2. 2. 2018
ID: 106977upozornění pro uživatele

Marketing ve světle ustanovení GDPR

Jaké změny pro marketingové a PR oddělení společností znamená tzv. nařízení GDPR? Jsou společnosti povinné smazat veškeré osobní údaje, které již pro marketingové účely používají? O čem má být zákazník při udělování souhlasu se zpracováním osobních údajů informován? A změní se nějakým způsobem udělování souhlasu subjektů se zpracováním osobních údajů? Na tyto i další otázky se pokusíme odpovědět v následujícím článku.

PADĚRA, RADA & PARTNEŘI

Nová právní úprava ochrany osobních údajů značně zasáhne mimo jiné i procesy společností týkající se marketingu. Účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jako „GDPR“ nebo „nařízení“) se blíží a společnosti by tedy měly přizpůsobovat jejich interní procesy nové úpravě nejen v souvislosti s hojně diskutovanými oblastmi, jako je pracovněprávní či mzdová agenda, ale i v oblasti reklamy.

Jakou podobu by měl mít souhlas subjektu se zpracováním jeho údajů pro účely marketingu?


Skutečnost, že subjekt vyplní své osobní údaje například za účelem učinění objednávky na e-shopu, či stažením programu, automaticky neznamená, že má také zájem o zasílání reklamních sdělení. K tomu, aby společnosti mohly subjektům zasílat reklamní či jiná nevyžádaná oznámení, je nezbytný aktivní souhlas těchto subjektů osobních údajů. Tento souhlas přitom musí být svobodný, tedy nelze si jej vynucovat, dále konkrétní, informovaný, tedy subjekt musí vědět, k čemu je takovýto souhlas udělován a dále musí být jednoznačný.

Požadavek aktivního souhlasu subjektu se zpracováním osobních údajů znamená, že subjekt bude muset tento souhlas přímo udělit. V současné době běžný postup v podobě „předzaškrtnutého“ políčka, zaškrtnutí stejného políčka pro souhlas s všeobecnými obchodními podmínkami a zároveň se zasíláním reklamních sdělení již tedy dostatečný nebude. Obdobně tak nebude možno použít pouhé informování subjektu v ustanovení ve všeobecných obchodních podmínkách o tom, že na uvedené kontaktní údaje budou zasílány materiály pro marketingové účely či jiná nevyžádaná sdělení. Velké množství e-shopů i jiných společností tak bude muset zrevidovat nejen dokumenty, které se týkají přímo osobních údajů (např. zásady ochrany soukromí či tzv. privacy policy), ale i všeobecné obchodní podmínky.

Poměrně častým marketingovým nástrojem je i umístění tzv. vyskakovacího okna na webové stránky, prostřednictvím kterého se může uživatel webu přihlásit k zasílání novinek a dalších marketingových sdělení. Na této strategii nebude nutné nic zásadního měnit, společnosti by se pouze měly ujistit, že forma takového přihlášení odpovídá požadavkům GDPR.

O čem by měl být subjekt informován?


Platí, že souhlas by měl být nejen aktivní, ale i informovaný. O jakých skutečnostech by měl být tedy subjekt informován před tím, než souhlas se zpracováním osobních údajů udělí? Správce by měl subjektu poskytnout alespoň tyto informace: totožnost a kontaktní údaje správce, kontaktní údaje pověřence pro ochranu osobních údajů, účely zpracování osobních údajů (např. reklamní a marketingové), oprávněné zájmy správce či třetí osoby, údaje o příjemcích údajů, a v případě, že má správce v úmyslu předávat osobní údaje do třetích zemí, tak i o této skutečnosti.

Aby byla dodržena zásada transparentnosti, na které nařízení stojí, je nezbytné informovat subjekt i o těchto skutečnostech: době uchovávání údajů, o vlastních právech subjektu (jako je právo být zapomenut, právo podat námitku proti zpracovávání apod.), o možnosti odvolat souhlas se zpracováním osobních údajů, a pokud jsou údaje automatizovaně zpracovávány, tak i o této skutečnosti.

Jak naložit s osobními údaji, které již společnosti zpracovávají?


Správci i zpracovatelé osobních údajů by se měli ujistit, že skutečně mají požadovaný souhlas od všech subjektů, kterým zamýšlejí zasílat reklamní sdělení i po účinnosti GDPR, tedy po 25. květnu 2018, a zda tento souhlas je v souladu s GDPR. V případě, že si nejsou jistí, zda skutečně souhlas udělený patřičnou formou a v odpovídajícím rozsahu mají, měli by si jeho udělení zajistit. Jednou z povinností správců je i prokázání skutečnosti, že subjekt, jehož údaje jsou zpracovávány, souhlas skutečně udělil. Vhodnou cestou pro společnosti je tedy například zřízení evidence souhlasů či jiné obdobné databáze, kterou budou moci využít i následně pro zajištění práva subjektu mít přístup ke svým osobním údajům. V praxi takovouto evidenci souhlasů, které odpovídají úpravě GDPR, u všech zpracovávaných údajů v oblasti marketingu má jen málo správců osobních údajů, proto bude pro většinu společností nejběžnějším postupem zažádat všechny subjekty o udělení souhlasu znovu.

Obdobně jako u udělení prvotního souhlasu musí i souhlas, který subjekt uděluje ke zpracování osobních údajů v souladu s úpravou GDPR, být aktivní. Např. informační e-mail o tom, že společnost zpracovává údaje subjektů a bude tak činit i nadále, nepostačí. Bude tedy vhodné umístit například do e-mailu proklik na internetové stránky, prostřednictvím kterých se bude vytvářet databáze udělených souhlasů. Pokud společnost zná telefonní čísla subjektů, vhodnou, nicméně finančně nákladnější formou je tyto subjekty prostřednictvím call centra nebo vlastních zaměstnanců obtelefonovat – z takových hovorů se pak uchovávají záznamy, prostřednictvím kterých lze existenci souhlasu doložit. I přes větší náklady je možné díky tomuto postupu dosáhnout požadovaného souhlasu. Otázkou samozřejmě zůstává, jak budou subjekty osobních údajů aktivní a zda tedy pro správce, či zpracovatele osobních údajů bude jednoduché tyto souhlasy subjektů např. se zasíláním marketingových sdělení znovu získat. Nicméně již nyní je zřejmé, že ne všechny subjekty ze současných databází souhlas udělí, a proto by měly společnosti počítat i s náklady na doplnění databází osobních údajů používaných pro marketingové účely do původních velikostí.

Bude možno zpracovávat osobní údaje volně dostupné na webu?


Skutečnost, že subjekt dobrovolně zveřejnil své osobní údaje např. na internetu, vizitkách či v tištěném médiu, neznamená, že tím dal i neomezený souhlas k jejich zpracovávání. Případy, kdy společnosti těžily seznamy osobních údajů volně dostupných na internetu nebo je prodávaly třetím osobám bez souhlasu těchto subjektů, nová úprava velmi striktně postihuje.

Jak tedy upravit marketingové postupy ve společnosti?

Ačkoliv se může zdát, že GDPR znamená konec tzv. B2C marketingu a zničení veškerých dosavadních databází kontaktů a dalších dat, nemusí tomu tak být, pokud se společnosti na GDPR důkladně připraví.

V první řadě by měli správci osobních údajů uvést proces udělování souhlasu se zpracováním osobních údajů do souladu s GDPR co nejdříve, neboť takový souhlas bude použitelný i po účinnosti nařízení, a nyní či v budoucnu získané kontakty tak nebude třeba ničit.

Společnosti by měly také provést revizi současné databáze osobních údajů a zejména e-mailových adres, které jsou pro marketing klíčové, a udělat si přehled o tom, zda subjekty udělily ke zpracování údajů souhlas dle požadavků GDPR. V případě, že společnosti nakupují databáze kontaktů od třetích osob, by měly zvážit přijetí nových postupů, jak údaje od potencionálních zákazníků získávat.

Pokud v současné době společnost nemá databázi osobních údajů, do které je umožněn přístup i jednotlivým subjektům osobních údajů, měla by ji začít připravovat. Podstatné tedy je, aby měl subjekt přístup ke svým vlastním osobním údajům, mohl je upravovat či upozorňovat na neaktuální data, ale aby jeho osobní údaje byly zároveň chráněny před třetími osobami a aby byly např. na jeho žádost přenositelné k jinému správci osobních údajů.

E-shopy by tak měly zrevidovat současné všeobecné obchodní podmínky a další dokumenty týkající se osobních údajů, případně je aktualizovat a promítnout tak do nich nové požadavky GDPR.

Závěrem

GDPR sice přináší společnostem velké množství nových povinností, na druhou stranu mají správci osobních údajů jedinečnou možnost k e-mailu týkajícího se udělení souhlasu připojit například jednoduchý dotazník a získat tak o své cílové skupině nové informace a posunout tak svou marketingovou strategii na další úroveň. Dobrou zprávou pro české společnosti je i skutečnost, že zákon č. 101/2000 Sb. o ochraně osobních údajů byl poměrně přísný a správci i zpracovatelé tak nebudou mít po nabytí účinnosti GDPR, tedy pokud se tímto zákonem řídili, takové množství nových povinností jako společnosti usazené v jiných členských státech Evropské unie.

Jak již bylo mnohokrát v souvislosti s GDPR uváděno, tato úprava by neměla být revolucí, ale spíše evolucí v ochraně osobních údajů, jejímž cílem je ochrana práv fyzických osob a jejich soukromí, podpora stále rostoucího digitálního trhu a rovněž sladění ochrany osobních údajů v rámci celé Evropské unie.

Švejdová
JUDr. Martina Švejdová

Karolína Kropíková



PADĚRA, RADA & PARTNEŘI s.r.o. advokátní kancelář

Bulharská 588/1
101 00  Praha 10

tel.:        +420 773 240 555
e-mail:  info@akprp.cz
web:     www.akprp.cz



© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz