Není a nikdy nebyl – to vám pravděpodobně řekne každý marketingový specialista, kterému záleží na doručitelnosti vašich e-mailů, jejich dobré angažovanosti a dá-li pánbůh tak i konverzi. To však samo o sobě není jediný důvod, proč neutrácet peníze za kupovanou databázi kontaktů. Existuje totiž další, tím je čistý štít a vyhnutí se možné sankci.
Úvod
Kupování databází je bohužel dodnes aktuální téma. S příchodem GDPR a „novými“ požadavky na kvalitu souhlasu se začaly otevírat skříně, ze kterých začali padat kostlivci – totiž klientské databáze kontaktů. Každý správce začal prověřovat, jestli ke každému kontaktu disponuje právním titulem, má takový kontakt v databázi oprávněně a může mu tak zasílat obchodní sdělení.
V návaznosti na to nám často byla pokládána poměrně jednoduchá otázka – máme databázi plnou kontaktů, ale nevíme, kde se tam vzaly – co s tím? Odpověď byla poměrně jednoduchá – pokud chcete být v souladu s právem a nepouštět se do „šedých“ (spíše však protiprávních) vod, tyto kontakty smažte. Opravdu, proces „legalizace“ databáze je sám o sobě poměrně náročný, pokud při tomto procesu nechcete porušovat další ustanovení GDPR, popř. zákona č. 480/2004 Sb., o některých službách informační společnosti.
Ale o tom dnešní článek není. Dnes si povíme o ještě komplikovanější věci (alespoň z právního hlediska). Kupování databází.
Kupování databází
Nemá velký smysl chodit okolo horké kaše – ti, kteří měli možnost obdržet „nabídku“ na odkoupení klientské databáze, ví a ostatní si umí představit, jak taková věc funguje. V lepším případě vám nabídne databázi k prodeji relativně neúspěšný podnikatel, který se snaží monetizovat vše, co se dá, v horším případě vám databázi nabídne „překupník“ a můžete se jen a jen domnívat, kde se tam dané kontakty vzaly.
Někdy ale i zoufalí podnikatelé aktivně vyhledávají možnosti, jak se dostat k možným kontaktům a proto často takovým prodejcům naletí.
Příběhy začínají možná trochu jinak, ale končí v podstatě stejně – daná databáze je prakticky nepoužitelná a při jejich použití dochází k porušování zákona.
Proč?
Zkusme to právničinou. Pokud chcete komukoliv zaslat obchodní sdělení (ať už svoje, nebo sdělení třetí osoby), potřebujete k tomu výslovný a aktivní souhlas adresáta (viz § 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti), přičemž teď nechme stranou možnost zasílat e-mail díky tzv. zákaznické výjimce – zkrátka a dobře potřebujeme souhlas.
Teď přichází klíčová otázka – je vůbec teoreticky možné, aby dal adresát souhlas blíže neurčenému počtu správců? Aby dával souhlas osobě, o níž ani neví, zda bude vůbec jeho osobní údaje zpracovávat – tedy předchozí generální souhlas?
Již za předchozí právní úpravy se odborná veřejnost domnívala že to nelze a GDPR tento názor podtrhuje.
Dnes už totiž všichni víme, že souhlas musí být jednoznačný, informovaný, svobodný a konkrétní. Co nám k tomu dále říká GDPR „Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny.“ Viz bod 42 odůvodnění.
Zjednodušeně řečeno je tak prakticky vyloučeno udělovat předchozí generální souhlas blíže neurčenému okruhu správců, kterým bude takový souhlas po jeho udělení následně nabízen k zasílání obchodních sdělení.
Pokud vám tedy někdo nabízí databázi kontaktů a prohlašuje, že disponuje veškerými souhlasy proto, aby jste jej dál mohli používat – můžete o tom bez skrupulí pochybovat.
Ostatně, jednou z náležitostí souhlasu je i jeho doložitelnost. Pokud tedy koupíte databázi kontaktů, jak chcete dokládat, že vám a právě vám udělili adresáti souhlas s tím, abyste jeho kontaktní údaje užívali pro zasílání obchodních sdělení?
Velmi těžko.
Mohli byste o takový souhlas adresáta alespoň požádat? Na odpověď si počkejte do dalšího článku na blogu.
Co na to úřad?
Úřad pro ochranu osobních údajů k tomu zastává poměrně razantní přístup: „Úřad poukazuje na skutečnost, že prodej a koupě databází s osobními údaji z neznámých zdrojů je nelegální. Osloví-li vás někdo s nabídkou databáze, odmítněte jej a věc ohlaste Policii České republiky, případně Úřadu.“
K tomuto závěru jej vede případ, který se týkal databáze o velikosti 2.000 kontaktů fyzických osob a 81.000 kontaktů fyzických osob podnikajících. Ta měla být odcizena přímo telefonnímu operátorovi. Společnosti, která tuto databázi koupila, byla následně uložena pokuta ve výši 400.000 Kč. Takových případů bylo však více a vždy dopadly prakticky stejně, a to i před účinností GDPR.
Závěr
Je jasné, že toto téma je mnohem širší s ohledem na další možnosti „převodu“ databáze, jako je prodej závodu či akvizice, nicméně o tom dnešní článek není a pouštět se do toho nebudeme.
Důvodů proč nekupovat databáze je skutečně několik a pokud vám argument, že taková databáze je vám marketingově skutečně k ničemu, nestačí, mohu vám nabídnout další – „neriskujte pokutu za něco, co nefunguje“.
