E-mailový a telefonický marketing, „oprávněný zájem“ a komerční databáze kontaktů – díl I.

Dochází k ignorování ZSIS ve prospěch Nařízení GDPR, a v rámci toho mimo jiné i k rozesílání sdělení na kontakty pocházející z různých databází obchodních kontaktů, které se dají volně zakoupit. Odesílatelům přitom postačuje předpoklad, že se jedná o „zveřejněné“ e-mailové adresy, u nichž se souhlas jejich vlastníka se zasíláním obchodních sdělení předpokládá, případně že vlastník adresy souhlas udělil poskytnutím své adresy dodavateli databáze. Tyto postupy jsou vesměs zcela nesprávné, značně rizikové a často i snadno odhalitelné. V tomto článku si uděláme jasno o podmínkách, za jakých lze obchodní sdělení rozesílat, a za jakých k tomu lze (nebo spíše nelze) využívat zakoupené databáze e-mailových adres.

Jak se na e-mailové adresy vztahují Nařízení GDPR a ZSIS?

Není žádnou novinkou, že notoricky známé Nařízení GDPR, které nabylo účinnosti dne 25. 5. 2018, upravuje práva a povinnosti související se zpracováním osobních údajů fyzických osob. Osobním údajem je jakákoli informace, pomocí níž může být přímo nebo nepřímo identifikována konkrétní fyzická osoba. Některé informace jsou tak osobním údajem samy o sobě, bez nutnosti spojení s jinou informací, jiné se osobním údajem stávají až v momentu, kdy jsou spojeny s jinou informací a v důsledku tohoto spojení jsou schopny identifikovat konkrétní fyzickou osobu. Je jisté, že některé formáty e-mailových adres, zejména ty, které jsou na dostatečně individuální doméně a obsahují jméno a příjmení, mohou být osobním údajem samy o sobě, protože jejich majitel může být identifikován podle údajů obsažených v samotné adrese i bez jakéhokoliv dalšího doplňujícího údaje. Jiné e-mailové adresy (zejména ty, které jsou zřízeny na freemailových serverech, nebo které neobsahují jméno a příjmení člověka) se osobním údajem zpravidla stávají až po doplnění dalšího identifikačního údaje. Záleží pak na množství těchto doplňujících údajů a jejich konkrétnosti – v případě, že z okolností jasně víme, že pod danou e-mailovou adresou je dostupná jedna konkrétní fyzická osoba (např. zaměstnanec), může být osobním údajem i taková adresa, která neobsahuje vůbec žádný konkrétní identifikátor (např. adresa 123456@domena.cz, anebo info@sluzby.cz).

Existuje tedy nemalá skupina e-mailových adres, které, nejsou-li spojeny s dalšími identifikačními údaji, nenaplňují definici osobního údaje dle Nařízení GDPR. Kromě většiny adres zřízených na freemailových serverech se může jednat rovněž o adresy na privátních doménách, k nimž má přístup větší počet zaměstnanců a bez další identifikace není pro odesílatele zjistitelné, který konkrétní zaměstnanec pod adresou vystupuje. Takové adresy jsou mimo působnost Nařízení GDPR, avšak pouze do okamžiku, kdy k nim lze přiřadit další údaje schopné v souhrnu identifikovat konkrétní fyzickou osobu. Je-li taková e-mailová adresa spojena s těmito dalšími údaji, stává se osobním údajem a na nakládání s ní se vztahují všechny povinnosti dle Nařízení GDPR. Hranice mezi těmito dvěma režimy může být pochopitelně značně tenká a pro subjekt, který s e-mailovou adresou pracuje, často obtížně identifikovatelná.

ZSIS však jde na věc jinak. Je nutno uvést, že byť se mu říká „antispamový zákon“, nevyžádaná obchodní sdělení jsou pouze jednou z vícero oblastí, které upravuje. Vedle odpovědnosti různých typů poskytovatelů tzv. služeb informační společnosti (od provozovatelů přenosových sítí a poskytovatele připojení až po provozovatele e-mailových, inzertních a chatovacích služeb) upravuje v § 7 rovněž šíření obchodních sdělení. Pro tento moment stačí uvést, že v tomto ustanovení zákon pracuje s pojmem „elektronický kontakt“, což zahrnuje nejen e-mailovou adresu, ale může zahrnovat i další identifikátory, které na internetu používáme, zejména názvy účtů na sociálních sítích nebo instant messengerech. Co se týče e-mailové adresy, ZSIS nijak nerozlišuje mezi adresami schopnými identifikovat konkrétní fyzickou osobu a adresami, které toho schopny nejsou. Elektronickým kontaktem ve smyslu ZSIS je tedy nutno rozumět jakoukoli e-mailovou adresu bez ohledu na její povahu.

Lze tedy uzavřít, že zatímco Nařízení GDPR se na e-mailové adresy (a tedy i na zasílání obchodních sdělení na tyto adresy) vztahuje pouze tehdy, pokud tyto adresy samy o sobě nebo ve spojení s jinými údaji (známými odesílateli) naplňují definici osobního údaje, ZSIS se vztahuje na všechny e-mailové adresy, bez ohledu na jejich povahu a na to, z jakých slovních prvků, čísel a domén jsou složeny.

E-mailový marketing dle Nařízení GDPR

Nařízení GDPR zasílání obchodních sdělení výslovně neupravuje. I přesto jsme se zejména v době okolo nabytí jeho účinnosti setkávali s názorem, podle něhož konečně přestal být nutný souhlas příjemce e-mailu se zasíláním obchodních sdělení, protože Nařízení GDPR řadí zpracování osobních údajů pro účely přímého marketingu pod odlišný právní základ zpracování osobních údajů, než jakým je souhlas subjektu údajů (příjemce). Tento názor je však značně zjednodušující a ve svém důsledku nesprávný.

V rovině ochrany osobních údajů Nařízení GDPR skutečně v poslední větě bodu 47 Preambule uvádí, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu“ (v této souvislosti je vhodné připomenout, že preambule nařízení není právně závazným textem, ale pouze interpretačním vodítkem k výkladu samotného textu nařízení, rozděleného do číslovaných článků). Oním „oprávněným zájmem“ se má na mysli právní základ zpracování osobních údajů podle čl. 6 odst. 1. písm. f) Nařízení GDPR, podle něhož lze osobní údaje zpracovávat v případě, kdy je toto zpracování nezbytné pro účely oprávněných zájmů správce osobních údajů nebo třetí strany, ledaže před těmito zájmy správce mají přednost zájmy nebo základní práva a svobody subjektu údajů. Oprávněný zájem je jedním ze šesti rovnocenných právních základů zpracování, které Nařízení v čl. 6 odst. 1 vymezuje (dalšími právními základy jsou mj. souhlas subjektu údajů, plnění smlouvy uzavřené se subjektem údajů nebo plnění právní povinnosti ze strany správce osobních údajů).

Pokud správce zpracovává údaje v rámci svého oprávněného zájmu, nepotřebuje k tomu souhlas subjektu údajů. Subjekt má však právo podat proti takovému zpracování námitku v případě, že jeho základní práva a svobody (zejména právo na ochranu soukromí) převažují nad oprávněným zájmem správce. Pro případ, že subjekt údajů námitku podá, by měl mít každý správce osobních údajů nastavena kritéria pro vyhodnocení toho, čí zájem a právo převažuje. Pokud podle těchto kritérií vyhodnotí, že námitka subjektu je oprávněná a jeho práva a svobody převažují nad oprávněným zájmem správce, pak jí musí vyhovět a daného zpracování osobních údajů ihned zanechat.

Pokud bychom brali v potaz pouze Nařízení GDPR, pak by podle výše uvedeného interpretačního vodítka uvedeného v Preambuli bylo skutečně možné rozesílat e-maily s obchodními sděleními bez souhlasu příjemce. Odesílatel by měl akorát vyhodnotit, zda užití dané e-mailové adresy představuje zpracování osobních údajů (viz výše – sama e-mailová adresa osobním údajem být vždy nemusí), a pakliže by tomu tak bylo, musel by příjemci umožnit podat námitku proti zpracování. Vzhledem k tomu, že oprávněný zájem v daném případě spočívá v možnosti provádět přímý marketing, těžko si lze představit situaci, kdy by takový zájem mohl převážit nad právem fyzické osoby na ochranu jejího soukromí – je tedy zřejmé, že v případě podání námitky ze strany příjemce by odesílatel musel námitce podané v rovině ochrany osobních údajů prakticky vždy vyhovět. Na e-mailové adresy, které by nesplňovaly definici osobního údaje, by se tato pravidla neaplikovala, a bylo by tudíž možno zasílat na ně jakákoli sdělení bez omezení.

Je třeba si uvědomit, že je prakticky nemožné dopředu zabránit tomu, aby se mezi e-mailovými adresami použitými v rámci kampaně neobjevily i takové adresy, které jsou osobním údajem samy o sobě, případně ve spojení s jinými údaji, které má odesílatel k dispozici. Proto nelze pravidla dle Nařízení GDPR ignorovat, protože okamžikem, kdy se v databázi objeví adresa považovaná za osobní údaj, se odesílatel stává správcem osobních údajů se všemi povinnostmi, které na něj Nařízení GDPR klade, zejména s povinností informovat subjekty údajů o zpracování jejich údajů ve smyslu čl. 13, vést záznamy o činnostech zpracování ve smyslu čl. 30 a dalšími.

Nařízení2016/679: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Text s významem pro EHP)

Článek 13

Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:
a) totožnost a kontaktní údaje správce a jeho případného zástupce;
b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
e) případné příjemce nebo kategorie příjemců osobních údajů;
f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
c) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
d) existence práva podat stížnost u dozorového úřadu;
e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
f) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.

4. Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

Zobrazit celý dokumentvčetně souvisejících dokumentů a komentářů