AKO TO VLASTNE NAOZAJ JE SO ZASIELANÍM MARKETINGOVÝCH INFORMÁCIÍ KLIENTOM Z POHĽADU GDPR?

GDPR[1] je témou, ktorú už od mája 2018 v rôznych kontextoch rieši každý podnikateľ. Rozhodli sme sa preto priblížiť Vám frekventované otázky týkajúce sa marketingových aktivít, s ktorými sa v praxi často stretávame, no odpovede na ne nie sú vždy na prvý pohľad zrejmé.

V úvode je potrebné ozrejmiť často používané pojmy ako prevádzkovateľ, dotknutá osoba, či sprostredkovateľ. V skratke platí, že:

  • osobným údajom je akýkoľvek údaj, na základe ktorého je možné identifikovať konkrétnu fyzickú osobu;
  • spracúvaním sa rozumie akákoľvek operácia vykonávaná s osobným údajom, vrátane zaznamenávania, uchovávania, evidencie, vyhľadávania či likvidácie a i.;
  • dotknutou osobou je každá fyzická osoba, ktorej údaje sú spracúvané;
  • prevádzkovateľom je každý subjekt, ktorý určuje z akých dôvodov, na akom právnom základe a akými prostriedkami budú spracúvané osobné údaje akýchkoľvek fyzických osôb;
  • sprostredkovateľom je akýkoľvek subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.

Na rozdiel od predchádzajúcej právnej úpravy ochrany osobných údajov sa s príchodom novej právnej úpravy zmenil pohľad na marketingové aktivity prevádzkovateľa. GDPR explicitne uvádza, že spracúvanie osobných údajov v súvislosti s vykonávaním priameho marketingu prevádzkovateľa je možné považovať za oprávnený záujem prevádzkovateľa. To znamená, že na rozdiel od zaužívanej praxe mnohých spoločností vyžadovať udelenie súhlasu dotknutých osôb na zbieranie a spracúvanie ich osobných údajov pre účely marketingu je v skutočnosti správnym postupom použiť právny základ oprávneného záujmu, a teda súhlas pre zákonnosť spracúvania potrebný nie je. Podľa GDPR platí, že konkrétny účel spracúvania osobných údajov by mal mať vždy jeden z právnych základov, ktoré pripúšťa GDPR, a tými sú (i) súhlas dotknutej osoby; (ii) plnenie zmluvy a predzmluvných povinností; (iii) plnenie zákonnej povinnosti; (iv) ochrana životne dôležitého záujmu dotknutej alebo inej fyzickej osoby; (v) plnenie úlohy vo verejnom záujme alebo výkon verejnej moci; a (vi) oprávnené záujmy sledované prevádzkovateľom. Je potrebné dodať, že v prípade vyžadovania súhlasov dotknutých osôb aj v prípade ich udelenia môže byť takýto súhlas neplatný a ak prevádzkovateľ nemá internú dokumentáciu týkajúcu sa spracúvania osobných údajov upravenú tak, aby existoval právny základ pre spracúvanie osobných údajov v zmysle GDPR, môže dôjsť k nezákonnému spracúvaniu osobných údajov a v takom prípade pri zistení porušenia právnych predpisov môže byť Úradom na ochranu osobných údajov SR (ďalej len „Úrad“)  udelená prevádzkovateľovi sankcia.

Dôležité je tiež rozumieť, čo je priamym marketingom, a teda kedy nepotrebujeme súhlas dotknutých osôb pre spracúvanie ich osobných údajov. Priamy marketing je druh marketingu, často označovaný aj ako „direct marketing“, pri ktorom ide o komunikáciu poskytovateľa produktu alebo služby priamo s koncovým klientom za účelom predať mu produkt alebo službu. Môže byť uskutočňovaný formou tlačových (printových) médií, napr. reklamné letáky, vzorky a i., alebo aj elektronickými prostriedkami, napr. e-mailom, prostredníctvom webstránky, telefonicky, a pod. Marketing ako forma reklamy taktiež nesmie byť vykonávaný v rozpore s dobrými mravmi a nesmie propagovať služby alebo produkty, ktorých používanie, predaj alebo poskytovanie by boli zakázané alebo v rozpore s právnymi predpismi.

Tu sa však dostávame k zákonnej úprave reklamy v Slovenskej republike, ktorá je platná pre všetky právnické aj fyzické osoby šíriace reklamu s cieľom uplatniť poskytované služby alebo ponúkané produkty na trhu. V zmysle zákona o reklame platí, že reklamu nie je možné šíriť prostredníctvom elektronickej pošty, telefaxom alebo automatickým telefonickým volacím systémom bez predchádzajúceho súhlasu príjemcu takejto reklamy. Pri súbežnosti právnej úpravy podľa GDPR a zákona o reklame teda platí, že aj napriek tomu, že podľa GDPR nie je potrebné, aby dotknutá osoba udelila súhlas so spracúvaním osobných údajov, v zmysle vyššie uvedeného platí, že podľa zákona o reklame bude udelenie súhlasu príjemcu reklamy potrebné, a to pred zasielaním takejto reklamy.

Rozdiel medzi týmito dvoma právnymi režimami udeľovania súhlasu je, teda okrem ich právneho základu, forma súhlasu a náležitosti, ktoré musí súhlas obsahovať. Zákon o reklame nevymedzuje špecifiká formy ani obsahových náležitosti súhlasu so zasielaním reklamy, avšak aby bol súhlas ako právny úkon platný, musí byť zrejmé kto ho udelil, komu bol udelený, nesmie byť v rozpore so zákonom, musí byť slobodný, určitý a zrozumiteľný.

Na druhej strane GDPR veľmi špecificky ustanovuje, že súhlas dotknutej osoby musí obsahovať najmä: (i) identifikáciu a kontaktné údaje prevádzkovateľa; (ii) informáciu o tom aké údaje budú spracúvané; (iii) účel spracúvania; (iv) právny základ spracúvania; (v) dobu uchovávania osobných údajov; (vi) informáciu, či osobné údaje sú alebo nie sú prenášané do tretích krajín; (vii) informáciu o práve súhlas odvolať a (viii) informáciu o práve podať sťažnosť Úradu v súvislosti so spracúvaním osobných údajov. V praxi je tiež dôležité vedieť preukázať, kto súhlas udelil a kedy bol udelený (najmä pre účely dodržania dôb uchovávania osobných údajov a platnosti súhlasu).

Okrem vyššie uvedeného musí tiež forma súhlasu byť taká, aby bola jednoznačne odlíšiteľná od ostatných informácií poskytovaných prevádzkovateľom, súhlas musí byť udelený slobodne, musí byť formulovaný konkrétne a dostatočne zrozumiteľne a pri jeho udelení musia byť dotknutej osobe poskytnuté informácie o spracúvaní osobných údajov v zmysle článkov 13 a 14 GDPR.

Dôležité však je upozorniť, že ak by niektoré osobné údaje získavané pre účely marketingu patrili do osobitnej kategórie osobných údajov, uplatní sa špeciálny režim podľa GDPR, podľa ktorého je na takéto spracúvanie vždy potrebný výslovný súhlas dotknutej osoby spĺňajúci vyššie uvedené obsahové a formálne náležitosti.

 

[1] Nariadenie Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“)