ManažmentOchrana osobných údajov/GDPRPodnikaniePrávo a legislatíva xa Publikované 12. septembra 2018 zobraziť celý profil

Elektronické zasielanie noviniek (newsletterov = hromadných e-mailov) je v súčasnosti veľmi rozšírený, obľúbený a rýchly nástroj marketingu. Cieľom newsletterov je poskytnúť zákazníkom informácie o rôznych novinkách, akciách, zľavách a pod. Podľa aktuálnej legislatívy však nie je možné zasielať novinky bez splnenia určitých podmienok, ktoré si ozrejmíme v tomto článku.

Odosielanie newsletterov v praxi

Pri zasielaní newsletterov dochádza k spracúvaniu osobných údajov dotknutých osôb (zákazníkov) zo strany prevádzkovateľa (podnikateľa, predávajúceho, dodávateľa). Štandardne sa spracúvajú osobné údaje v rozsahu meno, priezvisko, e-mailová adresa. Je preto potrebné vysporiadať sa s problematikou spracúvania osobných údajov v tejto oblasti.

Prevádzkovateľ môže spracúvať osobné údaje len na základe relevantného právneho základu, ktorý vyplýva z Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – GDPR). Môže ním byť napríklad súhlas dotknutej osoby, plnenie zmluvy, zákonná povinnosť prevádzkovateľa či jeho oprávnený záujem.

  1. Oprávnený záujem prevádzkovateľa

Vychádzajúc z GDPR, spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

Avšak pri zasielaní noviniek možno oprávnený záujem ako právny základ pre spracúvanie osobných údajov použiť iba vo vzťahu k existujúcim zákazníkom, pokiaľ kontaktné údaje zákazníka boli získané v súvislosti s predchádzajúcim predajom tovaru alebo služieb prevádzkovateľa a tiež v súlade s osobitnými právnymi predpismi.

Čo to vlastne znamená? Prevádzkovateľ nemôže svojvoľne posielať newsletter akýmkoľvek zákazníkom či potenciálnym zákazníkom. Rovnako nemôže za takýmto účelom využívať akékoľvek dostupné databázy. Oprávnený záujem na jeho strane môže existovať len vtedy, ak oslovuje existujúcich zákazníkov pod podmienkou, že im ponúka obdobné tovary alebo služby ako boli tie, ktoré si už zákazník u neho predtým objednal.

Príklad:
Ak prevádzkovateľ predáva na e-shope rôzne kategórie tovarov, napríklad odevy a bižutériu, databáza vlastných zákazníkov musí byť rozdelená tak, aby boli newslettre zasielané iba v tej kategórii, v ktorej si zákazník zakúpil tovar, t.j. zákazníkovi, ktorý si objednal šaty, nemožno zasielať reklamu či novinky týkajúce sa bižutérie.

Zároveň zákazníkovi musia byť poskytnuté všetky informácie týkajúce sa spracúvania osobných údajov, najmä kto ich spracúva, aké údaje sa spracúvajú, po akú dobu, za akým účelom, aké má dotknutá osoba práva a pod. Všetky náležitosti, ktoré majú informácie obsahovať sú uvedené v článku 13 a 14 GDPR. Preto odporúčame oboznámiť sa s uvedenými ustanoveniami a nastaviť procesy tak, aby plnenie povinnosti poskytovania informácií bolo v súlade s nimi.

K uvedenému dopĺňame aj to, že ak sa na zasielanie reklamných noviniek používa aplikácia MailChimp, je potrebné vysporiadať sa aj s otázkou prenosu osobných údajov mimo Európskej únie.

Voči vyššie uvedenému spracúvaniu osobných údajov má zákazník ako dotknutá osoba vždy právo namietať. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.
V tomto smere odporúčame, aby v každom e-maili bola zákazníkovi poskytnutá možnosť odhlásiť sa z odberu newslettera.
V prípade, ak sú dodržané uvedené podmienky, prevádzkovateľ spracúva osobné údaje na základe jeho oprávneného záujmu.

  1. Súhlas dotknutej osoby

Pokiaľ však nejde o zasielanie noviniek existujúcim zákazníkom zamerané na vlastné podobné tovary či služby, ako tie, ktoré si už zákazník objednal, kúpil či využil, je nevyhnutné, aby prevádzkovateľ získal od dotknutej osoby súhlas so spracúvaním jej osobných údajov.

V prípade, že by súhlas dotknutej osoby prevádzkovateľ nezískal a newsletter by takej osobe zasielal, jednalo by sa o tzv. nevyžiadanú poštu (spam) a také konanie prevádzkovateľa by mohlo byť sankcionované finančnými pokutami, ktoré vedia zaťažiť jeho rozpočet.
Súhlas dotknutej osoby na marketingový účel, resp. účel zasielania noviniek musí spĺňať nasledujúce kritériá. Súhlas musí byť

  • preukázateľný – prevádzkovateľ musí byť schopný vždy preukázať, že mu zákazník súhlas udelil,
  • výslovný – zákazník musí vykonať aktivitu, ktorou vyjadrí, že má záujem o zasielanie newsletterov. Napríklad zaškrtne políčko (checkbox) s popisom „Súhlasím s odberom newsletteru“. Vopred zaškrtnuté/označené políčko alebo nečinnosť zákazníka by sa preto nemali pokladať za platne daný súhlas.,
  • slobodný a dobrovoľný –k súhlasu nemôže byť zákazník akokoľvek nútený. Zákazník samostatne a slobodne zváži či má alebo nemá záujem súhlas udeliť. Zákazník má vždy možnosť súhlas neudeliť a neudelenie súhlasu nemôže byť spojené s nepriaznivými následkami (napr. že sa mu tak znemožní objednať si tovar či službu).,
  • informovaný – pri získavaní osobných údajov musí prevádzkovateľ dotknutej osobe poskytnúť informácie týkajúce sa spracúvania osobných údajov, na ktoré sme poukázali vyššie a ktoré vyplývajú z článku 13 a 14 GDPR. Odporúčame priamo pri zaškrtávacom políčku umiestniť aktívny odkaz na dané informácie, ktoré prevádzkovateľ zverejní na svojej webovej stránke.,
  • jednoznačný a konkrétny – súhlas by mal byť formulovaný tak, aby nevznikli pochybnosti o jeho obsahu, resp. čo sa ním má dosiahnuť. Tiež by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané prevádzkovateľom na konkrétny účel. Ak sa spracúvanie vykonáva na viaceré účely, súhlas by sa mal udeliť na všetky tieto účely.

Dotknutá osoba má právo svoj súhlas kedykoľvek odvolať. Odvolanie súhlasu však nemá vplyv na zákonnosť spracúvania pred jeho odvolaním.

Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Znamená to, že ak zákazník zaškrtával políčko, čím prejavil súhlas so spracúvaním osobných údajov, mal by mať možnosť odvolať súhlas takým istým spôsobom. Veľmi osvedčený model je v každom e-maili poskytnúť zákazníkovi možnosť zrušiť odber noviniek. Od okamihu zrušenia odberu prevádzkovateľ nie je oprávnený zákazníkovi zasielať reklamné e-maili. 

Záverom poukazujeme na to, že predtým ako zašlete svojmu existujúcemu alebo potenciálnemu zákazníkovi newsletter, posúďte na akom právnom základe by ste spracúvali jeho osobné údaje spojené zo zasielaním noviniek.

Všeobecne platí, že pri existujúcich zákazníkoch môžete zasielať novinky týkajúce sa podobných tovarov či služieb, ako si už predtým objednali, a to na základe oprávneného záujmu. V ostatných prípadoch je potrebný súhlas dotknutej osoby.

Okrem toho pri nastavení interných procesov pre zasielanie newsletterov odporúčame vychádzať z viacerých právnych predpisov, najmä z GDPR, ale aj napríklad zo zákona č. 147/2001 Z. z. o reklame, zákona č. 22/2004 Z. z. o elektronickom obchode, zákona č. 351/2011 Z. z. o elektronických komunikáciách). 
 
Veríme, že sa vám podarí zosúladiť vaše podnikanie a vykonávané činnosti s vyššie uvedenými odporúčaniami a právnymi predpismi a zasielanie noviniek pre zákazníkov bude pre obidve strany prínosom.

Máte otázky k téme GDPR? Pridajte sa do diskusného fóra => GDPR – ochrana osobných údajov