GDPR a přímý elektronický marketing

Na základě četných dotazů veřejnosti uveřejňuje Úřad pro ochranu osobních údajů své vyjádření ohledně práv a povinností správce a zákazníka v přímém elektronickém marketingu po nabytí účinnosti obecného nařízení.

Zpracování osobních údajů (telefonních čísel, e-mailových adres apod.) zákazníků pro účely přímého marketingu (při rozesílce obchodních sdělení) je zpracování prováděné z důvodu oprávněného zájmu dle čl. 6 odst. 1 písm. f) obecného nařízení. Zákazník při nákupu výrobku či služby může odůvodněně očekávat, že mu obchodník zašle obdobnou nabídku. Zájem obchodníka převažující v tomto případě nad zájmem zákazníka je přitom korigován dalšími povinnostmi obchodníka jako správce osobních údajů. Správce musí splnit informační povinnost stanovenou v článku 13 obecného nařízení, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 obecného nařízení proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů tuto námitku vznese, nesmějí již být osobní údaje pro tento účel zpracovány (jde tedy o tzv. princip opt-out).

Způsob realizace oprávněného zájmu správce při samotné rozesílce obchodních sdělení prostřednictvím elektronických prostředků je přesně dán ustanoveními zákona č. 480/2004 Sb., o některých službách informační společnosti. Na zasílání obchodních sdělení vůči zákazníkům se uplatní § 7 odst. 3 zákona č. 480/2004 Sb., kdy obchodní sdělení lze zákazníkům zaslat bez jejich předchozího souhlasu (princip opt-out), ovšem zákazník musí mít možnost toto zasílání odmítnout před odesláním takového obchodního sdělení (např. obchodník umožní zákazníkovi v rámci obchodních podmínek či při finálním potvrzení objednávky, aby zaškrtl políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána). Pokud zákazník toto dopředu neodmítne, tak tato možnost musí být dána v každém dalším odeslaném obchodním sdělení. Současně je také zakázáno šířit obchodní sdělení, která by nebyla zřetelně a jasně označena jako obchodní sdělení; která by skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečňuje; a která by byla zaslána bez platné adresy, na kterou lze přímo a účinně toto zasílání odmítnout.

Tato pravidla mají předejít obtěžování uživatelů elektronických kontaktů nevyžádanými obchodními sděleními, nehledě na to, zda je uživatelem fyzická či právnická osoba, ale zároveň i umožnit oprávněný obchodní styk, kde je to očekávatelné a není a priori obtěžující.