ÚOOÚ reagoval na dotaz APEK a vyjádřil se k pravidlům přímého marketingu ve vztahu k GDPR. Potvrdil formu opt-out pro zákazníky e-shopů

Publikováno: 04. červen 2018

Asociace pro elektronickou komerci (APEK) v předchozích dnech na základě opakujících se dotazů svých členů kontaktovala Úřad pro ochranu osobních údajů (ÚOOÚ) ohledně pravidel pro zasílání obchodních sdělení zákazníkům ve vztahu k obecnému nařízení na ochranu osobních údajů (GDPR). Úřad pak v pátek 1. června vydal na toto téma vyjádření, ve kterém mimo jiné potvrdil, že u svých zákazníků e-shopy mohou uplatnit princip opt-out místo dalšího aktivního souhlasu nakupujícího. Jak tedy postupovat v souladu s ÚOOÚ?

Musíme získat aktivní souhlas zákazníků se zpracováním osobních údajů pro účely zasílání newsletterů? Stačí mít informace v obchodních podmínkách? Je princip opt-out v pořádku? Takové dotazy přicházely nejen ze strany členů APEK v uplynulých týdnech ve vztahu k nově účinnému obecnému nařízení na ochranu osobních údajů (GDPR). „K problematice existuje několik právních výkladů. Proto jsme se podobně jako další subjekty obrátili na ÚOOÚ s žádostí o vyjádření, abychom předešli případným budoucím sporům. Úřad v pátek 1. června vydal prohlášení, které situaci kolem obchodních sdělení upřesňuje,“ říká výkonný ředitel APEK Jan Vetyška.

Aktivní souhlas ne, opt-out ano

Z vyjádření ÚOOÚ vyplývá, že obchodník nemusí pro účely zpracování osobních údajů při zasílání obchodních sdělení vyžadovat aktivní souhlas zákazníka, jelikož ten „při nákupu výrobku či služby může odůvodněně očekávat, že mu obchodník zašle obdobnou nabídku.“ Obchodník ovšem nesmí zapomenout na splnění informační povinnosti, která se ke zpracování osobních údajů pro marketingové účely vztahuje. „E-shop by měl informovat o tomto konkrétním účelu zpracování v souladu s novým nařízením. Současně by měl také popsat, jakým způsobem může zákazník „vznést námitku“, tedy odmítnout souhlas – a tím i zasílání newsletteru,“ říká Jan Vetyška a doplňuje: „Domníváme se, že o způsobu odmítnutí dalšího zpracování osobních údajů lze informovat zákazníky v rámci obchodních podmínek. O samotném zpracování a souvisejících podrobnostech bychom ale měli informovat odděleně.

Jak tedy nastavit procesy v e-shopu?

V souladu s vyjádřením ÚOOÚ a také se zákonem č. 480/2004 Sb., o některých službách informační společnosti, se domníváme, že klíčové z pohledu e-shopu je umožnit zákazníkovi odmítnout zasílání  obchodních sdělení před jeho prvním odesláním. To platí v případě, kdy obchodník nemá k dispozici zvláštní souhlas zákazníka se zasíláním takových sdělení v souladu s § 7 odst. 2 zákona č. 480/2004 Sb.   Než tedy zašle obchodník zákazníkovi první newsletter, měl by mu umožnit jednoduchou formou vyjádřit nesouhlas. A samozřejmě musí umožnit odmítnutí souhlasu se zasíláním obchodních sdělení v každém dalším newsletteru.

ÚOOÚ ve svém prohlášení navrhuje implementovat zaškrtávací políčko v rámci e-shopu, prostřednictvím kterého by zákazník mohl odmítnout souhlas se zpracováním osobních údajů pro účely přímého marketingu. Přičemž umístění takového zaškrtávátka do nákupního košíku před odesláním objednávky je zřejmě nejkonzervativnějším řešením, které může obchodník aplikovat. Pro e-shopy by však takový přístup mohl mít poměrně negativní dopady,“ shrnuje Jan Vetyška a zamýšlí se nad příznivějšími řešeními pro obchodníky: „Domníváme se, že odmítnutí zasílání obchodních sdělení by mohl obsahovat například e-mail s potvrzením objednávky. Zákazník by měl díky tomu možnost využít svého práva ještě před zasláním prvního obchodního sdělení. Současně by obchodník nemusel doplňovat do nákupního košíku další políčko. Jinou variantou pak může být umístění interaktivního odkazu přímo do obchodních podmínek, což ÚOOÚ zmiňuje. To však nevnímáme jako příliš praktické a zcela v souladu s platnými právními předpisy.

V případě, že e-shop zvolí umístění zaškrtávacího políčka například do nákupního košíku, může formulace příslušné základní informace znít například:

 „Nesouhlasím se zpracováním osobních údajů pro zasílání newsletteru.“

V případě, že e-shop navíc využívá služeb nákupních rádců, kteří jeho jménem zasílají žádost o hodnocení, může formulovat informace v tomto duchu:

„Nesouhlasím se zpracováním osobních údajů a dotazníku spokojenosti s vyřízením objednávky.“

Tato informace by měla obsahovat odkaz na kompletní dokument s informacemi v souladu s novým nařízením.

Výklady se stále upravují, e-shopy musí sledovat vývoj

Vývoj kolem výkladů a úprav souvisejících s GDPR bude APEK i nadále intenzivně sledovat. Především s ohledem na neustálé změny je nutné přistupovat i k nastavení e-shopů a interních procesů aktivně. „Našim členům budeme i během následujících měsíců přinášet informace o legislativních i výkladových novinkách. Je třeba si uvědomit, že obecné nařízení o ochraně osobních údajů předpokládá průběžnou činnost správce údajů. S tou bude APEK členům nadále pomáhat ,“  uzavírá Jan Vetyška.