Předmětem tohoto článku je nastínit právní úpravu v oblasti potřebnosti a změn k získávání souhlasů k zasílání elektronických marketingových sdělení - typicky newsletterů, a to v souvislosti s blížící se účinností obecného nařízení EU na ochranu osobních údajů (GDPR).
Jelikož praxe bývá velmi různorodá a ne vždy v souladu se zákonem a nařízením GDPR, přičemž na trhu existuje řada společností a různorodých subjektů, pro které je právě agenda související se zasílání marketingových sdělení a způsob a forma získávání souhlasu k zasílání těchto sdělení klíčová.
Pokud se máme podívat na samotnou úpravu, tak obecné pravidlo zní, že využívání osobních údajů za účelem zasílání elektronických marketingových sdělení fyzickým osobám lze pouze se souhlasem osoby, která poskytla své osobní údaje za tímto účelem.
Klíčovou otázkou je, kdy musí mít odesílatel (může se jednat jak o fyzickou, tak i právnickou osobu) souhlas třetí osoby, jejíž osobní údaje (např. e-mail, telefonní číslo) hodlá využít pro účely marketingu.
Do určité míry je možné osobní údaje pro účely marketingu zpracovávat i bez souhlasu subjektů údajů.
Marketingová sdělení zasílána bez souhlasu
V této souvislosti přímo v recitálu č. 47 GDPR je stanoveno, že zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování z důvodů oprávněného zájmu správce, tj. i z jiného důvodu než je souhlas osoby, které se osobní údaje týkají. Obdobně hovoří i čl. 7 odst. 1 GDPR.
Nicméně je zapotřebí mít na paměti, že tento právní důvod pro zpracování osobních údajů není bezbřehý, ba naopak uplatní se toliko v určitých případech.
Právě případem, kdy není potřeba mít výslovný souhlas fyzické osoby ke zpracování osobních údajů za účelem zasílání marketingových sdělení je situace, kdy marketingový subjekt využije elektronické kontakty svým zákazníků, a to v souvislosti s prodejem svého zboží nebo služeb, kdy osobní údaje získal v rámci plnění smlouvy – objednávky.
Zákazník musí však mít možnost jednoduše (např. prostřednictvím odkazu) se bezplatně odhlásit, resp. odmítnout, další zasílání marketingových sdělení. Jedná se typicky o jakékoliv obchodní sdělení a nabídky zasílané na e-mail nebo telefonní číslo zákazníka.
Dále je zapotřebí zmínit, že zasílání obchodních sdělení bez souhlasu zákazníka musí přímo souviset se službou nebo zbožím, které bylo marketingovým subjektem poskytnuto v rámci plnění smlouvy (objednávky) v rámci, které došlo k získání osobních kontaktních údajů zákazníka.
Z uvedeného vyplývá, že pokud marketingový subjekt v rámci plnění objednávky dodal např. televizi nebo poskytl v rámci zakoupení voucheru možnost se ostříhat nebo se dobře najíst v restauraci, nemůže bez souhlasu příjemce marketingové nabídky zasílat např. nabídky na poskytnutí úvěru nebo dovolené v Řecku, aniž by měl souhlas od zákazníka.
Hodnotícím kritériem, zda může odesílatel i bez souhlasu zákazníka nebo klienta zasílat marketingová sdělení, je posouzení jednak jejich vzájemného vztahu a skutečnosti, zda tento zákazník v době, kdy poskytl své osobní údaje, mohl důvodně očekávat, že je může dodavatel zboží nebo poskytovatel služby využít i k zasílání marketingových sdělení.
Výše uvedené lze uzavřít tím, že pokud správce osobních údajů nezískal osobních údaje třetí osoby v rámci poskytování zboží nebo služeb, tj. od svého zákazníka, a jim zasílané marketingové sdělení nesouvisí se zbožím nebo službami, které poskytl předtím, nelze zasílat marketingová sdělení třetím osobám, aniž by k tomu dali svůj výslovný souhlas.
Je na místě i poukázat na to, že je to vždy subjekt, který zpracovává a spravuje osobní údaje a realizuje zasílání marketingových sdělení, kdo je povinen prokázat, že třetí osoba udělila souhlas se zpracováním osobních údajů odesílateli marketingových sdělení.
V opačném případě se předmětný zpracovatel vystavuje riziku možného postihu ze strany dozorujících orgánů nad zpracováním osobních údajů, kterým je Úřad pro ochranu osobních údajů.
Zasílání marketingových sdělení v rámci obchodních vztahů
Výše popsaná situace dopadá především na vztah obchodníka a zákazníka, jako fyzické osoby, (vztah B2C). Pravidla pro zasílání marketingových sdělení ve vztahu obchodník-obchodník, jako právnické osoby, (vztah B2B), jsou poněkud benevolentnější, avšak neuplatní se např. na živnostníky.
Pro zasílání marketingových sdělení obchodním společnostem prostřednictvím e-mailu nebo telefonu souhlas není zapotřebí, je však dobrým zvykem vždy poskytnout možnost jej odvolat.
Pokud se jedná např. o e-mailové adresy společnosti, kdy z e-mailové adresy plyne, že se jedná o e-mail konkrétní osoby, tj. ve tvaru jméno.přijmení@ nebo příjmení@, měla by taková sdělení vždy obsahovat možnost se odhlásit od odebírání marketingových sdělení.
Časový limit pro zasílání marketingových sdělení
Odesílatel by si vždy měl ujasnit a náležitě informovat druhou stranu k čemu konkrétně je souhlas udělován, tj. vymezit zboží a služby, které chce propagovat a dále uvést, na jak dlouho je daný souhlas udělován.
Co se týče délky udělování souhlasu, tak v rámci praxe je často udělován souhlas během různých propagačních akcí jednoho produktu či jedné kampaně, omezené nabídky zboží, sezónní nabídky na předmětný rok atd., a to zcela na nepřiměřenou dobu, často i na několik let.
Tato praxe však není správná, a pokud je souhlas udělován k zasílání marketingových sdělení, jejichž obsahem má být časově omezená nabídka zboží nebo služeb, má být právě tento souhlas udělen na tuto dobu.
I pokud by si správce nechal udělit souhlas na podstatně delší časové období, a poté by opět zasílal marketingová sdělení již nesouvisející s původní časově omezenou nabídkou, nejednal by v souladu s důvodným očekáváním osoby, která udělila souhlas právě v souvislosti s konkrétní nabídkou, a postupoval by tak v rozporu s GDPR a jeho základními východisky.
Hodnotícím kritériem pro vymezení časového období, na který má být souhlas udělen, je právě posouzení, zda se jedná o časově omezenou propagaci zboží nebo služeb a dále při zasílání obchodních sdělení je zapotřebí posoudit, zda je ještě důvodné, resp. očekávatelné ze strany příjemce marketingového sdělení, že by mu mohlo nebo mělo být ještě zasíláno nějaké sdělení, nehledě na to, na jako dlouho si správce vyžádal souhlas.
K samotnému souhlasu lze doplnit, že odesílatel, resp. zpracovatel osobních údajů, by si souhlasy měl důkladně archivovat, aby mohl kdykoliv v budoucnu zejména prokázat, kdy byl poskytnut a na jak dlouho a k jakému účelu byl poskytnut.
Náležitosti souhlasu a nepřípustná praxe získávání souhlasu k zasílání marketingových sdělení
Souhlas má být jednoznačným potvrzením, které vyjadřuje svobodnou vůli osoby, která jej dává a dále má být zejména svobodný, konkrétní, jednoznačný, oddělitelný a informovaný.
K otázce svobodného souhlasu lze uvést, že svobodný souhlas není, pokud je např. obsažen v obchodních podmínkách, nelze jej odmítnout, aniž by byla ze strany obchodníka poskytnuta služba nebo zboží nebo pokud by bylo v rámci jeho udělování on-line předem zaškrtnuté políčko k jeho udělení, jak není výjimkou v rámci běžné praxe.
Ve zkratce lze uzavřít, že subjekt udělující souhlas musí udělit tento souhlas aktivně, tj. podpisem, zaškrtnutím políčka a mlčení nebo nečinnost v žádném případě není udělení svobodného souhlasu.
Stejně tak musí být souhlas dostatečně informovaný a právě subjekt, který chce získat souhlas se zasíláním marketingových sdělení, by měl přesně vymezit
- komu jej uděluje, tj. jestli jenom marketingovému subjektu někomu jinému, nebo i dalším subjektům, a
kdo další je bude zpracovávat a mít k dispozici
- za jakým konkrétním účelem jej uděluje, tj. vymezení zboží nebo služeb, kampaně atd.
- na jak dlouho jej uděluje,
- k jakým osobním údajům se váže souhlas se zasíláním sdělení, tj. zda jenom e-mail
nebo např. i telefonní číslo,
- poučení o základních právech.
Závěrem lze shrnout, že právní úprava a nároky, které klade GDPR na zasílání marketingových sdělení je poměrně striktní a není velký prostor pro to, aby se uvedená pravidla vykládala benevolentně a ve prospěch odesílatelů marketingových sdělení. Do popředí se bude stavět právě ochrana koncových příjemců těchto sdělení a jejich práva.
Subjektům, ať to jsou fyzické nebo právnické osoby, které chtějí zasílat marketingová sdělení lze doporučit, aby samy posoudily a udělaly si kompletní i zda mají platně udělený souhlas se zasíláním marketingových sdělení a zejména, zda je tento souhlas v souladu s požadavky GDPR, jinak po nabytí účinnosti GDPR v květnu 2018 tento souhlas již platný nebude.
Pokud dospějí k závěru, že souhlas budou potřebovat nebo již jednou udělený souhlas nesplňuje parametry GDPR, nelze než doporučit, aby si od svých zákazníků nebo budoucích zákazníků nechaly tento souhlas udělit.
Dále lze závěrem rovněž doporučit, aby si subjekty zasílající marketingová sdělení, udělaly prověrku procesu získávání souhlasů k zasílání marketingových sdělení a podoby samotného souhlasu, stejně tak jako způsobu jeho získávání.
Když nám na sebe necháte kontakt, heslo Vám rádi zašleme. K celé databází mají přístup zdarma i naši klienti a je stejné jako heslo k naší veřejné Wi-Fi v zasedacích místnostech.
JUDr. Jakub Dohnal, Ph.D
advokát, partner
Podělte se s námi prosím o: