Cizí mailové adresy ve veřejné kopii hromadného mailu pohledem GDPR
Autor: Mgr. Petr Otevřel | Vloženo: 22. 10. 2019 16:16 | Přečteno: 3953XNa našich stránkách jsme se v řadě článků zabývali problematikou osobních údajů a obecného nařízení Evropského Parlamentu a Rady č. 2016/679 o ochraně osobních údajů, známějšího pod anglickou zkratkou GDPR (dále jen „Nařízení“). Po více než roce jeho platnosti je vhodné podívat se na rozhodovací praxi tzv. dozorových úřadů, které mají pravomoc „monitorovat a vymáhat uplatňování“ Nařízení a v rámci této činnosti také ukládat správní pokuty. A aby první příspěvek na toto téma nebyl rovnou smutný, vybral jsem něco lehčího.
Skutkový stav
V německé spolkové zemi Sachsen-Anhalt se dozorový úřad zabýval případem jednoho chronického stěžovatele, který doslova na všechny strany rozesílal prostřednictvím e-mailu různé stížnosti, stanoviska či dokonce trestní oznámení na představitele z řad podnikatelů, tisku i politiky. Při rozesílání svých mailů však nakopíroval všechny e-mailové adresy do řádku „příjemce“, popř. do řádku „kopie“ (tedy nikoliv skrytá kopie, ale ta veřejná). Jakýkoliv příjemce tedy obdržel e-mailové adresy všech dalších příjemců, kterých bylo až 1600. Vedle řady obecných adres typu „info@adresa.cz“ však bylo možno dohledat i e-mailové adresy, které naplňovaly znak osobního údaje, protože byly ve formě „jméno.příjmení@firma.cz“.
Německý dozorový orgán udělil dotyčné fyzické osobě – nepodnikateli správní pokutu, která dosáhla nezanedbatelných 2.628,-EUR. Šlo totiž o součet pokut za řadu takových zdokumentovaných případů a dotyčnému nepomohla ani obrana tím, že jde o výkon práva na svobodu myšlení a svobodu projevu. Dozorový úřad k tomuto uvedl, že tato práva se mohou vztahovat na obsah rozesílaných zpráv, nikoliv však na způsob jejich rozesílání, kterým zasáhl do jiného práva třetích osob – práva na ochranu soukromí a na ochranu osobních údajů.
Vztahuje se Nařízení i na zpracování prováděné fyzickými osobami?
Dosud nebylo možno rozesílání spamu ze strany fyzických osob nebo neziskových organizací nijak postihnout, protože tyto zprávy nenaplňovaly definici tzv. obchodního sdělení, a nemohlo tedy jít ani o nevyžádané obchodní sdělení (SPAM).
Nyní by se měli mít na pozoru i nepodnikatelé. Nařízení sice ze své působnosti vylučuje zpracování osobních údajů prováděné fyzickými osobami (jinými slovy se na zpracování osobních údajů fyzických osob Nařízení neužije), ovšem pouze tehdy, pokud se dle čl. 2 odst. 2 písm. c) Nařízení jedná o zpracování prováděné „fyzickou osobou v průběhu výlučně osobních či domácích činností“. Tuto výjimku však nelze dle dozorového úřadu vykládat příliš extenzivně a vztahovat ji na jakoukoliv činnost, kterou provádí fyzická osoba. To platí i pro citovaný případ, kdy dotyčná fyzická osoba rozesíláním hromadných e-mailů zcela jistě překročila rámec "osobních či domácích činností", takže se na ni Nařízení vztahuje v plném rozsahu.
Závěr
Pokud z jakéhokoliv důvodu máte potřebu dávat do kopie mailu dalších 150 adres, použijte funkci „skrytá kopie“. Dáte najevo základní počítačovou gramotnost a vyhnete se případné sankci. Toto se samozřejmě týká i podnikatelů, kteří by měli ověřit znalosti a zvyklosti svých zaměstnanců, kteří prostřednictvím mailu komunikují se svými zákazníky, odběrateli apod. Sankce dozorového úřadu (v ČR je to Úřad pro ochranu osobních údajů) totiž hrozí i v případě, že k samotnému rozesílání obchodních sdělení má podnikatel prokazatelný souhlas a nejde tedy o SPAM.
Mgr. Petr Otevřel, otevrel@lawyer.cz
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.