identiteto pošiljatelja v imenu katerega se sporočilo pošilja in naslov, kamor lahko prejemnik pošlje zahtevo za prekinitev takega neposrednega trženja.
Nadzor nad spoštovanjem 109. člena Zakona o elektronskih komunikacijah izvaja Agencija za pošto in elektronske komunikacije Republike Slovenije (info.box@apek.si).
Zakon o varstvu potrošnikov (Uradni list RS, št. 98/2004, ZVPot-UPB2), ter Zakon o spremembah in dopolnitvah Zakona o varstvu potrošnikov
(Uradni list št. 126/2007, ZVPot-C)
Določila Zakona o varstvu potrošnikov se uporabljajo le za razmerja med potrošniki (fizičnimi osebami, ki pridobivajo blago ali storitve za namene izven njihove poklicne oziroma pridobitne dejavnosti) ter podjetji (pravnimi ali fizičnimi osebami, ki opravljajo pridobitno dejavnost, ne glede na njihovo pravnoorganizacijsko obliko ali lastninsko pripadnost).
Določena pravila neposrednega trženja preko elektronskih poti ZVPot postavlja v 45.a členu:
45.a člen
(1) Podjetje lahko uporablja sistem klicev brez posredovanja človeka, faksimile napravo, elektronsko pošto in drugo obliko elektronskega komuniciranja samo z vnaprejšnjim soglasjem posameznega potrošnika, ki mu je sporočilo namenjeno.
...
(4) Če potrošnik pri kateremkoli stiku, vzpostavljenim s sredstvom za komunikacijo, ki omogoča osebna sporočila, izjavi, da ne želi več prejemati sporočil na takšen način, mu podjetje ne sme več pošiljati nobenih sporočil, ki so namenjena sklenitvi pogodbe za dobavo kateregakoli blaga ali katerekoli storitve.
Podjetja torej lahko uporabljajo elektronsko pošto za namen oglaševanja ali ponujanja svojih ali tujih storitev in blaga samo z vnaprejšnjim soglasjem posameznega potrošnika, ki mu je sporočilo namenjeno. Smatramo lahko, da je prejemnik soglasje lahko podal le, če je bil predhodno seznanjen kakšna sporočila bo prejemal oziroma kakšna bo vsebina teh sporočil. Kljub predhodno danemu soglasju pa lahko potrošnik kadarkoli izjavi, da ne želi več prejemati takšnih sporočil. Podjetje mora potrošnikovo odločitev spoštovati in mu sporočil ne sme več pošiljati.
Nadzor nad spoštovanjem omenjenega člena izvaja Tržni inšpektorat RS (gp.tirs@gov.si).
Zakon o elektronskem poslovanju na trgu
(Uradni list RS, št. 61/2006, ZEPT)
Neposredno trženje v 6. členu ureja tudi Zakon o elektronskem poslovanju na trgu.
6. člen
(posebna obveznost zagotavljanja podatkov v zvezi s komercialnimi sporočili)
(1) Ponudnik storitev lahko pošilja komercialna sporočila3, ki so del storitev informacijske družbe, če:
- prejemnik storitve vnaprej soglaša s pošiljanjem,
- je komercialno sporočilo kot tako jasno razpoznavno,
- je nedvoumno navedena fizična ali pravna oseba, v imenu katere je komercialno sporočilo poslano,
- so jasno in nedvoumno navedeni pogoji za sprejem posebnih ponudb, ki so povezane s popusti, premijami in darili, ki morajo biti kot taki nedvoumno označeni, in
- so jasno in nedvoumno ter lahko dostopno navedeni pogoji za sodelovanje v nagradnih tekmovanjih ali igrah na srečo, ki morajo biti kot taki jasno razpoznavni.
(2) Poleg pogojev iz prejšnjega odstavka mora ponudnik storitev z reguliranim poklicem pri pošiljanju komercialnih sporočil kot dela storitve informacijske družbe, ki jo opravlja, upoštevati tudi morebitna posebna pravila reguliranega poklica v zvezi z neodvisnostjo, dostojanstvom in častjo poklica, poklicno skrivnostjo ter poštenostjo do strank in sodelavcev.
3 Komercialno sporočilo je vsaka oblika sporočila, namenjena neposredni ali posredni promociji blaga, storitev ali podobe podjetja, organizacije ali osebe, ki opravlja trgovinsko, industrijsko ali obrtno dejavnost ali regulirani poklic, pri čemer podatki, ki omogočajo neposreden do dejavnosti podjetja, organizacije ali osebe, predvsem ime domene ali elektronski naslov in sporočila v zvezi z blagom, storitvami ali podobo podjetja, organizacije ali osebe, ki se zagotavljajo neodvisno in brez finančnega nadomestila, sami po sebi še niso komercialno sporočilo.
ZEPT ponudniku storitev dovoljuje pošiljanje komercialnih sporočil, ki so del storitev informacijske družbe, le pod določenimi pogoji, med drugim da prejemnik storitve (vsaka fizična ali pravna oseba, ki iz poklicnih ali drugih razlogov uporablja storitev informacijske družbe) vnaprej soglaša s pošiljanjem. Poleg tega mora biti iz sporočila jasno razviden namen pošiljanja sporočila, nedvoumno mora biti navedeno podjetje, v imenu katerega se sporočilo pošilja ter morebitni pogoji povezani s sprejemom ponudbe, ki izhaja iz sporočila.
Bistvena zahteva za pošiljanje komercialnih sporočil - soglasje prejemnika, je torej enaka kot po ZVPot, razlika pa je v tem, da se ZEPT uporablja tudi za razmerja med samimi podjetji (podjetje - podjetje) in ne samo za razmerja med potrošniki in podjetji (potrošnik - podjetje).
Inšpekcijski nadzor nad izvajanjem ZEPT in s tem tudi izvajanjem njegovega 6. člena opravljaTržni inšpektorat RS (gp.tirs(at)gov.si).
Zakon o varstvu osebnih podatkov
(Ur. l. RS 86/04 in 113/05, v nadaljevanju ZVOP-1)
Zakon o varstvu osebnih podatkov opredeljuje neposredno trženje z uporabo elektronskih komunikacij v 72. in 73. členu.
72. člen
(Pravice in dolžnosti upravljalca)
(1) Upravljavec osebnih podatkov lahko uporablja osebne podatke4 posameznikov, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih telekomunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če drug zakon ne določa drugače.
(2) Za namene neposrednega trženja lahko upravljavec osebnih podatkov5 uporablja le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte ter številko telefaksa. Na podlagi osebne privolitve posameznika lahko upravljavec osebnih podatkov obdeluje tudi druge osebne podatke, občutljive osebne podatke pa le, če ima za to osebno privolitev posameznika, ki je izrecna in praviloma pisna.
(3) Upravljavec osebnih podatkov mora neposredno trženje izvajati tako, da posameznika ob izvajanju neposrednega trženja obvesti o njegovih pravicah iz 73. člena tega zakona.
(4) Če namerava upravljavec osebnih podatkov posredovati osebne podatke iz drugega odstavka tega člena drugim uporabnikom osebnih podatkov za namene neposrednega trženja ali pogodbenim obdelovalcem, je dolžan o tem obvestiti posameznika in pred posredovanjem osebnih podatkov pridobiti njegovo pisno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov mora vsebovati informacijo, katere podatke namerava posredovati, komu in za kakšen namen. Stroške obvestila krije upravljavec osebnih podatkov.
73. člen
(Pravica posameznika)
(1) Posameznik lahko kadarkoli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja. Upravljavec osebnih podatkov je dolžan v 15 dneh ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval.
(2) Stroške vseh dejanj upravljavca osebnih podatkov v zvezi z zahtevo iz prejšnjega odstavka krije upravljavec.
4 Osebni podatek je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.
5 Upravljavci baz osebnih podatkov, ki za neposredno trženje uporabljajo elektronske komunikacije, ki jih ureja ZEKom, morajo glede varstva osebnih podatkov slediti vsem ostalim določilom ZVOP-1, ki je sistemski zakon na področju varstva osebnih podatkov (to velja zlasti za določbe o vpisu zbirke naročnikov, o vpisu kupcev v register zbirk osebnih podatkov, ki ga vodi Informacijski pooblaščenec, o pravici do vpogleda v osebne podatke, o pravici do popravka itd.).
Prvi pogoj za dopustnost neposrednega trženja po ZVOP-1 je, da ponudnik osebne podatke posameznikov, ki jih uporablja za namene neposrednega trženja, pridobi bodisi iz javno dostopnih virov, bodisi v okviru zakonitega opravljanja dejavnosti, s čimer postane upravljavec zbirke osebnih podatkov in mora spoštovati tudi ostale določbe ZVOP-1, ki se nanašajo na upravljavce zbirk osebnih podatkov. Javno dostopen je tisti vir, ki je dostopen vsakomur. Tipični primeri javno dostopnih virov so telefonski imenik, svetovni splet, razne javne evidence ipd. Javno dostopne evidence so tudi tiste, ki so plačljive, a so vendarle dostopne vsakomur (takšne evidence so npr. delniške knjige). Druga možnost pa je, da ponudnik osebne podatke pridobi v okviru zakonitega opravljanja dejavnosti, torej dejavnosti, ki jo opravlja ponudnik, in ne v okviru dejavnosti nekega drugega subjekta ali opravljanja nezakonite dejavnosti.
ZVOP-1 ne ureja neposrednega trženja, pri katerem ponudniki uporabnike storitev ali kupce blaga izbirajo naključno (npr. z vročanjem nenaslovljenih oglaševalskih, marketinških in drugih reklamnih sporočil v poštne predalčnike) in ne s pomočjo predhodno pridobljenih osebnih podatkov porabnikov.
Upravljavec osebnih podatkov mora neposredno trženje izvajati tako, da:
- posameznika ob izvajanju neposrednega trženja obvesti o njegovih pravicah glede prenehanja uporabe (posameznik namreč lahko od upravljavca osebnih podatkov kadarkoli zahteva, da trajno ali začasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja), načina in stroških odjave ter dolžnostih upravljavca osebnih podatkov;
- porablja zgolj osebne podatke, ki jih je pridobil iz javno dostopnih evidenc ali v okviru zakonitega opravljanja dejavnosti.
V vseh ostalih primerih (torej ko ne pridobiva osebnih podatkov v skladu s prejšnjim odstavkom) mora za uporabo drugih osebnih podatkov za namene neposrednega trženja posameznika pred začetkom izvajanja neposrednega trženja seznaniti z namenom obdelave (torej da se bo izvajalo neposredno trženje) in od njega pridobiti soglasje (praviloma pisno, vedno pisno pa takrat, ko gre za občutljive osebne podatke).
Ne glede na navedeno pa je upravljavec osebnih podatkov, če namerava posredovati pridobljene osebne podatke drugim uporabnikom osebnih podatkov za namene neposrednega trženja ali pogodbenim obdelovalcem, dolžan o tem obvestiti posameznika in pred posredovanjem osebnih podatkov pridobiti njegovo pisno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov mora vsebovati informacijo, katere podatke namerava posredovati, komu in za kakšen namen. Stroške obvestila krije upravljavec osebnih podatkov.
Kršitve Zakona o varstvu osebnih podatkov obravnava Informacijskegi pooblaščenec.
Pri pripravi dokumenta so sodelovali: Arnesov oddelek SI-CERT, Informacijski pooblaščenec, Agencija za pošto in elektronske komunikacije, ter Tržni inšpektorat RS.
Vir: Arnes.si, 28.02.2013
