Téma získávání souhlasu se zasíláním obchodních sdělení rezonovalo podnikatelskou veřejností nejvíce v roce 2018 s očekávaným příchodem GDPR. Spolu s GDPR totiž přišly upřesňující podmínky, jak získat souhlas. Někteří podnikatelé se s trochou nadsázky (ale ne zas tak moc) dozvěděli, že aby mohli zasílat obchodních sdělení svým ne-zákazníkům, měli by nějaký souhlas mít. O tom, ale dnešní článek není.
Dnešní článek je o jediné věci – tou je odpověď na otázku „musíme používat double opt-in?“.
Jaké jsou povinnosti ze zákona
Pokud chcete posílat e-mailem obchodní sdělení (tedy např. newsletter), můžete tak učinit pouze ve dvou případech. Prvním je poskytnutý výslovný souhlas (tzv. opt-in režim), druhý se týká specifických situací v případě tzv. zákaznické výjimky. Tu ponechme pro tuto chvíli stranou.
Klíčové je, že pokud chcete někomu posílat obchodní sdělení, potřebujete k tomu souhlas. Alespoň takto nám to říká § 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti. Jak má tento souhlas vypadat tento zákon nespecifikuje – v tento moment právě nastupuje GDPR, jehož parametry jsou pro získání souhlasu klíčové.
Hned první podmínka v čl. 7 odst. 1 GDPR je nejdůležitější:
„Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.“
Asi vás nepřekvapí, že tento požadavek ve skutečnosti není nový a takovou povinnost jsme měli prakticky vždy. Jak ale v případě sběru e-mailu na webu chceme doložit, že nám souhlas dal právě subjekt údajů a nikdo jiný? Řešením je double opt-in.
Co je to double opt-in
Pravděpodobně každý dnes ví, co double opt-in je, ale snad jen pro pořádek: Pokud vám adresát dá souhlas a poskytne jeho e-mailovou adresu prostřednictvím webového formuláře, můžeme pro účely tohoto článku takový souhlas označit za „prostý“. Jestliže tomuto kontaktu zašlete konfirmační e-mail pro potvrzení souhlasu a teprve po jeho potvrzení kontakt zařadíte do databáze pro zasílání obchodních sdělení – hovoříme právě o double opt-in.
Oproti „prostému“ souhlasu totiž musí adresát učinit ještě jeden krok a to je právě potvrzení jeho vůle dostávat obchodní sdělení. Jedná se o krok, který může jako držitel e-mailové schránky udělat právě jen adresát.
Jaký je tedy největší rozdíl mezi opt-in a double opt-in? Je to právě kýžená a vyžadovaná doložitelnost. Nemusíme řešit situace, kdy se vám snaží škodit konkurence a do Vaši databáze zadává „toxické“ e-mailové adresy, vydávaje se za adresáty obchodních sdělení. Častěji k tomu může ale dojít zkomolením zadávaného e-mailu.
Jak v takovém případě chcete doložit, že Vám byl platně a účinně poskytnut souhlas?
Změnil se postoj k double opt-in s příchodem GDPR?
Ani ne. Pokud bychom v celém textu GDPR hledali „double opt-in“, hledali bychom marně. Toto téma se spíše díky GDPR otevřelo, než že by v něm přineslo něco až tak nového. Pravdou je, že double opt-in byl odbornou veřejností doporučován již dlouho před příchodem GDPR. Požadavek na doložitelnost souhlasu vyplývá z výše zmíněného zákona – hledat viníka v GDPR můžeme velmi těžko.
V případě udělení souhlasu existují i jiné důkazní prostředky jak při případné kontrole prokázat, že nám adresát udělil souhlas. Pravděpodobně se bude jednat o metadata typu IP adresy nebo jiné informace, které nám umožní adresáta ztotožnit.
V některých případech dokážeme ztotožnit adresáta jako subjekt údajů, který u nás někdy nakoupil. Pak můžeme s jistotou tvrdit, že se jedná o jednu osobu, která učinila dva úkony z nichž jeden bylo udělení souhlasu – jak často ale tohle můžeme říct?
Co si o tom myslí ÚOOÚ
Přihlaste se vy, jejichž koníčkem je pročítání rozhodovací praxe Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) uveřejněné na jeho stránkách. Očekávám, že vás nebude mnoho, proto mi dovolte rychle shrnout přístup k tomuto tématu.
ÚOOÚ každoročně vydává přehled uzavřených kontrol, kde se s námi v jednotlivých případech podělí o název společnosti, kterou v této oblasti kontroloval a daná zjištění. V prvním pololetí roku 2016 byla kontrolovanou společností Česká síť, ze které jsme se mohli dozvědět následující: „V rámci této kontroly doložil kontrolovaný subjekt výpisy z databáze registrovaných uživatelů, které obsahovaly registrované e-mailové adresy, datum a čas jejich registrace a dále také IP adresy, ze kterých byly registrace provedeny.“
Znamená to tedy, že ÚOOÚ uznává i jiné doložení souhlasu, než double opt-in? Spíše ne – v 99% ostatních případů se totiž ÚOOÚ omezuje na jediné konstatování „kontrolovaná osoba nedoložila předchozí udělení souhlasu se zasíláním obchodních sdělení.“
Sám ÚOOÚ na několika místech nabádá k tomu, aby správci/podnikatelé implementovali double opt-in (často v rovině „doporučení“), ale zmínky o tomto mechanismu najdeme i v rozhodovací praxi.
Např. v rámci kontroly společnosti inComputer s.r.o. ÚOOÚ napsal: „Uvedené registrace však měly proběhnout ještě před zavedením dvoustupňového ověření souhlasu (tzv. double opt-in). Kontrolovaná osoba proto nebyla schopna prokázat udělený souhlas, jelikož e-mailová adresa mohla být zadána jinou osobou než uživatelem e-mailu.“ V rámci další kontroly ÚOOÚ „Zjistil, že na zadanou zkušební e-mailovou adresu nebo telefonní číslo nebylo zasláno žádné potvrzení, žádná informace, která by po jejím potvrzení (tzv. double opt-in) prokazovala, že uživatel zadané e-mailové adresy či telefonního čísla je skutečně tou osobou, která tuto registraci provedla a která též v případě zaškrtnutí příslušného pole souhlasila se zasíláním obchodních sdělení.“
Lze tak uzavřít, že ÚOOÚ jako kontrolní orgán poměrně urputně vyzývá k tomu, aby byl double opt-in implementován, přičemž s jinými mechanismy nebývá tak často spokojen (viz nedávné rozhodnutí UOOU- 03916/19-42 a navazující přezkumné rozhodnutí UOOU-03916/19-49).
Závěr
Ačkoliv využití jiné technologie než double opt-in není vyloučeno, ÚOOÚ je v takových případech spíše nesmlouvavý. S pouhým konstatováním, že žádná povinnost implementovat double opt-in v zákoně není, nepochodíme.
Pokud bychom se měli vrátit k otázce výše, tedy „ musíme používat double opt-in?“ – měli bychom si odpovědět, že nemusíme, ale pouštíme se do rizika.