Hlavní navigace
Už zbývá jen pro podání daňového přiznání. Vyřešte je s našimi chytrými formuláři a tipy na slevy.

Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR

Zdeněk Vesecký

Některé firmy přijdou kvůli GDPR o možnost rozesílat svá obchodní sdělení e-mailem. Čtěte, co dělat pro to, abyste v tom mohli pokračovat.

V mnohých firmách si dnes nedovedou představit fungování bez e-mailingu. Proto se obávají příchodu GDPR. Změny přitom nebudou nijak zásadní.

Je pravda, že GDPR stanovuje přísné podmínky pro udělení souhlasu subjektu údajů ke zpracování jeho osobních údajů. Řada pravidel ale platí už dnes a úprava tak bude spíš kosmetická. Pokud se původci e-mailových obchodních sdělení řídí už dnes platnou legislativou, nemusí mít prakticky žádné obavy. Podmínky pro šíření obchodních sdělení elektronickými prostředky jsou upraveny v zákoně č. 480/2004 Sb., o některých službách informační společnosti.

V jeho § 7 je jasně napsáno, že podrobnosti elektronického kontaktu lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Pokud odesílatel těchto sdělení získá podrobnosti elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může je využít jen za předpokladu, že má příjemce jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet odesílatele souhlas s takovýmto využitím svého elektronického kontaktu odmítnout. A to i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.

Realita je bohužel taková, že správci osobních údajů, za které jsou považovány právě i e-mailové adresy, doložení souhlasů se zasíláním obchodních sdělení často ignorují. Navíc si odpovědnost za takové jednání mezi sebou přehazují správci se zpracovateli, tedy ti, kteří pro správce rozesílání fyzicky vykonávají. Rozesílání nevyžádaných obchodních sdělení zákon trestá už dnes. A v některých oblastech nedávno došlo i k upřesnění. Psali jsme o tom v článku Za rozesílání spamů pyká i zadavatel sdělení. Vinu sdílí s rozesílatelem.

Souhlas jako právní titul

Současným problémem, který GDPR řeší, je především interpretace zákona a způsoby užití dat. Nově budou muset být obchodníci ve vztahu ke svým klientům zcela transparentní a přesně je informovat o rozsahu zpracovávaných údajů a jejich využití. Správci osobních údajů – stále hovoříme o e-mailových adresách – budou muset být kdykoliv schopni dokázat, že udělený souhlas souvisí s konkrétním údajem, byl udělen příslušnou osobou, která byla informována o účelu zpracování, a souhlas byl udělen na příslušnou dobu a pokrývá dobu, v rámci níž jsou údaje zpracovávány. Souhlas bude muset spadat do jednoho z právních titulů. A potvrzen bude muset být každý zvlášť. V případě obchodníků a šíření obchodních sdělení se bude jednat o tituly plnění smlouvy a splnění právní povinnosti.

Udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů je jednou ze šesti právních podmínek zákonnosti zpracování a nařízení GDPR výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší formální změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům/titulům, zatímco dnes je podle zákona důvodem/titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji.

Čtěte více: 4 kroky, jak si kvůli GDPR udělat pořádek ve firemních datech

Obchodní sdělení tedy od konce května 2018 nebude možné rozesílat nikomu, kdo neposkytne souhlas s využitím svého osobního údaje ke konkrétním účelům. Bude nutné získat souhlas na všechny právní tituly, s kterými bude správce později zacházet. Souhlas bude nutné získat i od těch subjektů údajů jako například zákazníků z minulosti. Případné držení či získávání paušálního souhlasu subjektu údajů pro veškerá zpracování, které je běžné dnes, by totiž bylo v rozporu hned s několika ustanoveními obecného nařízení. A to počínaje povinností shromažďovat osobní údaje pro určité, výslovně vyjádřené a legitimní účely, přes zásadu transparentnosti vůči subjektu údajů a konče svobodností souhlasu ve vztahu k smluvním vztahům správce a subjektu údajů.

Krýt se tvrzením, že je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody, bude zcela zbytečné. Takové tvrzení vychází z nepochopení a nedocenění souhlasu subjektu údajů. Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků. Nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování, s nimiž nelze souhlas zaměňovat, například sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů, komentuje Jiří Žůrek, ředitel odboru pro styk s veřejností Úřadu pro ochranu osobních údajů.

Bude se vám hodit: Nejlepším řešením GDPR pro malé firmy bude přechod na cloud

Řešením jsou pečlivě roztříděné databáze kontaktů

Do potíží se kvůli této podmínce mohou dostat všichni ti, kteří nemají pečlivě vedené databáze údajů. Téměř všichni internetoví obchodníci se v posledních letech soustředili především na maximalizaci svých databází příjemců a tomuto cíli podřídili mnoho svých postupů. Ve výsledku to znamená, že mají rozsáhlé databáze, ale velice omezený rozsah jejich použitelnosti, neboť doposud využívali titulu oprávněného zájmu vycházejícího z existujícího obchodního vztahu. Tento právní titul sice nadále existuje, ale jeho využití a prokazatelnost je výrazně komplikovanější, a tudíž jeho využitelnost výrazně nižší.

EBF17

Ten, kdo v plném rozsahu dodržoval současnou legislativu a obecná doporučení pro kvalitní e-mail marketingové postupy a získával informované souhlasy se zasíláním obchodních sdělení a zpracováním osobních údajů, nebude mít problém. Ty společnosti, které se tomu vyhýbaly z důvodu obav, že získají menší množství adres a sázely na oprávnění vycházející z předchozího obchodního vztahu, budou mít naopak výrazný problém a často budou nuceny nemalou část své databáze smazat, říká specialista na e-mailing a jednatel společnosti Mailkit Jakub Olexa

Typickým problematickým příkladem jsou podle něj personalizované kampaně využívající analýzu historie chování zákazníka a jeho nákupní historie. Ty využívají osobních údajů ve výrazně širším rozsahu, než co je možné zahrnout pod právní titul vycházející z předchozího obchodního vztahu, a tudíž se jedná o zpracování osobních údajů nad rámec oprávněného zájmu. Opět platí, že se nejedná o žádnou novinku, ale pouze o fakt, že GDPR je výrazně jednoznačnější a minimalizuje možnosti pohybu takzvaně na hraně a hrozí výrazně vyššími pokutami v případě porušení. Proto už se takové porušování nebude vyplácet, dodává Jakub Olexa.

Našli jste v článku chybu?