E-mail marketing bez souhlasu?
Belgický orgán pro ochranu osobních údajů rozhodl, že podle GDPR u direct marketingu prostřednictvím e-mailu nemusí být vyžadován souhlas subjektu údajů. Stále je však nutné subjekt údajů informovat podle článku 14 GDPR nejpozději při prvním kontaktu.
Okolnosti
V dubnu 2020 subjekt údajů požádal správce ,aby mu již neposílal žádné zprávy formou direct marketingu.
V květnu 2020 subjekt údajů požádal správce o informace o jakémkoli zpracování osobních údajů, které se ho týkají, podle čl. 15 odst. 1 GDPR poté, co navzdory své předchozí žádosti o ukončení obesílání, obdržel další direct marketingové zprávy prostřednictvím svého e-mailu a na svůj mobilní telefon. Konkrétně se dotazoval na původ získání svých osobních údajů, které správci umožnily jej kontaktovat, a na právní základ zpracování, k němuž podle svého tvrzení nedal souhlas.
Správce na žádost reagoval sdělením, že údaje získal od poskytovatele kontaktů, ale omezil se pouze na poskytnutí názvu společnosti. Dále připustil, že subjekt údajů obdržel další zprávy v důsledku lidské chyby.
V září 2020 podal subjekt údajů stížnost u belgického orgánu pro ochranu osobních údajů (APD/GBA). Stěžoval si jednak na zprávy přímého marketingu, k jejichž zasílání byl podle něj nutný souhlas (čl. 6 odst. 1 písm. a) nařízení GDPR), jednak na reakci na jeho žádost o přístup, která podle něj porušila čl. 15 odst. 1, čl. 5 odst. 1 písm. c) a e) a čl. 14 odst. 2 písm. e) nařízení GDPR.
Stanovisko
Úřad pro ochranu osobních údajů stížnosti částečně vyhověl. Nařídil správci, aby dodržel právo subjektu údajů na přístup podle čl. 15 odst. 1 písm. g) GDPR. Dále formuloval upozornil, že správce osobních údajů musí ve své marketingové zprávě uvádět právo vznést námitku proti zpracování, když přichází poprvé do styku se subjektem údajů, aby zpracování údajů v tomto ohledu napříště respektovalo požadavek transparentnosti stanovený v čl. 5 odst. 1 písm. a), článku 12, článku 14 a čl. 21 odst. 4 GDPR.
Pokud jde o e-maily přímého marketingu rozesílané správcem, orgán pro ochranu osobních údajů stížnost zamítl. Konstatoval, že správce nepotřeboval souhlas subjektu údajů, protože měl dostatečný oprávněný zájem v souladu s čl. 6 odst. 1 písm. f) nařízení GDPR. Podle orgánu pro ochranu osobních údajů to bylo podpořeno 47. bodem odůvodnění GDPR, který výslovně uvádí, že přímý marketing lze provádět pod oprávněným zájmem. Vzhledem k tomu, že e-mailová adresa subjektu údajů byla veřejně dostupná na internetu, orgán pro ochranu osobních údajů rozhodl, že subjekt údajů musel mít důvodné očekávání, že tato e-mailová adresa bude použita k zasílání zpráv, a že správce tedy využil veřejně dostupné informace.
Pokud jde o jeho mobilní telefonní číslo, orgán pro ochranu osobních údajů navíc správci uložil povinnost poskytnout informace o zdroji, který tvořil základ zpracování, neboť nebylo jasné, jak správce číslo získal, a nebylo tedy možné posoudit, zda byly tyto informace získány zákonným způsobem.
Pokud jde o žádost subjektu údajů o přístup, orgán pro ochranu osobních údajů rozhodl, že správce nesplnil svou povinnost poskytnout subjektu údajů přístup, protože mu neposkytl "všechny dostupné informace", čl. 15 odst. 1 písm. g) obecného nařízení o ochraně osobních údajů. Kromě toho správce porušil čl. 21 odst. 4 obecného nařízení o ochraně osobních údajů tím, že ve své první komunikaci se subjektem údajů neposkytl informace uvedené v článku 14 obecného nařízení o ochraně osobních údajů. Podle orgánu pro ochranu osobních údajů měla první zpráva obsahovat přinejmenším odkaz na zásady ochrany osobních údajů, v nichž jsou tyto informace přístupným, stručným a jasným způsobem obsaženy. Skutečnost, že první sdělení stěžovateli neobsahovalo sebemenší odkaz na informace nezbytné pro zajištění transparentního zpracování údajů, představuje porušení čl. 5 odst. 1 písm. a), čl. 12 odst. 1 a článku 14 GDPR.
Rozhodnutí nezohlednilo článek 13 směrnice o soukromí a elektronických komunikacích, který se vztahuje na nevyžádaná sdělení.