Rozesílání obchodních sdělení prostřednictvím třetí strany a souhlas dle GDPR

10.01.2020

Autor: Mgr. Ing. Petra Lupieńská, advokátka

Na trhu se setkáváme se subjekty, kteří podnikatelům nabízejí službu v podobě rozesílky obchodních sdělení. Tyto subjekty velmi často využívají "subdodavatele", kteří mnohdy nemají sídlo ani v EU, a obchodní sdělení jsou pak adresátům zasílány ze zahraničních doménových adres. Stává se tak, že podnikatel, který si službu objednal, ztratí kontrolu nad tím, kdo rozesílku skutečně realizuje a jestli jsou jeho newslettery zasílány pouze adresátům, kteří udělili souhlas dle GDPR [1].

K uvedené problematice vydal dne 22. 11. 2019 Úřad pro ochranu osobních údajů (dále jen "ÚOOÚ") zprávu [2], ve které informuje veřejnost o tom, že dlouhodobě eviduje velké množství stížností na zasílání nevyžádaných obchodních sdělení tzv. třetí stranou - odlišným subjektem, než kterému uživatel elektronického kontaktu poskytl svůj souhlas.

Společnosti, které si služby v podobě rozesílky obchodních sdělení objednávají, mají dle GDPR povinnost získat souhlasy adresátů obchodních sdělení nebo zajistit tyto souhlasy prostřednictvím rozesílací společnosti. Objednatelé však spoléhají na prohlášení rozesílací společnosti, že patřičnými souhlasy disponuje, a již si neověřují, zda je tomu opravdu tak a zda budou schopni udělení souhlasu prokázat.

ÚOOÚ ve zmíněné zprávě konstatuje, že v rámci kontrol, které provedl v roce 2019, se velmi často setkával s porušením zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů. Především se jedná o případy, kdy podnikatelé nebyli schopni prokázat, že by "faktičtí" rozesílatelé disponovali souhlasem adresátů, který by obsahoval náležitosti GDPR, a tedy, že by rozesílka probíhala podle zákona.

Jaké jsou podmínky platně uděleného souhlasu?

Není-li možné zpracování osobních údajů podřadit pod právní základ uvedený v čl. 6 odst. 1 písm. b) až f) GDPR (plnění smlouvy, plnění právní povinnosti, ochrana životně důležitých zájmů, plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, nebo oprávněný zájem), pak je nutné získat k takovému zpracování osobních údajů souhlas.

Pokud jde o podmínky platně uděleného souhlasu dle GDPR, lze shrnout, že (i) správce osobních údajů musí být vždy schopen prokázat, že fyzická osoba souhlas udělila; (ii) souhlas musí být udělen svobodně a musí být konkrétní, jednoznačný a ničím nepodmíněný; (iii) jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen; (iv) souhlas lze udělit písemně nebo elektronicky např. zaškrtnutím políčka (nelze mít zaškrtnuté předem); (v) souhlas musí být informovaný, tzn. musí obsahovat náležitosti, které požaduje GDPR; a konečně (vi) souhlas musí být na samostatné listině, tzn. souhlas nesmí být součástí všeobecných obchodních podmínek. K vyžadování souhlasu lze nalézt mnoho informací na stánkách ÚOOÚ [3].

Stanovisko ÚOOÚ k přímému elektronickému marketingu

Závěrem lze ještě poznamenat, že existují případy, kdy podnikatel může svým zákazníkům zasílat newslettery, aniž by potřeboval jejich výslovné souhlasy, a to z důvodu oprávněného zájmu. Jedná se o problematiku přímého elektronického marketingu, ke kterému rovněž vydal ÚOOÚ stanovisko [4]. Ze stanoviska vyplývá, že je možné zasílat obchodní sdělení bez souhlasu zákazníka - princip opt-out v případě, že jsou splněny následující podmínky: (i) musí se jednat o obdobnou nabídku zboží či služeb, které si zákazník objednal; (ii) zákazník musí mít možnost zasílání obchodních sdělení odmítnout před odesláním takového obchodního sdělení (např. obchodník umožní zákazníkovi v rámci obchodních podmínek, či při finálním potvrzení objednávky, zaškrtnout políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána); (iii) zákazník musí mít možnost zasílání obchodních sdělení zrušit v každém odeslaném obchodním sdělení; (iv) obchodní sdělení musí být zřetelně a jasně označeno jako obchodní sdělení; (v) správce musí splnit informační povinnost stanovenou v článku 13 GDPR, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 GDPR proti zpracování osobních údajů pro účely přímého marketingu.

Závěrem

Vzhledem ke skutečnosti, že se mohou pokuty, které mohou být dle GDPR správcům osobních údajů uloženy, pohybovat v nemalé výši, nezbývá než doporučit, aby si podnikatelé, kteří mají v úmyslu rozesílat obchodní sdělení (ať už sami, nebo prostřednictvím třetích osob), zkontrolovali, zda disponují potřebným "právním titulem", postupují v souladu se zákonem a zda budou schopni v případě kontroly dozorového úřadu svůj postup náležitě obhájit.

Článek byl publikován dne 10. 1. 2020 na webu epravo.cz

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES

[2] Dostupné zde: https://www.uoou.cz/firmy-stale-chybuji-pri-nbsp-rozesilani-obchodnich-sdeleni-treti-stranou/d-38199

[3] Např. zde: https://www.uoou.cz/k-vyzadovani-souhlasu/ds-5047/p1=5047 

[4] Dostupné zde: https://www.uoou.cz/gdpr-a-nbsp-primy-elektronicky-marketing/d-30715