Vlákno názorů k článku Na newslettery pro zákazníky není nutný aktivní souhlas, stačí umožnit odmítnutí od BlahaK - Dobrý den, z uvedeného "stanoviska" jsem značně v rozpacích....

Dobrý den,

z uvedeného "stanoviska" jsem značně v rozpacích. Od GDPR jsem očekával především konec reklamních sdělení a obecně spamu a telefonátů.

1. měl jsem za to, a celou dobu se to tak prezentuje, že je potřeba "informovaný souhlas". Už to neplatí? Protože zaškrtávat že "nechci spam" už není vyjádření souhlasu, ale nesouhlasu.

2. měl jsem za to, že už nebude možný "implicitní souhlas". To už také neplatí? Protože zaškrtávat že "nechci spam", pokud pole nezaškrtnu a následně zatržení nezruším, je rozhodně implicitním souhlasem. A i v takovém případě, kdy zatrření zruším: jak bude e-shop prokazovat moji vůli? Prázdnem?

3. stejně tak je implicitním souhlasem dodatečně nabídnout zrušení "implicitního souhlasu" až v potvrzení objednávky.

4. a co mi vadí nejvíc: celou dobu lidem vysvětlujeme, že se v e-mailu na nic nekliká. A pořád to platí. Není možné tam mít text "pro odhlášení z odběru novinek klikněte zde", protože si to přímo říká o zneužití - docela se divím, že při té smršti e-mailů, která se kvůli dodatečnému souhlasu od obchodníků vyrojila, lidi dosud nehlásí zavirované počítače. Podvrhnout e-mailovou adresu není problém, čili běžný uživatel nemá jak ověřit identitu odesílatele. Takových e-mailů je v životě běžného uživatele 99 %. Správným řešením je "přihlaste se do svého účtu a zrušte souhlas". Ale, pokud se budeme poslouchat, opět muselo předtím dojít k "implicitnímu souhlasu" a to nemluvím o nutnosti mít na e-shopu "účet".

Takže jak to je? Musí být 1. "souhlas" 2. "informovaný" 3. "neimplicitní", nebo je to jinak?

Pochopil jste to špatně.

Tady UOOZ říká, že EXISTUJÍCI kontakty není třeba obesílat maily (to by jsme nedělali nic jiného, než mazali nesmyslné žádosti), ale mají Vás informovat a umožnit odhlášení.
Mj, to odhlášení bylo povinné v neswletterch už podle Zák. 101/2000 Sb, a slušné obchody to dodržovaly.

A spamerům je GDPR i tak jedno, tam bude i nadále platit jen Spam Filter.

A u nových kontaktů je opravdu třeba, aby vyjádřili souhlas, třeba tím, že zaškrtnou (nezaškrtnuté) políčko "Chci dostávat ... při registraci/koupi čehokoliv. A podle GDPR souhlas nesmí být podmínkou pro poskkytnutí služby/zboží. V tom je ta novinka ... mj.

Škoda, že jste si nepřečetl GDPR a to co se vlastně v článku píše. Pak by z Vás taková blbost nevypadla.

PS: Asi moc sledujete zprávy na Nově, tam bohužel není vždy vše celé, ale tendenčně jen to, aby to bylo dost bulvární a aby to zvýšilo sledovanost zpráv, nyní nacpaných reklamou.

Z čeho jste v tom článku pochopil, že se jedná jen o existující kontakty? Já tam nic takového nevidím, naopak, v článku je návod, jak odmítnout souhlas udělit při novém nákupu, což přímo protiřečí vašemu tvrzení.

P.S. Žádám tímto IINFO o okamžité vymazání mých osobních údajů, k jejichž zpracování jsem dal přechodný souhlas při přidávání názoru do diskuse.

Dobrý den.

Nejsem si jistý, jestli je stanovisko ÚOOÚ závazné, resp. jsem si téměř jistý, že GDPR z pera EU má přednost.
Ale na moji závěrečnou otázku jste mi neodpověděl: vyžaduje GDPR informovaný neimlicitní souhlas, nebo ne?

Pro představu si dovolím citovat:
"(32)Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván."

To pro mě znamená jediné: zaškrtávací políčko (, nebo stisk tlačítka), čímž uživatel může projevit svůj zájem. V textu nevidím ani zmínku o tom, že by se měl projevovat nezájem, natož dodatečně.

P.S. Přesně to jsem od GDPR očekával a také to tak má být, že všechny podnikatelské subjekty, které měly v databázi osobní údaje kvůli marketinku, aniž by k tomu měly můj souhlas v souladu s GDPR, je prostě do 25. května 2018 smažou. A takových je v mém případě valná většina. Prohlášení zaslané e-mailem, kde mi firma popisuje, jak je "GDPR ready", je mi vážně ukradené, protože ta firma musí být ve shodě s GDPR. Tak proč má potřebu mi posílat tuhle informaci? Pokud jsem nedal výslovný souhlas, neměly by firmy mé údaje pro marketing zpracovávat.
Věta o oprávněném zájmu, na kterou jsem narazil v článku, by měla být předmětem rozhodnutí soudu, ale podle mě to ani k soudu nedojde, poněvadž bychom napřed museli uzákonit povinnost zpracovávat osobní údaje pro marketingové účely. Podle mě je oprávněným zájmem e-shopu poskytnout rozhraní k výběru zboží a prodat, ale určitě ne zasílat nevyžádanou poštu. Resp. mým oprávněným zájmem je takovou poštu nedostávat.

A čemu vůbec nerozumím, proč firmy začaly ty e-maily rozesílat až kolem 25. května? Mohly to udělat půl roku dopředu a některým bych ten souhlas i rád dal (pokud by se nejednalo o kliknutí v e-mailu). Některé firmy mi psaly až po 25. květnu a některé místo souhlasu rovnou provokativně poslaly další spam...

Ne, pojďme do toho a řekněme nahlas, že kdo chce reklamní e-maily, musí se "snažit". Určitě nedoporučuji mít databáze bývalých kupujících za účelem zasílání nevyžádané pošty. Pokud už firmy tyhle údaje mají, což např. e-mail nebo telefon nejsou data, která by se ze zákona měla skladovat kvůli proběhlému obchodu s fyzickou osobou, takže měla být okamžitě smazána už jen z důvodu rizika ztráty a následné pokuty, neměly by to nikde prezentovat a už vůbec by to neměly dávat najevo odesláním dalšího spamu.

A pokud jde o spam obecně, mám na to jednoduchý názor: peníze se musí točit. Ono by to šlo ošetřit. Šlo by rozdat certifikáty, šlo by v mailovém serveru nastavit, že jako uživatel nechci do schránky jiný, než podepsaný e-mail. Ale ti, kteří mají peníze z reklamy, z datových toků, ze zavirovaných počítačů, z podvedených chudáků atp. určitě nemají zájem o tyhle peníze přijít. Naštěstí dozrává doba, kdy si uživatelé začínají uvědomovat, že soukromí není pro všechny a že komunikovat s anonymem nemusí dopadnout dobře. Proto jsem jednoznačně už dlouhé roky pro to, aby byla nevyžádaná pošta identifikovatelná a bylo možné ji nepřijmout.

GDPR zadny souhlas nevyzaduje! je to opravneny zajem podnikatele, hotovo, snad to neni tak tezke pochopit. GDPR a stanovisko UOOU v tomhle neni v rozporu. Zpracovavaji se osobni udaje na zaklade souhlasu, plneni smlouvy, opravneneho zajmu atd...
BTW. stanovisko UOOU je zatracene pravne zavazne, to jedine me muze pokutovat.

Pokud je opravdu oprávněným zájmem podnikatele užívání kontaktních údajů ke spamování, tak je stejně dobře jeho oprávněným zájmem znát můj příjem (aby věděl, jakým spamem mě má otravovat), znát věk a pohlaví mých dětí (dtto), znát věk mých rodičů (k zaslání nabídky rakví ve vhodné době), ..., prostě znát všechno o všech, aby mohl správně cílit reklamu. Pak ale žádné GTPR nepotřebujeme, za opravněný zájem se schová úplně všechno (i zájem zloděje na informaci o tom, kdy jsem doma).

A stanovisko ÚOOÚ je jen právně nepodložený názor nějakého ouřady. On vám sice může vyměřit pokutu, ale o její oprávněnosti rozhodne soud. A jen jeho stanovisko má význam. A soud se nějakým stanoviském ÚOOÚ nebude zabývat, pro něj je rozhodující znění zákona (a jeho vlastní výklad tohoto zákona).

P.S. Žádám IINFO o smazání osobních údajů, k jejichž zpracování jsem dal souhlas pouze pro zveřejnění mého příspěvku.

Já nevím, co tady zase řešíte. Váš "spam" GDPR vůbec neřeší. Na e-mailové newslettery pro zákazníky se vztahuje ePrivacy směrnice 2002/58/ES a k její implementaci přijatý zákon o elektronických komunikacích - viz § 7 odst. 3:

"pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby ..., může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl."

P.S. Podobně se GDPR netýká focení na demonstracích (zákonná licence podle § 89 OZ), ani focení žáků ve školách (upravuje opět občanský zákoník v ustanoveních týkajících se ochrany osobnosti) ani podepisování výkresů žáků (upravuje autorský zákon).

NEsouhlasím se zpracováním nepotřebných osobních údajů, zejména v rozsahu debilního checkboxu pod diskusemi.