Už mi nevolej. Jak vám pomůže GDPR proti nabídkám přes mobil? 29.5.2018

S nařízením o ochraně osobních údajů budou firmy opatrnější při nabízení produktů přes telefonní hovor nebo SMS. Když už nechcete, aby vám něco nabízeli, upozorněte je na to.
Od pátku 25. května 2018 je účinné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR. Má zajistit větší ochranu osobních dat. Praktický dopad má třeba na nabídky přes telefon. Když vám někdo bude nabízet třeba půjčku přes SMS nebo tarif na volání přes hovor na váš mobil a nebude mít od vás souhlas ke zpracování osobních údajů, může mít problém. Spolu s experty poradíme i to, jak se od takových nabídek „odstřihnout“, pokud už je nechcete dostávat.

Kdo vám může nabízet své služby a produkty po telefonu?

GDPR dopadá na telefonické nabídky a nabídky po SMS podobně jako na e-mailová reklamní sdělení. Jak vaše telefonní číslo, tak e-mailová adresa jsou osobním údajem. Společnosti mohou své produkty či služby po telefonu, přes SMS či e-mailem nabízet jen na základě vašeho souhlasu.

"Pouze v případě, že nabízené služby či zboží přímo souvisí se službami či zbožím, které si spotřebitel koupil či které odebírá u daného obchodníka, může mu společnost tato reklamní sdělení někdy nabízet bez souhlasu," vysvětluje Ján Kuklinca, advokát Deloitte Legal.

Pokud si tak koupíte nový mobilní telefon, je prodejce oprávněn vám zaslat například nabídku příslušenství k vybranému přístroji.

"Dále se může stát, že vás osloví marketingová agentura, se kterou má správce údajů (např. váš mobilní operátor) uzavřenou smlouvu, aby vám služby či produkty daného správce nabízela. Pokud vás ale osloví někdo s nabídkou bez toho, abyste s danou společností měli nějaký vztah, může se jednat o porušení předpisů o ochraně osobních údajů. V takové situaci byste se u volajícího měli informovat, jak volající získal vaše osobní údaje a na základě čeho," dodává Kuklinca.

Jak je to se společnostmi, které si data o zákaznících kupují?

Společnosti, které provozují telemarketing, obvykle pracují s telefonními čísly, jež nezískávají přímo od lidí, ale z databází s údaji. "S databázemi údajů tohoto druhu se často obchoduje a data se do nich získávají tak, že zákazníci e-shopů, uživatelé různých webů a dalších služeb zadají svá telefonní čísla a odsouhlasí podmínky zpracování osobních údajů, v nichž je ukrytý souhlas s takovým využitím jejich mobilního čísla," říká Lukáš Zelený, vedoucí právního oddělení časopisu dTest.

GDPR zavádí pro souhlas se zpracováním osobních údajů nově některé podmínky – v tomto případě je zejména důležitý důraz na odlišitelnost souhlasu od ostatních skutečností a na jeho svobodu.

"Subjekt údajů musí jasně vědět, že uděluje souhlas se zpracováním, a souhlasem nesmí být podmíněno například plnění smlouvy. Vzhledem k tomu, že souhlasy ukryté v obchodních podmínkách tato kritéria nesplňují, nelze údaje získané takovouto formou nadále využívat. Aby to bylo možné, musel by být souhlas udělen znovu podle podmínek, které požaduje GDPR," dodává Zelený.

Jak se nechat vymazat?

"Platí, že zákazník musí mít možnost jednoduše (např. prostřednictvím odkazu) se bezplatně odhlásit, resp. odmítnout další zasílání marketingových sdělení. Jedná se typicky o jakékoliv obchodní sdělení a nabídky zasílané na e-mail nebo telefonní číslo zákazníka," říká Gabriela Ivanco ze společnosti Mazars.

GDPR nestanoví jednotný postup pro uplatnění práva na to nebýt dále oslovován s reklamními nabídkami. Jeho uplatnění by ale mělo být stejně jednoduché jako udělení souhlasu.

"Uplatnění tohoto práva se tak bude lišit společnost od společnosti. Obecně bude možné podat takovou žádost např. dopisem, emailem, přes web. V případě telefonického oslovování bude nejspíš rovněž možné volajícímu sdělit žádost o výmaz," říká Kuklinca.

Lidé by si však podle něj měli být vědomi, že uplatněním práva na výmaz nemusí dojít k výmazu veškerých jejich osobních údajů. Když například odejmou operátorovi souhlas pro marketingové akce, ten bude i nadále spravovat jejich údaje ke smlouvě například o tarifu. "Pravděpodobně dojde k výmazu údajů používaných pro účely marketingového oslovování, ale nemusí dojít k výmazu údajů, jež společnost potřebuje pro plnění zákonných povinností či plnění uzavřené smlouvy," dodává Kuklinca.

Bude tedy s GDPR vymazání z marketingových databází jednodušší?

"Takovou možnost znala i dosavadní právní úprava, nicméně GDPR celkově zvyšuje důraz na dodržování pravidel ochrany osobních údajů, takže lze očekávat, že k právům subjektů údajů budou mít společnosti větší respekt," odpovídá Zelený. "Obecně je GDPR vstřícné k elektronické formě komunikace, takže lze komunikovat e-mailem, ale je na místě si veškerou komunikaci uschovat," dodává.

GDPR konkrétně: Tak s osobními daty zacházejí v České spořitelně

"Klient může kdykoliv požádat o přístup ke svým osobním údajům, tedy dostat kopii o svých osobních údajích, které Česká spořitelna zpracovává. Rovněž může požádat o opravu, výmaz či omezení osobních údajů. Tyto kroky lze provést jednoduše komunikačními kanály, které je klient zvyklý používat (e-mail, dopis, telefon, návštěva na obchodním místě)," říká Filip Hrubý, tiskový mluvčí spořitelny.

Kdo nechce být oslovován prostřednictvím telefonu či e-mailu například s nabídkou půjček, může odvolat svůj marketingový souhlas (nebo ho v době podpisu smlouvy vůbec neposkytovat). Může si také na pobočce dohodnout kanály, kterými bude oslovován – například pouze e-mailem.

Česká spořitelna podle Hrubého předává osobní údaje klientů pouze subjektům, se kterými má uzavřenou řádnou smlouvu. Tyto firmy telefonují klientům jménem spořitelny. Jakmile by klient odvolal souhlas s nakládáním osobních údajů pro marketingové účely, tak mu již nikdo z externího call centra volat nebude, dodává Hrubý.

Kde si stěžovat?

"Jestliže bude zákazníkem vyslovena námitka proti zpracování údajů pro účely přímého marketingu (např. že již nechce být kontaktován firmou zabývající se průzkumem trhu), musí být z databáze neprodleně vymazán. Pokud by firma zákazníka i nadále kontaktovala, může podat stížnost Úřadu pro ochranu osobních údajů," říká Ivanco.

Úřad pro ochranu osobních údajů (ÚOOÚ) na dodržování pravidel nakládání s osobními daty dohlížel už před GDPR a dělá to i dále. Stížnost lze podat například prostřednictvím formuláře na internetových stránkách úřadu. Úřad zřídil i speciální telefonickou linku (234 665 800) pro dotazy ohledně GDPR.

Sám ÚOOÚ tento výklad zpřesňuje a se stížnostmi konkrétně na nabídky přes mobil odkazuje na jiný státní úřad. Může se jednat o obtěžující volání a v takovém případě je příslušný věc řešit Český telekomunikační úřad. Pokud by firma evidovala i další údaje a byla povinna je smazat a nesmazala, pak by byla dána i působnost Úřadu pro ochranu osobních údajů, říká zástupce tiskového mluvčího Vojtěch Marcín.

Jaké pokuty firmám hrozí?

Za porušení práv subjektů (tedy v našem případě práv spotřebitelů) může být společnostem uložena pokuta až do výše 20 000 000 EUR či čtyř procent z celkového ročního celosvětového obratu. "Výše reálně uložené pokuty však bude záležet na okolnostech, rozsahu a povaze neoprávněného zpracování osobních údajů," dodává Kuklinca.

"Ze strany ÚOOÚ je deklarováno, že tyto extrémní pokuty jsou mířeny na subjekty, jako jsou velké globální společnosti jako Facebook, Google či Amazon. Sankce by neměly být likvidační pro daného správce, ale měly by být citelné," dodává mluvčí České spořitelny Filip Hrubý.

Nařízení GDPR nevyjmenovává konkrétní prohřešky a k nim konkrétní výši pokuty. "V případě ukládání pokut je vždy nutné pečlivě zohlednit okolnosti případu – například povahu, závažnost a délku trvání porušení GDPR, zda se správce dopustil nějakého jeho porušení už v minulosti nebo jak správce spolupracoval s dozorovým úřadem za účelem nápravy situace," vysvětluje Zelený. Někdy ani na pokutu dojít nemusí. Za nepříliš závažný prohřešek může ÚOOÚ podle Zeleného uložit pouze napomenutí.

Pohled regulátora

Na dodržování pravidel nakládání s osobními daty dohlíží v Česku Úřad pro ochranu osobních údajů. Jak tedy situaci vidí regulátor? Na dotazy Měšce odpovídal zástupce tiskového mluvčího Vojtěch Marcín.

Jak dopadá GDPR na klasické nabídky po telefonu nebo třeba na půjčky nabízené přes SMS? Kdo nyní může takové nabídky rozesílat? Jen ten, kdo má přímý souhlas od spotřebitele ke zpracování jeho osobních údajů?

Ano. Podnikatelský subjekt musí umět doložit, že má od spotřebitele platný souhlas k zasílání marketingových materiálů, který je v souladu s GDPR, ledaže by se jednalo o jeho zákazníka, což v tomto případě dotazu se nejedná. Bez souhlasu může nabídku půjčky zaslat, pokud například o to potenciální zákazník požádá.

Když nebude spotřebitel nadále chtít být v databázi společností, které mu nabízejí věci přes telefon, má s GDPR nové možnosti, jak se z databází těchto společností nechat vymazat? A půjde to podle vás jednodušeji než doposud?

Právo na výmaz se fakticky od minulého zákona o ochraně osobních údajů tolik nezměnilo. Zákazník má pořád právo po podnikatelském subjektu žádat vymazání z jeho databáze kontaktů a chtít, aby mu nevolal.

Kdy může spotřebitel uplatnit své právo na výmaz údajů?

Právo na výmaz je vesměs právo, která říká, že když už správce osobních údajů osobní údaje nepotřebuje k účelům, ke kterým je shromáždil, tak by je měl správce vymazat. Právo na výmaz neznamená, že se spotřebitel může domáhat vymazání osobních údajů, které podnikatel musí vést, například aby plnil zákonem stanovenou povinnost.

A když mu firma bude i nadále přes telefon nabízet své produkty, jak a kde si na ni může stěžovat?

Může se jednat o obtěžující volání a v takovém případě je příslušný věc řešit Český telekomunikační úřad. Pokud by firma evidovala i další údaje a byla povinna je smazat a nesmazala, pak by byla dána i působnost Úřadu pro ochranu osobních údajů.

Jaké hrozí firmám sankce, když osobní údaje nevymažou tam, kde mají?

Sankce Úřadu budou účinné, odrazující, nicméně ne likvidační. Bude záležet na individuálním posouzení každého jednotlivého případu.

Publikováno na serveru mesec.cz dne 29.5.2018