Hlavní navigace

GDPR last minute: Musí firmy posílat e-maily s žádostí o nový souhlas se zpracováním údajů?

23. 5. 2018
Doba čtení: 3 minuty

Sdílet

 Autor: Gajus-Images / Depositphotos.com
Ještě nejste připraveni na obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost 25. května? Nabízíme odpovědi na některé praktické otázky.

Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání

Také vám v posledních týdnech chodí desítky e-mailů, ve kterých vás firmy žádají o svolení s posíláním newsletterů, nabídek či tiskových zpráv? Těsně před tím, než v účinnost vstoupí obecné nařízení o ochraně osobních údajů (GDPR), se řada společností snaží před novými pravidly jistit.

Musí ale provozovatelé webů podobné e-maily, které uživatele dokáží spíš odradit než navnadit, skutečně posílat? Na dnešní praktický dotaz týkající se GDPR odpovídá právník Josef Aujezdskýadvokátní kanceláře Mašek, Kočí, Aujezdský.

TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.

Musím jako provozovatel webu všem stávajícím klientům posílat e-maily a chtít po nich nový souhlas s použitím jejich kontaktních údajů pro posílání nabídek nebo newsletterů, nebo platí ten, který mi už dali před časem?

Pokud by chtěl provozovatel webu pokračovat ve zpracování osobních údajů pro účely zasílání obchodních sdělení na základě souhlasu subjektu údajů i po účinnosti nařízení, musel by dříve udělený souhlas vyhovovat požadavkům GDPR (viz bod 171 recitálu nařízení). Zřejmě není nutné zdůrazňovat, že většina dříve udělených souhlasů těmto požadavkům nevyhovuje.

Nicméně pro účely přímého marketingu je připouštěno zpracování osobních údajů na základě tzv. oprávněného zájmu správce dle ustanovení čl. 6 odst. 1 písm. f) GDPR. I podle názoru Úřadu pro ochranu osobních údajů, pokud provozovatel webu dodržuje regulaci v oblasti zasílání obchodních sdělení (primárně ustanovení § 7 zákona o některých službách informační společnosti), měl by mít možnost pokračovat ve zpracování osobních údajů pro tyto účely i po nabytí účinnosti GDPR právě na základě tzv. oprávněno zájmu. Tímto není dotčena povinnost takového podnikatele ke splnění jeho informační povinnosti, a to včetně řádného odůvodnění, v čem takový jeho oprávněný zájem vlastně spočívá. Zpracování na základě oprávněného zájmu správce je tedy z pohledu interní povinností podnikatele spíše komplikovanější než zpracování na základě souhlasu (provedení tzv. balančního testu mezi zájmy správce a subjekty údajů apod.).

UX DAy - tip 2

Spornější je pak otázka, zdali ke zpracování osobních údajů pro účely zasílání obchodních sdělení může docházet i u osob, které nebyly nikdy zákazníkem podnikatele, ale pouze se kupříkladu u takového podnikatele přihlásili k odběru novinek před účinností nařízení. Z naší strany se domníváme, že i tato varianta zpracování na základě oprávněného zájmu by měla být připuštěna, pokud je tento oprávněný zájem správcem náležitě odůvodněn (viz výše).

Na základě oprávněno zájmu (pro účely zasílání obchodních sdělení) by však nemělo docházet k zpracování osobních údajů těch osob, které nejsou a nebyly v žádném vztahu k odesílateli (nakoupené databáze kontaktů apod.). V těchto případech je dle našeho názoru nepochybné, že by ze strany subjektu údajů mělo dojít k udělení souhlasu subjektu údajů pro tyto účely zpracování, a to v souladu s GDPR.

Další otázky a odpovědi k GDPR:

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).