Souhlas se zpracováním osobních údajů pro účely zasílání obchodních sdělení
Zasílání obchodních sdělení elektronickou formou je v dnešní době velmi často diskutovanou otázkou. Cílem tohoto článku je poskytnout přehled základních podmínek, za nichž lze zpracovávat osobní údaje pro účely zasílání obchodního sdělení.
Obchodní sdělení je definováno v § 2 písm. f) zákona č. 480/2004 Sb. , o některých službách informační společnosti a o změně některých zákonů (dále jen „zákon o některých službách informační společnosti“).
Dle citovaného ustanovení se obchodním sdělením rozumí všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost.
Podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „GDPR“ je třeba rozlišovat, kdy je pro zákonné zpracování osobních údajů potřeba souhlasu subjektu údajů a kdy lze zpracovávat osobní údaje i bez souhlasu subjektu údajů.
Obchodní sdělení lze šířit pouze v případě tzv. zákaznické výjimky anebo na základě souhlasu dané osoby. Zákaznická výjimka je upravena v § 7 odst. 3 zákona o některých službách informační společnosti. Dle tohoto ustanovení platí, že pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tento elektronický kontakt využít pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl. Zákaznická výjimka se vždy vztahuje pouze na zákazníka, nikoliv na třetí nezúčastněné osoby. Zákaznická výjimka se dle shora citovaného ustanovení pak vztahuje pouze na ta obchodní sdělení, která obsahují obdobné výrobky nebo služby.
V případě, že se nejedná o zákaznickou výjimku, je třeba, aby byl pro zpracování osobních údajů za účelem zasílání obchodních sdělení udělen souhlas dané osoby. Souhlas se zpracováním osobních údajů nicméně nemůže být považován za nezbytnou podmínku ani za právní titul pro zpracování osobních údajů v rámci poskytování služby či koupě zboží.
Z pohledu GDPR bude platný jen takový souhlas, který byl shromážděn transparentním způsobem, a dotčená osoba jej udělila svobodně. Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách). Souhlas se zpracováním osobních údajů tedy ani nesmí být součástí obchodních podmínek, neboť není možné k udělení souhlasu osobu nijak nutit ani tím podmiňovat poskytnutí služby.[1]
Uvedená podmínka se tak uplatní rovněž například v případě zasílání tzv. e-booku zdarma pouze osobám, které uvedou e-mailovou adresu a udělí souhlas se zasíláním obchodních sdělení. Mám za to, že v případě, že bude e-book poskytnut pouze osobám, které udělí souhlas se zasíláním obchodních sdělení, jedná se v takovém případě o porušení shora uvedeného omezení, neboť tímto dochází k podmínění služby udělením souhlasu se zasíláním obchodních sdělení. Vhodným řešením se tak jeví například udělení možnosti zakoupit si e-book a v takovém případě nebude třeba udělit souhlas se zasíláním obchodních sdělení, anebo poskytnout e-book zdarma těm osobám, které souhlas udělí.
V případě, že bude souhlas se zasíláním obchodních sdělení zajišťován např. vyplněním e-mailové adresy, lze doporučit rovněž nastavení zaslání tzv. potvrzujícího linku z uvedené e-mailové adresy, aby nedocházelo ke zneužití e-mailových adres.
Problematika zpracování osobních údajů se však stále vyvíjí a lze proto očekávat, že judikatura v budoucnu stanoví konkrétní mantinely jednotlivých podmínek pro zpracování osobních údajů, které v dnešní době ještě nejsou postaveny na jisto.
[1] Čl. 7 GDPR.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz