Pre podnikateľov je asi najväčším problémom vplyv GDPR a nového zákona o ochrane osobných údajov na vedenie databázy zákazníkov na účely zasielania reklám, marketingových katalógov, SMS správ či newslettrov.
Kontaktné údaje zákazníkov sú osobné údaje. Ak podnikateľ tieto údaje používa na iné účely než na účely dodania objednaného tovaru, k ich ďalšiemu spracúvaniu potrebuje osobitný súhlas adresáta. Len objednaním a zaplatením tovaru nie je podnikateľ oprávnený vaše údaje použiť na účely zasielania letákov a pod.
Súhlas musí byť zrozumiteľný v ľahko dostupnej forme, konkrétny a slobodný a informovaný (musí obsahovať informácie o jeho právach ako dotknutej osoby napr. o práve takýto súhlas odvolať).
Ak podnikateľ získa váš e-mail prostredníctvom vopred zaškrtnutého políčka v e-shope alebo na základe súhlasu, ktorý je neoddeliteľnou súčasťou zmluvy alebo VOP, tento súhlas je so spracovaním podľa GDPR a nového zákona neplatný.
Neplatný je aj nedostatočne informovaný súhlas (bez bližšieho vysvetlenia práv zákazníka, napr. aktívnym odkazom na podmienky spracúvania a ochrany osobných údajov alebo nejednoznačný súhlas vyjadrený vyhlásením „súhlasím so spracovaním osobných údajov“).
Spracúvanie kontaktných údajov zákazníkov na marketingové účely na základe neplatného súhlasu dotknutej osoby alebo bez neho je
trestané pokutou do výšky 20 mil. eur alebo do výšky 4 % z celosvetového ročného obratu.
Rovnaké riziko uloženia pokuty smeruje aj do minulosti, teda aj pri súhlasoch získaných pred účinnosťou GDPR a nového zákona, kedy sa osobitný súhlas na marketingové účely nevyžadoval.
Aby podnikateľ spracúval osobné údaje zákazníkov na marketingové účely v súlade so zákonom a GDPR, je nevyhnutné, aby boli vymazané kontakty, ktoré boli do databázy zaradené bez súhlasu. Ak súhlas udelený v minulosti bol, treba skontrolovať nastavenie zaškrtávacích políčok na webe, formuláre a dokumenty obsahujúce súhlas so spracovaním osobných údajov. Skontrolovať, či VOP a/alebo podmienky ochrany osobných údajov odkazujú na aktuálnu legislatívu a či obsahujú všetky povinné informácie. Pri elektronicky získavaných kontaktoch je vhodné používať metódu „double-opt-in“. Najskôr zákazníkovi zaslať e-mail pre overenie, že kontaktné údaje zadal zákazník sám a do marketingovej databázy ho zaradiť až po kliknutí na aktivačný odkaz v tomto e-maile.
Podnikatelia vykonávajú aj iné spracovateľské operácie s osobnými údajmi (spracúvanie osobných údajov osôb mladších ako 16 r., využívanie cookies, ktoré sú tiež osobným údajom alebo využívanie biometrických dochádzkových systémov). To si vyžaduje špecifické technické nastavenie, vypracovanie príslušnej dokumentácie a prijatie bezpečnostných opatrení, pri ktorých sa odporúča konzultácia s odborníkom.
