Kedy je podľa GDPR potrebný súhlas s odberom newslettera?

Nástup GDPR zmenil ochranu osobných údajov v súvislosti s využívaním newslettera ako marketingového nástroja firiem. Kedy je a kedy nie je potrebný súhlas pri odbere newslettera?

Od 25. 5. 2018 museli všetky firmy, ktoré spracúvajú osobné údaje prispôsobiť zber a využívanie osobných údajov novému európskemu nariadeniu označovanému ako GDPR. To sa dotklo aj elektronického odberu noviniek tzv. newsletterov.

Čo je newsletter?

Newsletter v súčasnosti predstavuje jeden z významných nástrojov online marketingu. Je úspešnou komunikačnou metódou, v rámci ktorej sa firma snaží budovať a udržiavať vzťah so zákazníkmi.

Konkrétne ide o zasielanie reklamných informácií prostredníctvom emailu. Inak povedané, ide o reklamný leták, ktorý firma (e-shop) pravidelne zasiela zákazníkom, a to výhradne emailom, teda v elektronickej podobe. Jeho cieľom je informovať zákazníkov o novinách, zľavách či iných akciách.

Je emailová adresa osobným údajom?

Vo všeobecnosti platí, že samotná emailová adresa nie je osobným údajom, pokiaľ nie je spojená s iným údajom, ktorý vedie k presnej identifikácii konkrétnej fyzickej osoby.

Emailová adresa nie je osobným údajom, ak je sama o sebe neurčitá (napr. [email protected]). Naopak bude sa za osobný údaj považovať vtedy, keď je spojená s takým údajom, na základe ktorého je možné fyzickú osobu identifikovať – s menom a priezviskom osoby (napr. [email protected]).

Kedy nie je súhlas pri odbere newslettera potrebný?

Ak má firma vytvorenú databázu existujúcich zákazníkov/klientov, ktorí odoberajú jej produkty, GDPR zasielanie newslettera týmto osobám nijako neovplyvnilo. To znamená, že ich súhlas na zasielanie reklamných letákov formou emailu nie je nutný. Firma im takmôže pravidelne zasielať newsletter na základe jej oprávneného záujmu (práca s existujúcimi zákazníkmi, propagácia tovaru alebo služieb po predchádzajúcom nákupe).

Oprávnený záujem ako právny základ spracúvania osobných údajov (emailu) za účelom rozposielania newslettera sa dá využiť len v prípade, že s konkrétnym zákazníkom už bola firma v predchádzajúcom v zmluvnom vzťahu (predchádzajúca kúpa tovaru alebo služby).

Avšak v zmysle GDPR sa existujúcim zákazníkom na základe oprávneného záujmu firmy (bez súhlasu zákazníka) môžu zasielať len také novinky, ktoré súvisia s produktom, ktorý si predtým zakúpili. Ak firma predáva tovar rôzneho druhu (napr. oblečenie i drogériu), musí si roztriediť nielen databázu zákazníkov, ale aj newslettere. Aj keď súhlas existujúcich zákazníkov v danom prípade nie je potrebný, firma ich vždy musí informovať o účele použitia osobných údajov.

Pokiaľ chce firma existujúcemu zákazníkovi zasielať newsletter o produktoch, ktoré sa netýkajú len jeho predchádzajúcich nákupov, nemôže tak robiť na základe oprávneného záujmu, ale musí od tohto zákazníka získať jeho súhlas na konkrétny účel.

Upozornenie: Je dôležité, aby zákazník vždy mal možnosť odhlásiť sa z odberu newslettera.

Príklad na (ne)potrebnosť súhlasu so zasielaním newslettra

Ivan v e-shope firmy KL s.r.o. nakúpil tovar – fotoaparát. Firma tak od Ivana na základe plnenia kúpnej zmluvy získala jeho emailovú adresu ([email protected]) bez jeho súhlasu. Právnym základom zasielania newslettera Ivanovi na jeho email je oprávnený záujem firmy KL s.r.o. – nie je potrebný súhlas Ivana. Firma mu bez súhlasu môže zasielať newsletter, ktorý by sa ale mal týkať len informácií k produktu, ktorý si predtým zakúpil, t. j. informácií k zakúpenému fotoaparátu. Firma mu môže napríklad posielať informácie o akciách na obal fotoaparátu. Pokiaľ by mu ale firma KL s.r.o. chcela zaslať newsletter týkajúci sa akcií pánskeho oblečenia, musí najprv získať jeho súhlas s takýmto zasielaním.

Kedy je súhlas pri odbere newslettera potrebný?

Po účinnosti GDPR sa zmenil spôsob prihlasovania tretích osôb (návštevníkov webovej stránky firmy) ako nových zákazníkov na odber newslettera. Pôvodne napríklad stačilo, že nový zákazník vyplnil registračný formulár a automaticky tak hneď súhlasil aj s odberom newslettera. Často sa využíval tzv. checkbox (zaškrtávacie políčko), ktorý bol už vopred zaškrtnutý (vopred udelený súhlas zákazníka).

Od 25. 5. 2018 musí každý nový zákazník dať firme súhlas, že chce jej newsletter odoberať. To znamená, že checkbox musí byť prázdny a nový zákazník ho musí sám manuálne zaškrtnúť, t. j. sám musí dať súhlas s odberom newslettera. V tomto prípade už nie je možné zasielať newsletter na základe oprávneného záujmu firmy. Aké náležitosti musí podľa GDPR súhlas spĺňať, sa dočítate v článku Súhlas so spracúvaním osobných údajov podľa GDPR od 25. 5. 2018.

Nesprávne získaný súhlas s odberom newslettera:

• ak bol súhlas zákazníka získaný prostredníctvom obchodných podmienok firmy, napríklad obsiahnutím vety: „Odoslaním záväznej objednávky udeľuje zákazník spoločnosti AB s.r.o. súhlas so spracúvaním jeho emailovej adresy za účelom zasielania newslettera.“
• ak je pod objednávacím/registračným formulárom umiestnený checkbox a vedľa neho text: „Súhlasím so zasielaním newslettra na emailovú adresu“, pričom checkbox je už dopredu zaškrtnutý.

Takto získaný súhlas na zasielanie newsletterov je v rozpore s GDPR, pretože nie je udelený zákazníkom slobodne. GDPR vyžaduje aktivitu zákazníka, aby nemohlo dôjsť k zneužitiu treťou osobou.

Správne získaný súhlas s odberom newslettra:

• modul na zber emailových adries pre zasielanie newslettera - samostatný formulár pre získavanie emailových adries za účelom rozposielania newslettera s uvedením jednoznačnej informácie, že vyplnením emailovej adresy dotknutá osoba súhlasí so zasielaním newslettera
• v nákupnom procese - prázdny checkbox umiestnený pod objednávacím/registračným formulárom a vedľa neho sprievodný text: „Súhlasím so zasielaním newslettera na emailovú adresu“ (checkbox nesmie byť dopredu zaškrtnutý).

Len samotný sprievodný text v znení „Súhlasím so zasielaním newslettera na emailovú adresu“ alebo „Súhlasím s odberom newslettera“ bez odkazu na bližšie informácie o ochrane osobných údajov je však nedostatočný, pretože novému zákazníkovi (potenciálnemu odberateľovi newslettera) neposkytuje potrebné informácie. Je teda vhodné, aby jeho súčasťou bol aj aktívny odkaz na podmienky ochrany osobných údajov, ktoré budú obsahovať všetky povinné náležitosti podľa GDPR.

Upozornenie: Ak zákazník pri objednávke nezaškrtne súhlas so zasielaním newslettera predávajúcej firmy na jeho email, musí mu byť napriek tomu umožnené nakupovať v e-shope.

Rada: Ak bol email zákazníka na zasielanie newslettera pred účinnosťou GDPR získaný na základe vopred zaškrtnutého checkboxu, nevyhovuje tento spôsob aktuálnym požiadavkám GDPR. Preto firmám odporúčame buď opätovne zaistiť súhlas zákazníka zákonným spôsobom (napr. poslanie žiadosti o vyjadrenie súhlasu na odber newslettera na príslušný email zákazníka), alebo zbaviť sa týchto osobných údajov (vymazať ich). Vymazať údaje je nutné aj v prípade, že zákazník odber newslettera dodatočne neodsúhlasil. Dôkazné bremeno, že osobný údaj bol získaný v súlade s GDPR nesie samotná firma ako prevádzkovateľ. V prípade nepreukázania zákonného spôsobu získania súhlasu hrozí firme pokuta.

Netreba zabudnúť na informačnú povinnosť podľa GDPR

Pred udelením súhlasu, resp. pri jeho získavaní musí byť zo strany firmy (prevádzkovateľa) splnená informačná povinnosť. Firma teda musí zákazníka informovať najmä o:

• svojej totožnosti (identifikačné a kontaktné údaje),
• účele spracúvania (odber noviniek/posielanie reklamných letákov mailom) a právnom základe spracúvania osobných údajov (súhlas/oprávnený záujem),
• druhu osobných údajov, ktoré budú spracovávané (emailová adresa, meno, priezvisko a pod.),
• o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii,
• dobe uchovávania osobných údajov (počas trvania odberu newslettera),
• právach zákazníka (kedykoľvek odvolať súhlas, podať návrh na začatie konania na Úrad na ochranu osobných údajov, požadovať prístup k osobným údajom a i.).

Stručný prehľad povinností pri zasielaní newslettera podľa GDPR