1.9
Správný souhlas podle GDPR
Jakub Olexa
GDPR a změny, které toto nařízení přinese, se dnes skloňují ze všech stran, a i přesto, že jedním z klíčových požadavků GDPR je transparentnost a srozumitelnost, tak srozumitelných návodů jak získat souhlas, je jen velmi málo. Pokusíme se proto přispět do této debaty návodem, který by měl v první řadě pomoci s přípravou na získání souhlasu ke zpracování osobních údajů udělovaným za účelem zasílání obchodních sdělení.
NahoruCo je vlastně souhlas
Pro začátek je nutné si říci, že souhlas je jen jedním z mnoha právních titulů, které opravňují ke zpracování osobních údajů. Např. právní titul nezbytnosti zpracování pro splnění právní povinnosti vás opravňuje zpracovávat údaje subjektu v rozsahu nezbytném pro plnění vašich povinností uložených jinými zákony – na uchování údajů na fakturách v účetnictví nepotřebujete další souhlas. Stejně tak na e-mailový marketing jen těžko budete moci uplatnit právní titul veřejného zájmu nebo ochrany životně důležitých zájmů.
Dnes většina marketérů využívala titulu plnění smlouvy – neboli vztahu dodavatele se zákazníkem, který zná i GDPR – a nezískávala přímo souhlas. Tento přístup má však zásadní omezení, a to především v rozsahu možného použití údajů. Z pohledu obchodního vztahu lze za oprávněné použití považovat např. zaslání informace o končící záruce, neboť taková zpráva se vztahuje k obchodnímu vztahu. Marketingová sdělení však nelze dát do souvislosti s plněním smlouvy ani obchodního vztahu – pro užívání zboží či služeb nejsou obchodní sdělení nezbytná. Často se v tomto směru skloňuje i titul oprávněného zájmu správce. Ten však není bezbřehý a na jeho základě lze provádět jen omezenější analytické činnosti, typické pro klasický hromadný (necílený) marketing.
NahoruObchodní sdělení
Další omezení jsou obsažena v úpravě zákona o některých službách informační společnosti, upravující podmínky, za kterých lze zasílat obchodní sdělení elektronickými prostředky. Tato úprava tedy nereguluje zpracování osobních údajů, ale využití určitého kanálu pro zasílání obchodních sdělení. Velmi stručně lze říci, že podmínkou pro zaslání jakéhokoli obchodního sdělení je získání opt-in či opt-out souhlasu, přičemž na základě opt-out souhlasu lze zasílat obchodní sdělení pouze v případě, že k získání e-mailové adresy došlo v souvislosti s prodejem zboží nebo služby. Navíc předmětem těchto marketingových sdělení musejí být pouze vlastní obdobné výrobky nebo služby. Subjekt však musí mít možnost vyslovit nesouhlas s jejich zasíláním (proto opt-out). Ve všech ostatních případech (sdělení o odlišných produktech a službách, o produktech a službách třetích stran, telefonické oslovování apod.) je nutno získat tzv. opt-in souhlas, který subjekt musí aktivně a vědomě udělit (např. zaškrtnutím políčka).
Když jsme si teď řekli, co nelze, tak si pojďme říci, co lze, tzn. jaký mít právní titul pro zpracování osobních údajů, abyste mohli realizovat vaše e-mailové marketingové kampaně bez obav. S ohledem na řadu omezení, které se pojí s užitím titulu oprávněného zájmu, je jediným vhodným právním titulem pro cílený marketing souhlas příjemce se zpracováním osobních údajů a zasíláním obchodních sdělení (viz výše). Souhlas musí být prokazatelný, dobrovolný, mít jednoznačný účel a rozsah a dále musí být informovaný. Zjednodušeně řečeno subjekt, který uděluje souhlas, tak musí učinit z vlastní vůle a musí vědět, s čím souhlasí, komu tento souhlas uděluje a za jakým účelem. Pojďme si rozebrat jednotlivé části tohoto souhlasu.
Prokazatelný – správce osobních údajů nese důkazní břemeno ohledně udělení souhlasu, tzn. musí využít dostupných prostředků k ověření pravosti souhlasu, aby byl schopen tento souhlas prokázat. V případě e-mailů je takovým technickým nástrojem zaslání ověřovacího e-mailu na uvedenou adresu s odkazem pro potvrzení, zvané double opt-in nebo také confirmed opt-in.
Často se lze setkat s názorem, že GDPR ani zákon o některých službách informační společnosti o double opt-inu nikde nehovoří, ale to je zcela mylný výklad – jedná se o obecné právní předpisy, které musí fungovat nejen pro e-maily, a tak by vyjmenovávání konkrétních technických řešení bylo principiálně špatné.
Nutnost double opt-inu vyplývá z důkazního břemene a faktu, že se jedná o jedinou metodu, jak vytvořit vazbu mezi zadanými údaji a e-mailovou adresou. Všechny ostatní metody jako např. Re-Captcha, checkboxy, opakované zadání atp. pouze chrání před automatizovaným zadáním a mohou zaznamenat pouze údaje o vyplnění údajů, nikoliv o souhlasu vlastníka e-mailové adresy.
Dobrovolný - dobrovolnost nebo také nepodmíněnost je reakcí na častou praxi, kdy docházelo ke spojování a…