Níže uvádíme doporučení pro správce osobních údajů (tj. podnikatele) k implementaci v oblasti ochrany osobních údajů a ochrany subjektů údajů (tj. jeho zákazníků) před nevyžádanými obchodními sděleními na jejich straně.
Vždy je nezbytné zajistit, aby osobní údaje (včetně těch zpracovávaných v rámci obchodních sdělení a cookies) byly zpracovávány na základě odpovídajících a nejvhodnějších právních důvodů (titulů), zajišťujících legálnost zpracování.
Následující části této přílohy jsou proto koncipovány tak, aby byl vždy identifikován vhodný právní důvod zpracování a aby byla uvedena případná specifika zpracování v konkrétních případech vztahu mezi správcem a subjektem údajů.
Tyto informace nejsou právní radou, nýbrž pouze základními informativními doporučeními pro osoby zpracovávající osobní údaje, jejichž úplnost ani správnost se nezaručuje.
V oblastech, kdy bude docházet ke zpracování osobních údajů „obecně“, tedy nikoli v souvislosti se zasíláním obchodních sdělení či shromažďováním tzv. cookies (srov. níže), se aplikují obecná pravidla o zpracování osobních údajů.
Aby bylo zpracování osobních údajů v souladu s právními předpisy o ochraně osobních údajů, je nezbytné:
Primárně bude veškeré zpracování osobních údajů vztahující se k samotné obchodní činnosti správce realizováno na základě plnění smlouvy se subjektem údajů (zpracování nezbytné pro prodej zboží a poskytování služeb).
Pro rozesílání obchodních sdělení (nejedná se již o zpracování nezbytné pro plnění smlouvy), jejichž podoba je pro všechny subjekty identická nebo navržena na základě historie transakcí daného subjektu, bude možno využít oprávněný zájem správce. Titul oprávněného zájmu je též využíván pro zpracování cookies (ačkoli v budoucnu bude pravděpodobně nezbytné získat výslovný souhlas). Na druhou stranu v případě provádění pokročilé analytiky či dalších operací s osobními údaji, které se svou povahou vzdalují prostému “přímému marketingu”, by bylo nutné získat předchozí souhlas subjektu ke zpracování osobních údajů k těmto účelům - tento souhlas může být např. podmínkou pro zařazení do slevového či věrnostního programu správce.
Je nicméně nezbytné upozornit, že hranice, kdy lze užít pouhý oprávněný zájem namísto souhlasu se zpracováním, není jasně definována (záleží na úvaze a odůvodnění tohoto zpracování ze strany správce) a nelze garantovat, že určité zpracování bude možno na základě oprávněného zájmu realizovat.
Správce musí subjekt v každém případě poučit o tom, že získává jeho osobní údaje, a to bez ohledu na právní základ užitý pro zpracování (plnění smlouvy, oprávněný zájem správce, souhlas subjektu). V případě užití titulu souhlasu není možné tento souhlas vynucovat.
V případě, kdy jsou osobní údaje získávány od subjektů údajů, je nezbytné subjekty údajů informovat o následujících skutečnostech:
Na právo vznést námitku musí být subjekt v případě, kdy je zpracování založeno na oprávněném zájmu správce, výslovně upozorněn, a to zřetelně a odděleně o ostatních informací.
Upozorňujeme, že mezi práva subjektu údajů patří například právo požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení, a již výše uvedené právo podat námitku proti zpracování. Na případné žádosti subjektu o výkon těchto práv je vždy nezbytné adekvátně reagovat, za určených podmínek tak může být například nezbytné přestat zpracovávat osobní údaje pro určité účely nebo osobní údaje zcela vymazat.
Ve vztahu k zasílání obchodních sdělení je nezbytné zajistit soulad s pravidly o ochraně osobních údajů a s obecnou úpravou zasílání obchodních sdělení.
Co se týče pravidel o ochraně osobních údajů, formami zpracování osobních údajů jsou v tomto kontextu jednak samotný akt odeslání obchodního sdělení na e-mailovou adresu subjektu, jednak i veškeré předchozí a následné analýzy chování a případných demografických vlastností subjektu, včetně samotného sběru dat (ať už na základě informací od subjektu nebo jeho sledování na stránkách).
Všechny zmíněné formy zpracování, nehledě na jejich odlišitelnost, však směřují k jednomu společnému cíli, a to marketingové komunikaci ve vztahu k subjektu. Z tohoto důvodu je vhodné tento účel dále neštěpit a zajistit jej společným právním základem (slučování osobních údajů získaných pro odlišné účely je velmi problematické). Odpovídajícím právním základem může být oprávněný zájem správce na podpoře svého podnikání a oslovení subjektů (svých zákazníků), resp. v případě pokročilejší analytiky chování subjektů údajů a monitoringu jejich chování souhlas subjektu.
S využitím oprávněného zájmu jsou spojeny následující důsledky:
Co se dále týče obecné úpravy zasílání obchodních sdělení, jejímž cílem je zamezit zasílání nevyžádaných obchodních sdělení, lze obecně uvést, že pro zajištění souladu s právní úpravou je nutno splnit poměrně přísné podmínky. Subjektům tedy nelze zasílat:
V současné době lze cookies zpracovávat v režimu opt-out. To znamená, že je možné je ukládat do koncového zařízení subjektu a dále zpracovávat bez jeho předchozího výslovného souhlasu; je však nutné jej o této skutečnosti informovat a umožnit mu jejich odmítnutí bez podstatného zhoršení služby (respektive jejích částí, které na cookies nezávisejí).
V případě cookies se obdobně využijí výše popsaná pravidla týkající se námitek proti zpracování, včetně „do not track“ žádostí. Do budoucna je nicméně zvažována implementace režimu opt-in.
V případě, že cookies budou způsobilé přiřazení k některému identifikovatelnému subjektu údajů (např. při monitorování přihlášených subjektů), aplikuje se paralelně úprava ochrany osobních údajů. Tehdy je nutné dodržet všechny povinnosti vztahující se k ochraně osobních údajů (část A), a to včetně opatření právního titulu ke zpracování, splnění informační povinnosti a vyříizování žádostí typu “do not track”.