Udelenie GDPR pokuty za odosielanie newsletterov v ČR

Český úrad pre ochranu osobných údajov udelil nedávno GDPR pokutu za porušenie predpisov o ochrane osobných údajov vo výške 6 miliónov českých korún (približne 220.000 tisíc Eur). Ide o historicky najvyššiu pokutu, akú kedy tento úrad v Českej republike udelil za newslettery.

V čom spočívalo porušenie predpisov o ochrane osobných údajov a ako sa vyvarovať obdržaniu GDPR pokuty?

Nedostatočné preukázanie plnenia povinností

Spoločnosť, ktorej bola udelená táto pokuta, je spoločnosťou zaoberajúcou sa kúpou a predajom ojazdených vozidiel. Porušenie predpisov o ochrane osobných údajov v kombinácií s príslušnými predpismi v oblasti elektronických komunikácií1 spočívalo v opakovanom rozposielaní newsletter-ov elektronickými prostriedkami na rôzne e-mailové adresy bez dostatočného preukázania skutočnosti, že spoločnosti bol adresátmi správ udelený predchádzajúci súhlasu so zasielaným takýchto správ.

Spoločnosť tak porušila svoju povinnosť vychádzajúcu z § 7 odst. 2 českého zákona č. 480/2004 Sb., o některých službách informační společnosti, podľa ktorého posielanie newslettrov elektronickými prostriedkami možno uskutčniť len s predchádzajúcim súhlasom dotknutej osoby.

Podkladom pre vydanie tohto rozhodnutia bola jednak kontrola celej marketingovej kampane tejto spoločnosti, ktorú český úrad na ochranu osobných údajov vykonal, ako aj podnety 5 adresátov nevyžiadaných newsletter-ov. Úrad na ochranu osobných údajov vo svojom rozhodnutí poukázal na nedostatočné preukázanie plenenia povinností spoločnosťou pri získavaní súhlasu dotkntých osôb so spracúvaním ich osobných údajov. Podľa tvrdenia spoločnosti na  získanie súhlasu dotknutých osôb používala 3 postupy:

  • súhlas udelený prostredníctvom telefonického hovoru,
  • súhlas udelený prostredníctvom formulára na webovej stránke spoločnosti a
  • zákaznícky vzťah – kontakt získaný v súvislosti s predajom áut (do tejto kategórie boli zaradení aj potenciálni zákazníci, čo nie je správne riešenie).

Úrad na ochranu osobných údajov v odôvodnení svojho rozhodnutia však skonštatoval, že spoločnosť udelené súhlasy od dotknutých osôb, ktoré mala získavať vyššie uvedenými postupmi,  dostatočne nepreukázala. Spoločnosť v rámci konania uviedla len spôsob, akým súhlasy získava, nebola však schopná preukázať reálne získavanie súhlasov a ich evidenciu.

Spoločnosť sa následne voči rozhodnutiu prvostupňového orgánu odvolala. Úrad na ochranu osobných údajov rozklad podaný spoločnosťou odmietol a napadnuté prvoinštančné rozhodnutie potvrdil pričom skonštatoval, že výška  uloženej sankcie sa pohybuje v zákonných medziach a bola riadne odôvodnená.

Pokuta medzičasom nadobudla právoplatnosť a spoločnosť uloženú pokutu v plnej výške už aj uhradila.

pokuty-gdpr-za-odosielanie-newsletterov-securion

Posielanie newslettrov – ako na to bez GDPR pokuty?

V prípade, ak je spracúvanie osobných údajov založené na právnom základe – súhlase dotknutej osoby, je potrebné pamätať na to, že aj keď Nariadenie GDPR neustanovuje jeho povinnú formu,2 je prevádzkovateľ povinný v každom prípade vedieť preukázať, že súhlas bol skutočne udelený.

V závislosti od zvolenej formy súhlasu je preto potrebné napr. písomne udelené súhlasy dotknutých osôb uchovávať alebo v prípade elektronických súhlasov dostatočným spôsob evidovať napr. „odškrtnutie check-boxu“ a oddeľovať e-mailové databázy, v ktorých sú osobné údaje spracúvané na rôzne účely.

V prípade newslettrov prichádza do úvahy okrem súhlasu ako vhodný právny základ aj oprávnený záujem Prevádzkovateľa. Oprávnený záujem ako právny základ je však možné využiť iba v prípade tzv. klientských newslettrov posielaných v podmienkach Slovenskej republiky v súlade s § 62 ods. 3) zákona o elektronických komunikáciách. V zmysle uvedeného ustanovenia sa predchádzajúci súhlas príjemcu elektronickej pošty nevyžaduje, ak ide o priamy marketing vlastných podobných tovarov a služieb osoby, ktorého kontaktné informácie na doručenie elektronickej pošty tá istá osoba získala v súvislosti s predajom tovaru alebo služieb a v súlade s týmto zákonom alebo s osobitným predpisom.

Uvedené znamená, že osobám, ktorým prevádzkovateľ v minulosti poskytol službu alebo predal tovar, môže posielať newletter na základe svojho oprávneného záujmu, ak sa bude týkať rovnakých alebo podobných tovarov a služieb ako tých, ktoré v minulosti svojím zákazníkom poskytol alebo predal. 

Bez ohľadu na právny základ posielania newslettrov sa príjemcovi elektronickej pošty musí poskytnúť možnosť jednoducho a bezplatne kedykoľvek odmietnuť takúto formu spracúvania jeho osobných údajov (odhlásenie sa z newslettu).

Navyše, oprávnený záujem ako právny základ marketingových aktivít prevádzkovateľa upravuje aj recitál 47 Nariadenia GDPR.

V každom prípade, prevádzkovateľ je povinný pri spracúvaní osobných údajov za účelom posielania newslettru rozlišovať medzi rôznymi kategóriami dotknutých osôb, oddeľovať e-mailové databázy a v prípade (i) „klasických“ newslettrov dôsledne dbať na preukázateľnosť udeleného súhlasu v prípade kontroly a (ii) „klientských“ newlettrov splniť si povinnosti vzťahujúce sa na oprávnený záujem prevádzkovateľa ako právny základ – najmä vykonať tzv. test proporcionality.3

Stanovovanie vhodných právnych základov a plnenie povinností prevádzkovateľov s tým spojených nie je vždy jednoduché. Newsletterom, aj iným náležitostiam GDPR spojeným s prevádzkovaním webovej stránky alebo e-shopu sa venujeme aj v jedom z našich video-školení: GDPR na webovej stránke a e-shope.   O tom, ako sa cez newslettery spracúvajú osobné údaje sme písali v článku o nástroji Mailchimp, ktorý je pre newsletter GDPR „friendly“. Nenechajte nič na náhodu, spracúvajte osobné údaje zodpovedne a rešpektujte možné GDPR pokuty.

V rámci našich služieb poskytujeme aj poradenstvo a vypracovanie GDPR k newsletterom.

GDPR-dokumentacia-securion

 


  1. Úrad na ochranu osobných údajov v ČR vykonáva právomoci v oblasti kontroly podľa príslušného českého zákona o elektronických komunikáciách aj v niektorých oblastiach elektronických komunikácií, napr. v oblasti nevyžiadanej elektronickej komuniké, ČR – „obchodní sdelení“ 

  2. Súhlas je možné udeliť písomne, elektronicky ale aj konkludentným úkonom 

  3. Na posúdenie oprávnenosti sledovaného záujmu a jeho prevahy nad právami a slobodami dotknutých osôb 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.