V souvislosti s osobními údaji a GDPR se nás klienti často ptají na svá práva a povinnosti v oblasti obchodování s osobními údaji. A to jak už s jejich vlastními osobními údaji či s osobními údaji jiných subjektů s kterými sami nakládají. My je však musíme opakovaně varovat, že obchodování s databázemi a seznamy osobních údajů je jedna z hlavních oblastí na kterou se bude dozorový orgán Úřad pro ochranu osobních údajů, aktivně zaměřovat.
Obchodování s osobními údaji prostřednictvím koupě databáze
Databáze s osobními údaji (vč. kontaktních údajů) různých osob a cílových skupin, jsou obecně žádaným zbožím. Především pro účely cíleného marketingu a oslovování potenciálních zákazníků, kdy nejčastěji jsou shromažďovány údaje. Například o telefonních číslech, emailech, jménu a příjmení. Toto vše je dle nařízení GDPR považováno za osobní údaje. Subjekty osobních údajů (fyzické osoby, kterých se to týká) mají právo vědět a rozhodovat, jak bude s jejich osobními údaji nakládáno.
Při obchodování s osobními údaji, půjde nejčastěji o strukturované a filtrovatelné databáze různých cílových skupin. Např. databáze firem a živnostníků, manažerů velkých firem, potencionálních zákazníků apod. A to databáze obsahující osobní údaje potřebné k jednoduchému, levnému a přesnému zacílení na určitý segment trhu. Nařízení GDPR ani české právní předpisy na ochranu osobních údajů samotný prodej či pronájem osobních údajů za účelem nabízení obchodu a služeb nezakazuje. Ovšem předpokládá se téměř vždy aktivní, svobodný a zejména informovaný souhlas dotčené osoby, která rozumí záměru správce, přeprodávat její kontaktní osobní údaje jiným subjektům.
Souhlas subjektů při obchodování s osobními údaji
Osobní údaje v databázi musí být tedy získány s již zmíněným souhlasem dotyčné osoby. Nebo může jít o získání osobních údajů z veřejných zdrojů (např. z telefonního seznamu, z katastru nemovitostí, z webových stránek apod.). Takto získané osobní údaje jsou v pořádku a dle zákona. Problém je však pokud vysloví dotyčná osoba svůj nesouhlas, vezme souhlas zpět či požádá o odstranění osobních údajů. Pak musíte jeho osobní údaje z databáze odstranit. Pokud byste tak neučinili, jednalo by se o porušení zákona a subjekt údajů by se mohl obrátit s podnětem na Úřad pro ochranu osobních údajů. Nesouhlas s dalším zpracováním osobních údajů je nutné vyslovit dle zákona písemně. To se může stát buď dopisem (doporučeným) nebo i e-mailovou zprávou na adresu toho, kdo databázi vede.
Problém při obchodování s osobními údaji je pak zejména ujištění prodávajícího, že přímé kontaktování v nich uvedených osob za účelem nabízení obchodu a služeb je plně v souladu se zákonem. Jelikož databáze neobsahují osobní údaje nikoho, kdo si nepřeje být kontaktován a souhlas byl řádně zajištěn a trvá. To však nemusí být pravda a pro Vás jako kupujícího, je téměř nemožné si tuto informaci ověřit.
Sankce za porušení pravidel při obchodování s osobními údaji
Takové praktiky prováděla například společnost SOLIDIS, která svým jednáním zasáhla do soukromý téměř 1.670.000 osob. Za své jednání, kdy nedisponovala souhlasy subjektů údajů ani jiným zákonným titulem pro zpracování osobních údajů, ji Úřad pro ochranu osobních údajů uložil pokutu až 800.000,- Kč. K jejímu jednání a zejména k potřebě řádných souhlasů dotčených osob se vyjádřil Úřad pro ochranu osobních údajů na svých webových stránkách následovně:
https://www.uoou.cz/preprodavani-databazi-i- -na…/d-31528
Závěr
Svým klientům proto radíme být velmi opatrní a obezřetní při obchodování s osobními údaji. Prodávajícího si dostatečně prověřit, jelikož pokutování a četné kontroly ze strany Úřadu pro ochranu osobních údajů se dají předpokládat. Naopak samotným subjektům údajů radíme, aby se v případě potřeby nezdráhali využít svého práva na „zapomenutí“. A taktéž žádali o výmaz svých osobních údajů.
