V souvislosti s osobními údaji a GDPR se nás klienti často ptají na svá práva a povinnosti v oblasti obchodování s osobními údaji. A to jak už s jejich vlastními osobními údaji či s osobními údaji jiných subjektů s kterými sami nakládají. My je však musíme opakovaně varovat, že obchodování s databázemi a seznamy osobních údajů je jedna z hlavních oblastí na kterou se bude dozorový orgán Úřad pro ochranu osobních údajů, aktivně zaměřovat.
Obchodování s osobními údaji prostřednictvím koupě databáze
Databáze s osobními údaji (vč. kontaktních údajů) různých osob a cílových skupin, jsou obecně žádaným zbožím. Především pro účely cíleného marketingu a oslovování potenciálních zákazníků, kdy nejčastěji jsou shromažďovány údaje. Například o telefonních číslech, emailech, jménu a příjmení. Toto vše je dle nařízení GDPR považováno za osobní údaje. Subjekty osobních údajů (fyzické osoby, kterých se to týká) mají právo vědět a rozhodovat, jak bude s jejich osobními údaji nakládáno.
Při obchodování s osobními údaji, půjde nejčastěji o strukturované a filtrovatelné databáze různých cílových skupin. Např. databáze firem a živnostníků, manažerů velkých firem, potencionálních zákazníků apod. A to databáze obsahující osobní údaje potřebné k jednoduchému, levnému a přesnému zacílení na určitý segment trhu. Nařízení GDPR ani české právní předpisy na ochranu osobních údajů samotný prodej či pronájem osobních údajů za účelem nabízení obchodu a služeb nezakazuje. Ovšem předpokládá se téměř vždy aktivní, svobodný a zejména informovaný souhlas dotčené osoby, která rozumí záměru správce, přeprodávat její kontaktní osobní údaje jiným subjektům.
Souhlas subjektů při obchodování s osobními údaji
Osobní údaje v databázi musí být tedy získány s již zmíněným souhlasem dotyčné osoby. Nebo může jít o získání osobních údajů z veřejných zdrojů (např. z telefonního seznamu, z katastru nemovitostí, z webových stránek apod.). Takto získané osobní údaje jsou v pořádku a dle zákona. Problém je však pokud vysloví dotyčná osoba svůj nesouhlas, vezme souhlas zpět či požádá o odstranění osobních údajů. Pak musíte jeho osobní údaje z databáze odstranit. Pokud byste tak neučinili, jednalo by se o porušení zákona a subjekt údajů by se mohl obrátit s podnětem na Úřad pro ochranu osobních údajů. Nesouhlas s dalším zpracováním osobních údajů je nutné vyslovit dle zákona písemně. To se může stát buď dopisem (doporučeným) nebo i e-mailovou zprávou na adresu toho, kdo databázi vede.
Problém při obchodování s osobními údaji je pak zejména ujištění prodávajícího, že přímé kontaktování v nich uvedených osob za účelem nabízení obchodu a služeb je plně v souladu se zákonem. Jelikož databáze neobsahují osobní údaje nikoho, kdo si nepřeje být kontaktován a souhlas byl řádně zajištěn a trvá. To však nemusí být pravda a pro Vás jako kupujícího, je téměř nemožné si tuto informaci ověřit.
Sankce za porušení pravidel při obchodování s osobními údaji
Za porušování pravidel může Úřad pro ochranu osobních údajů uložit sankci ve výši statisíc i miliónů korun.
Je tedy vhodné se porušování vyhnout.
Závěr
Svým klientům proto radíme být velmi opatrní a obezřetní při obchodování s osobními údaji. Prodávajícího si dostatečně prověřit, jelikož pokutování a četné kontroly ze strany Úřadu pro ochranu osobních údajů se dají předpokládat. Naopak samotným subjektům údajů radíme, aby se v případě potřeby nezdráhali využít svého práva na „zapomenutí“. A taktéž žádali o výmaz svých osobních údajů.
