Názor k článku Na newslettery pro zákazníky není nutný aktivní souhlas, stačí umožnit odmítnutí od BlahaK - Dobrý den. Nejsem si jistý, jestli je stanovisko ÚOOÚ...

Dobrý den.

Nejsem si jistý, jestli je stanovisko ÚOOÚ závazné, resp. jsem si téměř jistý, že GDPR z pera EU má přednost.
Ale na moji závěrečnou otázku jste mi neodpověděl: vyžaduje GDPR informovaný neimlicitní souhlas, nebo ne?

Pro představu si dovolím citovat:
"(32)Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván."

To pro mě znamená jediné: zaškrtávací políčko (, nebo stisk tlačítka), čímž uživatel může projevit svůj zájem. V textu nevidím ani zmínku o tom, že by se měl projevovat nezájem, natož dodatečně.

P.S. Přesně to jsem od GDPR očekával a také to tak má být, že všechny podnikatelské subjekty, které měly v databázi osobní údaje kvůli marketinku, aniž by k tomu měly můj souhlas v souladu s GDPR, je prostě do 25. května 2018 smažou. A takových je v mém případě valná většina. Prohlášení zaslané e-mailem, kde mi firma popisuje, jak je "GDPR ready", je mi vážně ukradené, protože ta firma musí být ve shodě s GDPR. Tak proč má potřebu mi posílat tuhle informaci? Pokud jsem nedal výslovný souhlas, neměly by firmy mé údaje pro marketing zpracovávat.
Věta o oprávněném zájmu, na kterou jsem narazil v článku, by měla být předmětem rozhodnutí soudu, ale podle mě to ani k soudu nedojde, poněvadž bychom napřed museli uzákonit povinnost zpracovávat osobní údaje pro marketingové účely. Podle mě je oprávněným zájmem e-shopu poskytnout rozhraní k výběru zboží a prodat, ale určitě ne zasílat nevyžádanou poštu. Resp. mým oprávněným zájmem je takovou poštu nedostávat.

A čemu vůbec nerozumím, proč firmy začaly ty e-maily rozesílat až kolem 25. května? Mohly to udělat půl roku dopředu a některým bych ten souhlas i rád dal (pokud by se nejednalo o kliknutí v e-mailu). Některé firmy mi psaly až po 25. květnu a některé místo souhlasu rovnou provokativně poslaly další spam...

Ne, pojďme do toho a řekněme nahlas, že kdo chce reklamní e-maily, musí se "snažit". Určitě nedoporučuji mít databáze bývalých kupujících za účelem zasílání nevyžádané pošty. Pokud už firmy tyhle údaje mají, což např. e-mail nebo telefon nejsou data, která by se ze zákona měla skladovat kvůli proběhlému obchodu s fyzickou osobou, takže měla být okamžitě smazána už jen z důvodu rizika ztráty a následné pokuty, neměly by to nikde prezentovat a už vůbec by to neměly dávat najevo odesláním dalšího spamu.

A pokud jde o spam obecně, mám na to jednoduchý názor: peníze se musí točit. Ono by to šlo ošetřit. Šlo by rozdat certifikáty, šlo by v mailovém serveru nastavit, že jako uživatel nechci do schránky jiný, než podepsaný e-mail. Ale ti, kteří mají peníze z reklamy, z datových toků, ze zavirovaných počítačů, z podvedených chudáků atp. určitě nemají zájem o tyhle peníze přijít. Naštěstí dozrává doba, kdy si uživatelé začínají uvědomovat, že soukromí není pro všechny a že komunikovat s anonymem nemusí dopadnout dobře. Proto jsem jednoznačně už dlouhé roky pro to, aby byla nevyžádaná pošta identifikovatelná a bylo možné ji nepřijmout.