Půl roku s GDPR – praktický návod k vedení kontaktních databází

O nařízení GDPR a jeho dopadech na společnost se psalo a diskutovalo již dlouho před jeho účinností[1], k čemuž zajisté přispělo dvouleté přechodné období, jež zákonodárce poskytl všem dotčeným subjektům, aby se novým pravidlům stihli dostatečně přizpůsobit. Postupem času, s blížící se účinností GDPR, vzrůstaly obavy subjektů zpracovávajících osobní údaje a množily se dotazy, jak se s novým nařízením vypořádat v každodenní praxi. S nástupem GDPR si každý subjekt nakládající s osobními údaji zajisté kladl otázky, jak naložit se stávajícími databázemi kontaktních údajů fyzických osob a jak postupovat do budoucna při získávání nových kontaktních údajů a jejich uchovávání v databázi. Zmíněnými otázkami se zabývá tento článek, neboť získávání a uchovávání kontaktů je, a do budoucna zůstane, velmi aktuální nejen pro podnikatelské subjekty.

1. Jaká pravidla je třeba dodržovat při vedení kontaktních databází

Při každém získávání kontaktních údajů fyzických osob, jež jsou z hlediska GDPR považovány za osobní údaje, a jejich dalším zpracování v interních databázích je zapotřebí dodržovat určitá pravidla. Jaká jsou tato pravidla a jaká kritéria by měli správci zejména zohlednit při založení a vedení databáze kontaktních údajů fyzických osob?

• Bez zákonného důvodu a jasně vymezeného účelu to nejde

Při získávání kontaktních údajů fyzických osob a jejich dalším uchovávání je primárně nutné stanovit účel zpracování údajů a zajistit právní základ (zákonný důvod) pro takové zpracování. Pokud jde o účel, podnikatelské subjekty nejčastěji využívají kontaktní údaje fyzických osob pro marketingové účely nebo pro účely založení a plnění závazků. Zákonným důvodem je pak v těchto případech zpravidla oprávněný zájem ve smyslu čl. 6 písm. f) GDPR, plnění smlouvy, jejíž smluvní stranou je dotčená fyzická osoba, ve smyslu čl. 6 písm. b) GPDR, a konečně jím může být i souhlas subjektu údajů ve smyslu čl. 6 písm. a) GDPR.

• Schopnost doložit původ osobních údajů a dostatečná informovanost fyzických osob

Správce může zpracovávat osobní údaje získané přímo od subjektů údajů nebo nepřímo od třetích osob či z jiných zdrojů. Vždy bezpečnější cestou je získávání osobních údajů přímo od fyzických osob (subjektů údajů), neboť jsou získávány zpravidla s vědomím těchto osob a na bázi dobrovolnosti. Konkrétním příkladem získání osobních údajů přímo od fyzické osoby může být předání vizitky či objednávka produktů nebo služeb správce. Naopak získávání osobních údajů od třetích osob nebo z jiných zdrojů může znamenat velké riziko, že zpracování údajů nebude v souladu s právem. V praxi podnikatelské subjekty běžně využívají veřejných databází a rejstříků či specializovaných společností zabývajících se sběrem osobních údajů a prodejem databází.

Jsou-li osobní údaje získávány z veřejných zdrojů, je třeba mít na paměti, že veřejnost údajů sama o sobě neopravňuje ostatní subjekty k jejich dalšímu neomezenému využívání a zpracování. Stejně tak jsou-li osobní údaje extrahovány z databáze poskytnuté jinou osobou, ať už úplatně či bezúplatně, musí být příjemci databáze vždy znám její původce. Pro zpracování zveřejněných osobních údajů nebo osobních údajů získaných od třetích osob tedy platí shodná pravidla jako pro jiná zpracování a příjemce (správce) musí mít zákonný důvod pro jejich zpracování.

Ať už správce využívá jakýkoli způsob získávání kontaktních údajů fyzických osob, vždy musí řádně a včas splnit informační povinnost v souladu s čl. 13, resp. 14 GDPR a dodržovat základní zásady zpracování osobních údajů, zejména transparentnost přesnost a korektnost. 

• Doba uchovávání a pravidelnost využívání kontaktních údajů

Obecně platí, že doba uchovávání osobních údajů musí být přiměřená účelu vymezenému správcem, s čímž souvisí i aspekt pravidelnosti využívání kontaktních údajů a interakce správce s fyzickými osobami. Doba uchovávání osobních údajů je rovněž odvislá od důvodu zpracování.

Získal-li správce osobní údaje fyzické osoby s jejím souhlasem, měla by být vždy stanovena doba, na kterou je souhlas udělen, neboť souhlas nelze chápat jako časově neohraničený. Stejně tak v případě, kdy správce zpracovává osobní údaje na základě oprávněného zájmu (např. zpracovává kontaktní údaje fyzických osob na základě minulého smluvního vztahu s nimi pro marketingové účely), nelze se v rámci tohoto zákonného důvodu odvolávat na smluvní vztah uzavřený před mnoha lety, pokud není dána pravidelná interakce mezi správcem a fyzickou osobou.

U stávajících databází by tedy měl správce především zkontrolovat, kdy byly osobní údaje poprvé získány, na jakou dobu, a zda tyto kontakty v databázi vede jako aktivní.

2. Ilustrativní příklad vedení databází kontaktních údajů fyzických osob pro marketingové účely

S ohledem na výše uvedená kritéria lze databáze kontaktních údajů fyzických osob vedené pro marketingové účely rozdělit následovně s tím, že tyto případy se vztahují jak na fyzické osoby v rámci B2C[2] styku, tak na fyzické osoby v rámci B2B[3] styku. Pro úplnost je však nutné dodat, že fyzické osoby jednající se správci v rámci B2B styku mohou obvykle rozumně očekávat, že budou plnit funkci kontaktních osob, a pokud nejsou marketingové aktivity správců a priori obtěžující, platí v oblasti B2B vztahů mírnější režim.

a) Kontakty, kdy není zapotřebí vyžadovat nový souhlas subjektu údajů pro marketingové účely

I. skupina: U kontaktů existuje tzv. oprávněný zájem dle recitálu 47 GDPR ve spojení s čl. 6 odst. 1 písm. f) GDPR a správce je i nadále oprávněn zasílat obchodní sdělení, která se vážou k odebranému produktu/službě nebo ke spolupráci správce s kontakty:

• fyzické osoby, s nimiž je správce v kontaktu na pravidelné bázi (pravidelná spolupráce, pravidelné odběry zboží apod.)
• fyzické osoby, na něž správce získal kontakt v období max. 5 let nazpět (tato doba může být považována za přiměřenou)

II. skupina: Kontakty mohou být nadále používány v souladu s podmínkami, za nichž byl souhlas subjektu údajů udělen:

• fyzické osoby, jež udělily řádný souhlas se zpracováním osobních údajů pro účely zasílání obchodních sdělení, jenž odpovídá požadavkům GDPR, na určenou dobu
• fyzické osoby, jejichž osobní údaje byly získány od třetích osob/veřejných zdrojů a pro jejichž předání správci byl udělen souhlas subjektu údajů odpovídající požadavkům GDPR

b) Kontakty, kdy je zapotřebí vyžadovat nový souhlas subjektu údajů pro účely obchodních sdělení

III. skupina: Pro tyto kontakty by měl být získán nový souhlas v souladu s GDPR:

• kontakty, jež byly získány před více než 5 lety a neexistuje aktivní interakce mezi správcem a fyzickou osobou – subjektem údajů (např. opakované plnění smlouvy)
• kontakty, u nichž nebyl udělen souhlas odpovídající požadavkům GDPR

IV. Správce by měl získat souhlas subjektu údajů nebo by kontakty měly být vymazány:

• kontakty, u nichž nelze prokázat jejich původ
• kontakty, jež byly získány nepřímo (od třetích osob) a správce nemá souhlas subjektu údajů se zpracováním
• kontakty, kdy subjekt údajů odmítl souhlas udělit, nebo souhlas odvolal či vznesl odůvodněnou námitku proti zpracování osobních údajů.

I půl roku po nabytí účinnosti GDPR neexistuje jednoznačná odpověď na některé otázky související s vytvářením databází a jejich využíváním a nadále panuje řada nejasností, přestože je Úřad pro ochranu osobních údajů při výkladu GDPR aktivní a zčásti supluje nedostatky způsobené českým zákonodárcem spočívající v absenci vnitrostátní právní úpravy. Budou-li však správci bedlivě dodržovat shora uvedená pravidla, respektovat vůli fyzických osob (subjektů údajů), a vyvarují-li se získávání rozsáhlých databází z neověřených zdrojů bez jakéhokoli právního základu, neměla by jim hrozit vyšší rizika správního či soudního postihu.

Mgr. Ing. Karolina Šindelářová, 

advokát

Na Florenci 2116/15

110 00 Praha 1

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES vstoupilo v platnost dne 24. května 2016 a v účinnost 25. května 2018.

[2] Business-to-consumer

[3] Business-to-business

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz