Doporučení pro implementaci na straně správce osobních údajů
Níže uvádíme doporučení pro správce osobních údajů (tj. podnikatele) k implementaci v oblasti ochrany osobních údajů a ochrany subjektů údajů (tj. jeho zákazníků) před nevyžádanými obchodními sděleními na jejich straně.
Vždy je nezbytné zajistit, aby osobní údaje (včetně těch zpracovávaných v rámci obchodních sdělení a cookies) byly zpracovávány na základě odpovídajících a nejvhodnějších právních důvodů (titulů), zajišťujících legálnost zpracování.
Následující části této přílohy jsou proto koncipovány tak, aby byl vždy identifikován vhodný právní důvod zpracování a aby byla uvedena případná specifika zpracování v konkrétních případech vztahu mezi správcem a subjektem údajů.
Tyto informace nejsou právní radou, nýbrž pouze základními informativními doporučeními pro osoby zpracovávající osobní údaje, jejichž úplnost ani správnost se nezaručuje.
Část A – Osobní údaje
V oblastech, kdy bude docházet ke zpracování osobních údajů „obecně“, tedy nikoli v souvislosti se zasíláním obchodních sdělení či shromažďováním tzv. cookies (srov. níže), se aplikují obecná pravidla o zpracování osobních údajů.
Aby bylo zpracování osobních údajů v souladu s právními předpisy o ochraně osobních údajů, je nezbytné:
- stanovit účel a prostředky zpracování (dle konkrétního případu);
- stanovit právní základ, na kterém bude zpracování postaveno (zejména plnění smlouvy se subjektem údajů, popř. pokud nebude možno podřadit zpracování pod plnění smlouvy, bude tímto základem oprávněný zájem správce, popř. v případě nemožnosti užití předchozích dvou titulů bude základem pro zpracování souhlas se zpracováním osobních údajů);
- splnit případné dodatečné povinnosti spojené s daným právním základem (posouzení oprávněnosti zájmu v případě zpracování na základě oprávněného zájmu, upozornění na možnost odvolat souhlas apod.);
- splnit informační povinnost vůči subjektu údajů (viz níže); a
- splnit další obecné povinnosti při zpracování osobních údajů (tedy zejména vedení dokumentace, stanovení organizačních a technických opatření k zabezpečení osobních údajů apod.).
Právní základy (tituly) ke zpracování
Primárně bude veškeré zpracování osobních údajů vztahující se k samotné obchodní činnosti správce realizováno na základě plnění smlouvy se subjektem údajů (zpracování nezbytné pro prodej zboží a poskytování služeb).
Pro rozesílání obchodních sdělení (nejedná se již o zpracování nezbytné pro plnění smlouvy), jejichž podoba je pro všechny subjekty identická nebo navržena na základě historie transakcí daného subjektu, bude možno využít oprávněný zájem správce. Titul oprávněného zájmu je též využíván pro zpracování cookies (ačkoli v budoucnu bude pravděpodobně nezbytné získat výslovný souhlas). Na druhou stranu v případě provádění pokročilé analytiky či dalších operací s osobními údaji, které se svou povahou vzdalují prostému “přímému marketingu”, by bylo nutné získat předchozí souhlas subjektu ke zpracování osobních údajů k těmto účelům - tento souhlas může být např. podmínkou pro zařazení do slevového či věrnostního programu správce.
Je nicméně nezbytné upozornit, že hranice, kdy lze užít pouhý oprávněný zájem namísto souhlasu se zpracováním, není jasně definována (záleží na úvaze a odůvodnění tohoto zpracování ze strany správce) a nelze garantovat, že určité zpracování bude možno na základě oprávněného zájmu realizovat.
Správce musí subjekt v každém případě poučit o tom, že získává jeho osobní údaje, a to bez ohledu na právní základ užitý pro zpracování (plnění smlouvy, oprávněný zájem správce, souhlas subjektu). V případě užití titulu souhlasu není možné tento souhlas vynucovat.
Obsah informační povinnosti
V případě, kdy jsou osobní údaje získávány od subjektů údajů, je nezbytné subjekty údajů informovat o následujících skutečnostech:
- totožnosti a kontaktních údajích správce a jeho případného zástupce;
- kontaktních údajích případného pověřence pro ochranu osobních údajů;
- účelech zpracování, pro které jsou osobní údaje zpracovávány, a právním základu pro zpracování (v tomto případě plnění smlouvy, oprávněný zájem či souhlas subjektu);
- oprávněném zájmu správce (v případě zpracování založeného na oprávněném zájmu);
- případných příjemcích nebo kategoriích příjemců osobních údajů, tedy v tomto případě zpracovatele;
- době, po kterou budou osobní údaje uloženy;
- právu požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i právu na přenositelnost údajů;
- právu odvolat souhlas se zpracováním (v případě zpracování založeného na základě souhlasu);
- právu podat stížnost u dozorového úřadu;
- případném úmyslu správce předat osobní údaje do třetí země a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nařízení GDPR nebo čl. 49 odst. 1 nařízení GDPR druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny;
- skutečnosti, že je zpracování údajů nezbytné pro uzavření smlouvy (v případě zpracování nezbytného pro plnění smlouvy);
- skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 nařízení GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů
Na právo vznést námitku musí být subjekt v případě, kdy je zpracování založeno na oprávněném zájmu správce, výslovně upozorněn, a to zřetelně a odděleně o ostatních informací.
Upozorňujeme, že mezi práva subjektu údajů patří například právo požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení, a již výše uvedené právo podat námitku proti zpracování. Na případné žádosti subjektu o výkon těchto práv je vždy nezbytné adekvátně reagovat, za určených podmínek tak může být například nezbytné přestat zpracovávat osobní údaje pro určité účely nebo osobní údaje zcela vymazat.
Část B – Obchodní sdělení
Ve vztahu k zasílání obchodních sdělení je nezbytné zajistit soulad s pravidly o ochraně osobních údajů a s obecnou úpravou zasílání obchodních sdělení.
Co se týče pravidel o ochraně osobních údajů, formami zpracování osobních údajů jsou v tomto kontextu jednak samotný akt odeslání obchodního sdělení na e-mailovou adresu subjektu, jednak i veškeré předchozí a následné analýzy chování a případných demografických vlastností subjektu, včetně samotného sběru dat (ať už na základě informací od subjektu nebo jeho sledování na stránkách).
Všechny zmíněné formy zpracování, nehledě na jejich odlišitelnost, však směřují k jednomu společnému cíli, a to marketingové komunikaci ve vztahu k subjektu. Z tohoto důvodu je vhodné tento účel dále neštěpit a zajistit jej společným právním základem (slučování osobních údajů získaných pro odlišné účely je velmi problematické). Odpovídajícím právním základem může být oprávněný zájem správce na podpoře svého podnikání a oslovení subjektů (svých zákazníků), resp. v případě pokročilejší analytiky chování subjektů údajů a monitoringu jejich chování souhlas subjektu.
S využitím oprávněného zájmu jsou spojeny následující důsledky:
- povinnost interně posoudit oprávněnost zájmu a toto posouzení mít k dispozici;
- povinnost informovat subjekty údajů; a
právo subjektu údajů vznést námitku proti zpracování a povinnost správce jej na toto právo výslovně upozornit.
Co se dále týče obecné úpravy zasílání obchodních sdělení, jejímž cílem je zamezit zasílání nevyžádaných obchodních sdělení, lze obecně uvést, že pro zajištění souladu s právní úpravou je nutno splnit poměrně přísné podmínky. Subjektům tedy nelze zasílat:
- jakákoli nevyžádaná sdělení zaslaná prostřednictvím e-mailu a/nebo SMS zprávy příjemci bez splnění zákonných podmínek, tj. v praxi zejména bez jeho předchozího souhlasu získaného metodou double-opt in (formou vyplnění formuláře na webu a současně potvrzením zájmu o zasílání těchto sdělení prostřednictvím kliknutí na odkaz v e-mailu či odesláním verifikační SMS);
- jakákoli obchodní sdělení, která neobsahují povinné náležitosti obsahu sdělení;
- jakákoli obchodní sdělení v případě, kdy subjekt odmítl využití svých údajů pro účely zasílání obchodních sdělení, nebo poté, co subjekt odmítl souhlas s využitím jeho elektronického kontaktu pro potřeby šíření obchodních sdělení nebo subjekt uvědomil správce, že si další zasílání obchodních sdělení od tohoto správce nepřeje;
- jakákoli obchodní sdělení, pokud se vztahují k výrobkům nebo službám, které nejsou poskytovány ze strany správce nebo které nejsou obdobné výrobkům či službám, v souvislosti s jejichž prodejem získal správce e-mailovou adresu či telefonní číslo subjektu, pokud s tímto subjekt nevyjádřil předchozí souhlas.
Část C – Cookies
V současné době lze cookies zpracovávat v režimu opt-out. To znamená, že je možné je ukládat do koncového zařízení subjektu a dále zpracovávat bez jeho předchozího výslovného souhlasu; je však nutné jej o této skutečnosti informovat a umožnit mu jejich odmítnutí bez podstatného zhoršení služby (respektive jejích částí, které na cookies nezávisejí).
V případě cookies se obdobně využijí výše popsaná pravidla týkající se námitek proti zpracování, včetně „do not track“ žádostí. Do budoucna je nicméně zvažována implementace režimu opt-in.
V případě, že cookies budou způsobilé přiřazení k některému identifikovatelnému subjektu údajů (např. při monitorování přihlášených subjektů), aplikuje se paralelně úprava ochrany osobních údajů. Tehdy je nutné dodržet všechny povinnosti vztahující se k ochraně osobních údajů (část A), a to včetně opatření právního titulu ke zpracování, splnění informační povinnosti a vyříizování žádostí typu “do not track”.