Přímý marketing podle právní úpravy GDPR

Dne 25. května 2018 nabyde účinnosti již natolik diskutované nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) - dále jen "GDPR".

V oblasti přímého marketingu přináší právní úprava GDPR kromě jiného také přísnější podmínky pro způsob udělení souhlasu se zpracováním osobních údajů pro účely přímého marketingu (dále jen "souhlas"), než které vyžaduje dosavadní právní úprava. GDPR pojem "souhlas" definuje ve svém čl. 4 odst. 11 tak, že souhlasem subjektu údajů je jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Souhlas musí být udělen pro jednoznačný účel, který bude dostatečně určitý tak, aby z něj subjekt údajů získal konkrétní představu o tom, jak bude s jeho osobními údaji nakládáno. Ve světle GDPR již neobstojí tzv. take-it-or-leave-it, neboť čl. 7 odst. 4 GDPR, stanovuje, že není možné, aby poskytnutí služby bylo podmíněno udělením souhlasu se zpracováním osobních údajů, které není pro takovou službu nezbytné. Zákazníci tak musí mít opravdu možnost svůj souhlas neudělit. 1)
GDPR požaduje, aby žádost o udělení souhlasu ke zpracování osobních údajů obsahovala určité formální náležitosti. V případě, že se písemné prohlášení týká i dalších skutečností, než jen udělení souhlasu, tak podle čl. 7 odst. 2 GDPR musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků, tak aby její obsah byl pochopitelný prakticky pro každého. Pokud tomu tak nebude, tak jakákoliv část prohlášení, která nebude splňovat tyto požadavky, nebude závazná.
Pokud jde o využívání databází kontaktů k rozesílání obchodních nabídek poskytnutých třetí stranou, tak s ohledem na požadavky GDPR dříve udělené souhlasy uživatelů e-mailových adres, které se v databázi nacházejí, nemusí být platné, neboť se v mnoha případech bude jednat o situaci, že tyto souhlasy byly uděleny předem neurčenému počtu správců se zasíláním předem neurčeného okruhu obchodních nabídek nebo mohly být součástí obchodních podmínek, kdy tento způsob již není v souladu s aktuálními požadavky GDPR. 2) Zpracovatel databáze by tak měl k obchodním účelům nadále využívat jen ty kontakty, u kterých bude schopen jednoznačně doložit a prokázat způsob udělení souhlasu, který je v souladu s právní úpravou GDPR.
Souhlas s poskytováním osobních údajů pro marketingové účely by mohl být například tohoto znění: "Souhlasím s tím, že mé osobní údaje budou použity pro marketingové účely." 3) , s připojením níže uvedených náležitostí.

Pokud se osobní údaje týkají subjektu údajů a jsou získávány přímo od tohoto subjektu, tak je správce povinen poskytnout subjektu v souladu s čl. 13 GDPR následující informace:
- totožnost a kontaktní údaje správce a jeho případného zástupce,
- kontaktní údaje případného pověřence pro ochranu osobních údajů,
- účely zpracování osobních údajů, pro které jsou osobní údaje určeny (např. reklamní a marketingové), a právní základ pro zpracování,
- oprávněné zájmy správce či třetí osoby,
- údaje o příjemcích údajů,
- v případě, že má správce v úmyslu předávat osobní údaje do třetích zemí, tak i tuto skutečnost.
Pokud je to nezbytné pro zajištění spravedlivého a transparentního zpracování osobních údajů, tak v souladu s čl. 13 odst. 2 GDPR musí být subjekt údajů dále informován taktéž o době uložení údajů, o svých vlastních právech jako např. právo podat stížnost u dozorového úřadu, právo vznést námitku proti zpracovávání, o možnosti odvolat souhlas se zpracováním osobních údajů a případně i informaci, že jsou údaje zpracovávány automatizovaně, pokud tomu tak je.

Závěr

Databáze s e-mailovými adresami poskytnuté třetí osobou tedy bude možné používat za účelem přímého marketingu i nadále, budou-li splněny výše uvedené podmínky ohledně souhlasu s poskytováním osobních údajů pro marketingové účely. Z výše uvedeného tak vyplývá, že pro budoucí využívání již dříve poskytnutých databází s e-mailovými adresami pro marketingové účely bude nezbytné od uživatelů předmětných e-mailových adres mít poskytnutý souhlas, který bude v souladu s požadavky GDPR. To lze provést například zasláním e-mailu (nikoli však obchodního znění), ve kterém by subjekt údajů udělil souhlas ke zpracování osobních údajů pro marketingové účely tak, aby žádost splňovala všechny výše uvedené požadavky.
Další možností, nicméně poměrně nepraktickou, je možnost zkontrolovat způsob udělení souhlasu každého jednotlivého uživatele e-mailové adresy z již dříve poskytnuté databáze, která má být pro účely marketingu nadále používána, a posoudit soulad způsobu dříve uděleného souhlasu s aktuálními požadavky GDPR tak, jak jsou uvedeny výše. Nicméně s přihlédnutím k množství e-mailových adres a s tím souvisejících souhlasů, které by bylo takto nutno přezkoumat, se toto řešení jeví jako nejméně praktické a značně obtížné.
Nebude-li zažádáno o poskytnutí souhlasu uživatelů e-mailových adres z databáze určené pro marketingové účely tak, aby bylo v souladu s požadavky GDPR, a nebude-li již dříve udělený souhlas těchto uživatelů přezkoumán, zda splňuje veškeré požadované náležitosti, tak v případě, že tyto náležitosti souhlas mít nebude, hrozí riziko uložení pokuty nebo v krajním případě nebezpečí trestního stíhání za trestný čin neoprávněného nakládání s osobními údaji, a to jak u fyzických tak u právnických osob. V neposlední řadě by také správce a zpracovatel údajů byli povinni k případné náhradě škody, která by poškozenému subjektu údajů vznikla na základě neoprávněného nakládání s jeho osobními údaji. 


1) NULÍČEK, Michal, KOVAŘÍKOVÁ, Kristýna, TOMÍŠEK, Jan, ŠVOLÍK, Oliver. GDPR v otázkách a odpovědích. Bulletin advokacie, 2017, č. 9. s. 36.
2) Úřad pro ochranu osobních údajů. Využívat databáze k rozesílání nabídek lze jen omezeně [online]. uoou.cz, 30. června 2017 [citováno 8. února 2018]. Dostupné na https://www.uoou.cz/vyuzivat-databaze-k-nbsprozesilani-nabidek-lze-jen-omezene/d-25003
3) Jak vypadá správný souhlas se zpracováním osobních údajů? [online]. braveshow.tv, 9. října 2017 [citováno 2. února 2018]. Dostupné na https://braveshow.tv/jak-vypada-spravny-souhlas-se-zpracovanim-osobnich-udaju_141724