Hlavní navigace
Už zbývá jen pro podání daňového přiznání. Vyřešte je s našimi chytrými formuláři a tipy na slevy.

Jeden souhlas nestačí. Pro zpracování osobních údajů bude nutný double opt-in

Zdeněk Vesecký

Aby nařízení GDPR skutečně ochránilo soukromí lidí, bude vyžadovat zdvojené kontroly a ověření pravosti. Týká se to třeba udělení souhlasu se zpracováním údajů.

Po zavedení GDPR bude nutné mít souhlasy zákazníků s využitím jejich osobních údajů k marketingovým operacím. A to ke všem, které s nimi firma plánuje provádět. Jak ale takový souhlas doložit?

Předem je vhodné připomenout, že na obecných základech nebo principech ochrany osobních údajů se nařízením GDPR nic nemění. Primárním právním důvodem ke zpracování by měl být informovaný a svobodný souhlas subjektu údajů, v tomto případě zákazníka. Při popisu zpracování za účelem získání souhlasu musí podnikatel použít prostý a všeobecně srozumitelný jazyk. A pokud je tento souhlas se zpracováním údajů součástí jiného dokumentu, musí být zřetelně oddělen, aby nevznikl pocit, že smlouvu není možné uzavřít bez udělení souhlasu. Dále ale platí i to, že souhlas se zpracováním osobních údajů by měl být využíván spíše střídmě, protože ve většině případů není potřeba. Je totiž možné aplikovat další legitimizační důvody, jako jsou zpracování za účelem plnění smlouvy, oprávněný zájem správce, nebo plnění zákonné povinnosti.

E-mailové marketingové aktivity jsou ale něco jiného. Správci jsou povinni doložit souhlas s nimi už dnes, ale často vychází právě z onoho výše zmíněného předchozího obchodního vztahu a oprávněného zájmu. Pro více informací se vraťte k článku Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR.

Změna spočívá především v tom, že správci údajů budou muset proto, aby byli schopni zachovat své e-mailové marketingové aktivity v současném rozsahu, získávat jasné souhlasy. Musí se jednat o prokazatelné souhlasy provedené konkrétními příjemci, kteří dávají souhlas. Jediné technické řešení tohoto problému je potvrzovací e-mail, respektive pro mobilní telefonní čísla potvrzovací SMS, říká jednatel společnosti Mailkit Jakub Olexa. Využití systému double opt-in pak doporučuje i Úřad pro ochranu osobních údajů. Potvrzovací e-mail zaslaný do příslušné schránky potvrdí nejen souhlas jako takový, ale zároveň i to, že byl souhlas udělen skutečně oprávněnou osobou, dodává ředitel odboru pro styk s veřejností Úřadu pro ochranu osobních údajů Jiří Žůrek.

Úřad už v minulosti řešil i otázku, jakým způsobem je možné prokázat, že obchodní sdělení bylo odesláno na konkrétní e-mailovou adresu na základě předběžného souhlasu adresáta, například že si katalog objednává vlastník této adresy a nikoliv jeho syn, manželka a podobně. Souhlas uživatele nebo účastníka bez ohledu na to, zda jde o fyzickou či právnickou osobu, může být udělen jakýmkoli vhodným způsobem, který umožňuje vyjádřit svobodně poskytnutý, specifický a informovaný projev vůle uživatele, včetně označení zaškrtnutím políčka při návštěvě webové stránky na internetu. Zda souhlas ke zpracování osobních údajů s ohledem na poskytování určité služby bude udělen uživatelem nebo účastníkem, je v principu jedno a jde o interní dohodu. Lze však předpokládat, že ve většině případů komunikují skutečně ty osoby, jejichž údaje jsou v tomto kontaktu používány.

K tématu udělování souhlasů dále čtěte: Je souhlas s používáním „cookies“ pro české provozovatele webů skutečně nutný?

Nejjednodušší bude využít systému double opt-in

V případě elektronického kontaktu je možné také uchovat IP adresu, ze které byl souhlas udělen. Získávání souhlasů se samozřejmě netýká pouze online prostředí, ale i offlinu. Pokud zákazník v obchodě vyplní formulář, musí znovu proběhnout jeho ověření a potvrzení zadané e-mailové adresy zasláním e-mailu s potvrzovacím odkazem, aby byl jasně prokazatelný souhlas vlastníka adresy. Musím zdůraznit, že toto jsou postupy, které best practice znají mnoho let a mají svá opodstatnění nejen z pohledu ověření, ale i z pohledu reputace odesílatele a zajištění kvalitní databáze, ale i z marketingového pohledu pro vytvoření prvotního vztahu mezi odesílatelem a příjemcem, komentuje Jakub Olexa. Samotné evropské nařízení nespecifikuje, jak musí správce udělení souhlasů prokázat. Navržené řešení bude asi tím nejčastějším, ale pokud si správci najdou jinou cestu, mohou využít i tu. Ovšem pod podmínkou, že budou schopni prokázat existenci souhlasu po celou dobu probíhajícího zpracování údajů.

Souhlas je platný jedině za podmínky, že je udělen svobodně, tedy bez rizika neposkytnutí služby, nebo zhoršení situace subjektu údajů. A měl by být udělován aktivním jednáním subjektu údajů směřujícího k projevení vůle, že souhlasí. Souhlas by tedy neměl být presumován již zaškrtnutým políčkem, kdy by subjekt údajů byl de facto nucen vyslovovat nesouhlas, to je špatně, upozorňuje Jiří Žůrek. Předvyplněná políčka, která dnes někteří podnikatelé využívají, nepředstavují svobodný souhlas.

Žádost o poskytnutí souhlasu dnes může vypadat třeba následovně:

Společnosti jsou v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů v platném znění povinny získat Váš souhlas se zpracováním Vašich osobních údajů a podle zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů získat Váš souhlas s využitím Vaší elektronické adresy k šíření obchodních sdělení v podobě marketingových materiálů, pozvánek na odborné semináře a konference a na kulturní a sportovní akce v rámci elektronické komunikace. Uveďte proto prosím platné kontaktní údaje v této podobě: jméno a příjmení, korespondenční adresa, e-mailová adresa, telefon.

Poté, co příští rok na konci května vstoupí v platnost GDPR, stačí vyměnit uvedené zákony za Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nařízení je totiž zákonům jednotlivých členských zemí nadřazené.

Psali jsme: Se šířením obchodních sdělení opatrně, padla doposud nejvyšší pokuta za SPAM

Ačkoli budou novinky platné až za 11 měsíců, je vhodné začít sbírat nové souhlasy se zpracováním osobních údajů už teď. Čím dříve začnou správci získávat informované souhlasy, tím lépe. Starší jasný informovaný souhlas se zpracováním osobních údajů a zasíláním obchodních sdělení bude platný i v okamžiku, kdy GDPR vstoupí v platnost. Navíc adresy získané tímto způsobem mají prokazatelně vyšší hodnotu a jedná se o výrazně kvalitnější příjemce, říká Jakub Olexa z Mailkitu. Chápe sice i obavy odesílatelů, že dojde k výrazné redukci počtu nových příjemců, nicméně zkušenosti ze světa podle něj ukazují, že příjemci, kteří dávají explicitní souhlas, jsou kvalitnější a mají větší vazbu k odesílateli.