Podmínky pro šíření obchodních sdělení elektronickými prostředky jsou upraveny v zákoně č. 480/2004 Sb., o některých službách informační společnosti. V jeho § 7 je jasně napsáno, že podrobnosti elektronického kontaktu lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. Pokud odesílatel těchto sdělení získá e-mailovou adresu v souvislosti s prodejem výrobku nebo služby, může je využít jen za předpokladu, že má příjemce jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet odesílatele, souhlas s takovýmto využitím svého elektronického kontaktu odmítnout. A to i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.
„Správci údajů budou muset pro to, aby byli schopni zachovat své e-mailové marketingové aktivity v současném rozsahu, získávat jasné souhlasy. Musí se jednat o prokazatelné souhlasy provedené konkrétními příjemci, kteří dávají souhlas. Jediné technické řešení tohoto problému je potvrzovací e-mail, respektive pro mobilní telefonní čísla potvrzovací SMS,“ říká jednatel společnosti Mailkit Jakub Olexa. Využití systému double opt-in pak doporučuje i Úřad pro ochranu osobních údajů. „Potvrzovací e-mail zaslaný do příslušné schránky potvrdí nejen souhlas jako takový, ale zároveň i to, že byl souhlas udělen skutečně oprávněnou osobou,“ dodává ředitel odboru pro styk s veřejností Úřadu pro ochranu osobních údajů Jiří Žůrek.
„Ten, kdo v plném rozsahu dodržoval současnou legislativu a obecná doporučení pro kvalitní e-mailingové marketingové kampaně a získával informované souhlasy se zasíláním obchodních sdělení a zpracováním osobních údajů, nebude mít problém. Ty společnosti, které se tomu vyhýbaly z důvodu obav, že získají menší množství adres, a sázely na oprávnění vycházející z předchozího obchodního vztahu, budou mít naopak výrazný problém a často budou nuceny nemalou část své databáze smazat,“ dodává Jakub Olexa, specialista na e-mailing a jednatel společnosti Mailkit.
Souhlas je platný jedině za podmínky, že je udělen svobodně, tedy bez rizika neposkytnutí služby nebo zhoršení situace subjektu údajů. A měl by být udělován aktivním jednáním subjektu údajů směřujícího k projevení vůle, že souhlasí. Předvyplněná políčka, která dnes někteří podnikatelé využívají, nebo vložení podmínky souhlasu do obchodních podmínek nepředstavují svobodný souhlas a jsou v přímém rozporu s GDPR. Získávání souhlasů se samozřejmě netýká pouze online prostředí, ale i offline. Pokud zákazník v obchodě vyplní formulář, musí znovu proběhnout jeho ověření a potvrzení zadané e-mailové adresy zasláním zprávy s potvrzovacím odkazem, aby byl jasně prokazatelný souhlas vlastníka adresy.
Krýt se tvrzením, že je lepší mít paušální souhlas subjektu údajů než se zabývat jednotlivými zákonnými důvody, bude zcela zbytečné a chybné. „Takové tvrzení vychází z nepochopení a nedocenění souhlasu subjektu údajů. Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků. Nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování, s nimiž nelze souhlas zaměňovat, například sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů,“ komentuje Jiří Žůrek, ředitel odboru pro styk s veřejností Úřadu pro ochranu osobních údajů.
Do potíží se i kvůli přísnějším pravidlům vyplývajícím z GDPR mohou dostat všichni ti, kteří nemají pečlivě vedené databáze údajů a hlavně nejsou schopni doložit správný právní titul k používání e-mailových adres. Téměř všichni obchodníci se v posledních letech soustředili především na maximalizaci svých databází zákazníků a tomuto cíli podřídili mnoho svých postupů. Ve výsledku to znamená, že mají objemné databáze, ale velice omezený rozsah jejich použitelnosti, neboť doposud využívali titulu oprávněného zájmu vycházejícího z existujícího obchodního vztahu. Tento právní titul podle GDPR nadále existuje, ale jeho použití a prokazatelnost je výrazně komplikovanější, a tudíž jeho využitelnost výrazně nižší. Rozhodně budou muset do účinnosti GDPR v květnu 2018 všechny e-mailové databáze znovu projít a přiřadit ke každému evidovanému e-mailu adekvátní právní titul k jeho zpracování, přičemž se za samotné zpracování považuje i uložení e-mailu do takové databáze. Pokud nebude správce databáze schopen doložit právní důvod ke zpracování e-mailů, kterými disponuje, tak je prostě bude muset smazat, jinak se vystavuje pokutám, které rozhodně převýší částku, jež byla nedávno udělena v tomto případě spamového e-mailingu.