Možno sa Vám táto otázka môže zdať úplne banálna a dávno vyriešená. To isté sme si mysleli aj my posledných pár rokov. Vedzte však, že ak túto otázku položíte našim dvom regulátorom, zrejme nedostanete rovnaké odpovede. Naša nedávna skúsenosť potvrdzuje, že Úrad pre reguláciu tento pojem vykladá výrazne širšie ako Úrad na ochranu osobných údajov, čo môže v praxi spôsobovať vážne problémy.
GDPR a ePrivacy pojem "priamy marketing" síce používajú, ale jeho definíciu neobsahujú. Napriek tomu sú na tento pojem naviazané viaceré významné ustanovenia, a to najmä právo namietať proti priamemu marketingu podľa čl. 21 ods. 2 až 5 GDPR, ktoré má všeobecný charakter. Nové nariadenie DSA (Digital Services Act) pri online platformách takisto pracuje s pojmom priamy marketing bez toho, aby ho precízne definovalo. Pritom články 23 až 28 DSA obsahujú významnú reguláciu a aj viaceré obmedzenia priameho marketingu. Aj keď nejde o právny predpis, kódex správania FEDMA z roku 2010 schválila WP 29 ako predchodca Výboru (EDPB). Tento kódex je síce starší ale stále platný. Obsahuje definíciu priameho marketingu v online kontexte:
"Priamy marketing v online prostredí odkazuje na "one-to-one" marketingové aktivity, pri ktorých sú cielení jednotlivci."
Okrem toho legislatíva EÚ pracuje s obdobným ale zrejme širším pojmom "komerčná komunikácia", ktorá je obsiahnutá v eCommerce smernici:
"Každá forma komunikácie určená priamo alebo nepriamo na propagáciu tovaru, služieb alebo imidžu spoločnosti, organizácie alebo osoby, ktorá vykonáva komerčnú, priemyselnú alebo umeleckú činnosť alebo vykonáva regulované povolanie."
Táto definícia výslovne vylučuje nasledovné:
"Nasledujúce formy samy o sebe nepredstavujú komerčnú komunikáciu: (i) informácie umožňujúce priamy prístup k činnosti spoločnosti, organizácie alebo osobe, najmä názov domény alebo adresa elektronickej pošty; (ii) oznámenia týkajúce sa tovaru, služieb alebo imidžu spoločnosti, organizácie alebo osoby zostavené nezávisle, najmä ak nie sú za finančnú úhradu.“
Podľa nášho názoru jednoznačne áno, nakoľko ide o plne kompatibilné režimy, ktoré sa len vzájomne dopĺňajú. Nikde v práve EÚ nenájdeme náznak toho, že pojem priamy marketing by mal znamenať niečo iné podľa GDPR ako podľa ePrivacy. Vždy keď Výbor (EDPB) alebo pred ním WP29 vykladali pojem "priamy marketing", robili tak jednotne (rovnako) a súčasne podľa oboch predpisov. Väčšina členských štátov EÚ tento problém ani otázku nikdy neriešili, pretože majú jedného regulátora na GDPR a ePrivacy súčasne, ktorý pracuje s jedným výkladom toho istého pojmu.
Nie je však úplne jednoduché nájsť univerzálny výklad pojmu "priamy marketing" od Výboru alebo WP 29. Najbližšie k nemu zrejme smeruje Stanovisko WP29 05/2004 k nevyžiadanej komunikácii na marketingové účely podľa článku 13 ePrivacy smernice, kde WP 29 v bode 3.3 uvádza:
„Podľa názoru WP29 článok 13 ePrivacy smernici sa následne vzťahuje na akúkoľvek formu podpory predaja (v angličtine: sales promotion), vrátane priameho marketingu charitami a politickými organizáciami (napríklad získavanie finančných prostriedkov).“
Dôležitým je v tomto smere odkaz na pojmy „sales“ a „promotion“.
Vo veci eprimo (C‑102/20) Súdny dvor EÚ rozhodol, že reklamné bannery viditeľné v schránke emailových správ (inbox advertising) predstavovali priamu marketingovú komunikáciu v zmysle čl. 13 ePrivacy smernice, pričom konštatoval:
"Pokiaľ ide o otázku, či účelom komunikácií uvedených v článku 13 ods. 1 uvedenej smernice je priama reklama, treba overiť, či takáto komunikácia sleduje obchodný účel a je priamo a individuálne určená spotrebiteľovi."
Vo svojich často kladených otázkach Úrad na ochranu osobných údajov prebral eprimo argumentáciu a vysvetľuje, že: "Aby ste mohli posúdiť, či Vaša činnosť je priamym marketingom, je potrebné vziať do úvahy, či komunikácia sleduje obchodný účel a je priamo a individuálne určená spotrebiteľovi.“
Vo rozhodnutí veci Baťa Slovensko, Úrad na ochranu osobných údajov povedal:
„Marketing je súčasťou podnikania, ktorého cieľom je prilákať' a udržať' zákazníkov. Je to proces plánovania cien, propagácie, distribúcie nápadov, tovaru a sluzieb s cieľom uskutočniť' výmenu, ktorá vyhovuje potrebám zákazníka. Jeho funkciou je získať' výhody oproti iným konkurentom na trhu. Je to spracovateľská činnosť' zameraná na osobu, ktorá je informovaná o produktoch a službách spoločnosti s cieľom zvýšiť' predaj spoločnosti.“
V rozhodnutí vo veci Satur Úrad na ochranu osobných údajov SR pokutoval zaslanie marketingového newslettra „bez súhlasu na zasielanie marketingových ponúk“. Úrad výslovne konštatoval, že pre zákonnosť takého postupu v danom prípade bolo nevyhnutné, aby adresátka komunikácie vyjadrila predchádzajúci súhlas „so zasielaním marketingových ponúk“.
V rozhodnutí vo veci Mall.sk Úrad na ochranu osobných údajov SR pokutoval za vynucovanie súhlasu so zasielaním priamej marketingovej komunikácie spočívajúcej v emailovom informovaní o „novinkách, akciových ponukách, zľavách a cenových akciách.“ Úrad považoval túto komunikáciu za priamy marketing, nakoľko jej primárnym cieľom bolo vytvorenie objednávky tovaru v internetovom obchode na mall.sk. Tie isté aktivity popísal úrad aj ako „vytváranie prispôsobených ponúk a cielených reklám“.
V tomto smere ponúka najviac príkladov britský ICO, ktorý sa ako jeden z mála regulátorov venoval aj negatívnemu výkladu daného pojmu. Podľa ICO, priamy marketing v zmysle čl. 13 ePrivacy smernice nezahŕňa servisné správy alebo skutočný prieskum trhu.
Servisné správy sú podľa ICO zasielané jednotlivcom pre výlučne administratívne účely alebo účely zákazníckeho servisu, ktoré neobsahujú žiadny reklamný alebo propagačný materiál. Príklady servisných správ vo verejnom sektore môžu byť:
Pripomenutie termínu alebo potvrdzujúce správy
Správy potvrdzujúce prijatie informácií alebo žiadostí
Správy ohľadne omeškaní s platbami, benefitmi alebo úhradou dlžných súm
Správy s výsledkami testov
Správy týkajúce sa zmien služieb.
ICO pokračuje ďalej a tvrdí, že:
„Rutinné správy zákazníckeho servisu sa nepovažujú za priamy marketing. Inými slovami, komunikácia so zákazníkmi o informáciách, ktoré potrebujú o existujúcej zmluve alebo uskutočnených obchodoch (napríklad výpadky služieb, podmienky doručenia, bezpečnosť výrobkov, zmena obchodných podmienok, poplatky, a pod.). Všeobecné označenie podnikateľa (branding), slogany alebo umiestnenie loga v tejto komunikácii nepredstavuje marketing. Avšak, ak by daná komunikácia obsahovala akýkoľvek podstatný propagačný materiál namierený k tomu, aby presvedčil zákazníkov kúpiť si dodatočné produkty alebo služby alebo obnoviť zmluvu, ktorá sa končí, v takom rozsahu by daná komunikácia obsahovala marketingovú komunikáciu a pravidlá by sa na ňu vzťahovali.“
ICO takisto nepovažuje za priamy marketing propagačné správy vo verejnom sektore, ak je daná komunikácia potrebná na splnenie úlohy alebo funkcie, ktorá má oporu v zákone.
Nový ZEK zaviedol definíciu priameho marketingu v § 116 ods. 2:
"Priamym marketingom na účely tohto zákona sa rozumie akákoľvek forma prezentácie tovarov alebo služieb v písomnej forme alebo ústnej forme, zaslaná alebo prezentovaná prostredníctvom verejne dostupnej služby priamo jednému alebo viacerým účastníkom alebo užívateľom."
Je evidentné, že táto definícia má bližšie skôr ku definícii komerčnej komunikácie podľa eCommerce smernice, ktorú však ZEK neimplementuje a ktorá nepatrí pod pôsobnosť Úradu pre reguláciu. V minulosti sme už kritizovali viaceré ustanovenia § 116 ZEK ako nesúladné s GDPR. Je evidentné, že podľa vyššie uvedených zdrojov priamym marketingom v zmysle ePrivacy smernice ani GDPR nie je akákoľvek prezentácia tovarov a služieb. Tým by mohlo byť aj obyčajný branding, logo, slogan alebo prvky korportánej identity, ktoré bežne nájdeme aj vo výlučne ne-marketingovej komunikácii.
Zároveň je jasné, že ak sa komunikácia týka poskytovania služieb, tak nepôjde o nevyžiadanú komunikáciu, ktorú má § 116 ZEK obmedzovať. Na bežnú obchodnú komunikáciu ohľadne plnenia zmluvy a poskytovania služieb sa samozrejme § 116 ZEK nemá vzťahovať.
Preto je prekvapujúce, že Úrad pre reguláciu v niektorých prebiehajúcich konaniach naznačil, že priamou marketingovou komunikáciou má byť napríklad emailové privítanie nového klienta po jeho registrácii u prevádzkovateľa služby alebo zaslanie prihlasovacích údajov do online verzie služby. Je prirodzené, že klienti doteraz podobné správy nepovažovali za marketingové, a ani by nemali.
Nemáme zatiaľ informáciu o tom, že by sa podobné názory dostali do právoplatných rozhodnutí Úradu pre reguláciu. Ide však o jeden z mnohých dôvodov, prečo by agenda GDPR a ePrivacy (konkrétne cookies a nevyžiadaná komunikácia) mala patriť pod jedného regulátora, a nie dvoch.
Ak ste zachytili podobný vývoj aj Vy, budeme radi, ak sa s nami oň podelíte.
Jakub Berthoty
V Bratislave, 26. júla 2024
Neváhajte nás kontaktovať. Naši odborníci sú vám k dispozícii.
Nemecký správny súd riešil zaujímavý prípad týkajúci sa používania auto-kamery a zverejňovania nahrávok z jázd na YouTube. Reagoval pritom na rozhodnutie dozorného orgánu, ktorý prikázal pixelovať ŠPZ na zverejnených nahrávkach alebo dané videá odstrániť. Súd zrušil len malú časť rozhodnutia, pričom jeho väčšinu potvrdil a rozoberá pritom aj viaceré praktické otázky aplikácie GDPR. Ak prevádzkujete auto-kameru, tento prípad by Vás mohol zaujímať.
Dňa 14. mája 2024 zverejnil Úrad na ochranu osobných údajov SR (ďalej len "Úrad") svoju výročnú správu za rok 2023. V tomto príspevku porovnáme túto výročnú správu s našou Správou o ochrane osobných údajov za rok 2023, ktorú sme publikovali dňa 22. februára 2024. Naša kancelária od roku 2020 vydáva svoje vlastné správy, pretože Úrad nezverejňuje svoje právoplatné rozhodnutia na svojom webom sídle. Od roku 2020 tiež sledujeme, ako Úrad v každej výročnej správe opakuje, že má málo zamestnancov, je v katastrofálnej personálnej situácii, je pred kolapsom a že mu pribúda agendy. V tomto duchu je opäť písaná aj posledná výročná správa. K tomu pribudla nová informácia, že Úrad sa má do konca roka 2024 vysťahovať z aktuálnych priestorov na Hraničnej ulici a objednal si v máji 2024 personálny audit. Ak teda samotný regulátor tvrdí, že má problémy a už tretia vláda mu nedokázala pomôcť, možno len nepoznáme riešenia. Tie však existujú a pokúsim sa ich v tomto príspevku navrhnúť.
Súdny dvor EÚ 7. marca 2024 rozhodol, že organizácia IAB Europe je pri prevádzkovaní známej "cookies lišty" v postavení prevádzkovateľa, ako aj spoločného prevádzkovateľa. Tento rozsudok potvrdzuje predchádzajúce rozhodnutie belgického dozorného orgánu, ktorý v minulosti uložil IAB pokutu vo výške 250 tisíc eur za viaceré porušenia GDPR.