Správný souhlas podle GDPR
GDPR a změny, které přinese, se dnes skloňují ze všech stran, a i přesto, že jedním z klíčových požadavků GDPR je transparentnost a srozumitelnost, tak srozumitelných návodů, jak na souhlas, je jen velmi málo. Pokusíme se proto přispět do této debaty návodem jak na to, který by měl v první řadě pomoci s přípravou na získání souhlasu ke zpracování osobních údajů za účelem zasílání obchodních sdělení.
Pro začátek je nutné si říci, že souhlas je jen jedním z mnoha právních titulů, které opravňují ke zpracování osobních údajů. Např. právní titul nezbytnosti zpracování pro splnění právní povinnosti vás opravňuje zpracovávat údaje subjektu v rozsahu nezbytném pro plnění vašich povinností uložených jinými zákony - např. na uchování údajů na fakturách v účetnictví nepotřebujete další souhlas. Stejně tak na e-mailový marketing jen těžko budete moci uplatnit právní titul veřejného zájmu nebo ochrany životně důležitých zájmů.
Doposud většina marketérů využívala titulu plnění smlouvy - neboli vztahu dodavatele se zákazníkem, který zná i GDPR - a nezískávala přímo souhlas. Tento přístup má však zásadní omezení, a to především v rozsahu možného použití údajů. Z pohledu obchodního vztahu lze za oprávněné použití považovat např. zaslání informace o končící záruce, neboť taková zpráva se vztahuje k obchodnímu vztahu. Marketingová sdělení však nelze dát do souvislosti s plněním smlouvy ani obchodního vztahu – pro užívání zboží či služeb nejsou obchodní sdělení nezbytná. Často se v tomto směru skloňuje i titul oprávněného zájmu správce. Ten však není bezbřehý a na jeho základě lze provádět jen omezenější analytické činnosti, typické pro klasický hromadný (necílený) marketing.
Další omezení jsou obsažena v úpravě zákona o některých službách informační společnosti, upravující podmínky, za kterých lze zasílat obchodní sdělení elektronickými prostředky. Tato úprava tedy nereguluje zpracování osobních údajů, ale využití určitého kanálu pro zasílání obchodních sdělení. Velmi stručně lze říci, že podmínkou pro zaslání jakéhokoli obchodního sdělení je získání opt-in či opt-out souhlasu, přičemž na základě opt-out souhlasu lze zasílat obchodní sdělení pouze v případě, že k získání e-mailové adresy došlo v souvislosti s prodejem zboží nebo služby. Navíc předmětem těchto marketingových sdělení musejí být pouze vlastní obdobné výrobky nebo služby. Subjekt však musí mít možnost umožnit vyslovit nesouhlas s jejich zasíláním (proto opt-out). Ve všech ostatních případech (sdělení o odlišných produktech a službách, o produktech a službách třetích stran, telefonické oslovování apod.), je nutno získat tzv. opt-in souhlas, který subjekt musí aktivně a vědomě udělit (např. zaškrtnutím políčka).
Když jsme si tedy řekli, co nelze, tak si pojďme říci, co lze, tzn. jaký mít právní titul pro zpracování osobních údajů, abyste mohli realizovat vaše e-mail marketingové kampaně bez obav. S ohledem na řadu omezení, která se pojí s užitím titulu oprávněného zájmu, je jediným vhodným právním titulem pro cílený marketing souhlas příjemce se zpracováním osobních údajů a zasíláním obchodních sdělení (viz výše). Souhlas musí být prokazatelný, dobrovolný, mít jednoznačný účel a rozsah a dále musí být informovaný. Zjednodušeně řečeno subjekt, který uděluje souhlas, tak musí učinit z vlastní vůle a vědět, s čím souhlasí, komu tento souhlas uděluje a za jakým účelem. Pojďme si rozebrat jednotlivé části tohoto souhlasu.
Prokazatelný - správce osobních údajů nese důkazní břemeno ohledně udělení souhlasu, tzn. musí využít dostupných prostředků k ověření pravosti souhlasu, aby byl schopen tento souhlas prokázat. V případě e-mailů je takovým technickým řešením zaslání ověřovacího e-mailu na uvedenou adresu s odkazem pro potvrzení, zvané double opt-in nebo také confirmed opt-in. Často se lze setkat s názorem, že GDPR, ani zákon o některých službách informační společnosti o double opt-inu nikde nehovoří, ale to je zcela mylný výklad - jedná se o obecné právní předpisy, které musí fungovat nejen pro e-maily, a tak by vyjmenovávání konkrétních technických řešení bylo principiálně špatné. Nutnost double opt-inu vyplývá z důkazního břemene a faktu, že se jedná o jedinou metodu, jak vytvořit vazbu mezi zadanými údaji a e-mailovou adresou. Všechny ostatní metody jako např. Re-Captcha, checkboxy, opakované zadání, atp. Chrání jen před automatizovaným zadáním a mohou zaznamenat pouze údaje o vyplnění údajů, nikoliv o souhlasu vlastníka e-mailové adresy.
Dobrovolný - dobrovolnost nebo také nepodmíněnost je reakcí na častou praxi, kdy docházelo ke spojování a podmiňování souhlasů. Vznikaly tak situace, kdy nebylo možné provést nákup bez potvrzení zcela abstraktního souhlasu se zpracováním osobních údajů. Navíc tyto souhlasy byly často skryté, a tak se často jednalo o souhlas se všeobecnými obchodními podmínkami, ve kterých pak byl někde hluboko zakotven souhlas se zpracováním osobních údajů a zasíláním obchodních sdělení. Vzhledem k tomu, že GDPR silně cílí na transparentnost, tak je toto pochopitelně zcela nepřípustné.
Jednoznačný účel a rozsah - tento bod se také vztahuje k praxi rozsáhlých všeobecných podmínek a nedostatečné transparentnosti. Nově tak musí být zcela jasné, za jakým účelem osobní údaje poskytujete (proč) a v jakém rozsahu budou zpracovávány (k čemu). Tzn. pokud poskytnete souhlas čistě se zasíláním obchodních sdělení a zpracováním osobních údajů za tímto účelem a poskytnete pouze svou e-mailovou adresu, znamená to, že správce může použít pro zasílání obchodních sdělení pouze tento údaj. Aby vám však mohl posílat např. personalizované zprávy podle toho, jaké produkty si prohlédnete na jeho stránkách, musí mít váš souhlas i k tomuto.
Jednoznačný projev vůle – podobně jako v současnosti také podle GDPR platí, že souhlas musí být udělen jednoznačným projevem vůle osoby. Z tohoto projevu musí být zjevné, že osoba skutečně chtěla udělit souhlas se zpracováním osobních údajů, nikoli že pouze vyjadřovala souhlas s obchodními podmínkami, uzavřením smlouvy, popř. že pouze nevyjádřila nesouhlas.
Informovaný - toto platí i dnes. GDPR specifikuje, že subjekt, který uděluje souhlas, musí vědět, komu konkrétně tento souhlas uděluje, a být informován o účelu a rozsahu zpracování. Což v praxi znamená, že musí být uvedeno označení konkrétního správce a zpracovatelů, kteří budou mít přístup k osobním údajům, a jak konkrétně budou data použita. Zvláštní důraz je pak kladen na upozornění na jakékoliv zpracování probíhající mimo území EU. V případě souhlasu se zasíláním obchodních sdělení to znamená, že subjekt (příjemce) bude vědět, kdo mu bude co posílat. Tzn. obecné formulace typu “souhlasím s předáním údajů třetím stranám” v žádném případě nejsou přípustné a tyto třetí strany by měly být vyjmenované. Ačkoliv taková povinnost neplyne přímo z GDPR, je její splnění vyžadováno dozorovými orgány v zájmu zajištění informovanosti subjektu. Zvláště v případě využívání cloudových služeb je nutné dát pozor na to, že data mohou opustit EU. Není také přípustné, aby tyto informace byly skryté ve všeobecných podmínkách - naopak GDPR vyžaduje, aby byly dostupné a jasně pochopitelné.
GDPR samozřejmě zachovává i povinnost umožnit odebrání souhlasu se zpracováním osobních údajů, což samozřejmě znamená i odebrání souhlasu se zasíláním obchodních sdělení. Novinkou se však stává právo na přenositelnost dat, tzn. možnost subjektu získat informace o všech údajích, které o něm správce uchovává na základě jeho souhlasu nebo plnění smlouvy, a to ve strukturované podobě. Teoreticky by to mohlo znamenat, že si u vašeho dodavatele vyžádáte tímto způsobem vaši historii a předáte ji novému dodavateli a ten vám na základě toho poskytne např. množstevní slevy. V praxi však nelze čekat, že by tato přenositelnost byla zcela univerzální, neboť tato povinnost nedopadne na veškeré údaje a navíc každý správce bude disponovat rozdílnými daty v rozdílných formátech a účelem je především umožnit subjektům získat lepší informace o tom, co o nich správce vede za údaje.
Všechna tato pravidla mohou vypadat komplikovaně, ale v zásadě nejde o žádnou novinku - GDPR de facto dohání best practice, které jsou platné již mnoho let. Double opt-in i požadavek na aktivní a informované udělení souhlasu jsou standardem již mnoho let a transparentní chování by mělo být naprostou samozřejmostí. Bohužel mnoho marketérů si za cíl stanovovalo rychlost růstu databáze příjemců, nikoliv jejich kvalitu, a tak si nyní stěžují na GDPR. Realita je však taková, že kdyby se řídili best practice, tak by nyní možná měli výrazně méně adres, zato však kvalitních a se souhlasy, které by odpovídaly GDPR. Pokud však doposud nezískávali souhlasy a využívali adresy získané z obchodního vztahu, tak budou muset všechny tyto adresy přepotvrdit tak, aby k nim získali souhlas v souladu s GDPR. Je však nutné dávat pozor na to, aby pro nové získání souhlasu nebyly využity e-mailové adresy získané v rozporu se zákonem, popř. s neplatnými souhlasy se zpracováním osobních údajů či zasíláním obchodních sdělení. Pro získání souhlasů souladných s GDPR totiž nelze jednat v rozporu se stávající úpravou – minimálně ne bez rizika udělení pokuty.