Články
Právo IT
Sdílet

Zpracování osobních údajů na základě tzv. oprávněného zájmu (pro účely zasílání obchodních sdělení)

13. 4. 2020
4 minuty čtení

Nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“) i český zákon o některých službách v informační společnosti umožňují v některých případech zasílání obchodních sdělení bez předchozího výslovného souhlasu adresáta. Otázkám souvisejícím se zpracováním osobních údajů (pro účely zasílání obchodních sdělení) na základě souhlasu jsme se blíže věnovali v právním oběžníku 1/2018. V tomto právním oběžníku se budeme věnovat právě problematice zpracování osobních údajů pro účely zasílání obchodních sdělení na základě tzv. oprávněného zájmu (dle čl. 6 odst. 1 písm. f) nařízení).

V ustanovení čl. 6 odst. 1 písm. f) nařízení je konkrétně zakotveno, že zpracování (osobních údajů) je zákonné, pokud „je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.“ Právním základem takového zpracování je tedy oprávněný zájem příslušného správce či třetí osoby. Bod 47 recitálu nařízení k tomuto ustanovení doplňuje, že „tento oprávněný zájem by mohl být dán například v situaci, kdy existuje relevantní a odpovídající vztah mezi subjektem údajů a správcem, například pokud je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby. Existenci oprávněného zájmu je v každém případě třeba pečlivě posoudit, včetně toho, zda subjekt údajů může v okamžiku a v kontextu shromažďování osobních údajů důvodně očekávat, že ke zpracování pro tento účel může dojít. Zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekt údajů jejich další zpracování důvodně neočekává… Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“

V případě zpracování osobních údajů na základě oprávněného zájmu by mělo být ze strany správce provedeno posouzení oprávněného zájmu (legitimate interests assessment), včetně tzv. balančního testu, kde jsou porovnávány oprávněné zájmy obou stran. Podle neformálního vyjádření Úřadu pro ochranu osobních údajů by mělo toto posouzení oprávněného zájmu vyjít ve prospěch obchodníka v těch případech, kdy jsou z jeho strany dodržovány všechny požadavky stanovené zákonem o některých službách informační společnosti.

V této souvislosti je možné zejména zmínit požadavky dané ustanovením § 7 odst. 3 zákona o některých službách informační společnosti, tedy, že adresátem obchodního sdělení musí být dřívější zákazník obchodníka, že zasílaná obchodní sdělení se musí týkat obdobných výrobků nebo služeb (které zákazník dříve zakoupil) a že „zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma … odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.“ Tomuto posledně zmiňovanému požadavku je vhodné věnovat zvýšenou pozornost, neboť se jedná o provedení směrnice Evropského parlamentu a Rady 2002/58/ES (dále jen „směrnice“), která obsahuje přesnější specifikaci zmiňované povinnosti, než národní úprava, nicméně výklad české národní úpravy by měl znění směrnice odpovídat. Směrnice stanoví, že zákazníkům musí být „jasně a zřetelně poskytnuta možnost zdarma a jednoduchým způsobem nesouhlasit s takovým využitím podrobností jejich elektronického kontaktu v době, kdy se shromažďují…“ To tedy ve svém důsledku znamená povinnost přidat check-box pro případný opt-out zákazníka již při sběru jeho kontaktních údajů.

Ustanovení § 7 odst. odst. 4 zákona o některých službách informační společnosti pak doplňuje, že „zaslání elektronické pošty za účelem šíření obchodního sdělení je zakázáno, pokud a) tato není zřetelně a jasně označena jako obchodní sdělení, b) skrývá nebo utajuje totožnost odesílatele, jehož jménem se komunikace uskutečňuje, nebo c) je zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.“

V případě, že se obchodník rozhodne ke zpracování osobních údajů na základě oprávněného zájmu, musí splnit požadavky GDPR související se zpracováním osobních údajů na takovémto právním základě, přičemž nesmí opomenout regulaci danou zákonem o některých službách v informační společnosti.

Josef Aujezdský, advokát

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 06/2018 určený členům tohoto spolku.

Vstupte

K dalšímu čtení

Právo IT

Digital Services Act (Nařízení o digitálních službách) – Základní informace

19. 10. 2024

>
Právo IT

Rozhodnutí ve věci C‑311/18 – Schrems II – předávání osobních údajů do USA

21. 8. 2022

>