Využití databáze eshopu pro nabídku levnější energie zákazníkům eshopu - je to legální?
- Uložil(a): Mgr. Lukáš Mohyla (právník)
- Kategorie: Obchodní právo, vztahy, smlouvy
2016 - duben 2018 jsem provozoval e-shop s digitálními produkty (hrami na PC a Xbox). Provoz tohoto e-shopu jsem ukončil.
Nyní jsem začal podnikat v jiné oblasti a nabízím lidem - domácnostem možnost změnit dodavatele elektřiny a zemního plynu na dodavatele, který zvítězil v elektronické aukci společnosti eCENTRE, která je ve svém oboru lídrem na českém trhu, a využít tak nejnižších možných cen energií (elektřiny a zemního plynu).
To znamená možnost ušetřit nemalé prostředky, a to zcela zdarma. Možnost využít mých služeb a celý převod na nového dodavatele je pro klienty zcela zdarma a žádný poplatek neplatí i v případě, že skutečně získají nového dodavatele za nejvýhodnější ceny na českém trhu.
Pro společnost pracuji za základě smlouvy o spolupráci - tj. já jako fyzická osoba skutečně podnikám. Jedná se mi o to, že z doby, kdy jsem provozoval e-shop, mám databázi několika stovek kontaktů zákazníku. Ty bych nyní rád oslovil stylem:
"V minulosti jste u mě nakoupili a já bych Vám nyní rád nabídl to, co jsem Vám popsal výše. Vše by pro Vás bylo zcela zdarma, žádný poplatek za zprostředkování byste neplatili v jakékoli fázi změny dodavatele. A to ani mně, ani dodavateli."
Děkuji, Václav
ODPOVĚĎ:
Odpověď na otázku, zda je Vámi zamýšlený krok v souladu s platnou právní úpravou či nikoli, si můžete dát v podstatě sám, a to po zodpovězení těchto dílčích dotazů:
- získal jste kontakty svých bývalých zákazníků s jejich souhlasem?
- pokud ano, za jakým účelem jste kontakty svých bývalých zákazníků zpracovával?
- k čemu se souhlasy Vašich bývalých zákazníků vztahovaly (tzn. s čím vlastně Vaši bývalí zákazníci souhlasili)?
Jelikož odpovědi na tyto otázky z Vašeho dotazu nevyplývají, budu v následující části své odpovědi mírně spekulovat.
Kontaktní údaje zákazníků (například e-mailové adresy, telefonní čísla, adresy trvalého pobytu apod.) jsou bezpochyby osobními údaji. Na tuto problematiku se tak vztahuje nařízení Evropského parlamentu a Rady č. (EU) 2016/679 (dále jen „GDPR“).
Jedním z klíčových aspektů při zpracování osobních údajů (například při vytváření a vedení databáze kontaktů) je účel takového zpracování. Dle článku 5/1 písm. b) a e) GDPR musí být osobní údaje:
- shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;
- uloženy ... po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány.
Pokud jste osobní údaje svých bývalých zákazníků shromažďoval pro potřeby svého předchozího podnikání (což předpokládám), lze usuzovat, že tento účel již (po skončení Vaší podnikatelské činnosti) odpadl. Je-li tomu tak, jsou v současné době osobní údaje z Vaší strany zpracovávány neoprávněně a měl byste je tudíž zlikvidovat.
V této souvislosti je dále podstatné, jaký účel zpracování osobních údajů byl vlastně Vašimi bývalými zákazníky odsouhlasen. Pokud Vaši bývalí zákazníci vyslovili například souhlas pouze s tím, abyste je (prostřednictvím Vámi zpracovávaných osobních údajů) v budoucnu kontaktoval v rámci Vaší tehdejší podnikatelské činnosti, není možné použít osobní údaje za jiným účelem (tedy například oslovit Vaše bývalé zákazníky s nabídkou jiného zboží či služeb). Nemusím patrně připomínat, že pakliže jste zpracovával kontaktní údaje Vašich bývalých zákazníků bez jejich souhlasu, mohlo se jednat již od počátku o protiprávní postup.
V tomto ohledu odkazuji na článek 6/1 GDPR, dle něhož je zpracování osobních údajů zákonné pouze pokud je splněna alespoň jedna z těchto podmínek:
a/ subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (tato podmínka může být na Vaší straně splněna, pokud Vaši bývalí zákazníci se zpracováním osobních údajů souhlasili, a to pro konkrétní účel) ;
b/ zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c/ zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d/ zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e/ zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f/ zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Pakliže máte k dispozici databázi kontaktních údajů Vašich bývalých klientů, a to 1/ bez jejich vědomí či b/ za účelem, který se týkal Vaší minulé podnikatelské činnosti (a tudíž již odpadl), nelze Vám použití této databáze pro Vaší současnou podnikatelskou činnost doporučit, jelikož byste se tímto postupem s vysokou mírou pravděpodobnosti dostal do konfliktu s platnou právní úpravou na ochranu osobních údajů (a podstupoval byste tudíž riziko udělení pokuty ze strany Úřadu pro ochranu osobních údajů).
_______________________
Právní předpisy zmiňované v odpovědi:
nařízení Evropského parlamentu a Rady č. (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Štítky: