Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání.
Také vám v posledních týdnech chodí desítky e-mailů, ve kterých vás firmy žádají o svolení s posíláním newsletterů, nabídek či tiskových zpráv? Těsně před tím, než v účinnost vstoupí obecné nařízení o ochraně osobních údajů (GDPR), se řada společností snaží před novými pravidly jistit.
Musí ale provozovatelé webů podobné e-maily, které uživatele dokáží spíš odradit než navnadit, skutečně posílat? Na dnešní praktický dotaz týkající se GDPR odpovídá právník Josef Aujezdský z advokátní kanceláře Mašek, Kočí, Aujezdský.
TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.
Musím jako provozovatel webu všem stávajícím klientům posílat e-maily a chtít po nich nový souhlas s použitím jejich kontaktních údajů pro posílání nabídek nebo newsletterů, nebo platí ten, který mi už dali před časem?
Pokud by chtěl provozovatel webu pokračovat ve zpracování osobních údajů pro účely zasílání obchodních sdělení na základě souhlasu subjektu údajů i po účinnosti nařízení, musel by dříve udělený souhlas vyhovovat požadavkům GDPR (viz bod 171 recitálu nařízení). Zřejmě není nutné zdůrazňovat, že většina dříve udělených souhlasů těmto požadavkům nevyhovuje.
Nicméně pro účely přímého marketingu je připouštěno zpracování osobních údajů na základě tzv. oprávněného zájmu správce dle ustanovení čl. 6 odst. 1 písm. f) GDPR. I podle názoru Úřadu pro ochranu osobních údajů, pokud provozovatel webu dodržuje regulaci v oblasti zasílání obchodních sdělení (primárně ustanovení § 7 zákona o některých službách informační společnosti), měl by mít možnost pokračovat ve zpracování osobních údajů pro tyto účely i po nabytí účinnosti GDPR právě na základě tzv. oprávněno zájmu. Tímto není dotčena povinnost takového podnikatele ke splnění jeho informační povinnosti, a to včetně řádného odůvodnění, v čem takový jeho oprávněný zájem vlastně spočívá. Zpracování na základě oprávněného zájmu správce je tedy z pohledu interní povinností podnikatele spíše komplikovanější než zpracování na základě souhlasu (provedení tzv. balančního testu mezi zájmy správce a subjekty údajů apod.).
Spornější je pak otázka, zdali ke zpracování osobních údajů pro účely zasílání obchodních sdělení může docházet i u osob, které nebyly nikdy zákazníkem podnikatele, ale pouze se kupříkladu u takového podnikatele přihlásili k odběru novinek před účinností nařízení. Z naší strany se domníváme, že i tato varianta zpracování na základě oprávněného zájmu by měla být připuštěna, pokud je tento oprávněný zájem správcem náležitě odůvodněn (viz výše).
Na základě oprávněno zájmu (pro účely zasílání obchodních sdělení) by však nemělo docházet k zpracování osobních údajů těch osob, které nejsou a nebyly v žádném vztahu k odesílateli (nakoupené databáze kontaktů apod.). V těchto případech je dle našeho názoru nepochybné, že by ze strany subjektu údajů mělo dojít k udělení souhlasu subjektu údajů pro tyto účely zpracování, a to v souladu s GDPR.
Další otázky a odpovědi k GDPR:
- Co všechno se dá za osobní údaj pokládat?
- Kdy firma potřebuje pověřence pro ochranu osobních údajů?
- Co musíte splnit, když sbíráte e-maily pro posílání newsletteru?
- Jak je to s logováním IP adres na serveru?
- Co všechno musí splnit provozovatel menšího e-shopu?
- Existují minimální požadavky na zabezpečení hesel?
- Co regulace znamená pro provozovatele a klienty cloudových aplikací?
- A co cookies? Musí mít weby povinně lištu se souhlasem?