Custom a Lookalike Audiences vyžadujú súhlas podľa GDPR

Francúzsky dozorný orgán podľa GDPR ("CNIL") vydal dňa 30. decembra 2025 významné rozhodnutie a pokutu 3,5 milióna eur. Prípad sa týka nemenovaného ale zrejme významného maloobchodného reťazca s vernostným programom. Kontrola odhalila, že firma roky prenášala e‑maily a telefónne čísla svojich zákazníkov prevádzkovateľovi sociálnej siete s cieľom realizovať cielenú reklamu cez custom a lookalike publikum. Tento proces sa dotkol približne 10,5 milióna zákazníkov. V rozhodnutí sa opisuje mechanizmus podobný "Custom Audiences" a "Lookalike Audiences", ktorý používa Meta (Facebook/Instragram) na cielenie reklamy.

Zhrnutie prípadu

Kľúčovým problémom bolo, že spoločnosť nemala platný právny základ na takéto spracúvanie, ktoré podľa CNIL vyžadovalo súhlas podľa GDPR. Hoci zákazníci pri registrácii do vernostného programu poskytovali súhlas na e‑mailové a SMS marketingové správy, CNIL jasne konštatoval, že tento súhlas nepokrýval prenos údajov tretej strane ani reklamu na sociálnej sieti. Na tento typ spracúvania mal prevádzkovateľ získať osobitný, informovaný a špecifický súhlas. Formuláre ani informačné dokumenty však zákazníkov o prenose dát a cielení reklamy vôbec neinformovali.

Kontrola zároveň odhalila viaceré nedostatky:

• neúplné informácie o spracovaní podľa článku 13 GDPR,

• chýbajúce posúdenie vplyvu podľa čl. 35 GDPR;

• slabé bezpečnostné nastavenia hesiel (rýchlu hashovaciu funkciu SHA‑256 na ukladanie hesiel CNIL považoval za nedostatočnú vzhľadom na rozsah databáz);

• a dokonca ukladanie určitých cookies ešte pred získaním súhlasu používateľa.

Prečo je potrebný súhlas?

Podľa CNIL je súhlas potrebný z dôvodu, že ide o zdieľanie osobných údajov na účely priameho marketingu tretej strane. Je totiž zrejmé, že prevádzkovateľ sociálnej siete nie len obyčajným sprostredkovateľom (data processor), ale aj samostatným prevádzkovateľom a súčasne aj spoločným prevádzkovateľom. O postavení spoločných prevádzkovateľov medzi správcom business profilu na Facebooku a Facebook-om samotným rozhodol Súdny dvor EÚ ešte v roku 2019 (prípad Wirtschaftsakademie C-210/16). Je bežnou praxou dozorných orgánov, že na marketingové zdieľanie osobných údajov s tretími stranami typicky vyžadujú súhlas. Potvrdzuje to tiež nedávna pokuta 131 tisíc eur českého úradu na ochranu osobných údajov, ktorý pokutoval zdieľanie marketingovej databázy bez súhlasu v rámci tej istej skupiny.

Dlhodobo však tvrdíme, že na tento typ marketingového cielenia sa môžu aplikovať aj "cookies pravidlá" podľa § 108 ods. 9 zákona o elektronických komunikáciách implementujúce čl. 5 ods. 3 ePrivacy smernice. Táto reklama, profilovanie a cielenie totiž prebieha aj za pomoci marketingových nástrojov sociálnej siete, ktoré nie sú považované za nevyhnutné. Nejde len o cookies ale najmä o trackovacie pixely. Objednávateľ reklamy prirodzene nemá žiadnu šancu marketingový súhlas sociálnej siete preukázať, a aj keby mal, je otázne, či ide o dostatočný a platný súhlas. Týmito otázkami, ani celkovou aplikáciou ePrivacy režimu sa však CNIL v rozhodnutí nezaoberal. CNIL tvrdí, že súhlas je potrebný priamo podľa GDPR, čím si výrazne zjednodušil preukázanie porušenia.

Prečo je to problém?

Pretože okruh spoločností, ktoré cielia reklamu cez sociálne siete, je obrovský. V skutočností sa toto cielenie netýka len obchodných spoločností, ale aj verejných inštitúcií a politických strán. Pritom je potrebné dodať, že niektoré formy cielenia reklamy sú priamo zakázané. Ide najmä o cielenie politickej reklamy a cielenie reklamy na maloletých. Spoločnosti nemajú vo zvyku (rovnako ako reťazec tomto prípade) dostatočne informovať o tomto type cielenia reklamy, ktorý typicky nepodlieha tak prísnym požiadavkám auditu a compliance, ako iné oveľa menej invazívne formy marketingu. Častokrát tento typ cielenia spadá len pod kontrolu oddelenia marketingu, ktoré môže žiť v domnienke, že nejakým súhlasom disponuje. Tento prípad jasne ukazuje, že na túto marketingovú aktivitu je potrebné splniť dodatočné podmienky vo forme súhlasu a jasného informovania formou privacy policy.

Najvyššia právoplatná pokuta za priamy marketing na Slovensku je vo výške 75 tisíc eur a udelil ju v roku 2025 Úrad pre reguláciu elektronickej komunikácie a poštových služieb. Rovnaké rozhodnutie ako vydal CNIL však môže vydať aj Úrad na ochranu osobných údajov SR, ktorému nič nebráni v kontrole základných zásad podľa GDPR. Na druhej strane, prepojenie pôsobnosti medzi GDPR a ePrivacy (ZEK) by mohlo spôsobovať určité prekážky.

Riešenie

Riešením nie je nič nové, iba zabezpečenie súladu s GDPR a zákonom o elektronických komunikáciách. V skratke ide o:

• Správne vymedzenie účelov priameho marketingu a právnych základov ideálne vrstveným spôsobom (privacy policy);

• Vysvetlenie logiky algoritmického cielenia reklamy (v privacy policy);

• Získavanie platného a transparentného súhlasu s cielením reklamy cez sociálne siete (súhlasy);

• Zosúladenie s procesmi získavania cookies súhlasu alebo iných marketingových súhlasov;

• Zasadenie procesu do celkového manažmentu súhlasov, preferencií a námietok v súvislosti s priamym marketingom;

• Vykonanie posúdenia vplyvu podľa čl. 35 GDPR a prijatie vyplývajúcich opatrení;

• Vyššia úroveň bezpečnosti pri ukladaní hesiel ako je hashovacia funkcia SHA‑256;

• Preverenie dodávateľov a cezhraničných prenosov podľa GDPR.

Jakub Berthoty,

Dagital Legal, s.r.o.

Bratislava 27. februára 2026