E-mailový a telefonický marketing, „oprávněný zájem“ a komerční databáze kontaktů – díl I.
Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 21. 9. 2020 10:29 | Přečteno: 2272XByť je Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (tzv. „Nařízení GDPR“) účinné už více než dva roky, a český tzv. „antispamový zákon“ (tedy zákon č. 480/2004 Sb. o některých službách informační společnosti, dále jen „ZSIS“) ještě mnohem déle, stále se setkáváme s tím, že subjekty mající zájem rozesílat e-mailová obchodní sdělení vůbec neznají podmínky, za kterých tak lze činit. Dochází k ignorování ZSIS ve prospěch Nařízení GDPR, a v rámci toho mimo jiné i k rozesílání sdělení na kontakty pocházející z různých databází obchodních kontaktů, které se dají volně zakoupit. Odesílatelům přitom postačuje předpoklad, že se jedná o „zveřejněné“ e-mailové adresy, u nichž se souhlas jejich vlastníka se zasíláním obchodních sdělení předpokládá, případně že vlastník adresy souhlas udělil poskytnutím své adresy dodavateli databáze. Tyto postupy jsou vesměs zcela nesprávné, značně rizikové a často i snadno odhalitelné. V tomto článku si uděláme jasno o podmínkách, za jakých lze obchodní sdělení rozesílat, a za jakých k tomu lze (nebo spíše nelze) využívat zakoupené databáze e-mailových adres.
Jak se na e-mailové adresy vztahují Nařízení GDPR a ZSIS?
Není žádnou novinkou, že notoricky známé Nařízení GDPR, které nabylo účinnosti dne 25.5.2018, upravuje práva a povinnosti související se zpracováním osobních údajů fyzických osob. Osobním údajem je jakákoli informace, pomocí níž může být přímo nebo nepřímo identifikována konkrétní fyzická osoba. Některé informace jsou tak osobním údajem samy o sobě, bez nutnosti spojení s jinou informací, jiné se osobním údajem stávají až v momentu, kdy jsou spojeny s jinou informací a v důsledku tohoto spojení jsou schopny identifikovat konkrétní fyzickou osobu. Je jisté, že některé formáty e-mailových adres, zejména ty, které jsou na dostatečně individuální doméně a obsahují jméno a příjmení, mohou být osobním údajem samy o sobě, protože jejich majitel může být identifikován podle údajů obsažených v samotné adrese i bez jakéhokoliv dalšího doplňujícího údaje. Jiné e-mailové adresy (zejména ty, které jsou zřízeny na freemailových serverech, nebo které neobsahují jméno a příjmení člověka) se osobním údajem zpravidla stávají až po doplnění dalšího identifikačního údaje. Záleží pak na množství těchto doplňujících údajů a jejich konkrétnosti – v případě, že z okolností jasně víme, že pod danou e-mailovou adresou je dostupná jedna konkrétní fyzická osoba (např. zaměstnanec), může být osobním údajem i taková adresa, která neobsahuje vůbec žádný konkrétní identifikátor (např. adresa 123456@domena.cz, anebo info@sluzby.cz).
Existuje tedy nemalá skupina e-mailových adres, které, nejsou-li spojeny s dalšími identifikačními údaji, nenaplňují definici osobního údaje dle Nařízení GDPR. Kromě většiny adres zřízených na freemailových serverech se může jednat rovněž o adresy na privátních doménách, k nimž má přístup větší počet zaměstnanců a bez další identifikace není pro odesílatele zjistitelné, který konkrétní zaměstnanec pod adresou vystupuje. Takové adresy jsou mimo působnost Nařízení GDPR, avšak pouze do okamžiku, kdy k nim lze přiřadit další údaje schopné v souhrnu identifikovat konkrétní fyzickou osobu. Je-li taková e-mailová adresa spojena s těmito dalšími údaji, stává se osobním údajem a na nakládání s ní se vztahují všechny povinnosti dle Nařízení GDPR. Hranice mezi těmito dvěma režimy může být pochopitelně značně tenká a pro subjekt, který s e-mailovou adresou pracuje, často obtížně identifikovatelná.
ZSIS však jde na věc jinak. Je nutno uvést, že byť se mu říká „antispamový zákon“, nevyžádaná obchodní sdělení jsou pouze jednou z vícero oblastí, které upravuje. Vedle odpovědnosti různých typů poskytovatelů tzv. služeb informační společnosti (od provozovatelů přenosových sítí a poskytovatele připojení až po provozovatele e-mailových, inzertních a chatovacích služeb) upravuje v § 7 rovněž šíření obchodních sdělení. Pro tento moment stačí uvést, že v tomto ustanovení zákon pracuje s pojmem „elektronický kontakt“, což zahrnuje nejen e-mailovou adresu, ale může zahrnovat i další identifikátory, které na internetu používáme, zejména názvy účtů na sociálních sítích nebo instant messengerech. Co se týče e-mailové adresy, ZSIS nijak nerozlišuje mezi adresami schopnými identifikovat konkrétní fyzickou osobu a adresami, které toho schopny nejsou. Elektronickým kontaktem ve smyslu ZSIS je tedy nutno rozumět jakoukoli e-mailovou adresu bez ohledu na její povahu.
Lze tedy uzavřít, že zatímco Nařízení GDPR se na e-mailové adresy (a tedy i na zasílání obchodních sdělení na tyto adresy) vztahuje pouze tehdy, pokud tyto adresy samy o sobě nebo ve spojení s jinými údaji (známými odesílateli) naplňují definici osobního údaje, ZSIS se vztahuje na všechny e-mailové adresy, bez ohledu na jejich povahu a na to, z jakých slovních prvků, čísel a domén jsou složeny.
E-mailový marketing dle Nařízení GDPR
Nařízení GDPR zasílání obchodních sdělení výslovně neupravuje. I přesto jsme se zejména v době okolo nabytí jeho účinnosti setkávali s názorem, podle něhož konečně přestal být nutný souhlas příjemce e-mailu se zasíláním obchodních sdělení, protože Nařízení GDPR řadí zpracování osobních údajů pro účely přímého marketingu pod odlišný právní základ zpracování osobních údajů, než jakým je souhlas subjektu údajů (příjemce). Tento názor je však značně zjednodušující a ve svém důsledku nesprávný.
V rovině ochrany osobních údajů Nařízení GDPR skutečně v poslední větě bodu 47 Preambule uvádí, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu“ (v této souvislosti je vhodné připomenout, že preambule nařízení není právně závazným textem, ale pouze interpretačním vodítkem k výkladu samotného textu nařízení, rozděleného do číslovaných článků). Oním „oprávněným zájmem“ se má na mysli právní základ zpracování osobních údajů podle čl. 6 odst. 1. písm. f) Nařízení GDPR, podle něhož lze osobní údaje zpracovávat v případě, kdy je toto zpracování nezbytné pro účely oprávněných zájmů správce osobních údajů nebo třetí strany, ledaže před těmito zájmy správce mají přednost zájmy nebo základní práva a svobody subjektu údajů. Oprávněný zájem je jedním ze šesti rovnocenných právních základů zpracování, které Nařízení v čl. 6 odst. 1 vymezuje (dalšími právními základy jsou mj. souhlas subjektu údajů, plnění smlouvy uzavřené se subjektem údajů nebo plnění právní povinnosti ze strany správce osobních údajů).
Pokud správce zpracovává údaje v rámci svého oprávněného zájmu, nepotřebuje k tomu souhlas subjektu údajů. Subjekt má však právo podat proti takovému zpracování námitku v případě, že jeho základní práva a svobody (zejména právo na ochranu soukromí) převažují nad oprávněným zájmem správce. Pro případ, že subjekt údajů námitku podá, by měl mít každý správce osobních údajů nastavena kritéria pro vyhodnocení toho, čí zájem a právo převažuje. Pokud podle těchto kritérií vyhodnotí, že námitka subjektu je oprávněná a jeho práva a svobody převažují nad oprávněným zájmem správce, pak jí musí vyhovět a daného zpracování osobních údajů ihned zanechat.
Pokud bychom brali v potaz pouze Nařízení GDPR, pak by podle výše uvedeného interpretačního vodítka uvedeného v Preambuli bylo skutečně možné rozesílat e-maily s obchodními sděleními bez souhlasu příjemce. Odesílatel by měl akorát vyhodnotit, zda užití dané e-mailové adresy představuje zpracování osobních údajů (viz výše – sama e-mailová adresa osobním údajem být vždy nemusí), a pakliže by tomu tak bylo, musel by příjemci umožnit podat námitku proti zpracování. Vzhledem k tomu, že oprávněný zájem v daném případě spočívá v možnosti provádět přímý marketing, těžko si lze představit situaci, kdy by takový zájem mohl převážit nad právem fyzické osoby na ochranu jejího soukromí – je tedy zřejmé, že v případě podání námitky ze strany příjemce by odesílatel musel námitce podané v rovině ochrany osobních údajů prakticky vždy vyhovět. Na e-mailové adresy, které by nesplňovaly definici osobního údaje, by se tato pravidla neaplikovala, a bylo by tudíž možno zasílat na ně jakákoli sdělení bez omezení.
Je třeba si uvědomit, že je prakticky nemožné dopředu zabránit tomu, aby se mezi e-mailovými adresami použitými v rámci kampaně neobjevily i takové adresy, které jsou osobním údajem samy o sobě, případně ve spojení s jinými údaji, které má odesílatel k dispozici. Proto nelze pravidla dle Nařízení GDPR ignorovat, protože okamžikem, kdy se v databázi objeví adresa považovaná za osobní údaj, se odesílatel stává správcem osobních údajů se všemi povinnostmi, které na něj Nařízení GDPR klade, zejména s povinností informovat subjekty údajů o zpracování jejich údajů ve smyslu čl. 13, vést záznamy o činnostech zpracování ve smyslu čl. 30 a dalšími.
E-mailový marketing dle Nařízení GDPR
Při čtení výše uvedeného popisu můžeme nabýt dojmu, že mu něco chybí. Je tomu tak proto, že vedle Nařízení GDPR existuje paralelně další právní úprava, která se rovněž zabývá zasíláním obchodních sdělení – touto právní úpravou je výše zmíněný antispamový zákon, tedy ZSIS. Jak je uvedeno výše, ZSIS upravuje problematiku zasílání obchodních sdělení ve vztahu k jakýmkoli e-mailovým adresám, bez ohledu na jejich povahu jakožto osobního údaje. V tomto ohledu má tedy širší dosah, než jaký má Nařízení GDPR. Přitom je důležité, že ZSIS (co se týče obchodních sdělení) upravuje tutéž problematiku jako Nařízení GDPR, přičemž žádný z těchto právních předpisů nemá navrch – právně řečeno, neexistuje mezi nimi vztah speciality nebo subsidiarity. Pokud chceme, aby bylo zasílání obchodních sdělení prováděno v souladu se zákonem, musí se nacházet v souladu s oběma těmito předpisy – tedy jak s Nařízením GDPR, tak i se ZSIS.
Jak tedy vlastně ZSIS odesílání obchodních sdělení upravuje? Výše zmíněný § 7 stanoví obecné pravidlo, podle něhož je k šíření obchodních sdělení elektronickými prostředky zapotřebí předchozí souhlas uživatelů (příjemců sdělení). Nelze si nepovšimnout, že co se týče souhlasu příjemce, je požadavek ZSIS zcela opačný než požadavek Nařízení GDPR s jeho „oprávněným zájmem“. Souhlas musí předcházet odeslání prvního obchodního sdělení a musí být aktivně udělen – nelze jej dovozovat z neaktivního jednání uživatele. Standardně lze za udělení aktivního souhlasu považovat vyplnění a odeslání e-mailové adresy do příslušného pole internetových stránek (např. přihlášení k odběru newsletteru, kdy mezi odesílatelem a příjemcem neexistuje žádný jiný vztah, který by vyplýval například z předchozího nákupu zboží). Tento princip předchozího aktivního souhlasu se nazývá tzv. principem „opt-in“.
V této souvislosti lze připomenout, že podle rozhodovací praxe Úřadu pro ochranu osobních údajů (UOOU) je za nevyžádané obchodní sdělení (tedy SPAM) považována i aktivní, individuálně zaslaná žádost o souhlas se zasíláním sdělení. Často se lze setkat s e-maily, které jsou sice formulovány jako pouhá žádost o zasílání sdělení v budoucnu, zároveň však obsahují identifikaci odesílatele a jeho zboží či služeb – takový obsah už je bezpochyby sám o sobě propagací odesílatele i bez toho, aby nakonec její příjemce souhlas udělil, čímž by byl princip opt-inu prakticky popřen.
Z požadavku předchozího aktivního souhlasu je dána jedna výjimka pro případy, kdy odesílatel získal e-mailovou adresu příjemce v souvislosti s prodejem výrobku nebo služby. V případě, že příjemce zadal svou e-mailovou adresu do objednávkového formuláře v rámci objednávky zboží nebo služby přes internet (typicky při vyplnění identifikačních údajů kupujícího při nákupu v e-shopu), pak již není vyžadován jeho souhlas se zasíláním obchodních sdělení pod podmínkou, že se 1) jedná o sdělení prodávajícího, týkající se jeho vlastních obdobných výrobků a služeb, a že 2) příjemce aktivně zasílání sdělení neodmítl (ať už při samotném zadání e-mailové adresy, anebo v rámci každého jednotlivého sdělení). Na rozdíl od osob, s nimiž odesílatel nemá žádný předchozí právní vztah, platí ve vztahu k vlastním zákazníkům princip „opt-out“, kdy lze obchodní sdělení na získanou adresu zasílat až do okamžiku, než je zákazník aktivně neodmítne.
Závěr
Výše uvedené zásady, stanovené ZSIS, platily už před účinností Nařízení GDPR a platí i nadále. E-mailingových kampaní se však nevyhnutelně dotýkají pravidla stanovená oběma zmíněnými předpisy – ZSIS svým požadavkem předchozího souhlasu a povinností umožnění odhlášení z odběru sdělení, zejména v případě režimu opt-out, a Nařízení GDPR požadavkem na poskytnutí informací o zpracování osobních údajů a plnění dalších souvisejících povinností správce osobních údajů, v neposlední řadě rovněž zavedení postupu přijetí a vyřízení námitek podaných příjemci e-mailů. Správné nastavení těchto pravidel nemusí být jednoduché a odesílatelům je nutno doporučit využití dostatečně kvalifikovaných poskytovatelů právních služeb v oblasti e-commerce (když se začnou odesílateli množit stížnosti podané příjemci k Úřadu pro ochranu osobních údajů, bývá na tento krok většinou pozdě).
Jak je vidět, problematiku zasílání obchodních sdělení nelze zjednodušit pouze na otázku ochrany osobních údajů a výkonu „oprávněného zájmu“, jak naznačuje preambule Nařízení GDPR. I když odesílatel bude schopen nalézt pro odesílání sdělení a pro samotnou evidenci e-mailových adres příjemců nějaký legitimní oprávněný zájem, bez splnění požadavků dle § 7 ZSIS nebude jakákoli e-mailingová kampaň v souladu se zákonem, a odesílatel se vystavuje riziku postihu za rozesílání SPAMu dle ZSIS.
V dalším pokračování článku se budeme zabývat využíváním komerčních databází kontaktů pro e-mailingové kampaně a rozdíly mezi rozesíláním obchodních sdělení a telefonickým marketingem.
Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.