Jak jste jistě v mnoha různých zdrojích zaznamenali, na podzim udělil Úřad pro ochranu osobních údajů (dále jako „ÚOOÚ”) pokutu v rekordní výši. Konkrétně se jednalo o rozhodnutí čj. UOOU- 03916/19-42, které bylo potvrzeno rozhodnutím čj. UOOU-03916/19-49. Sankce ve výši 6 milionů korun byla udělena společnosti zabývající se prodejem automobilů za opakovaná nevyžádaná zasílání obchodních sdělení, tedy za pochybení v oblasti e-mailingu.
Rozhodnutí sice nepřináší nijak odlišný výklad zákona, každopádně je významné mimo jiné tím, že z něj můžeme vyčíst, jaký postup lze od ÚOOÚ očekávat právě v oblasti přímého marketingu.
V rámci šíření obchodních sdělení, typicky formou e-mailingu, je snahou zákonodárce chránit adresáty před nevyžádanými a obtěžujícími sděleními. Právním titulem v případě šíření obchodních sdělení je tak pouze souhlas subjektu nebo zákaznický vztah. Je povinností šiřitele těchto sdělení, aby byl schopen odpovídajícím způsobem prokázat:
Důkazní břemeno k prokázání výše uvedeného je vždy na straně šiřitele těchto sdělení.
Zcela pochopitelnou snahou zákonodárce je omezit šíření předem nevyžádaných komerčních sdělení, která adresát nemohl rozumně očekávat. Současně je zde patrný důraz na přenos povinností na šiřitele sdělení, transparentnost takového případného šíření sdělení a minimalizaci finančních i časových nákladů adresáta. Jde totiž často o sdělení, která si adresát přímo a konkrétně nevyžádal, a ve svém důsledku jej často mohou i obtěžovat. Zákonodárce ale nezapomíná ani na oprávněné zájmy provozovatelů elektronických sítí a poskytovatelů dalších obdobných služeb. Má totiž za to, že odesílatel přenáší rozhodující část nákladů marketingové kampaně na třetí osobu, tedy na poskytovatele internetových služeb, a to časovou, či finanční.
Jedním z klíčových pojmů v této oblasti je samozřejmě samotný pojem obchodní sdělení. Dle § 2 písm. f) zákona č. 480/2004 Sb., o některých službách informační společnosti (dále jako „ZoNSIS”) jsou to všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určené k přímé či nepřímé podpoře zboží či služeb nebo image podniku. Zákonodárce pak v § 7 odst. 2 ZoNSIS k obchodním sdělením a oblasti přímého marketingu nastavil primárně princip opt-in, tedy možnost zasílat obchodní sdělení po souhlasu uživatele elektronického kontaktu. Zákon totiž obecně vychází z principu, že každý subjekt má právo na soukromí, a vzhledem k jednoduchosti a rychlosti elektronické komunikace, kdy má šiřitel možnost „jedním klikem” odeslat sdělení na velké množství e-mailových adres, zákonodárce akcentuje možnost ochrany adresáta před zasíláním zpráv, které si nevyžádal, resp. k nim nedal souhlas.
Je-li právním titulem pro rozesílku obchodních sdělení právě souhlas uživatele, musí odesílatel nejen být schopen udělení tohoto souhlasu doložit, ale tento souhlas musí též splňovat všechny parametry GDPR, tedy dle nařízení (EU) 2016/679. Musí se tak jednat o svobodný, konkrétní, informovaný a jednoznačný projev vůle, který učiní adresát vůči odesílateli, aby mu umožnil využívat podrobnosti svého elektronického kontaktu k šíření obchodních sdělení. Souhlas musí být dán předem, musí být prokazatelný a osoba, která uděluje souhlas, má mít možnost bez jakékoliv újmy jej neudělit.
Výjimku z tohoto ustanovení pak představuje princip opt-out v § 7 odst. 3 ZoNSIS, dle kterého subjekt, jenž získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s tím, že mu již nějaký výrobek prodal nebo nějakou službu poskytl, může tomuto zákazníkovi zaslat obchodní sdělení týkajících se vlastních obdobných výrobků nebo služeb. Tato konstrukce totiž předpokládá, že zákazník může mít zájem o výrobky či služby obdobné těm, které již dříve zakoupil, a tak mu tato obchodní sdělení mohou být ku prospěchu. Šiřitel však musí zákazníkovi dát možnost jasně, jednoduchým způsobem a zdarma odmítnout toto zasílání obchodních sdělení, a to i při zasílání každé jednotlivé zprávy.
U společnosti byla ze strany ÚOOÚ v období od září 2017 do září 2019 prováděna rozsáhlá kontrola k dodržování povinností vyplývajících mimo jiné ze ZoNSIS. Kontrola se zaměřovala na mailingové kampaně, které společnost prováděla, ale současně se nezávisle na této kontrole objevilo 5 podnětů od stěžovatelů na zasílání nevyžádaných obchodních sdělení, které vzal ÚOOÚ rovněž v úvahu.
Společnost zasílala obchodní sdělení jak na základě zákaznického vztahu, tedy za použití § 7 odst. 3 ZoNSIS, tak také na základě právního titulu souhlasu dle § 7 odst. 2 ZoNSIS. Z kontrolních zjištění vyplynulo, že obviněná pro získávání souhlasů se zasíláním obchodních sdělení používala 3 způsoby, a to hovor na centrálu (tedy souhlas udělený prostřednictvím telefonního hovoru), souhlas udělený prostřednictvím formuláře na webu a dále kontakt získaný v souvislosti s prodejem zákazníkům.
Společnost byla v rámci kontrolního řízení vyzvána k prokázání právních titulů pro zasílání obchodních sdělení na konkrétní e-mailové adresy či telefonní čísla. V rámci kontroly bylo společností předloženo 459 779 exportovaných e-mailových adres s tím, že se jedná o e-mailové adresy zákazníků, kteří dali souhlas se zasíláním obchodních sdělení, a na které společnost obchodní sdělení v rámci mailingových kampaní zasílá. Správní orgán z důvodu hospodárnosti učinil výběr pouze 1 % adres takto obeslaných uživatelů, u kterého žádal prokázání existence právního titulu. Společnost zaslala anonymizovanou verzi databáze s 996 kontakty, přičemž u těchto kontaktů byl uveden pouze způsob získání kontaktu, a to bez prokázání právního titulu k zasílání obchodních sdělení ve smyslu § 7 odst. 2 ZoNSIS. U 256 kontaktů pak bylo uvedeno číslo faktury, které prokazovalo zákaznický vztah ve smyslu § 7 odst. 3 ZoNSIS.
U získávání souhlasů prostřednictvím webového formuláře bylo zjištěno, že pole pro marketingový souhlas bylo automaticky předzaškrtáváno, a dále že společnost nezasílá potvrzující e-maily. Je tedy možné dané formuláře vyplnit s jakoukoliv e-mailovou adresou, aniž by uživatel této e-mailové adresy potvrdil, že je osobou, která formulář vyplnila. V rámci hovorů call centra bylo rovněž zjištěno, že příslušný souhlas se zpracováním osobních údajů a zasíláním obchodních sdělení je zaznamenáván ručně operátorkou, nejsou nahrávány všechny hovory, udělení souhlasu tedy nelze nijak ověřit. V rámci kontroly v autobazaru pak bylo kontrolními pracovníky zjištěno, že i když zákazník na místě vyjádří souhlas se zpracováním osobních údajů, ale zároveň vyjádří nesouhlas se zasíláním obchodních sdělení, v systému se poté objeví pozitivní odpověď u obou položek.
Dle ÚOOÚ byla oprávněnost právního titulu k zasílání obchodních sdělení prokázána v návaznosti na shora popsaný skutkový stav pouze v případě právě oněch 256 zákaznických kontaktů. V ostatních případech, kdy měl být právním titulem k zasílání obchodních nabídek souhlas, nebylo udělení tohoto souhlasu společností odpovídajícím způsobem prokázáno.
ÚOOÚ tato čísla následně aplikoval na vzorek adresátů, kterým byla obchodní sdělení skutečně odesílána, tj. 459 779, a dospěl k závěru, že oslovených adresátů na základě zákaznického vztahu bylo pouze zhruba něco přes 5,6 %. U zbylých 94,4 % lze podle ÚOOÚ předpokládat, že společnost není právní titul s ohledem na kontrolní zjištění schopna náležitě prokázat. Teoreticky se tak jedná o 434 170 e-mailových adres, na které bylo zasláno obchodní sdělení bez předchozího prokazatelného souhlasu. Odkaz na způsob získání souhlasu se zasíláním obchodních sdělení, byť s uvedením podrobného postupu, není totiž jednoznačným prokázáním toho, že daný souhlas poskytl uživatel konkrétního elektronického kontaktu. Společnost však k předmětným kontaktním údajům uváděla právě pouze způsob získání tohoto kontaktu.
Samotné prokázání nemá žádnou jednoznačnou předepsanou formu a je možné jej zajistit více způsoby. ÚOOÚ k tomu v rámci tohoto rozhodnutí uvedl několik příkladů, mezi kterými akcentuje způsob tzv. double opt-in, tj. zaslání potvrzení z e-mailové adresy či telefonního čísla, o tom, že tento konkrétní uživatel daný souhlas se zasíláním obchodních sdělení na příslušné telefonní číslo či e-mailovou adresu opravdu udělil.
ÚOOÚ rovněž odmítl argumentaci společnosti, že u některých odeslaných e-mailových zpráv se nejedná o obchodní sdělení ve smyslu ZoNSIS, neboť tyto zprávy představovaly odpověď na poptávku zákazníka. ÚOOÚ však k tomuto uvedl, že tato konkrétní sdělení měla obecný charakter, pokud by tak společnost zasílala odpověď na konkrétní poptávku, určitě by nezasílala různým adresátům stejná sdělení. Byla rovněž vzata v úvahu skutečnost, že společnost zcela záměrně součinnost poskytovala pouze v omezeném rozsahu, čímž neustále dobu k poskytnutí požadovaných údajů protahovala, načež poskytla databázi neodpovídající požadavku a v konečné podobě dokonce anonymizovanou, byť o povinnosti poskytnout součinnost a doložit právní tituly k e-mailovým adresám, na které byla rozesílka odeslána, věděla.
Z části pak pro společnost zajišťoval rozesílání obchodních sdělení jiný subjekt, ale ani to podle ÚOOÚ nezbavuje společnost její odpovědnosti za jednání spočívající v šíření nevyžádaných obchodních sdělení, neboť tato je dle § 11 odst. 1 ZoNSIS formulována jako objektivní odpovědnost, tedy odpovědnost za právní stav. Společnost tedy musí být schopna doložit souhlasy adresátů i za této situace.
Co se týká samotného rozhodnutí o přestupku, tak dle ÚOOÚ míru společenské škodlivosti přestupku zvyšuje skutečnost, že společnost je vzhledem k své dlouhodobé činnosti spočívající ve výkupu a prodeji ojetých automobilů profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů. Kromě rozsáhlého systémového pochybení, jak celou situaci ÚOOÚ označil, bylo přihlédnuto rovněž k vysokému počtu adresátů nevyžádaných obchodních sdělení, a k tzv. adresné opakovanosti, která znamená, že obchodní sdělení jsou zasílána opakovaně témuž subjektu. Podle ÚOOÚ tak v případě 18 adresátů došlo zásahu do jejich soukromí hrubým způsobem.
K samotné výši sankce přispěla skutečnost, že společnost spáchala přestupek opakovaně. Sankce pak má mít nejen represivní funkci, ale i odstrašující a preventivní charakter, proto byla uložena v horní polovině zákonné sazby, jejíž horní hranice je na 10 milionech korun. V souladu s rozhodnutím Nejvyššího správního soudu, č.j. 1 As 9/2008-133, ÚOOÚ vycházel rovněž z účetních záznamů společnosti, ze kterých vyvodil, že výše uložená sankce nebude pro společnost likvidační.
V oblasti přímého marketingu je tak třeba si velmi dobře pohlídat veškeré právní tituly, na základě kterých jsou obchodní sdělení zasílána, a počítat s tím, že může nastat situace, kdy bude třeba správnímu orgánu vše odpovídajícím způsobem prokázat.
V případě souhlasu dle § 7 odst. 2 ZoNSIS je třeba mít na paměti, že důkazní břemeno ohledně skutečnosti, zda byly souhlasy uděleny, kdy a jakým způsobem, je vždy na straně odesílatele obchodních sdělení. V online prostředí je vhodné například uchovávat informace o relaci, ve které byl souhlas vyjádřen, společně s dokumentací o postupu získání souhlasu v době relace a kopií informací, jež byly tehdy subjektu údajů předloženy. Není rovněž od věci zvážit využití principu double opt-in, tedy potvrzení souhlasu přímo z e-mailu či telefonního čísla zákazníka pro jeho ověření. Tento princip je ze strany ÚOOÚ doporučený, je však samozřejmě administrativně o něco náročnější, ale není požadován zákonem a udělení souhlasů je samozřejmě možné prokazovat i jinými způsoby.
Údaje o udělení souhlasu kromě odpovídajícího způsobu uchovávání je vhodné z dlouhodobého hlediska i analyzovat. Dle názoru správních orgánů totiž za situace, kdy subjekt udělil souhlas před delší dobou a od té doby na žádné obchodní sdělení nereagoval, příp. jej ani neotevřel, je možné předpokládat, že se zasíláním již nemusí souhlasit. Taková skutečnost by se měla odpovídajícím způsobem propisovat do CRM systému nebo jiného systému či programu, ve kterém jsou souhlasy a skutečnosti k jejich prokázání evidovány.
V případě zákaznického vztahu dle § 7 odst. 3 ZoNSIS je pak třeba velmi dobře evidovat, kdo je opravdu zákazníkem a jak se jím stal. Je tedy vhodné k jednotlivým zákazníkům evidovat např. faktury, na základě kterých lze zákaznických vztah prokázat, a rovněž za zákazníky nepovažovat všechny osoby, kteří projeví zájem o zboží nebo službu. Zákazníkem se totiž stává pouze osoba, se kterou dojde ke kontraktaci, případně jejíž aktivita se velmi blíží uzavření smlouvy, naopak zákazníkem rozhodně není osoba, která se pouze dotáže na dostupnost zboží či na jiný detail.
Oblast přímého marketingu bychom tak rozhodně doporučili nepodceňovat, a to nejen ve světle tohoto konkrétního rekordního rozhodnutí ÚOOÚ. Před tím, než se rozhodnete pro zasílání obchodních sdělení formou e-mailingu, SMS či jiným elektronickým způsobem, se přesvědčte, že máte všechny systémy a procesy nastaveny tak, aby vyhovovaly požadavkům zákona. V případě již fungujícího systému veškeré skutečnosti opakovaně zkontrolujte a nezapomeňte, že interní databáze či systém by měly vždy odpovídat skutečnému obchodu, udělení souhlasu či jeho vzetí zpět.
(Photo by Omer Rana on UNSPLASH)
Veronika Šemberová pracovala v Cisek na pozici vedoucí advokátky.
.svg){kind=icon}
.svg){kind=icon}
