V souvislosti s blížícím se nabytím účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR“) se objevuje řada odborných článků různé kvality a kvantity uváděných informací. Přestože marketing představuje jednu z oblastí, které se GDPR významně dotkne, ne vždy je veřejnost dostatečně a správně informována, jaké konkrétní povinnosti se ve vztahu k ochraně osobních údajů při provozování marketingových aktivit uplatní.
Přímým marketingem se rozumí způsob marketingové komunikace, při které se oslovují zákazníci přímým adresním oslovením (např. e-mailem, poštou, telefonicky nebo i osobně). Východiskem přímého marketingu je snaha učinit co nejvhodnější nabídku konkrétní skupině oslovených zákazníků či potenciálních zákazníků (dále jen „subjekty údajů“). Z uvedeného je zřejmé, že zpracování osobních údajů je něco, bez čeho se marketingové aktivity tohoto typu neobejdou.
Ten, kdo chce osobní údaje využívat pro účely přímého marketingu (dále jen „správce“), si musí zejména zodpovědět otázku, na základě jakého právního titulu osobní údaje zpracovává.
Podle recitálu 47 GDPR „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu správce“, tedy právního titulu pro zpracování dle čl. 6 odst. 1 písm. f) GDPR. Souhlas subjektu údajů se zpracováním osobních údajů tak není jediným možným právním titulem pro zpracování osobních údajů. Podmínkou uplatnění oprávněného zájmu bude posouzení nezbytnosti zpracování, resp. jeho přednosti před zájmy nebo základními právy a svobodami subjektu údajů. Oprávněný zájem správce bude dán zejména tam, kde již existuje vztah mezi subjektem údajů a správcem, tj. například pokud je subjekt údajů zákazníkem správce. Pro posouzení oprávněného zájmu je tak klíčové zejména to, zda subjekt údajů může v okamžiku a v kontextu zpracování osobních údajů konkrétním správcem důvodně očekávat, že ke zpracování daného rozsahu osobních údajů může pro tento účel dojít.[1]
Na základě právního titulu oprávněného zájmu tak lze bez souhlasu subjektu údajů provádět zejména zpracování osobních údajů za účelem přímého marketingu vlastních produktů a služeb stávajícím zákazníkům. Podle názoru Pracovní skupiny pro ochranu údajů zřízené podle článku 29 směrnice 95/46/EC se v tomto případě jedná o konvenční přímý marketing, realizovatelný např. formou rozesílání nabídky prostřednictvím e-mailů či textových zpráv. Správce ovšem nebude tento právní titul oprávněn uplatnit v případě, že používá pokročilé marketingové aktivity, jako sledování a vyhodnocování on-line či off-line aktivit svých zákazníků na webových stránkách, spojování těchto údajů o nich z různých zdrojů (např. ze sociálních sítí) za účelem lepšího cílení reklamy a zasílání personalizovaných e-mailů.[2]
V případech, kdy se nebude možné při zpracování osobních údajů opřít o úzce definovaný právní titul oprávněného zájmu, správce bude povinen získat souhlas subjektu údajů.
Požadavky na formu a obsah souhlasu jsou oproti dosavadní právní úpravě přísnější. Podle čl. 4 odst. 11 GDPR se souhlasem subjektu údajů rozumí jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Podle čl. 7 odst. 4 GDPR musí být při posuzování toho, zda je souhlas svobodný, důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. Subjekt údajů musí mít na výběr, zda souhlas udělí či nikoliv.
Pro posouzení konkrétnosti souhlasu je důležité, aby byl souhlas zřetelně oddělen od informací o jiných věcech.
Požadavek informovanosti souhlasu správce splní, pokud před získáním souhlasu subjektu údajů poskytne alespoň tyto informace:
- totožnost správce,
- účel zpracování,
- jaké osobní údaje (druhy osobních údajů) budou shromažďovány a používány,
- existence práva odvolat souhlas,
- informace o použití osobních údajů k rozhodnutím čistě na bázi automatizovaného zpracování, včetně profilování v souladu s článkem 22 odst. 2 GDPR a
- týká-li se souhlas předávání, o možných rizicích přenosu dat do třetích zemí při absenci rozhodnutí o odpovídající úrovni ochrany osobních údajů a náležitých zabezpečovacích opatřeních.
Souhlas dále musí být dále udělen jednoznačným projevem vůle, což vždy musí být učiněno aktivním jednáním nebo prohlášením. Ve vztahu k marketingu je zde nutné zdůraznit, že využití předvyplněných zaškrtávacích políček (tzv. opt-in) není podle GDPR platné. Mlčení nebo nečinnost ze strany subjektu údajů, jakož i pouhý další odběr služby, nemůže být vnímáno jako naznačení výběru, tedy udělení souhlasu.[3]
[1] NULÍČEK, Michal, KOVAŘÍKOVÁ, Kristýna, TOMÍŠEK, Jan, ŠVOLÍK, Oliver. GDPR v otázkách a odpovědích. Bulletin advokacie, 2017, č. 9. s. 35
[2] Pracovní skupina pro ochranu údajů zřízená podle článku 29 směrnice 95/46/EC: Stanovisko č. 6 /2014 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES, 9. 4. 2014, str. 26.
[3] Pracovní skupina pro ochranu údajů zřízená podle článku 29 směrnice 95/46/EC: Vodítka k souhlasu podle Nařízení 2016/679 ze dne 28. 11. 2017, s. 5-15.