Přímý marketing ve světle nařízení eprivacy a GDPR

1298 1
1298 1

Úvod

Přímý marketing je nedílnou součástí podnikání, pomáhá společnostem šířit svá obchodní sdělení a podporovat tak podnikatelské záměry a maximalizovat zisk. Samotný pojem a jeho výklad je poměrně jasný již z názvu. Přímý, „direct“, marketing se zaměřuje na komunikaci s adresáty, a to pomocí přímého kontaktu. Rovněž se však jedná o jeden z pojmů, se kterým mají podnikatelé, a to i ti zaběhlí, velký problém. Větší zájem o tuto problematiku vzbudily dva nové předpisy, které se přímého marketingu dotýkají. Jedná se o Nařízení Evropského parlamentu a Rady (EU) č. 2016/479 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) a nový návrh Nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích) (dále jen „ePrivacy“). V úvodu je potřeba upozornit, že v případě ePrivacy se stále jedná o návrh a jeho znění se v budoucnu může měnit. V oblasti přímého marketingu však již k žádným velkým změnám nedojde.

Co se považuje za přímý marketing?

Přímý marketing je činnost, jejíž součástí je zasílání přímých marketingových sdělení (kromě toho do přímého marketingu můžeme zařadit určité profilování subjektů, hodnocení úspěšnosti apod.). Nařízení ePrivacy nabízí v článku 4 odst. 3 písm. f) definici přímého marketingového sdělení. Z něj je patrné, co se tím rozumí. Jedná se o formu reklamy, a to jak písemnou, tak ústní, která je zaslána jednomu nebo více identifikovaným nebo identifikovatelným koncovým uživatelům služeb elektronických komunikací. Přímý marketing tak lze provádět například telefonicky, pomocí SMS či prostřednictvím elektronické pošty. Na zasílání fyzických reklamních letáků se ePrivacy vztahovat nebude. Přímý marketing je velmi oblíbeným nástrojem, a to hlavně z důvodu své efektivity a poměrně vysoké úspěšnosti. Oproti plošné reklamě se liší hlavně tím, že se mnohem lépe hodnotí právě jeho úspěšnost a efektivita.[1] S cílením reklamy vždy úzce souvisí zpracování osobních údajů subjektů, na které je zaměřeno. Z tohoto důvodu je potřeba brát v potaz také nařízení GDPR, které bude rozebráno níže.

Jelikož je problematika poměrně široká, zaměří se článek pouze na přímý marketing prováděný zasíláním obchodních sdělení pomocí e-mailu.

Současný stav ve společnostech

V praxi se ukázalo, že současný stav zasílání obchodních sdělení je ve společnostech poměrně tristní. V průběhu praxe jsem se setkal se třemi skupinami společností.

První skupina společností se domnívala, že přímý marketing je možno činit na základě souhlasu se zpracováním osobních údajů. Druhá skupina se zase domnívala, že obchodní sdělení je možno zasílat vždy na základě oprávněného zájmu. Třetí skupina zasílala obchodní sdělení, vedla si databáze kontaktů a žádná pravidla neřešila (toto je ta nejhorší varianta). Článek si klade za cíl vysvětlit první dvě skupiny případů a upozornit, z jakého důvodu není ani jeden z přístupů zcela v pořádku.

Každá společnost, která chce provádět přímý marketing, musí zejména zhodnotit, jakým způsobem jej bude provádět. Je třeba klást důraz na to, aby sdělení byla zasílána transparentním způsobem a aby veškeré potřebné údaje pro zasílání sdělení byly zpracovávány korektně a zákonně.

Přímý marketing a GDPR

Nejprve se na danou problematiku podíváme z pohledu ochrany osobních údajů, tedy z pohledu GDPR. Ač se jedná o poměrně široce pojatý předpis, nalezneme v něm ustanovení, která se přímému marketingu věnují. GDPR přímý marketing nezakazuje, pouze stanovuje základní právní rámec, aby byl prováděn zákonným způsobem. Pravděpodobně nejvíce zavádějící, ale rovněž nejdůležitější, je bod 47 recitálu k GDPR, kde je přímý marketing zmíněn. V tomto bodu je uvedeno, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“

Tato jednoduchá věta způsobila u mnoha společností nemalé problémy. Bez znalosti kontextu přímého marketingu z ní totiž vyplývá, že pokud chce správce provádět přímý marketing, bude tak činit na základě právního důvodu, kterým je oprávněný zájem. Kontext je však odlišný, neboť GDPR není jediný předpis zabývající se danou problematikou. Rozdíly mezi přímým marketingem na základě oprávněného zájmu a na základě souhlasu budou rozebrány níže v textu. U GDPR je rovněž potřeba pamatovat na skutečnost, že se nevztahuje na právnické osoby. Pokud si tedy společnost vede databanky právnických osob, nemusí se starat o zabezpečení a další povinnosti stanovené v GDPR. To však neznamená, že s těmito údaji může nakládat libovolně. Pro zasílání obchodních sdělení je totiž důležitý také jiný předpis, na který se v praxi velmi často zapomíná, a tím je zákon č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů (dále jen „zákon o informační společnosti“), zejména pak § 7 tohoto zákona, který je rozebrán níže.

S GDPR se rovněž pojí rozsah zpracovávaných osobních údajů. Spolek pro ochranu osobních údajů (dále jen „Spolek“) v nedávné době vydal poziční dokument, ve kterém uvádí určitý přípustný rozsah údajů (tento dokument je v době publikace tohoto článku stále otevřen k veřejné konzultaci). Pro účely přímého marketingu a zasílání obchodních sdělení e-mailem je tak dle názoru Spolku možno zpracovávat údaje jako je jméno, příjmení, věk či informace o přečtení pro účel profilování a cílení reklamy.[2] Samozřejmostí je zpracovávání e-mailové adresy. Dle bodu 3 recitálu k ePrivacy by se ustanovení nařízení měla vztahovat rovněž na právnické osoby. I když se tedy GDPR na právnické osoby nevztahuje, doporučuje Spolek nakládat s nimi tak, jako by se na ně vztahovalo (v rozsahu zasílání obchodních sdělení).[3] S tímto postupem zcela souhlasím.

Oprávněný zájem vždy?

GDPR nám tedy říká, že přímý marketing je možno provádět na základě oprávněného zájmu. Jak jsem uvedl, bez hlubší znalosti kontextu se jeví, že je tento titul postačující vždy. Kontext je však odlišný. Kdy tedy může společnost zasílat obchodní sdělení na základě oprávněného zájmu?

V současné době je stále účinná úprava zákona o informační společnosti, která v § 7 upravuje postup, který je třeba při šíření obchodních sdělení dodržet. Podle odst. 2 je možno šířit obchodní sdělení pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Zákon o informační společnosti tak vychází z obecné zásady opt-in (zásada přihlašovací).[4] Z této zásady však existuje výjimka, kdy je v odst. 3 upraven princip opt-out.[5] Obchodní sdělení je tak možno šířit také v případě, kdy fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu v souvislosti s prodejem výrobku nebo služby. Následně je možno využít daného kontaktu pro nabízení obdobných výrobků nebo služeb, a to i bez souhlasu, na základě výše zmíněného principu opt-out. Tento princip znamená, že musí existovat možnost předem odmítnout dostávání takovýchto obchodních sdělení. Určitým způsobem se tedy v případě odst. 3 předpokládá, že zákazník chce dostávat informace vztahující se k obdobným výrobkům nebo službám.

Před vstupem ePrivacy v účinnost je tak potřeba pamatovat na úpravu zákona o informační společnosti, kde je upraveno šíření obchodních sdělení. Tato úprava je často velmi opomíjena a přehlížena.

Na základě oprávněného zájmu tak lze provádět přímý marketing pouze za určitých předpokladů. Pro použití oprávněného zájmu je velmi důležité, aby toto zpracování subjekt údajů očekával. Proto lze oprávněný zájem využít pouze v případech, kdy se jedná o zákazníka, kterému bude správce nabízet zboží či služby podobné zakoupenému zboží či službě. Když si totiž zákazník zakoupí určité zboží, může důvodně očekávat zasílání obchodních sdělení, týkající se obdobných výrobků nebo služeb. Jedná se o vymezenou výseč, ve které je možno využít tohoto právního titulu. Musí tedy existovat zákaznický vztah (viz níže) a pro oprávněný zájem bude nabízena pouze obdobná služba či výrobek. Pokud zákazník zakoupí zájezd u cestovní kanceláře, může očekávat, že bude v přiměřené míře dostávat obchodní sdělení týkající se dalších zájezdů. Je potřeba znovu upozornit, že zákazník musí mít dle § 7 odst. 3 zákona o informační společnosti možnost odmítnout zasílání těchto sdělení před zahájením zasílání. V ostatních případech se již bude muset správce osobních údajů spolehnout na souhlas.

Jak má do budoucna vypadat souhlas?

Nová úprava ePrivacy nám do budoucna přinese jasnější odkaz na náležitosti souhlasu. Právě souhlas se zpracováním podle čl. 9 ePrivacy musí splňovat náležitosti upravené v GDPR. Každý souhlas tak musí být určitý, srozumitelný, informovaný a jednoznačný. Bohužel nepostačí ani starý souhlas se zpracováním osobních údajů. Souhlas tedy musí splňovat náležitosti čl. 4 odst. 11 a čl. 7 GDPR. Jelikož však neexistují náležitosti souhlasu ani v současném zákoně o informační společnosti, je nanejvýš jasné, že souhlas musí již dnes splňovat náležitosti dle GDPR.

Získávání souhlasu je rovněž poměrně problematické. Za obchodní sdělení je totiž, dle Úřadu pro ochranu osobních údajů, nutné považovat také žádost o vyslovení souhlasu se zasíláním obchodních sdělení nebo zaslání prostého odkazu na přístup k internetovým stránkám podnikatele.[6]

Kde je hranice mezi „zákazníkem“ a „nezákazníkem“?

Z recitálu k ePrivacy, přesněji bodu 33, vyplývá, že je možno v kontextu existujícího zákaznického vztahu umožnit používání kontaktních údajů pro elektronickou poštu. Dle mého názoru je tak velmi důležitá právě skutečnost, že vztah již existuje, zákazník si něco zakoupil a na základě toho je zasíláno obchodní sdělení. Ač nařízení obsahuje pojem „v souvislosti“ s prodejem výrobku nebo služby, nedomnívám se, že postačí určitá fáze kontraktace. Dle mého názoru je tak potřeba, aby existoval uzavřený smluvní vztah mezi zákazníkem a zasílatelem obchodního sdělení. Dle některých autorů je však stanovisko opačné, přičemž odkazují na úpravu občanského zákoníků, přesněji na § 2986 odst. 2 zákona č. 89/2012 Sb., občanského zákoníku, který je vykládán tak, že stačí, aby existovala pokročilejší fáze kontraktace.[7] Dle názoru Spolku může být zákazníkem také osoba, která projevila určitý zájem o získání zboží či služby, či osoba, která se registrovala do e-shopu.[8] Osobně se nedomnívám, že tomu tak je, neboť skutečnost, že se zákazník například registruje na e-shopu ještě neznamená, že očekává zasílání obchodních sdělení, ovšem s tímto názorem jdu pravděpodobně „proti proudu“.

Právo vznést námitku proti přímému marketingu

Pokud se tedy jedná o zákazníka, kterému jsou nabízeny obdobné výrobky a služby, musí mít možnost jednoduchým způsobem vznést námitku proti tomuto zasílání. Takto zní čl. 16 ePrivacy. Znění § 7 odst. 3 zákona o informační společnosti, který ještě nereflektuje toto nové právo stanovené v čl. 21 GDPR, hovoří o možnosti jednoduchým způsobem odmítnout souhlas (svým způsobem se však jedná o to samé).

Právo vznést námitku dle GDPR je poměrně zajímavý institut, který by si zasloužit samostatný článek. Obecně je možno vznést námitku hlavně proti zpracování na základě oprávněného zájmu. Často tento institut přirovnávám k institutu odvolání souhlasu. Při uplatnění práva vznést námitku však musí správce prokázat, že má pro zpracování závažné oprávněné důvody. Znamená to tedy, že v některých případech, kdy subjekt údajů vznese námitku proti zpracování, jí nemusí být vyhověno. Přímý marketing je však jedna z výjimek, která potvrzuje toto pravidlo. Právě ustanovení čl. 21 odst. 2 a 3 GDPR hovoří o námitce vůči přímému marketingu. Jedná se o velmi jednoduché odmítnutí, kdy v případě, že subjekt údajů tuto námitku vznese, musí správce se zpracováním pro tyto účely přestat bez dalšího. Již se nezkoumá, zda má správce oprávněný zájem k takovému zpracování či nikoliv.

Nařízení ePrivacy jde stejným směrem jako současný zákon o informační společnosti, ovšem mnohem důkladněji reflektuje terminologii GDPR, kdy již nehovoří o pouhém odmítnutí přímého marketingu, ale o možnosti vznést námitku proti přímému marketingu. Je zde reflektována možnost zpracovávat údaje pro přímý marketing na základě oprávněného zájmu, ovšem rovněž je dodržena možnost přímý marketing jednoduchým způsobem odmítnout.

Shrnutí

Prostor pro využívání oprávněného zájmu v oblasti přímého marketingu je poměrně malý, ovšem existuje. Častěji bude existovat touha posílat širší rozsah sdělení, než pouze sdělení na výrobky a služby, které souvisí s dříve poskytnutým plněním. Z toho důvodu bude často využíván souhlas se zasíláním obchodních sdělení.

Praxe bývá bohužel opačná. Z důvodu nekompetentních informací se spousta subjektů domnívá, že provádět přímý marketing lze na základě oprávněného zájmu a souhlas si tak nezískávají nikdy. Tím však naráží na velký problém, který velmi rád a často kontroluje Úřad pro ochranu osobních údajů.

Příkladů udělení statisícových pokut za zasílání obchodních sdělení bez souhlasu je velké množství[9] a jedná se o jeden velmi častý prohřešek, který provází současnou úpravu.

Do budoucna, tedy po účinnosti ePrivacy, očekávám, že v této oblasti k obrovským změnám nedojde. Zejména s ohledem na mediální dopad GDPR předpokládám, že společnosti, které doposud zasílání obchodních sdělení vůbec neřešily, budou do budoucna dohánět své resty. Jednou se tak možná dočkáme dne, kdy nám přestane přicházet nevyžádaná pošta.

Autor pracuje v advokátní kanceláři.


[1] Direct marketing. Businessinfo.cz [online]. BusinessInfo, publikováno 18. 3. 2011 [cit. 8. 11. 2018]. Dostupné z: https://www.businessinfo.cz/cs/clanky/direct-marketing-2853.html.

[2] Poziční dokument Spolku k zasílání obchodních sdělení. Spolek pro ochranu osobních údajů [online], publikováno 16. 10. 2018, s. 3. Dostupné z: http://www.ochranaudaju.cz/wp-content/uploads/2018/10/stanovisko_obchodni_sdeleni_09102018.docx .

[3] Tamtéž.

[4] MAISNER, Martin. Zákon o některých službách informační společnosti, 1. vydání 2016. In: beck-online [online právní informační systém]. Nakladatelství C. H. Beck [cit. 8. 11. 2018]. ISBN: 978-80-7400-449-0.

[5] Tamtéž.

[6] Takto se k tomu staví například Úřad pro ochranu osobních údajů v základních informacích pro e-shopy. Dostupné zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=31117.

[7] MAISNER, Martin. Zákon o některých službách informační …

[8] Poziční dokument Spolku k zasílání obchodních sdělení. Spolek pro ochranu osobních údajů [online], publikováno 16. 10. 2018, s. 4. Dostupné z: http://www.ochranaudaju.cz/wp-content/uploads/2018/10/stanovisko_obchodni_sdeleni_09102018.docx.

[9] Pro rok 2018 je kontrolní činnost v oblasti nevyžádaných obchodních sdělení k nalezení zde: https://www.uoou.cz/kontrolni-cinnost-v-oblasti-nevyzadanych-obchodnich-sdeleni/ds-5151/archiv=0&p1=5147.

In this article

Join the Conversation