Nové evropské nařízení o ochraně osobních údajů klade důraz na to, aby lidé věděli, co se s jejich osobními údaji děje. Znamená to, že s využitím svých údajů pro potřeby marketingu budou muset vždy bez výjimky udělit souhlas?

Souhlas bude potřeba téměř na všechno. Je to zpracování souborů cookies, do nichž si weby ukládají informace o uživatelích, je to rozsáhlejší analytika, profilování, sledování uživatele na webu. Jsou tam ale výjimky. Je to tzv. přímý marketing, do kterého bude spadat například zasílání newsletterů stávajícím zákazníkům. Pod oprávněný zájem, kde nařízení souhlas nevyžaduje, může spadat celá řada věcí, ale musí to být přiměřené. A správce dat o tom musí zákazníka informovat.

To znamená, že oslovování pro marketingové účely se lidé úplně nezbaví?

To určitě ne, právě proto, že v nařízení máme oprávněný zájem.

Nová evropská pravidla jsou poměrně obsáhlá. V čem podle Vás marketéři nejčastěji tápou?

Pro jaké zpracování osobních údajů musí mít souhlas a jak má vypadat. Často to neví ani podle stávajícího zákona, natož podle nového nařízení o ochraně osobních údajů. Navíc často žádají udělení souhlasu se zpracováním i tam, kde to není potřeba, anebo nežádají o aktivní udělení souhlasu. Napíší jen "používáním tohoto webu souhlasíte se zpracováním osobních údajů". A to je podle GDPR špatně.

Co hrozí společnosti, která žádá od svých klientů souhlas tam, kde není potřeba?

Taková společnost neoprávněně zpracovává osobní údaje. Firma tím vlastně mate zákazníky, říká jim, že mají určitá práva, jako právo kdykoliv odvolat souhlas, která ale ve skutečnosti nemají, když souhlas podle nařízení potřeba není. To znamená, že se firma dopouští přestupku, za který může být sankcionována pokutou až do výše 20 milionů eur.

Když se potkají podnikatel s potenciálním zákazníkem na veletrhu, předají si vizitky, měl by v tu chvíli podnikatel dát podepsat zákazníkovi souhlas se zpracováním údajů?

Je sice pravda, že podle GDPR bude potřeba zpětně prokazatelný souhlas, ale tím bychom se zahltili spoustou papírů. Já klientům doporučuji, aby se zákazníků na veletrhu zeptali, jestli jim mohou poslat obchodní nabídku. Ve chvíli, kdy zákazník odpoví ano a podnikatel třeba ještě umístí na web informaci, že když mu na veletrhu zákazník předá vizitku, souhlasí se zasláním navazující obchodní nabídky, měl by se vyhnout pokutám, i když to podle GDPR není úplně správně.

Když někdo bude mít kontakty zveřejněné třeba na webu, mohou je firmy použít pro marketingové účely?

Ne. To je také jeden z nejčastějších omylů, že když najdu někde zveřejněný kontakt, mohu toho člověka jako první kontaktovat a poslat mu třeba obchodní sdělení. Už dnes platí, že je mohu poslat pouze tam, kde mám udělený souhlas, nebo pokud se jedná o stávajícího zákazníka. Anebo pokud mi ten člověk sám napíše, pošlete mi newsletter nebo mi zavolejte a řekněte mi, co máte za novinky. Výjimkou jsou ale kontaktní údaje na podniky. Ty nebudou považovány za osobní údaje. Pokud budu mít například na webu e-mailovou adresu info@e-legal.cz, tak na ni bude možné zasílat nevyžádaná obchodní sdělení.

Když už tam ale bude mít podnikatel adresu se svým jménem a příjmením, tak už to osobní údaj bude?

U osob samostatně výdělečně činných to nebude ani tak kvůli GDPR. Úřad pro ochranu osobních údajů už nyní říká, že když má OSVČ zveřejněno své telefonní číslo a e-mail, tak to má pravděpodobně zveřejněno proto, že chce vstupovat do obchodního styku. Tím pádem ochrana osobnosti toho podnikatele malinko klesá a vystupuje na povrch jeho podnikatelská činnost. Jedná se ale o stanovisko úředníků, které není oficiální.

GDPR se týká i podoby souhlasů. Co všechno mění?

Zaprvé souhlas by měl být vydělený. V současné době se souhlasy často skrývají do všeobecných obchodních podmínek, to už podle GDPR nepůjde. Souhlas má být strukturovaný a měl by být tzv. granulovaný, to znamená, že pro jednotlivé účely zpracování budou uděleny jednotlivé souhlasy. Druhá věc - a to vzbudilo velkou nevoli v řadách marketérů -, že udělením souhlasu nejde podmiňovat poskytnutí služby. Uvedu příklad. Budete mít na webu video. To video se spustí, ale v půlce se vypne a řekne, teď mi dejte souhlas se zasíláním newsletteru a já vám pustím zbytek videa. Toto už od účinnosti GDPR nebude smět být.

Může firma výměnou za souhlas nabídnout zákazníkům nějakou slevu?

Petra Dolejšová
Petra Dolejšová

Advokátka a jednatelka advokátní kanceláře eLegal se specializuje na právo v oblasti marketingu a ochranu průmyslového vlastnictví. Za svou praxi již proškolila stovky marketérů a začínajících i zkušených podnikatelů.

V tomto si právníci hodně protiřečí. Jedna část říká, že to podle GDPR možné bude, druhá tvrdí, že ne. Já patřím do toho týmu, který si myslí, že bude možné poskytnout slevu výměnou třeba za e-mailovou adresu pro zasílání newsletteru, protože je to dobrovolná výměna.

Jak nařízení dopadne na spotřebitelské soutěže, které se obvykle organizují proto, že se firmy snaží získat kontakty na potenciální zákazníky?

Organizátoři takových soutěží budou muset nově vybírat souhlas pro každý jednotlivý účel zpracování osobních údajů. Jeden účel je samotná marketingová soutěž, další účel je zpracovávání údajů do newsletterů, další účel je zpracovávání výsledků soutěže na sociálních sítích. To doposud nebylo běžné. Když je součástí soutěže pořizování fotek, měli by organizátoři účastníky informovat, kde všude se fotky objeví a jak dlouho tam mohou být zveřejněné.

Máte odezvu od klientů, kolik souhlasů budou muset získat znovu, protože ty, které mají, nesplňují požadavky nařízení?

Většinou všichni všechno. Sankce, které nařízení zavádí, vzbudily velký ohlas, média o tom začala psát, a tím pádem většina podnikatelů zjistila, že existuje nějaký zákon o ochraně osobních údajů, který předepisuje pro zpracování osobních dat určitá pravidla. Takže teď se všichni vzpamatovávají a nastavují si něco, co měli mít už dávno. Řada mých klientů začíná od nuly.

Marketing je široký pojem. Zahrnuje reklamní letáky ve schránce, e-mailing, ale i práci call center. Dopadne nařízení na všechny tyto složky stejně?

Pro call centra budou platit trochu tvrdší pravidla. Měl by vzniknout adresář zakázaných telefonních čísel. A když call centra budou chtít s nabídkou volat na nějaké telefonní číslo, tak si budou muset nejdřív prověřit, jestli to telefonní číslo není v této databázi. Navíc budou muset mít call centra takové telefonní linky, které se budou zobrazovat na mobilu, jakože se jedná o obchodní sdělení. To vyplývá z návrhu nařízení e-Privacy, které má doplnit GDPR.

Řada podnikatelů doposud využívala externí call centra, kterým předávala kontakty na své zákazníky. Bude to možné i po účinnosti nových pravidel?

Ano, bude. V tomto případě je potřeba rozlišovat správce a zpracovatele. Správce je vždycky ta osoba, která zpracovává data za nějakým účelem. Může si k tomu ale vzít pomocníka - tzv. zpracovatele. Pokud já jako správce řeknu, já chci call centrum, ale nebudeme na to mít vlastní kapacity, poptám společnost, která bude provozovat call centrum za mě. Ta společnost bude zpracovatelem. Pokud jí dám data, která využije jen pro práci pro mě, nepotřebuji k tomu souhlasy zákazníků. Pokud by ale jejich osobní údaje naházela do své databáze a zároveň v té databázi bude mít i kontakty na klienty dalších firem, tak pro takové call centrum už je souhlas potřeba.

S marketingem souvisí i oblast public relations. Jak se GDPR projeví tam?

GDPR mluví o novinářích jen v jednom nebo ve dvou článcích s tím, že členské státy EU si budou moci pravidla v této oblasti upravit podle sebe. V českých podmínkách to řeší návrh zákona na ochranu osobních údajů, který se teď dokončuje. Novináři tam budou mít trochu mírnější režim. Například nebudou muset odtajňovat zdroje a stačí také, když si novináři dají na webové stránky informace, jakým způsobem zpracovávají osobní údaje. Nebudou muset jít za lidmi a říkat: my si vás teď vyfotíme do novin, můžeme?

A jak to bude s databázemi PR agentur, které obsahují kontakty na novináře?

PR agentury to nebudou mít tak jednoduché. Kontakty na novináře jsou pořád osobní údaje, takže by měly chtít souhlas pro jejich zpracování. Ne, že si na nějakého novináře najdou kontakt na webu a pošlou mu tiskovou zprávu nebo nabídku témat.

Hrozí podle Vás, že teď v rámci příprav na nové nařízení marketéři a další správci dat zavalí klienty žádostmi o udělení nového souhlasu?

Ano, podle mě je velké riziko, že se spousta marketérů pokusí do května získat nové souhlasy. To povede k tomu, že se v květnu budeme moci všichni zbláznit z newsletterů a raději nebudeme odklikávat souhlasy nikomu. Osobní údaje, pro něž marketéři platný souhlas podle GDPR nemají nebo nezískají, by od 25. května už neměli používat a měli by je ze své databáze smazat.

 

Rozhovor byl publikován v měsíčníku Právní rádce.