Denník N

Nevyžiadané e-maily a GDPR

S príchodom GDPR je potrebné opäť raz sa zorientovať v problematike ochrany osobných údajov. Tentokrát sa budem zaoberať nevyžiadanými e-mailami. Pri nevyžiadaných e-mailoch si ale treba v prvom rade položiť otázku, do akej miery je táto problematika vôbec doménou GDPR. Tak, ako by povedal Mr. Peanutbutter, „Let’s find out!“

GDPR nie je jediná úprava spracúvania osobných údajov

Ak si nakladanie s osobnými údajmi predstavíme ako množinu, do ktorej zahrnieme úplne všetky spôsoby získavania a používania osobných údajov na Slovensku, tak GDPR s účinnosťou od 25.5.2018 z veľkej časti túto množinu pokrylo, nie však z celej. Kým väčšina spôsobov získavania a používania osobných údajov je jasne zaraditeľná pod konkrétnu právnu úpravu, pri niektorých operáciách s osobnými údajmi nie je úplne jasné, kade presne vedie hranica medzi časťou množiny, ktorú pokrýva GDPR a časťou, ktorú nepokrýva a ktorá je teda pokrytá jednak novým slovenským zákonom o ochrane osobných údajov č. 18/2018 Z. z. (účinný rovnako ako GDPR od 25.5.2018) a inými právnymi predpismi, napríklad zákonom č. 351/2011 Z. z. o elektronických komunikáciách (ďalej v texte ho budem označovať ako „ZEK“).

Smernica 2002/58/ES

Z legislatívy EÚ problematiku osobných údajov v kontexte elektronických komunikácií upravuje smernica číslo 2002/58/ES[1] (ďalej v texte ju budem označovať ako „smernica“). GDPR upravilo svoj vzťah voči smernici tak, že GDPR „neukladá dodatočné povinnosti, pokiaľ ide o spracúvanie v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v EÚ v prípadoch, keď podliehajú konkrétnym povinnostiam s rovnakým cieľom stanoveným v smernici.“[2]

Na rozdiel od nariadenia, ktoré je priamo účinné pre každý členský štát EÚ, smernica nie je priamo účinná a na to, aby z jej obsahu vyplynuli osobám konkrétne práva a povinnosti, je potrebné, aby každý štát EÚ prijal zákon, ktorý obsahovo prevezme obsah smernice a takto ho prenesie do konkrétnych priamo záväzných práv a povinností pre svoje územie. GDPR, keďže je nariadením, je na Slovensku priamo účinné a teda ak ide o nakladanie s osobnými údajmi, na ktoré sa vzťahuje GDPR, stačí sa pozrieť priamo do GDPR a nie je treba hľadať v slovenskej legislatíve. Na druhej strane, ak ide o nakladanie s osobnými údajmi, na ktoré sa GDPR nevzťahuje (ale vieme, že sa naňho vzťahuje smernica), musíme sa pozrieť do slovenského zákona, ktorý smernicu transponuje do slovenského právneho poriadku.

Problematiku nevyžiadaných e-mailov upravuje článok 13 smernice a na § 62 ZEK, ktorým je čl. 13 smernice transponovaný do slovenského právneho poriadku.

Nevyžiadané e-maily podľa smernice resp. podľa ZEK

Podľa § 62 ods. 3 ZEK, „predchádzajúci súhlas príjemcu elektronickej pošty podľa odseku 2 sa nevyžaduje ak ide o priamy marketing vlastných podobných tovarov a služieb osoby, ktorého kontaktné informácie na doručenie elektronickej pošty tá istá osoba získala v súvislosti s predajom tovaru alebo služieb a v súlade s týmto zákonom alebo s osobitným predpisom. (Osobitným predpisom je na tomto mieste § 4 ods. 6 zák. č. 22/2004 Z. z. o elektronickom obchode. – pozn. MK) Príjemcovi elektronickej pošty sa musí poskytnúť možnosť jednoducho a bezplatne kedykoľvek odmietnuť také používanie kontaktných informácií v čase ich získavania a pri každej doručenej správe ak také použitie predtým neodmietol. Je zakázané zasielanie elektronickej pošty, z ktorej nie je známa totožnosť a adresa odosielateľa, na ktorú môže príjemca zaslať žiadosť o skončenie zasielania takých správ, a nabádanie k návšteve webového sídla v rozpore s osobitným predpisom.“

Podľa citovaného ustanovenia, nevyžiadané e-maily možno zasielať iba vtedy, ak ide o ponúkanie vlastných produktov osobe, ktorej kontaktné údaje odosielateľ získal v súvislosti s poskytnutím svojho produktu adresátovi v súlade so ZEK alebo so zák. č. 22/2004 Z. z. o elektronickom obchode. V každom nevyžiadanom maily je odosielateľ povinný umiestniť checkbox, ktorého zakliknutím adresát zasielanie nevyžiadaných e-mailov odmietne resp. zruší (OPT OUT). Odosielateľ je povinný toto rozhodnutie adresáta rešpektovať.

Toto ustanovenie je aplikovateľné na zasielanie marketingových informácií podnikateľmi spotrebiteľom. Podľa môjho názoru možno uvedené ustanovenie vzťahovať aj na prípady, kedy obsahom nevyžiadaného e-mailu nie je marketing produktov, ale napríklad informovanie darcov o spôsobe využitia príspevkov, ktoré od nich vyzbierala nezisková organizácia.

Nevyžiadané e-maily podľa GDPR

Hoci je problematika posielania marketingu jasne upravená v smernici (a na jej základe v ZEK) a GDPR na túto úpravu jasne odkazuje[3], GDPR zároveň uvádza, že „spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem“[4]čím vlastne hovorí, že na tento účel sa vzťahuje (aj) čl. 6 ods. 1 písm. f) GDPR, teda že takéto spracúvanie možno považovať za oprávnený záujem odosielateľa. Týmto radí posielanie marketingu pod iný právny režim, a to režim GDPR, z čoho prevádzkovateľovi (odosielateľ v jazyku GDPR) vyplývajú povinnosti ako napr. informačná povinnosť[5], ale na druhej strane mu odpadá povinnosť do nevyžiadaných e-mailov umiestňovať checkbox na zrušenie odberu.

Okrem toho GDPR[6] určuje podmienky, na základe ktorých možno určiť, aké narábanie s osobnými údajmi okrem ich použitia na marketing možno považovať za oprávnený záujem prevádzkovateľa a tieto podmienky sú v zásade podobné ako tie v smernici – medzi prevádzkovateľom a adresátom musí existovať primeraný vzťah, napr. predávajúci a zákazník, zároveň musia byť zohľadnené primerané očakávania adresáta vo vzťahu k prevádzkovateľovi (napr. mal by mať s ním pozitívnu skúsenosť, zasielané e-maily sa musia týkať produktu, ktorý adresát od prevádzkovateľa odobral) a zároveň nad záujmom prevádzkovateľa zasielať maily nesmú prevažovať záujmy adresáta (vychádza sa o. i. z toho, že záujmom adresáta je nedostávať prehnané a obťažujúce množstvo nevyžiadaných e-mailov).

EÚ pripravuje ďalšie nariadenie, ktoré má nahradiť smernicu rovnako ako GDPR nahradilo smernicu 95/46/ES[7]. Preto možno očakávať, že terajší nejasný stav bude napravený novým nariadením, ktoré dá tejto úprave jasné mantinely.

Problematický §62 ods. 3 ZEK

Aby zmätku nebolo málo, ďalší problém vznikol tak, že Slovensko neupravilo ZEK tak, aby zohľadnil vstup GDPR do účinnosti. Článok 13 ods. 2 smernice znie: „Bez ohľadu na odsek 1, keď fyzická alebo právnická osoba získa od zákazníkov ich elektronické kontaktné údaje pre elektronickú poštu v súvislosti s predajom produktu alebo služby, a v súlade so smernicou 95/46/ES, tá istá fyzická alebo právnická osoba môže použiť tieto elektronické kontaktné údaje na priamu reklamu svojich vlastných podobných produktov alebo služieb za predpokladu, že zákazníkom bola jasne a jednoznačne poskytnutá možnosť bezplatne a jednoduchým spôsobom protestovať proti takému použitiu elektronických kontaktných údajov pri ich zhromažďovaní a pri každej správe v prípade, že zákazník také použitie predtým odmietol.“

Smernica ustanovuje, že osobné údaje, ktoré boli získané v súvislosti s predajom produktu a ktoré majú byť použité na reklamu, museli byť získané v súlade so smernicou 95/46/ES. Podľa GDPR[8], odkazy na smernicu 95/46/ES, ktorú GDPR zrušilo[9], sa považujú za odkazy na GDPR. Teda, smernica od 25.5.2018 v čl. 13 ods. 2 odkazuje na GDPR.

Napriek tomu, § 62 ods. 3 ZEK, ktorým je smernica transponovaná, nezohľadnil uvedenú zmenu a odkazuje stále na § 4 ods. 6 zák. č. 22/2004 Z. z. o elektronickom obchode a sám na seba (pravdepodobne na § 56 ods. 1 ZEK, podľa ktorého sa na práva a povinnosti prevádzkovateľa, ktoré nie sú upravené v ZEK, vzťahuje už dávno neúčinný zák. č. 428/2002 Z. z. o ochrane osobných údajov). Ak ale vychádzame z toho, že zákon č. 428/2002 Z. z., neskôr nahradený zákonom č. 122/2013 Z. z., ktorý bol zas nahradený dvoma predpismi a to jednak GDPR a novým slovenským zákonom o ochrane osobných údajov[10], môžeme uzavrieť, že takouto okľukou vlastne aj § 62 ods. 3 ZEK hovorí to isté, čo čl. 13 ods. 2 smernice, ktorú transponuje, a totiž to, že osobný údaj, ak má byť použitý na iný účel než na aký bol pôvodne získaný, musel byť získaný v súlade s GDPR. Moja interpretácia ale nemusí byť správna, a aj keby bola, rozhodne je takáto právna úprava v rozpore s princípom právnej istoty pre svoju nejednoznačnosť a mala by byť opravená.

Záver

Prevádzkovateľ, ktorý chce zasielať nevyžiadané e-maily dotknutej osobe, si môže vybrať, či bude postupovať podľa právneho režimu stanoveného GDPR alebo smernicou (resp. § 62 ods. 3 ZEK).

V obidvoch prípadoch musí byť splnená podmienka, že s osobou, ktorej sa chystá posielať nevyžiadané e-maily, je alebo v minulosti bol vo vzťahu, ktorý bol založený na základe aktívne prejaveného záujmu tejto osoby, napr. kúpou produktu, prejavením podpory (finančným príspevkom, podpísaním petície ktorú prevádzkovateľ organizoval a pod.). V obidvoch prípadoch musí byť tiež splnená podmienka, že osobné údaje boli od dotknutej osoby získané v súlade s GDPR.

Právny režim spracúvania osobných údajov podľa GDPR vyžaduje, aby v prvom nevyžiadanom e-maily, ktorý prevádzkovateľ dotknutej osobe pošle, informoval dotknutú osobu v celom rozsahu podľa čl. 13 ods. 2 a 3 GDPR. Predtým, ako začne nevyžiadané e-maily posielať, prevádzkovateľ musí posúdiť, či sú splnené podmienky uvedené v čl. 6 ods. 4 GDPR a úvodnom ustanovení č. 47 GDPR, teda či nad jeho záujmom posielať nevyžiadané e-maily neprevažujú oprávnené záujmy dotknutej osoby (medzi ktoré určite patrí záujem na tom, aby nebola obťažovaná nadmernou nevyžiadanou poštou), ďalej musí zohľadniť primerané očakávania dotknutej osoby (napr. ak dotknutá osoba produkt prevádzkovateľa reklamovala, možno usudzovať, že neočakáva, že od neho bude dostávať ponuky na ďalšie služby). Prevádzkovateľ musí cez uvedené kritériá posudzovať aj frekvenciu a obdobie, počas ktorého bude e-maily posielať. Napríklad všeobecne sa považuje za primerané dvojročné obdobie od aktívne prejaveného záujmu dotknutej osoby napr. kúpou produktu a za primeranú frekvenciu nie viac ako jeden e-mail mesačne. Režim spracúvania nevyžiadaných e-mailov podľa GDPR nevyžaduje umiestňovanie do e-mailov checkbox na zrušenie odberu.

Na druhej strane, právny režim spracúvania osobných údajov podľa smernice resp. § 62 ods. 3 ZEK nevyžaduje, aby prevádzkovateľ uskutočnil ďalšie vyhodnocovanie tak ako podľa GDPR, ani mu neukladá informačnú povinnosť. Namiesto toho ale prevádzkovateľovi ukladá povinnosť, aby dotknutej osobe umožnil v čase, kedy kontaktné informácie (e-mailovú adresu) získal, odmietnuť jej použitie na zasielanie nevyžiadaných e-mailov a rovnakú možnosť musí dotknutej osobe poskytnúť v každom jednom nevyžiadanom e-maily, ktorý jej pošle. V praxi tak môže urobiť umiestnením checkboxu, ktorého zaškrtnutím dotknutá osoba prejaví vôľu nedostávať nevyžiadané e-maily (OPT OUT).

Čo keď sme osobný údaj získali legálne – ale pred účinnosťou GDPR?

Použiť osobný údaj na iný účel, ako bol pôvodne získaný možno, iba ak bol pôvodne získaný v súlade s požiadavkami, ktoré ustanovuje GDPR.[11] Tieto požiadavky zahŕňajú predovšetkým splnenie informačnej povinnosti prevádzkovateľa voči dotknutej osobe. Teoreticky, je možné použiť na iný účel údaje získané pred účinnosťou GDPR, pokiaľ bol prevádzkovateľ natoľko obozretný, že už vtedy si splnil informačnú povinnosť v celom rozsahu, v akom GDPR požaduje. Keďže je to ale málo pravdepodobné, skôr treba vychádzať z premisy, že všetky osobné údaje získané pred účinnosťou GDPR nemožno ďalej používať bez toho, aby prevádzkovateľ dôkladne posúdil, či spôsob ich získania a narábania s nimi je v súlade s požiadavkami formulovanými GDPR.

[1] Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách)

[2] čl. 95 GDPR

[3] čl. 95 GDPR

[4] úvodné ustanovenie (recital) GDPR č. 47

[5] čl. 13 ods. 2 a 3 GDPR

[6] úvodné ustanovenie (recital) GDPR č. 47

[7] GDPR s účinnosťou 25.5.2018 zrušilo smernicu 95/46/ES pričom všetky odkazy na túto smernicu sa majú považovať za odkazy na GDPR.

[8] čl. 94 ods. 2 GDPR

[9] čl. 94 ods. 1 GDPR

[10] zák. č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

[11] úvodné ustanovenie GDPR č. 171

Teraz najčítanejšie

Mirek Karas

Pracujem ako advokát. V súčasnosti sa najviac venujem právnym otázkam v súvislosti s verejným priestorom a architektúrou.