Direct mailing a GDPR – rozesílání žádosti o příspěvky na dobročinné účely na adresy získané z veřejných rejstříků, seznamů a jiných veřejně přístupných registrů

7.9.2018, Praha


 

1. Úvod - Direct mailing, GDPR, ochrana osobních údajů, veřejné zdroje a rozesílání marketingových žádostí

Společnosti činné v oblasti direct mailingu zpravidla rozesílají adresné písemné žádosti o příspěvky na dobročinné účely. Za tímto účelem obvykle shromažďují osobní údaje (jméno, příjmení a adresa bydliště) (společně dále jen „Osobní údaje“) osob (společně dále jen „Subjekty údajů“ a jednotlivě „Subjekt údajů“) uvedených ve veřejných rejstřících, seznamech a jiných veřejně přístupných registrech v České republice (dále jen „Veřejné databáze“). V rámci této činnosti vznikají otázky, zda je česká společnost oprávněna zpracovávat Osobní údaje (jméno, příjmení a adresa bydliště) z hlediska nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.4.2016, ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“ anebo „Obecné nařízení“). Účelem tohoto zpracování je přitom přímé oslovování potencionálních dárců formou žádostí o příspěvky na dobročinné účely určené pro klienty Společnosti z řad dobročinných organizací, a to poštou za předpokladu, že Společnost v rámci zpracování Osobních údajů nepoužívá institut automatizovaného rozhodování ani profilování.

 

2. Právní rozbor

2.1 Osobní údaje ve Veřejných databázích

Právním základem pro zveřejnění Osobních údajů ve Veřejných databázích je zpravidla plnění právní povinnosti, kterou ukládá zvláštní zákon, anebo je takové zveřejnění nezbytné pro účely oprávněných zájmů třetí strany, tzn. například ověření totožnosti obchodního partnera při podpisu smlouvy a ověření oprávnění osob, které ho zastupují.

Mezi výše uvedené Veřejné databáze patří zejména obchodní rejstřík, živnostenský rejstřík, rejstřík společenství vlastníků jednotek a spolkový rejstřík.[1]

I když zákonodárce zvláštními zákony, kterými jsou tyto Veřejné databáze zřízeny, a priori neomezil zpracování osobních údajů z nich získaných, nemůže kdokoli z nich získané osobní údaje zpracovávat pro jakékoli účely zpracování.[2], [3]

2.2 Právní základ pro zpracování Osobních údajů Společností

Jelikož Společnost nezískala souhlas Subjektů údajů se zpracováním jejich Osobních údajů, neuzavřela se Subjekty údajů žádnou smlouvou, jejíž plnění vyžaduje zpracování Osobních údajů, ani nezpracovává Osobní údaje za účelem plnění právní povinnosti, máme za to, že právním základem zpracování Osobních údajů ze strany Společnosti může být pouze skutečnost, že zpracování Osobních údajů je nezbytné pro účely oprávněných zájmů Společnosti či klientů Společnosti z řad dobročinných organizací, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody Subjektů údajů vyžadující ochranu Osobních údajů, zejména pokud by bylo Subjektem údajů dítě.[4]

Právní doktrína se shoduje na tom, že záměrem evropského normotvůrce bylo totiž použití oprávněného zájmu pro zpracování osobních údajů rozšířit[5], i když podmínky pro aplikaci tohoto institutu bude třeba v každém jednotlivém případě posuzovat individuálně.[6]

Pro účely ověření, zda je výše popsané zpracování Osobních údajů Společností dle Obecného nařízení přípustné, tj. zda je na straně Společnosti nebo jejich klientů dán oprávněný zájem k tomuto zpracování Osobních údajů, je nezbytné splnit následující tři podmínky současně[7]:

(i)                  identifikovat oprávněný zájem Společnosti nebo klientů Společnosti;
(ii)                aplikovat tzv. test nezbytnosti, tzn. zda zpracování Osobních údajů za výše uvedeným účelem je nezbytné pro oprávněný zájem Společnosti nebo klientů Společnosti a zda sledovaného cíle nelze dosáhnout jiným způsobem;
(iii)              aplikovat tzv. test proporcionality, tzn. zda zájmy, práva nebo svobody Subjektů údajů vyžadující ochranu Osobních údajů nemají přednost před oprávněným zájmem Společnosti nebo klientů Společnosti na zpracování Osobních údajů.
Pro úplnost doplňujeme, že ustanovení § 5 odst. 5 zák. č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, výslovně umožňovalo zpracování vybraných osobních údajů za účelem nabízení obchodu nebo služeb, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti s činností správce. Účinností Obecného nařízení již toto ustanovení nemůže být použito pro zpracování Osobních údajů Společností.

2.3 Identifikace oprávněného zájmu Společnosti a jejich klientů

Domníváme se, že jak na straně Společnosti, tak na straně klientů Společnosti lze identifikovat oprávněný zájem pro výše popsané zpracování Osobních údajů, tedy pro direct mailing.[8]

Na straně Společnosti je tímto oprávněným zájmem oslovení případných dárců, kteří by mohli být ochotni věnovat peněžní prostředky klientům Společnosti z řad dobročinných organizací, a tedy splnění hlavního podnikatelského cíle Společnosti.

Společnost tak jedná jak za účelem splnění svého podnikatelského cíle, tak za obecně prospěšným účelem. Jelikož Společnost jedná i v obecně prospěšném zájmu, lze se domnívat, že druhému oprávněnému zájmu by dokonce měla být přiznána větší váha.[9]

Na straně klientů Společnosti z řad dobročinných organizací je tímto oprávněným zájmem získání peněžních prostředků pro svou charitativní činnost, kterou vykonávají v obecném zájmu nebo v zájmu obecného blaha. Tato činnost je přitom hlavní činností těchto subjektů.

2.4 Aplikace testu nezbytnosti

V rámci aplikace testu nezbytnosti je třeba zabývat se tím, zda je výše popsané zpracování Osobních údajů nezbytné pro výkon činnosti Společnosti a klientů Společnosti a zda nelze sledovaného cíle dosáhnout jinak.

Jelikož se Společnost zabývá především poskytováním služeb v souvislosti s fundraisingem, včetně zajištění nových finančních příspěvků a zdrojů příjmů pro své klienty, máme za to, že bez oslovení nový potencionálních dárců by Společnost nemohla tohoto cíle vůbec dosáhnout. Oslovování nových potencionálních dárců prostřednictvím direct mailingu lze proto považovat za nezbytné pro splnění hlavního podnikatelského cíle Společnosti a rovněž pro splnění povinností vyplývajících pro Společnost ze smluv uzavřených s klienty Společnosti.

Domníváme se dále, že získání nových zdrojů příjmů a zároveň nových peněžních prostředků na další rozvoj je nezbytné i pro klienty Společnosti z řad charitativních organizací. Lze totiž mít za to, že bez těchto peněženích prostředků by klienti Společnosti nemohli dále vykonávat svou činnost anebo by ji museli do budoucna omezit, když jsou tyto subjekty primárně financovány z darů od třetích osob a jejich životně důležitým zájmem je zachování jejich dosavadní veřejně prospěšné činnosti.

Dále, Společnost by pro účely direct mailingu měla zpracovávat pouze osobní údaje v nezbytně nutném rozsahu k tomu, aby mohla oslovit potencionální dárce formou písemného sdělení – dopisu. V této souvislosti upozorňujeme, že by Společnost měla zvážit za účelem minimalizace rozsahu zpracovávaných osobních údajů formu neadresného písemného sdělení namísto adresného písemného sdělení při porovnání úspěšnosti jednotlivých forem direct mailingu.

Pro aplikaci druhé části testu nezbytnosti je potřeba zvážit, zda Společnost nebo klienti Společnosti mohou sledovaného cíle dosáhnout jinak, a, pokud ano, zda jiný zvolený způsob nebude více šetřit zájmy, práva a svobody Subjektu údajů v souvislosti s ochranou jejich Osobních údajů. Takový jiný způsob by ale neměl být v nepoměru zejména k nákladům vynaložených na direct mailing.

S ohledem na informace sdělené nám Společností rozumíme, že existují i další způsoby, jak dosáhnout sledovaného cíle. Mezi tyto způsoby patří především (i) nákup databáze nových kontaktů od třetího subjektu a (ii) oslovení potencionálních dárců v rámci kontaktní marketingové kampaně na veřejných prostranstvích.

Prvý zmíněný způsob s sebou ovšem zpravidla nese významně zvýšené náklady, když existuje malá nabídka takových databází kontaktních údajů, a rovněž právní rizika, když kontaktní údaje v takových databázích nebývají pravidelně aktualizovány a bývá obtížné zpětně ověřit, zda byly získány v souladu s GDPR.

Druhý zmíněný způsob je rovněž oproti direct mailingu nákladově neefektivní, když náklady na oslovení jednoho potencionálního dárce na veřejném prostranství jsou významně vyšší oproti direct mailingu, třebaže při tomto způsobu dochází k minimálnímu shromažďování osobních údajů potencionálních dárců.

Z výše uvedených důvodů se lze proto domnívat, že popsaný způsob zpracování Osobních údajů ze strany Společnosti splňuje i test nezbytnosti.

2.5 Aplikace testu proporcionality

V rámci testu proporcionality se zkoumá, zda zájmy, práva a svobody Subjektů údajů stran ochrany jejich Osobních údajů nepřevažují nad oprávněným zájmem Společnosti nebo klientů Společnosti na zpracování Osobních údajů pro výše uvedený účel. Posuzuje se (i) povaha zájmů, (ii) dopad zpracování a (iii) záruky ochrany, které by mohly být nebo již jsou zřízeny.

Povaha zájmů

Jelikož jsou Osobní údaje veřejně dostupné předem neomezenému okruhu osob ve Veřejné databázi, lze se domnívat, že Subjekty údajů mohou odůvodněně očekávat, že budou kontaktovány třetími osobami s přímými obchodními nabídkami.

Společností zpracovávané Osobní údaje nezahrnují kategorie osobních údajů, které by byly Obecným nařízením zvláště chráněny (např. údaje o zdravotním stavu).

Navíc, na základě dostupných informací nelze mít za to, že by zpracování Osobních údajů, jak je popsáno výše, způsobilo Subjektům údajů újmu na jejich zájmech, právech nebo svobodách, když zpracování probíhá formou nepravidelného a občasného direct mailingu a když předmětem zpracování jsou pouze Osobní údaje v rozsahu jméno, příjmení a adresa uvedené na obálce. Údaje nezbytné pro oslovení potencionálních dárců formou adresného dopisu.

Dopad zpracování

Účel, ke kterému jsou Osobní údaje Společností zpracovávány, lze považovat za společensky prospěšný, když cílem zpracování Osobních údajů je získání peněžních prostředků pro klienty Společnosti pro dobročinné účely. Tito klienti jsou přitom na získání příspěvků – darů – od třetích osob zpravidla existenčně závislí. Tento obecný zájem společnosti na podpoře charitativní činnosti by přitom měl mít přednost před zájmy jednotlivce na zpracováním jeho Osobních údajů získaných z Veřejných databází, a to za předpokladu, že budou Společností dodrženy záruky níže a že zpracování Osobních údajů nezpůsobí Subjektům údajů nepoměrnou újmu, např. jejich častým obtěžováním žádostmi o příspěvek. [10]

Nelze se ani domnívat, že by zpracovávání Osobních údajů Společností podstatně zasáhlo do zájmů nebo práv Subjektů údajů, když Společnost zpracovává pouze Osobní údaje v rozsahu jméno, příjmení a bydliště a když k tomuto účelu používá pouze jeden komunikační kanál – dopis odeslaný Subjektům údajů poštou[11], tedy nikoli kombinaci více komunikačních kanálů najednou.

Dopad zpracování Osobních údajů by se však mohl vychýlit v neprospěch Společnosti v případě, pokud by Společnost překročila rozumně očekávatelnou četnost zasílání žádostí o příspěvky Subjektu údajů.

Záruky

Za účelem ochrany zájmů, práv a svobod Subjektů údajů by dle našeho názoru měla Společnost zřídit především následující záruky týkající se ochrany zpracování Osobních údajů:

(i)                  Společnost by neměla rozšiřovat rozsah zpracování Osobních údajů (např. zpracovávat datum narození Subjektu údajů apod.);
(ii)                Společnost by neměla získané Osobní údaje používat k jinému účelu než stanovenému výše (tzn. například vytvářit si ze získaných Osobních údajů vlastní databázi dárců bez výslovného souhlasu Subjektů údajů) ani by neměla Osobní údaje zpřístupňovat třetím osobám (ať už za úplatu nebo bezúplatně) vyjma příslušného klienta Společnosti, pokud by daný Subjekt údajů aktivně reagoval na žádost o zaslání příspěvku takovému klientovi;
(iii)              Společnost by měla Osobní údaje zpracovávat transparentně, tj. měla by Subjektům údajů v rámci prvního kontaktu s nimi poskytnout dostatečně podrobné informace o zpracování jejich Osobních údajů Společností, nejpozději však vždy do 1 měsíce od získání Osobních údajů Společností;
(iv)              Společnost by měla zřídit dostatečné technické a organizační opatření[12] za účelem ochrany Osobních údajů (např. zámky, bezpečnostní směrnice, šifrování, přístupová práva k informačním systémům apod.), včetně zejména zavedení procesu ohlašování porušení zabezpečení ochrany Osobních údajů dozorovému úřadu;
(v)                Společnost by měla zpracovávat Osobní údaje pouze po dobu nezbytně nutnou ke splnění výše uvedeného účelu a následně by měla Osobní údaje buď anonymizovat anebo zlikvidovat; tím není dotčena povinnost Společnosti vést v nezbytném rozsahu seznam Subjektů údajů, kteří vyjádřili nesouhlas se zasíláním nevyžádaných sdělení Společností;
(vi)              Společnost by měla v rámci každého kontaktu Subjektu údajů umožnit takovému Subjektu údajů, aby snadným a dostupným způsobem mohl vyloučit, aby jej Společnost kdykoli v budoucnu kontaktovala formou direct mailingu (tzv. opt out).[13], [14] S ohledem na shora uvedené máme proto za to, že i test proporcionality byl pro výše zmíněné zpracování Osobních údajů za předpokladu naplnění výše uvedených záruk splněn.

2.6 Vybrané povinnosti Společnosti vyplývající z Obecného nařízení

Upozorňujeme, že spolu s každou adresnou písemnou žádostí o příspěvek na dobročinné účely, nejpozději však do 1 měsíce od získání Osobních údajů, je Společnost povinna Subjekty údajů informovat zejména o následujícím[15]:

(i)                  identifikační a kontaktní údaje Společnosti jako správce Osobních údajů,
(ii)                kontaktní údaje případného pověřence pro ochranu osobních údajů,
(iii)              účel a právní základ zpracování Osobních údajů, tj. přímý marketing na základě oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR,
(iv)              kategorie dotčených osobních údajů, tj. jméno, příjmení a adresa,
(v)                případné příjemce nebo kategorie příjemců Osobních údajů, tj. klienti Společnosti v případě aktivní odpovědi Subjektu údajů na žádost o příspěvek,
(vi)              případný záměr Společnosti předat Osobní údaje mimo EU,
(vii)            doba, po kterou budou Osobní údaje uloženy, případně kritéria pro stanovení této doby,
(viii)          bližší specifikace oprávněných zájmů Společnosti a klientů Společnosti z řad dobročinných organizací,
(ix)              upozornění na některá práva Subjektů údajů dle GDPR, například právo na přístup k Osobním údajům, právo na jejich opravu, výmaz nebo omezení zpracování, právo vznést námitku proti zpracování Osobních údajů, právo na jejich přenositelnost, právo podat stížnost k dozorovému úřadu, kterým je v České republice Úřad pro ochranu osobních údajů,
(x)                zdroj, ze kterého Osobní údaje pocházejí, tj. z Veřejných databází.
Společnost by dále měla pravidelně ověřovat, zda nadále splňuje podmínky zpracování Osobních údajů na základě oprávněného zájmu Společnosti anebo klientů Společnosti.

Společnost je dále povinna vést záznamy o činnostech zpracování Osobních údajů podle čl. 30 GDPR.

2.7 Stanoviska odborníků v zahraniční literatuře ostatních členských států EU

V rámci posouzení předmětné právní problematiky jsme také analyzovali zahraniční odbornou literaturu s tím, že výše uvedené závěry zastávají i odborné asociace v Německu a Rakousku, např. Německá asociace přímého marketingu („Der Deutsche Dialogmarketing Verband“[16], která je největší národní asociací dialog marketérů v Evropě a jedna z předních sdružení komunikačního průmyslu v Německu existující od roku 1948 a která zastupuje zájmy uživatelů i poskytovatelů služeb), Rakouské asociace pro přímý marketing („DMVÖ – Dialog Marketing Verband Österreich“[17]) a nebo Rakouské hospodářské komory („Wirtschaftskammer Österreich“[18]).

Na www stránkách Rakouské hospodářské komory je např. uvedeno:

„Shromažďování dat

Vydavatelé katalogů a společnosti zabývající se přímým marketingem jsou oprávněni k shromažďování dat při přípravě a provádění marketingových kampaní třetích stran nebo k shromažďování dat pro vytváření katalogů z následujících zdrojů:

-          veřejně dostupné informace (např. již nahrané veřejně dostupné údaje z obchodního rejstříku, katastru nemovitostí, obchodního rejstříku, telefonního seznamu apod., ale také vnímané znaky na veřejných místech, které musí být nejprve zaznamenány pro marketingové účely),

-          dotazování dotčených osob,

-          zákaznické a zájmové databáze třetích osob,

-          marketingové soubory jiných vydavatelů adres a společností pro přímý marketing.“[19]

2.8 Získání Osobních údajů od třetí osoby

V praxi se může stát, že si Společnost od třetí osoby (dále jen „Vlastník databáze“) za úplatu zajistí přístup do databáze Osobních údajů, kterou tato třetí osoba vytvořila a kterou spravuje (dále jen „Databáze třetí osoby“), a bude Osobní údaje z této databáze využívat ad hoc pro direct mailingovou kampaň (tzv. pronájem databáze).

Ve chvíli, kdy Společnost získá z Databáze Osobní údaje, stává se příjemcem Osobních údajů a následně jejich správcem (jakmile stanoví účel jejich dalšího využití) a může tyto Osobní údaje dále zpracovávat pouze k účelu, pro který je Vlastník databáze získal od dotčených subjektů údajů, a pouze v rozsahu, v jakém tyto subjekty údajů souhlasili s předáním Osobních údajů Společnosti.

Společnost je povinna vůči subjektům údajů spolu s každou adresnou písemnou žádostí o příspěvek na dobročinné účely, nejpozději však do 1 měsíce od získání Osobních údajů, splnit informační povinnost (viz. blíže bod. 2.6 výše), včetně uvedení zdroje, z jakého Společnost dotčené Osobní údaje získala. Společnost musí také dodržovat záruky ohledně zpracování osobních údajů, viz. výše.

Pokud by nebyly splněny výše uvedené podmínky, tak máme za to, že Společnost bude odpovědná za zpracování Osobních údajů, i když tyto byly získány z Databáze třetí osoby. Společnost však může smluvně Vlastníka databáze zavázat k plnění výše uvedených a dalších podmínek stanovených Obecným nařízením a dále k povinnosti Společnost odškodnit v případě porušení smluvních závazků Vlastníka databáze, včetně odškodnění za případné sankce uložené Společnosti ze strany Úřadu pro ochranu osobních údajů. Společnost by rovněž měla provést prověrku, zda Vlastník databáze získal a zpracovává Osobní údaje v souladu s Obecným nařízením.

2.9 Odpovědnost klientů Společnosti z řad dobročinných organizací

Za předpokladu, že Osobní údaje nebyly získány od klientů Společnosti z řad neziskových organizací a že k použitým Osobním údajům nemají tito klienti Společnosti přístup[20], domníváme se, že do okamžiku než se klienti Společnosti dozví totožnost konkrétního dárce, je nelze považovat za správce ani zpracovatele osobních údajů dle Obecného nařízení.

Jakmile se klienti Společnosti dozví totožnost konkrétního dárce, tak máme za to, že se stávají správci osobních údajů takového dárce, které zpracovávají na základě zákona (např. vedení účetnictví nebo plnění daňových povinností), příp. za na základě jiného právního titulu (např. oprávněný zájem na kontaktování takového dárce v budoucnu pro účely žádosti o příspěvek na jinou dobročinnou akci nebo plnění darovací smlouvy).

Klienti Společnosti však vůči takovým dárcům musí plnit povinnosti stanovené Obecným nařízením, které by ostatně měly plnit vůči všem svým dárcům, především se jedná o informační povinnosti. Tyto povinnosti jsou zpravidla plněny zveřejněním prohlášení o zpracování osobních údajů na webových stranách dané neziskové organizace.

Společnost je na druhé straně povinna v adresné výzvě potencionálním dárcům transparentně popsat zpracování jejich Osobních údajů ze strany Společnosti v rozsahu předepsaném Obecným nařízením a dále je povinna potencionální dárce informovat o tom, že klienti Společnosti z řad charitativních organizací k těmto Osobním údajům získají přístup až v okamžiku, když poskytnou příspěvek – dar, a že tyto Osobní údaje budou dále zpracovávat pro své předem stanovené účely. Tyto povinnosti lze plnit například prostřednictvím memoranda nebo prohlášení o zpracování osobních údajů, které bude součástí direct mailingu.

 

3. Závěr

Při splnění výše uvedených záruk je Společnost oprávněna zpracovávat Osobní údaje získané Společností z Veřejných databází za účelem písemného adresného oslovování Subjektů údajů se žádostmi o příspěvek na činnosti klientů Společnosti z řad charitativních organizací.
Obdobný názor zaujala i tzv. Working Party 29[21] v souvislosti s právní úpravou účinnou před přijetím Obecného nařízení[22], když přímé ale nevyžádané oslovení voličů, jejichž údaje byly kandidátem na veřejnou funkci v průběhu volební kampaně získány z registru voličů, označila za zpracování osobních údajů na základě oprávněného zájmu takového kandidáta.[23] Toto stanovisko lze považovat za relevantní i za účinnosti Obecného nařízení.

V této souvislosti lze poukázat i na literaturu v jiných zemích EU, když například v Rakousku nebo Francii není povoleno zasílat adresná obchodní sdělení osobám, které jsou registrovány na zvláštním seznamu (tzv. Robinsonliste nebo La liste Robinson).[24], [25]

Ostatně, recitál (47) Obecného nařízení výslovně připouští, že zpracování osobních údajů pro účely přímého marketingu, tedy za účelem přímého oslovování potencionální zákazníků, lze považovat za zpracování prováděné z důvodu oprávněného zájmu.
I odborná literatura zaujala závěr, že zpracování osobních údajů získaných z veřejných databází Obecné řízení plošně nezakazuje ani výrazně neomezuje.[26], [27] Domníváme se proto, že se nelze ztotožnit s některými názory[28], že získávání Osobních údajů z Veřejných databází GPDR bez dalšího zakazuje.

 

Pro více informací nás kontaktujte:

JUDr. Mojmír Ježek, Ph.D.                       Mgr. Roman Macháček

ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praha 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz

O ECOVIS ježek, advokátní kancelář s.r.o.:

Česká advokátní kancelář ECOVIS ježek se ve své praxi soustřeďuje především na obchodní právo, nemovitostní právo, vedení sporů, ale i financování a bankovní právo a poskytuje plnohodnotné poradenství ve všech oblastech, a tvoří tak alternativu pro klienty mezinárodních kanceláří. Mezinárodní rozměr poskytovaných služeb je zajištěn dosavadními zkušenostmi a prostřednictvím spolupráce s předními advokátními kancelářemi ve většině evropských zemí, USA a dalších jurisdikcích v rámci sítě ECOVIS působící v 75 zemích celého světa. Členové týmu advokátní kanceláře ECOVIS ježek mají dlouholeté zkušenosti z předních mezinárodních advokátních a daňových firem v poskytování právního poradenství nadnárodním korporacím, velkým českým společnostem, ale i středním firmám a individuálním klientům. Více informací na www.ecovislegal.cz.

Informace obsažené na této webové stránce jsou právnickou reklamou. Nepovažujte nic na této webové stránce za právní poradenství a nic na této webové stránce nepředstavuje vztah advokát-klient. Předtím, než začnete jednat o čemkoliv, o čem si na těchto stránkách přečtete, domluvte si právní konzultaci s námi. Dosavadní výsledky nejsou zárukou budoucích výsledků a předchozí výsledky neznamenají ani nepředpovídají budoucí výsledky. Každý případ je jiný a musí být posuzován podle vlastních okolností.

Poznámky:

[1] Co se týče osobních údajů získaných z katastru nemovitostí, tak ustanovení § 1 odst. 2 zák. č. 256/2013 Sb., o katastru nemovitostí (katastrální zákon), upravuje určitá omezení pro jejich budoucí využití, a tedy je přinejmenším sporné, zda lze tyto osobní údaje zpracovávat pro marketingové účely.
[2] Nonnemann, F. Zpracování veřejně dostupných osobních údajů a GDPR. Právní rozhledy. 2018, č. 5, s. 167-173.
[3] Srov. argumentace Žůrka in Žůrek, J. Praktický průvodce GDPR. ANAG, 2017, podle kterého zák. č. 256/2013 Sb., o katastru nemovitostí (katastrální zákon), na rozdíl od zákonů upravujících Veřejné databáze umožňuje omezené využití osobních údajů získaných z katastru nemovitostí pro účely marketingu.
[4] Viz. čl. 6 odst. 1 písm. f) Obecného nařízení.
[5] Nulíček, M., Donát, J., Nonnemann, F., Lichnovský, B., Tomíšek, J. GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU). Praktický komentář. Praha : Wolters Kluwer, 2017.
[6] Nonnemann, F. Zpracování veřejně dostupných osobních údajů a GDPR. Právní rozhledy. 2018, č. 5, s. 167-173.
[7] Viz. sdělení Information Commissioner’s Office (obdoba českého Úřadu pro ochranu osobních údajů ve Spojeném království Velké Británie a Severního Irska) dostupné na: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/
[8] Srov. stanovisko č. 06/2014 tzv. Working Party 29 ze dne 9.4.2014 (str. 24 - 25) dostupné na: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[9] Srov. stanovisko č. 06/2014 tzv. Working Party 29 ze dne 9.4.2014 (str. 35) dostupné na: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[10] Srov. doručování neadresných marketingových sdělení Subjektům údajů (např. letáky s nabídkou zboží v supermarketech) s ohledem zejména na jejich četnost.
[11] Srov. stanovisko Information Commissioner’s Office (obdoba českého Úřadu pro ochranu osobních údajů ve Spojeném království Velké Británie a Severního Irska) (str. 28 - 29) dostupné na https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests-1-0.pdf
[12] Viz. čl. 24 Obecného nařízení.
[13]   Srov. čl. 21 obecného nařízení.
[14] Obdobně stanovisko č. 06/2014 tzv. Working Party 29 ze dne 9.4.2014 (str. 41) dostupné na: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf
[15]    Viz. čl. 14 Obecného nařízení.
[16] Viz. https://www.ddv.de/.
[17] Viz. http://www.dmvoe.at/.
[18] Viz. https://www.wko.at.
[19] Viz. http://www.dmvoe.at/datenschutzverordnung/.
[20] Srov. rozhodnutí Úřadu pro ochranu osobních údajů, sp. zn. UOOU-09830/13, ve kterém se účastník řízení odvolával na skutečnost, že pouze zajišťuje marketingovou kampaň pro svého smluvního partnera, který má k dispozici souhlasy uživatelů daných e-mailových adres.
[21] Jedná se o tzv. Pracovní skupinu 29 ustavenou čl. 29 směrnice Evropského parlamentu a Rady 95/46/EC ze dne 24.10.1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Účinností GDPR byl tento evropský poradní orgán přeměněn na Evropský sbor pro ochranu osobních údajů.
[22] Čl. 7 písm. f) směrnice Evropského parlamentu a Rady 95/46/EC ze dne 24.10.1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů: „Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1.”
[23] Viz. stanovisko č. 06/2014 tzv. Working Party 29 ze dne 9.4.2014 (str. 60, příklad 6) dostupné na: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf

[23] Viz. čl. 14 Obecného nařízení.
[24] Viz. https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-datenschutz-direktmarketing.html
[25] Viz. https://www.cnil.fr/sites/default/files/atoms/files/commerce_et_donnees_personelles.pdf
[26] Nonnemann, F. Zpracování veřejně dostupných osobních údajů a GDPR. Právní rozhledy. 2018, č. 5, s. 167-173.
[27] Srov. závěry konference pořádné Information Commissioner’s Office (obdoba českého Úřadu pro ochranu osobních údajů ve Spojeném království Velké Británie a Severního Irska) (str. 5 - 6) dostupné na: https://ico.org.uk/media/about-the-ico/documents/2013426/fundraising-conference-2017-paper.pdf
[28] Srov. https://pravniradce.ihned.cz/c1-66000650-neziskovky-mohou-mit-problemy-s-oslovovanim-darcu

Comments are closed.