Průvodce legálním rozesíláním obchodních sdělení a hromadných e-mailů dle GDPR

Obsah

• Legislativa týkající se obchodních sdělení
• Jak rozesílat obchodní sdělení legálně
  • Pochopte, co je obchodní sdělení
  • Získejte souhlas se zasíláním obchodních sdělení
  • Buďte transparentní a informujte
• Rozesílání e-mailů ve vztahu k GDPR
  • GDPR šifrování a zabezpečení
  • Uchovávání e-mailů podle GDPR
  • E-mailový marketing a spam
  • Organizační zabezpečení e-mailu

E-mail patří k nejpoužívanějším kanálům přímé komunikace. Je však také náchylný ke spamu a nevyžádané poště. Vzhledem k tomu, že e-mailový marketing prosperuje díky datům publika, je posvátnou odpovědností tato data ochránit. K tomuto účelu bylo v roce 2018 spuštěno Obecné nařízení o ochraně osobních údajů (GDPR), které je jedním z nejvýznamnějších zákonů na ochranu soukromí. V této publikaci se věnujeme právě GDPR v souvislosti s hromadným rozesíláním marketingových a obchodních sdělení prostřednictvím e-mailu. Dozvíte se, jak správně rozesílat e-mailové kampaně, aby to bylo zákonné a legální, tedy v souladu s platnou legislativou na evropské úrovni.

Legislativa týkající se obchodních sdělení

Problematiku rozesílání obchodních sdělení lze rozdělit na dvě základní části podle toho, čeho se týkají.

• legislativa týkající se ochrany osobních údajů (GDPR) - Nařízení Evropského parlamentu a Rady (EU) 2016/679.;
• legislativa týkající se podmínek a samotného způsobu rozesílání obchodních sdělení - Zákon č. 480/2004 Sb., o některých službách informační společnosti.

Při realizaci rozesílky obchodních sdělení prostřednictvím e-mailu (e-mail marketing) je nutné počítat s dodržováním povinností obou těchto legislativních rámců.

Mohlo by vás zajímat: Co je GDPR (ONOOÚ). Definice, legislativa, sankce, náplň a povinnosti

Jak rozesílat obchodní sdělení legálně

Abyste rozesílali obchodní sdělení zcela legálně, musíte nejdříve:

• pochopit, co je obchodní sdělení;
• dodržovat náležitosti obchodního sdělení;
• získat od příjemce souhlas se zasíláním;
• dodržovat podmínky pro udělení souhlasu.

Pochopte, co je obchodní sdělení

Abyste mohli rozesílat obchodní sdělení, musíte nejdříve pochopit jeho zákonnou definici, kterou uvádí § 2 zákona č. 480/2004 Sb.

Obchodním sdělením jsou všechny formy sdělení, reklamy a vybízení k návštěvě webových stránek, určené k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost.

O obchodní sdělení se jedná je-li splněna alespoň jedna z těchto podmínek:

• odesílatelem zprávy je firma nebo podnikatel;
• zpráva byla zaslána zprostředkovatelem e-mailingových služeb jménem firmy či podnikatele;
• zpráva vykazuje známky reklamního sdělení (nabídka zboží či služeb);
• zpráva obsahuje externí odkazy na webové stránky firmy či podnikatele;
• zpráva podporuje image firmy nebo podnikatele (např. přání k Vánocům, Novému roku, narozeninám aj.),
• podnikatel zasílá nabídku služeb či zboží jako reakci na konkrétní předem zaslanou poptávku.

O obchodní sdělení se nejedná v případě, že:

• podnikatel zasílá technické zprávy svým zákazníkům (např. nové obchodní podmínky, odstávku, havárii, změnu otevírací doby apod.), a to i v případě, že neudělili souhlas se zasíláním obchodních sdělení. V některých případech je podnikatel dokonce povinen svého zákazníka o některých skutečnostech informovat.

Povinné náležitosti obchodního sdělení

Aby bylo obchodní sdělení plně legální, je nutné splnit také tyto tři základní náležitosti:

• musí být zřetelně a jasně označené, aby příjemce (uživatel) měl jistotu, že se opravdu jedná o obchodní sdělení - ideální je uvést v názvu odesílatele nebo předmětu zprávy, že se jedná o obchodní sdělení, případně nabídku, slevu či newsletter;
• musí být jednoznačně identifikovatelné, kdo zprávu zasílá - je tedy nutné uvést jméno a příjmení podnikající fyzické osoby nebo obchodní jméno právnické osoby (firmy), ideálně včetně dalších identifikátorů (např. IČO, DIČ);
• musí obsahovat možnost přímého a účinného odmítnutí zasílání obchodních sdělení - ideálně aktivní odkaz vedoucí na stránku, kde má uživatel možnost se jednoduše odhlásit z databáze. Pokud k tomu dojde, podnikatel už nemá právo uživateli zasílat jakákoliv reklamní či obchodní sdělení.

Získejte souhlas se zasíláním obchodních sdělení

Abyste mohli zcela legálně rozesílat e-mailové zprávy s nabídkou zboží či služeb, potřebujete mít od příjemce tzv. předchozí souhlas se zasíláním obchodních sdělení.

Databázi předchozích souhlasů je nutné evidovat, aby bylo jasné:

• kdy a jakým způsobem uživatel udělil souhlas;
• kdy a jakým způsobem se odhlásil z databáze souhlasů.

Ideálním způsobem, jak evidovat databázi souhlasů či pozdějších nesouhlasů (odhlášení z databáze), je prostřednictvím automatizovaného softwaru speciálně navrženého pro e-mail marketing. Jen namátkou se může jednat např. o zahraniční a velmi oblíbený Mailchimp nebo český SmartEmailing.

Udělení souhlasu se zasíláním obchodních sdělení má své náležitosti a podmínky. Souhlas musí být především svobodným, konkrétním, informovaným a jednoznačným projevením vůle, kterým poskytující osoba dává možnost odesílateli využít jeho elektronický kontakt pro zasílání obchodních sdělení.

Typy souhlasů

Rozlišujeme dva typy souhlasů se zasíláním obchodních sdělení - předchozí souhlas a implicitní souhlas.

Předchozí souhlas

• Příjemce (uživatel) si vyžádal zasílání obchodních sdělení přímo u poskytovatele služeb či zboží - např. přihlášením do databáze přes webový formulář.
• Poskytovatel služeb či zboží (podnikatel, firma) požádá příjemce (uživatele) o souhlas, který ho potvrdí.

Implicitní souhlas

• E-mailový kontakt získal podnikatel v souvislosti s prodejem výrobků, zboží či služeb - tzn. že zákazník (uživatel) nakoupil u podnikatele (např. v e-shopu), čímž prodejci při vyplňování objednávky poskytl své kontaktní údaje (např. e-mail).
• Získá-li podnikatel implicitní souhlas od nakupujícího, může mu sice zasílat obchodní sdělení, avšak s omezeným portfoliem - tzn., že obchodní sdělení může obsahovat jen informace, které se vážou k podobným produktům či službám, které u něj předtím nakoupil. Z toho plyne, že pokud nakoupíte např. spodní prádlo, může vám prodávající zasílat na e-mail obchodní sdělení i bez souhlasu, ale jen s obsahem, který je podobný nebo souvisí se spodním prádlem (ponožky, trenky, podprsenky apod.). Nemůže vám tedy zasílat informace o jiných produktech, např. mobilní telefony aj. Je třeba myslet na to, že zákazník má právo kdykoliv požádat prodejce, aby mu žádná sdělení neposílal - musí mít možnost odhlásit se z databáze pro rozesílku.

Možnost odhlášení

Uživatel, který udělil předchozí nebo implicitní souhlas se zasíláním obchodních sdělení, musí mít možnost se kdykoliv odhlásit z databáze, a to jasným, zřetelným a jednoduchým způsobem a zdarma nebo na náklady odesílatele.

V každém obchodním sdělení proto doporučujeme uvést odkaz pro automatické odhlášení z databáze. Tuto službu umožňují téměř všechny e-mailingové systémy.

Případy, kdy souhlas se zasíláním není nutný

Existují případy, kdy může subjekt posílat e-maily, dokonce i obchodního charakteru, a nemusí mít předchozí souhlas uživatele. 

• Typickým příkladem je implicitní souhlas, tzn. když uživatel nakoupí u podnikatele a stane se jeho zákazníkem, viz odstavec implicitní souhlas.
• Dalším příkladem je zasílání nabídky zboží či služeb podnikatelem na základě předchozí zaslané poptávky uživatelem. Uživatel poptá, prodejce pošle nabídku. To by se však nemělo zvrtnout v kontinuální opakované zasílání nabídek. Není možné si myslet, že když jednou potenciální zákazník poptává, že ho podnikatel automaticky zařadí do své databáze pro rozesílání newsletterů.
• Posledním příkladem, kdy není nutný předchozí souhlas uživatele, je, když je navázán obchodní vztah mezi oběma stranami s tím, že podnikatel musí zákazníkovi poskytovat důležité technické informace, jako jsou smlouvy, upomínky, aktualizace obchodních podmínek, odstávky a havárie, změna otevírací doby apod.

Buďte transparentní a informujte

Aby zasílání elektronické pošty bylo v souladu s legislativou, musí být také transparentní.

• Odesílatel musí zprávu zřetelně označit jako obchodní sdělení!
• Odesílatel nesmí skrývat a utajovat svou totožnost!
• Odesílatel nesmí rozesílat e-maily z neplatné adresy, na kterou není možné zaslat informaci o zrušení rozesílky!

Informujte uživatele:

• kdo jste, případně kdo další zpracovává data;
• za jakým účelem shromažďujete data;
• jaké osobní údaje zpracováváte;
• jak dlouho uchováváte data;
• jaká práva má jako subjekt údajů.

Pokud rozesíláte obchodní sdělení zákazníkům, kteří u vás v minulosti nakoupili, tedy na základě implicitního souhlasu, informujte je o této skutečnosti v e-mailu. Předejdete tak zbytečným nedorozuměním, která plynou zejména z neznalosti zákonných požadavků.

Přečtěte si 39. důvod EU obecné nařízení o ochraně osobních údajů (GDPR)

Rozesílání e-mailů ve vztahu k GDPR

S příchodem Obecného nařízení o ochraně osobních údajů (GDPR) vznikly určité obavy při rozesílání obchodních sdělení formou e-mailu. Je třeba si uvědomit, že cílem GDPR ve vztahu k e-mailingu není znemožnit nebo úplně zastavit jakékoliv rozesílání, ale udělat ho transparentnější a chránit osobní údaje uživatelů. Legální rozesílání e-mailů dle GDPR je sice proti nelegálnímu o něco náročnější, ale zato spravedlivé.

Abyste mohli rozesílat legálně dle požadavků na ochranu osobních údajů (GDPR), musíte splňovat níže uvedené povinnosti.

GDPR šifrování a zabezpečení

Pokud shromažďujete, uchováváte nebo používáte údaje lidí v Evropské unii, vztahuje se na vás GDPR. A to znamená, že můžete mít povinnost změnit způsob, jakým vaše organizace funguje. GDPR vyžaduje ochranu dat od návrhu a ve výchozím nastavení, což znamená, že organizace musí vždy zvážit důsledky ochrany dat u jakýchkoliv nových nebo stávajících produktů nebo služeb. V článku 5 GDPR jsou uvedeny zásady ochrany údajů, které musíte dodržovat, včetně přijetí vhodných technických opatření k zabezpečení údajů. Šifrování a pseudonymizace jsou v zákoně uvedeny jako příklady technických opatření, kterými můžete minimalizovat potenciální škody v případě úniku dat.

Co to v důsledku znamená pro e-mail? Pokud jde o e-mail, šifrování je nejschůdnější možností. Ideálním způsobem je technologie s šifrováním end-to-end. Bezpečný e-mail založený na cloudu je také pohodlnou a praktickou možností. Je na každé organizaci, aby nastavila vhodné způsoby zabezpečení dat.

Uchovávání e-mailů podle GDPR

Výmaz dat je jednou ze šesti zásadních součástí GDPR. Článek 5 písm. e) uvádí, že osobní údaje lze uchovávat „ne déle, než je nezbytné pro účely, pro které jsou zpracovávány“. Právo na výmaz je také jedním z osobních práv chráněných GDPR. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají. Z tohoto požadavku existují některé výjimky, jako je veřejný zájem nebo zpracování na základě legislativních požadavků. Obecně však platí, že máte povinnost vymazat osobní údaje, které již nepotřebujete.

Co to znamená pro e-mailing? Mnoho z nás nikdy nemaže e-maily. Existuje spousta důvodů, např. se na ně jednou budeme muset odvolávat, jako na záznam naší činnosti nebo dokonce pro případný soudní spor. Čím více údajů však uchováváte, tím větší je vaše odpovědnost v případě úniku dat. Evropské právo navíc vyžaduje vymazání nepotřebných osobních údajů. Kvůli GDPR byste měli pravidelně kontrolovat zásady uchovávání e-mailů vaší organizace s cílem snížit množství dat, která vaši zaměstnanci ukládají ve svých poštovních schránkách. Nařízení vyžaduje, abyste byli schopni prokázat, že máte zavedenou politiku, která vyvažuje vaše oprávněné obchodní zájmy a vaše povinnosti v oblasti ochrany údajů podle GDPR.

Z technického hlediska může být mazání e-mailových dat poměrně jednoduché a často může být automatizováno. Některé e-mailové služby mají možnost vypršení platnosti e-mailu, která vám umožňuje označit zprávy pro smazání po určité době.

E-mailový marketing a spam

Mezi další zásady ochrany údajů v článku 5 patří „zákonnost, spravedlnost a transparentnost“. To znamená, že osobní údaje můžete používat pouze v případě, že je to povoleno na základě jednoho ze šesti právních důvodů uvedených níže, že je to spravedlivé vůči subjektu údajů a že je to založeno na transparentní a jednoznačné komunikaci se subjektem údajů. Subjekt údajů je identifikovatelná osoba, které se údaje týkají.

Existuje šest základních povinností uvedených v článku 6 GDPR pro zpracování (shromažďování, ukládání, používání atd.) osobních údajů:

• Prvním je souhlas, který je nutné získat jednoznačně a po úplném vysvětlení toho, co s daty plánujete dělat. Souhlas musí být svobodně daný, konkrétní, informovaný a jednoznačný. 
• Žádosti o souhlas musí být jasně odlišitelné od ostatních záležitostí a předloženy jasným a jednoduchým jazykem.
• Subjekty údajů mohou odvolat dříve udělený souhlas, kdykoliv chtějí, a vy musíte jejich rozhodnutí respektovat.
• Děti do 13 let mohou dát souhlas pouze se souhlasem rodičů.
• Musíte si uchovat listinné důkazy o souhlasu.
• Šestým právním základem je mít oprávněný zájem na zpracování osobních údajů. Ačkoli je tento termín vágní a mohl by se vztahovat na širokou škálu situací, může být těžké se na tento základ spolehnout, protože základní práva a svobody subjektu údajů mohou často převážit nad vaším oprávněným zájmem.

Co se týče e-mail marketingu, GDPR ho v žádném případě nezakazuje. Dobrý marketingový e-mail by měl v ideálním případě poskytovat příjemci hodnotu. Měl by být něčím, co chtějí příjemci dostávat, nikoliv tím, co si nepřejí dostávat. GDPR vyjasňuje podmínky souhlasu a vyžaduje, aby organizace požádaly o souhlasné přihlášení. Nezapomeňte na to, že musíte uživatelům usnadnit také odhlášení.

GDPR při e-mail marketingu porušíte, když:

• neumožníte příjemci se odhlásit z databáze;
• zašlete e-mail někomu, kdo si ho nevyžádal - nepřihlásil se, neudělil souhlas;
• inzeruje službu, která nesouvisí se službou či zbožím, které si příjemce u vás již zakoupil (implicitní souhlas).

Organizační zabezpečení e-mailu

GDPR má ještě jeden e-mailový aspekt, a to zabezpečení e-mailů. Článek 5 v odstavci f) říká, že musíte chránit osobní údaje před náhodnou ztrátou, zničením nebo poškozením pomocí vhodných technických nebo organizačních opatření. Technickým opatřením je např. výše uvedené šifrování e-mailů. Organizační opatření mají co dočinění s interními politikami, managementem a školením. Více jak devadesát procent kybernetických útoků začíná phishingovým e-mailem, ve kterém se hackeři pokoušejí získat přístup k účtu nebo zařízení pomocí podvodu nebo malwaru. Na odkazy a přílohy z neznámých účtů nikdy neklikejte ani je nestahujte. Jakmile útočník získá přístup k jednomu účtu nebo zařízení, je často snadné získat přístup k dalším, což znamená, že chyba jednoho zaměstnance by mohla ohrozit obrovské množství dat. Pokud nemůžete regulačním orgánům prokázat, že jste provedli správná technická a organizační opatření, může to pro vás znamenat udělení sankcí od EU a kompenzace subjektům údajů.

Abyste se vyhnuli odpovědnosti, je důležité poučit svůj tým o bezpečnosti e-mailů. Přečtěte si proto článek Základy kybernetické bezpečnosti: 20 preventivních opatření před kyberútoky na firmy.