Povinnosti podnikatelů při zasílání obchodních sdělení zákazníkům
Autorka v tomto článku podává ucelený pohled na problematiku zasílání obchodních sdělení, a to jak z pohledu předpisů upravujících služby poskytované elektronickými prostředky, tak z pohledu ochrany osobních údajů zákazníků; upozorňuje na některé sporné výklady v této oblasti a snaží se nalézt odpovědi na dosud neřešené otázky.
Online marketingová činnost tvoří v dnešní době důležitou součást obchodní strategie téměř každého podnikatele, který chce být ve svém oboru úspěšný. Jednou z hlavních forem digitální marketingové komunikace je zasílání obchodních sdělení zákazníkům. Tento postup je spojen s celou řadou povinností, které podnikatelům ukládají příslušné právní předpisy. I přes širokou medializaci problematiky marketingových aktivit v online prostoru, která vyústila v přijetí výkladových stanovisek příslušných orgánů i odborných pracovních skupin, nemá dosud řada podnikatelů dostatečné znalosti o jednotlivých povinnostech, které při propagaci své činnosti musí dodržet. Sankce za jejich porušení přitom mohou dosahovat částek v řádu milionů a pro řadu podnikatelů mohou mít značný dopad do jejich majetkové sféry.
Povinnosti dle předpisů upravujících služby poskytované elektronickými prostředky
Základním pilířem stávajícího regulačního rámce elektronických komunikací je směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. 7. 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která v čl. 13 upravuje tzv. nevyžádaná obchodní sdělení.
Citované ustanovení bylo do našeho právního řádu transponováno zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (dále jen „zákon o některých službách informační společnosti“), který v ust. § 7 upravuje podmínky šíření obchodních sdělení elektronickými prostředky.[1]
Obchodní sdělení zasílaná na základě předchozího souhlasu zákazníka
Zákon o některých službách informační společnosti vychází z principu, podle něhož obchodní sdělení mohou být šířena elektronickými prostředky pouze za předpokladu, že uživatel udělil s takovým šířením obchodních sdělení svůj předchozí souhlas.[2]
Platná právní úprava přitom předpokládá, že souhlas se zasíláním obchodních sdělení bude založen na aktivní činnosti zákazníka spočívající ve vyhledání podnikatele, nikoli na tom, že sám podnikatel bude vyhledávat budoucí zákazníky, kteří by jinak o jeho služby neprojevili zájem, a zasílat jim žádosti o udělení souhlasu se zasíláním obchodních sdělení s cílem propagovat v povědomí veřejnosti svoji značku.
Souhlas se zasíláním obchodních sdělení proto nelze získat prostřednictvím žádosti o jeho udělení, zasílané potenciálním zákazníkům podnikatele. Takovou žádost je nutné považovat za jednu z forem obchodního sdělení, neboť jejím účelem je podpora činnosti podnikatele.[3]
Na souhlas jako takový je kladena řada požadavků, jelikož jeho prostřednictvím v drtivé většině případů bývá udělen rovněž souhlas se zpracováním osobních údajů zákazníka pro účely zasílání obchodních sdělení. Konkrétní podmínky budou rozebrány v části věnované ochraně osobních údajů zákazníků.
Obchodní sdělení zasílaná bez předchozího souhlasu zákazníka
Bez předchozího souhlasu může podnikatel zasílat obchodní sdělení zákazníkům pouze za předpokladu, že splní podmínky uvedené v ust. § 7 odst. 3 zákona o některých službách informační společnosti.[4]
Jednotlivé podmínky jsou následující:
- 1. Podnikatel je oprávněn zasílat obchodní sdělení bez předchozího souhlasu pouze osobám, které jsou jeho zákazníky, a podnikatel od nich získal jejich elektronický kontakt pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle zákonných požadavků ochrany osobních údajů.
Pokud jde o výklad pojmu zákazník, v praxi v tomto směru mezi odbornou veřejností nepanuje shoda.
Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) jej vykládá v užším pojetí, podle něhož je za zákazníka možné považovat jen takové osoby, které s podnikatelem vstoupily v závazkový vztah, tedy uzavřely smlouvu. Pro tyto účely není rozhodné, zda se jedná o úplatný, či bezúplatný vztah. Důvodem pro zavedení této konstrukce je právě existence smluvního vztahu, neboť lze předpokládat, že zákazník v takovém případě nebude považovat obchodní sdělení za obtěžující. Dle názoru ÚOOÚ není možné tímto způsobem oslovovat pouhé potenciální zákazníky.[5]
Oproti tomu Spolek pro ochranu osobních údajů[6] za zákazníky považuje i potenciální zákazníky, avšak pouze za předpokladu, že projeví jasný a výslovný zájem o konkrétní zboží či služby. Za zákazníky považuje rovněž osoby, které si vytvořily registraci v internetovém obchodě, a to již tímto okamžikem. K naplnění definice pojmu zákazník již není třeba, aby si zde objednaly zboží či služby.[7]
Oba tyto názory mají své opodstatnění. První z nich lépe reflektuje pravidla jazykového výkladu. Ve prospěch širšího pojetí lze pak argumentovat tím, že pokud zákazník učinil konkrétní poptávku, lze předpokládat, že má vážný zájem o uzavření smluvního vztahu, a tedy pro něj nebude obtěžující, když bude podnikatelem informován o akcích na obdobné zboží. Oslovení takového zákazníka za účelem pomoci mu dokončit transakci či vybrat si správný produkt by tak mělo být tolerováno.
- 2. Obchodní sdělení se týkají pouze vlastních obdobných výrobků nebo služeb podnikatele.
Podnikatel není oprávněn zasílat zákazníkům obchodní sdělení týkající se jeho výrobků či služeb, které nemají žádnou spojitost s plněním dodaným na základě původní smlouvy.
Pokud se bude jednat o podnikatele, který nabízí pouze úzce vymezený okruh zboží[8] či služeb, bude tento požadavek bez obtíží možné splnit. Podnikatelé, kteří nabízejí širokou škálu zboží či služeb, by se měli řídit spíše restriktivnějším výkladem a postupovat tak, aby jejich jednání nebylo v rozporu se zákonnými požadavky. Pokud budou chtít využít možnost zasílat svým zákazníkům obchodní sdělení bez jejich souhlasu, zpravidla se neobejdou bez sofistikovaného vnitřního informačního systému, jehož prostřednictvím zajistí kategorizaci jednotlivých zákazníků a jejich preferencí.
Stejně tak není přípustné, aby podnikatel tímto způsobem nabízel svým zákazníkům zboží či služby jiných osob, typicky svých obchodních partnerů. Tento postup v praxi bývá výjimkou, podnikatelé jsou v tomto směru se svými povinnostmi zpravidla dobře obeznámeni.
Tolerovat nelze ani případy, kdy podnikatel zneužívá technická sdělení (typicky se může jednat o sdělení banky týkající se výpadku internetového bankovnictví) k zasílání nevyžádaných obchodních sdělení v podobě nabídky produktů či služeb, kterou připojí k technickému sdělení.
- 3. Zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet podnikatele odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.
Možnost odmítnout zasílání obchodních sdělení je tedy třeba chápat ve dvou úrovních:
Prvně se jedná o možnost zákazníka odmítnout zasílání obchodních sdělení již v okamžiku poskytnutí jeho osobních údajů. Forma odmítnutí není zákonem stanovena, v praxi bývá řešena v podobě tzv. zaškrtávacích okének. ÚOOÚ jako vhodnou variantu uvádí užití takového okénka, ve kterém je uveden text „nepřeji si zasílat obchodní sdělení“. Uživatel jeho zaškrtnutím může uplatnit své právo odmítnout zasílání obchodních sdělení.[9]
V praxi je možné se setkat i s dalšími variantami, nejčastěji se jedná o zaškrtávací okénko obsahující text „přeji si být informován o novinkách“.
Dále je třeba umožnit zákazníkům odmítnout zasílání obchodních sdělení v každém jednotlivém sdělení.
V právní teorii i praxi je obecně přijímáno řešení, kdy je v zápatí e-mailu umístěn odkaz, jehož prostřednictvím je možné se od zasílání obchodních sdělení tzv. „odhlásit“. Nejčastější podoba takového odkazu zní. „Pokud si nadále nepřejete dostávat obchodní sdělení, klikněte zde“ či „Ze zasílání obchodních sdělení se můžete odhlásit zde.“
Pomocí proklikávacího odkazu je zákazník přesměrován do webového rozhraní, kde je umístěno zaškrtávací okénko, jehož zaškrtnutím se zákazník z odběru obchodních sdělení odhlásí. Tento postup je v souladu se smyslem a účelem zákonné úpravy.
V praxi pak často dochází k tomu, že podnikatelé možnost odhlášení od zasílání obchodních sdělení spojují s určitou formou dotazníku, jehož prostřednictvím má zákazník uvést důvod, proč o zasílání dalších obchodních sdělení nemá zájem.
Zde je namístě zhodnotit, zda tento postup nepřesahuje meze zákonné úpravy, zejména ve vztahu k povinnosti podnikatele umožnit zákazníkovi odmítnout zasílání obchodních sdělení jednoduchým způsobem. Dle názoru autorky je v tomto případě třeba rozlišit tři situace:
V první z nich je zákazníkovi umožněno odmítnout zasílání obchodních sdělení v úvodu samotného webového rozhraní s tím, že dotazník je v tomto případě jen jakýmsi volitelným doplňkem, který zákazník může a nemusí vyplnit, přičemž jeho umístění není pro zákazníka obtěžující. Vůči takovému postupu dle názoru autorky nelze mít výhrady.
Jiná situace dle názoru autorky nastává v případě, kdy dotazník představuje stěžejní část webového rozhraní a zákazník musí vyvinout neadekvátní úsilí k tomu, aby se přes něj dostal k okénku umožňujícímu odhlášení od zasílání obchodních sdělení. V takovém případně lze mít důvodné pochybnosti o tom, zda takový postup koresponduje s požadavkem na umožnění jednoduchého odmítnutí zasílání obchodních sdělení.
Ve třetím případě podnikatel možnost odmítnout souhlas se zasíláním obchodních sdělení podmíní vyplněním dotazníku s důvody pro jeho odmítnutí. Taková varianta zjevně nesplňuje zákonné požadavky pro odmítnutí obchodních sdělení.
Byť varianta s odkazem na webové rozhraní určené pro odmítnutí souhlasu se zasíláním obchodních sdělení je v praxi velmi rozšířená, pro některé, zejména drobné podnikatele, může být obtížné tuto variantu, která je zpravidla spojena s potřebou obstarat příslušné softwarové řešení, zajistit. Je proto třeba posoudit, jaké možnosti takový podnikatel má. Odborná veřejnost se přiklání k tomu, že za dostačující řešení lze považovat formu e-mailové námitky zaslané na e-mailovou adresu podnikatele.[10]
Požadavky na obsah, označení a odesílání obchodních sdělení
Požadavky na obsah, označení a odesílání obchodních sdělení jsou upraveny v ust. § 7 odst. 4 zákona o některých službách informační společnosti.
Uvedené požadavky se vztahují jak na obchodní sdělení zasílaná na základě předchozího souhlasu zákazníka, tak na obchodní sdělení, u nichž zákonná úprava předchozí souhlas zákazníka nevyžaduje.
Tyto požadavky jsou trojího charakteru:
- Prvně se jedná o způsob označení obchodních sdělení, která musí být zřetelně a jasně označena jako obchodní sdělení. ÚOOÚ jako příklad vhodných označení uvádí pojmy: „newsletter, novinky, akce, sleva“. V této souvislosti je zásadní, aby název, ze kterého je zřejmé, že se jedná o obchodní sdělení, byl uveden buď v rámci e-mailové adresy podnikatele, nebo v předmětu e-mailové zprávy. Pouze tak má zákazník možnost rozhodnout se, zda e-mail otevře, či s ním naloží jiným způsobem.[11]
- Dále takové obchodní sdělení nesmí skrývat nebo utajovat totožnost odesílatele, jehož jménem se komunikace uskutečňuje. V praxi to znamená, že obchodní sdělení musí obsahovat jednoznačnou identifikaci podnikatele, v jehož prospěch je obchodní sdělení zasíláno. Uvedené údaje je třeba uvést přímo v textu obchodního sdělení, za nepřijatelné jsou považovány případy, kdy zákazník musí zjišťovat totožnost takové osoby prostřednictvím různých prokliků na obchodní podmínky, nehledě na případné bezpečnostní riziko s tímto postupem spojené.[12]
- Poslední z požadavků se týká zákazu zasílat obchodní sdělení bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.
Citované ustanovení lze dle názoru autorky vykládat dvojím způsobem. Podle prvního z výkladů je možné, aby zákazník odpověděl přímo na e-mailovou adresu, z níž mu bylo obchodní sdělení zasláno.
Dle názoru autorky nelze vyloučit ani postup, kdy bude obchodní sdělení obsahovat zřetelný údaj o e-mailové adrese, na niž lze odmítnutí souhlasu zaslat, přičemž tato adresa nemusí být totožná s adresou, ze které bylo obchodní sdělení zasláno.
Nepřijatelné budou naopak případy, kdy obchodní sdělení bude obsahovat poučení o možnosti odmítnout zasílání obchodních sdělení e-mailem, ale nebude již obsahovat e-mailovou adresu, kterou lze pro tyto účely využít, přičemž e-mailová adresa odesílatele nebude umožňovat zasílání odpovědí.[13]
Tolerovat jistě nelze ani různé „triky“ v podobě technické nemožnosti odmítnout zasílání obchodních sdělení např. v podobě elektronického tlačítka určeného k odmítnutí obchodních sdělení, které po kliknutí nahlásí chybu spojení.
Sankce za porušení povinností
Obecným orgánem dozoru nad dodržováním povinností při šíření obchodních sdělení je ÚOOÚ,[14] není-li dozor svěřen jiným orgánům.[15]
Zákon o některých službách informační společnosti v § 11 odst. 2 upravuje přestupky právnických nebo podnikajících fyzických osob. Tyto osoby se dopustí přestupku tím, že hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení:
- bez souhlasu adresáta,
- neoznačené jasně a zřetelně jako obchodní sdělení,
- skrývající nebo utajující totožnost odesílatele, jehož jménem se komunikace uskutečnila,
- neobsahující platnou adresu, na niž by adresát mohl odeslat žádost o ukončení takové komunikace, nebo
- bez toho, že by zákazníkovi poskytly možnost jasně, zřetelně, jednoduchým způsobem, zdarma nebo na svůj účet udělit či odmítnout souhlas s využitím jeho elektronického kontaktu při zaslání každé jednotlivé zprávy.
Zatímco jednotlivé skutkové podstaty v praxi zpravidla nebudou vzbuzovat zásadní pochybnosti, u pojmů „hromadně“ nebo „opakovaně“ je situace odlišná. S ohledem na možné interpretační obtíže UOOÚ poskytl veřejnosti návod, jak v tomto případě postupovat.[16]
Oba pojmy je dle názoru ÚOOÚ předně nutné vykládat ve světle korektivu společenské škodlivosti, kterou vykazuje jednání příslušného podnikatele. Za jedno z hlavních kritérií ÚOOÚ považuje počet doručených stížností, který mj. rozhoduje o tom, jaký postup bude vůči podnikateli uplatněn, tj. zda bude v první fázi postačující výzva k uvedení činnosti do souladu se zákonnou úpravou, nebo bude nutné přistoupit k provedení kontroly.
Pokud se jedná o výklad uvedených pojmů z pohledu četnosti závadného jednání, opakovanost šíření obchodních sdělení spočívá v rozeslání obchodních sdělení více než jednou, a to ve vztahu k vícero zákazníkům. Oproti tomu opakované zaslání obchodního sdělení pouze jednomu zákazníkovi podmínky pro opakovanost nenaplňuje.
Pojem hromadnost pak spočívá v jednorázovém odeslání obchodních sdělení na více e-mailových adres, přičemž žádný právní předpis nestanoví minimální hranici pro jeho naplnění. ÚOOÚ dovozuje, že by se mělo zpravidla jednat o nižší desítky případů.
V této souvislosti je třeba zdůraznit, že k naplnění skutkové podstaty některého z uvedených přestupků postačí, že se podnikatel dopustí jedné z uvedených forem jednání, tedy obchodní sdělení v rozporu s právními předpisy zašle hromadně, nebo opakovaně.
Pozornost je nutné věnovat i výši možných sankcí, které lze za takové jednání uložit. Za spáchání některého z vymezených přestupků může být podnikateli uložena pokuta až do výše 10 000 000 Kč.[17]
Povinnosti dle právních předpisů na ochranu osobních údajů
Oblast zpracování osobních údajů je upravena v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „nařízení GDPR“) a dále v tzv. adaptačním zákoně, který blíže upřesňuje některá ustanovení nařízení GDPR či upravuje některé instituty obsažené v GDPR odchylně.[18] Tímto předpisem je zákon č. 110/2019 Sb., o zpracování osobních údajů.
Jelikož podnikatel v souvislosti se zasíláním obchodních sdělení zpracovává osobní údaje zákazníků, je povinen postupovat v souladu se shora uvedenými předpisy a dodržovat povinnosti zde uvedené. V opačném případě mu hrozí značné sankce.
V této souvislosti je třeba připomenout, že oblast ochrany osobních údajů představuje samostatnou oblast povinností, které je podnikatel povinen dodržet vedle povinností uložených mu zákonem o některých službách informační společnosti.
Zatímco zákon o některých službách informační společnosti se vztahuje na obchodní sdělení zasílaná fyzickým i právnickým osobám, předpisy týkající se zpracování osobních údajů poskytují ochranu pouze živým fyzickým osobám.
Rozsah zpracovávaných osobních údajů
Primárně lze uvést, že hlavním a zásadním údajem potřebným pro účely zasílání obchodních sdělení je e-mailová adresa zákazníka.
Dle názorů odborné veřejnosti mezi další osobní údaje, které pro tyto účely může podnikatel zpracovávat, patří jméno a příjmení zákazníka, jeho věk, příp. nákupní historie.[19]
Se zpracováním osobních údajů pro účely zasílání obchodních sdělení je v praxi často spojeno automatizované profilování osobních údajů zákazníků, které může být spojeno se zvláštními postupy dle nařízení GDPR – zejména v podobě provedení analýzy rizik a posouzení vlivu na ochranu osobních údajů.
Zejména u menších obchodníků, kteří pro účely marketingu zpracovávají omezené množství osobních údajů, nebude profilování osobních údajů zákazníků dle názoru autorky podléhat posouzení vlivu na ochranu osobních údajů.
Tento závěr lze dovodit mj. z výkladové praxe ÚOOÚ, podle níž se mezi operace, které tomuto posouzení nepodléhají, řadí mj. takové zpracování (operace zpracování) spojené s jednotlivou návštěvou zákazníka na webové stránce správce, a to včetně profilování zákazníka založeného na jeho výběru položek či zobrazování položek z nabídky zboží, výrobků a služeb umístěných na webové stránce správce. V rámci tohoto zpracování nedochází dle názoru ÚOOÚ ke zpracování zvláštních kategorií osobních údajů, údajů vysoce osobní povahy a nedochází k zaměření zpracování osobních údajů na ohrožené subjekty údajů jako samostatnou cílovou skupinu.[20]
Zpracování údajů o nákupní historii zákazníka bude mít jistě svůj význam při hodnocení toho, jaká obchodní sdělení je možné takovému zákazníkovi zasílat.
Jelikož zasílání obchodních sdělení bude často spojeno se zákazníky, kteří si u podnikatele vytvořili tzv. uživatelský účet, je namístě připomenout, že v takovém případě se uplatní rovněž příslušná ustanovení upravující tzv. „online souhlas“ vyžadovaný právními předpisy při poskytování služeb informační společnosti v podobě vytváření uživatelských profilů a s tím spojeným shromažďováním osobních údajů dětí.
Souhlas se zpracováním osobních údajů pro tyto účely může v souladu s čl. 8 nařízení GDPR udělit dítě od 16. roku věku, pokud si jednotlivé členské státy nestanoví zákonem věk nižší. Česká republika této možnosti využila a shora citovaným zákonem o zpracování osobních údajů snížila hranici předvídanou nařízením GDPR na 15 let.[21]
Pokud je dítě mladší, je zpracování jeho osobních údajů zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.[22]
Zpracování osobního údaje v podobě věku zákazníka tak má zásadní dopady do této oblasti, neboť jeho prostřednictvím může podnikatel rozlišit evidenci zákazníků, u nichž je vyžadován rovněž souhlas rodiče (či jiné osoby vykonávající k dítěti rodičovskou zodpovědnost).
Právní základ zpracovávaných osobních údajů
V tomto případě je třeba rozlišovat mezi dvěma základními případy.
Prvně se jedná o zasílání obchodních sdělení stávajícím zákazníkům, které není podmíněno jejich souhlasem, a dále se jedná o případy, kdy je zasílání obchodních sdělení možné výhradně na základě uděleného souhlasu.[23]
Zpracování osobních údajů na základě tzv. oprávněného zájmu
Uvedená kategorie v zásadě pokrývá případy předpokládané v ust. § 7 odst. 3 zákona o některých službách informační společnosti, kdy může podnikatel při splnění zákonem vymezených podmínek zasílat obchodní sdělení svým zákazníkům i bez jejich souhlasu.
V právní teorii se pro tento postup vžil termín „přímý marketing“. S tímto termínem pracují i právní předpisy, konkrétně recitál 47 nařízení GDPR, který výslovně stanoví, že „zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu“.
V případně přímého marketingu lze tedy vycházet z toho, že právním základem pro zpracování osobních údajů je oprávněný zájem podnikatele dle čl. 6 odst. 1 písm. f) nařízení GDPR, podle něhož je „zpracování osobních údajů zákonné, je-li nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“.
Nařízení GDPR případy využití oprávněného zájmu jakožto jednoho z právních důvodů zpracování osobních údajů spojuje s relevantním vztahem mezi subjektem údajů (v tomto případě zákazníkem) a správcem (tedy podnikatelem) s tím, že existenci oprávněného zájmu je třeba posoudit vždy s přihlédnutím ke konkrétním okolnostem příslušného zpracování. Zásadní je přitom zhodnotit, zda subjekt údajů může v okamžiku a v souvislosti se shromažďováním jeho osobních údajů důvodně očekávat, že ke zpracování jeho osobních údajů pro uvedený účel může dojít.
Zpracování osobních údajů na základě souhlasu zákazníka
V případě, že nebudou naplněny podmínky pro zpracování osobních údajů pro účely tzv. přímého marketingu, je možné osobní údaje zákazníků zpracovávat za účelem zasílání obchodních sdělení pouze na základě jejich souhlasu.
Je třeba zdůraznit, že tento postup přichází v úvahu až v případě, že skutečně nejsou naplněny důvody pro zpracování osobních údajů na základě oprávněného zájmu. V praxi toto hodnocení často působí problémy, neboť řada správců osobních údajů se domnívá, že ve všech případech jimi prováděného zpracování je potřeba souhlas subjektu údajů.
Tento přístup často vede k tomu, že správci osobních údajů vyžadují souhlas subjektu se zpracováním osobních údajů i v případech, kdy je dán jiný zákonný důvod pro jejich zpracování.
Takové řešení nelze považovat za správné, neboť souhlas se zpracováním osobních údajů je třeba chápat v kontextu jeho subsidiarity. Pokud existuje jiný důvod pro zpracování osobních údajů, je třeba je zpracovávat na základě takového důvodu, nikoli na základě souhlasu subjektu údajů.
Za těchto okolností je souhlas nadbytečný a jeho získávání je považováno za obtěžující pro subjekty osobních údajů.
S ohledem na výše uvedený princip je třeba doporučit, aby podnikatelé, kteří zamýšlejí zasílat svým zákazníkům obchodní sdělení, nejprve pečlivě zhodnotili, zda za daných okolností nejsou dány důvody pro využití tzv. přímého marketingu. Teprve pokud dospějí k závěru, že nikoli, mohou se zaměřit na získání souhlasu zákazníků se zpracováním osobních údajů pro účely zasílání obchodních sdělení.
Dále je potřeba dbát na to, aby souhlas splňoval všechny podmínky stanovené v čl. 4 odst. 11 nařízení GDPR, podle něhož musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Podmínka svobodného udělení souhlasu je spojována s požadavkem dobrovolnosti, kdy zákazník nesmí být k jeho udělení žádným způsobem nucen, jeho udělení nelze ani žádným způsobem podmiňovat.
Požadavek konkrétnosti je naplněn tím, že souhlas je udělen ke konkrétnímu účelu zpracování, v posuzovaném případě pro účely zasílání obchodních sdělení. Zásadně není možné formulovat účel zpracování osobních údajů příliš obecným a vágním způsobem ve snaze rozšířit si možnosti pro zpracování osobních údajů.
Má-li být souhlas udělen jednoznačně, je třeba naplnit podmínku aktivního projevu vůle zákazníka např. v podobě zaškrtnutí elektronického zaškrtávacího políčka, nebo opatření příslušného formuláře podpisem zákazníka. Není přípustné využívat již předvyplněných zaškrtávacích políček, byť je tento postup v praxi dosud poměrně častý.
Poslední z požadavků se týká informovanosti subjektu údajů. V praxi to znamená, že je nutné zákazníkovi před udělením souhlasu poskytnout informace potřebné k tomu, aby se zákazník rozhodl, zda souhlas se zpracováním svých osobních údajů podnikateli udělí. Co se týče rozsahu takových informací, lze odkázat na výkladová stanoviska Evropského sboru pro ochranu osobních údajů,[24] konkrétně Pokyny 05/2020 k souhlasu podle nařízení GDPR,[25] kde jsou stanoveny minimální požadavky na informovanost subjektu údajů.
Podle těchto požadavků musí podnikatel poskytnout zákazníkovi před udělením souhlasu se zpracováním osobních údajů alespoň tyto informace:
- údaje o totožnosti podnikatele jakožto správce osobních údajů,
- údaje o účelu, pro který podnikatel osobní údaje zákazníka zpracovává,
- informace o právu zákazníka udělený souhlas odvolat,
- informace o použití osobních údajů k automatizovanému rozhodování, dochází-li k němu,
- informace o případných rizicích spojených s předáváním osobních údajů v důsledku absence rozhodnutí o přiměřenosti a vhodných zárukách, specifikovaných v čl. 46 nařízení GDPR.
V této souvislosti je třeba doplnit, že souhlas se zpracováním osobních údajů nemusí být písemný.
Tím není dotčena povinnost podnikatele prokázat, že mu zákazník souhlas se zpracováním osobních údajů pro účely zasílání obchodních sdělení udělil a že tento souhlas splňoval veškeré náležitosti. Za účelem splnění této povinnosti je zpravidla třeba využít vhodného softwarového řešení majícího příslušné funkce, jež umožňují uchování potřebných informací.
Informační povinnosti podnikatele vůči zákazníkům
Bez ohledu na skutečnost, zda jsou osobní údaje zákazníků pro účely zasílání obchodních sdělení zpracovávány na základě oprávněného zájmu podnikatele, nebo souhlasu zákazníka, je podnikatel povinen splnit vůči zákazníkovi svoji informační povinnost, jak je stanovena v čl. 13 nařízení GDPR. Zde uvedené povinnosti se vztahují na oba právní základy zpracování s drobnými odchylkami, které budou rozebrány v tomto textu dále.
Obligatorní informace, s nimiž je podnikatel povinen zákazníka nejpozději v okamžiku získání jeho osobních údajů seznámit, jsou stanoveny v čl. 13 odst. 1 nařízení GDPR.
V první řadě je podnikatel povinen poskytnout zákazníkovi údaje o své totožnosti spolu se svými kontaktními údaji. V praxi se jedná zpravidla o jméno a příjmení podnikající fyzické osoby či název společnosti v případě právnické osoby, adresu sídla, IČO a případné údaje o zápisu podnikatele – právnické osoby v obchodním rejstříku, dále e-mailová adresa a telefon a, je-li to relevantní, adresa webových stránek. To platí i pro případného zástupce podnikatele. Má-li podnikatel povinnost jmenovat pověřence pro ochranu osobních údajů, sdělí zákazníkovi rovněž kontaktní údaje této osoby.
Další informací, kterou je podnikatel povinen zákazníkovi sdělit, je informace o účelu zpracování a právním základu pro zpracování. V posuzovaném případě bude účelem zpracování zasílání obchodních sdělení zákazníkovi. Právním základem může být oprávněný zájem podnikatele či souhlas zákazníka, jak je v podrobnostech uvedeno v tomto textu shora. V případě, že je právním základem oprávněný zájem podnikatele, je nutné jej blíže specifikovat. Oprávněným zájmem je v tomto případě přímý marketing.
Mezi povinné informace dále patří údaj o příjemcích nebo kategoriích příjemců osobních údajů. Příjemce je nutné chápat jako fyzickou nebo právnickou osobu, které jsou osobní údaje poskytnuty, přičemž nařízení GDPR mezi příjemce řadí i orgány veřejné moci. Výjimkou jsou ty orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, v případě ČR se bude jednat o ÚOOÚ. V případě zpracování osobních údajů budou typickými příjemci externí dodavatelé softwarových služeb, kteří pro podnikatele zajišťují zpracování databáze zákazníků.[26]
Poslední z uvedených informaci se týkají případného úmyslu podnikatele předat osobní údaje do třetí země nebo mezinárodní organizaci a s tím spojené existence či neexistence rozhodnutí Evropské komise o odpovídající ochraně a ve vybraných případech předání rovněž odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. V námi posuzovaném případě sem budou spadat zejména případy, kdy podnikatel využívá cloudových služeb ve třetí zemi.
Další oblast informačních povinností je stanovena v čl. 13 odst. 2 nařízení GDPR. Zatímco první okruh informací, jak jsou specifikovány shora, je podnikatel povinen sdělit zákazníkovi vždy, v tomto případě se informační povinnost na podnikatele vztahuje jen tehdy, jsou-li takové informace nezbytné pro zajištění spravedlivého a transparentního zpracování a zákazník je dosud nemá.
První z této kategorie je povinnost informovat zákazníka o době, po kterou budou osobní údaje uloženy, a nelze-li ji určit, o kritériích pro její stanovení. Maximální možná délka zpracování osobních údajů pro marketingové účely není stanovena, odborné názory se kloní k tomu, že vzhledem k tomu, že zákazník má v každém jednotlivém sdělení možnost jeho zasílání odmítnout, není třeba toto zpracování časově omezovat. Výjimku představují údaje o konkrétní nákupní historii zákazníka, které by neměly být zpracovávány po nepřiměřeně dlouhou dobu.[27]
Další informační povinnosti podnikatele se vztahují k právům zákazníka, která zákazníkovi v souvislosti se zpracováním osobních údajů náleží. Jedná se o právo na přístup k osobním údajům týkajícím se zákazníka, jejich opravu nebo výmaz, popř. omezení zpracování, a právo na přenositelnost údajů. Tato práva náleží zákazníkům bez ohledu na právní základ zpracování jejich osobních údajů.
V případě přímého marketingu, kdy je právním základem zpracování oprávněný zájem podnikatele, má zákazník právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing.[28] Na toto právo musí být zákazník výslovně upozorněn nejpozději v okamžiku první komunikace. Informace o právu vznést námitku proti zpracování osobních údajů pro účely přímého marketingu musí být uvedeny zřetelně a odděleně od jakýchkoli jiných informací.
V případě zpracování osobních údajů na základě souhlasu zákazníka musí být zákazník upozorněn také na právo tento souhlas kdykoli odvolat.
Při splnění shora uvedených podmínek je podnikatel povinen zákazníka rovněž informovat o jeho právu podat stížnost u dozorového úřadu, tedy u ÚOOÚ, a dále o skutečnosti, zda je poskytování zákonným, či smluvním požadavkem nebo požadavkem, který je nutné uvést do smlouvy, zda má povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů.
Poslední z informací spadajících do tohoto okruhu je informace o případném automatizovaném rozhodování, včetně profilování, včetně smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro zákazníka.[29]
Závěrem je třeba doplnit, že uvedené informace musí zákazník obdržet nejpozději v okamžiku, kdy podnikatel získá jeho osobní údaje.
Není tedy přípustné, aby podnikatel, který disponuje osobními údaji svých zákazníků získanými pro jiné účely, bez dalšího začal těmto zákazníkům zasílat obchodní sdělení. Takový postup by byl v rozporu s čl. 13 odst. 3 nařízení GDPR, podle něhož musí podnikatel, který hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytnout zákazníkovi ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2 citovaného článku.
Pokud tedy zákazník nebyl o zpracování svých osobních údajů informován již při jejich získání podnikatelem, musí podnikatel takového zákazníka před zpracováním pro tyto účely odpovídajícím způsobem informovat. Z podstaty přitom plyne, že takový postup přichází v úvahu výhradně při zasílání obchodních sdělení na základě oprávněného zájmu.
Správní pokuty
Porušení povinností týkajících se ochrany osobních údajů nařízení GDPR v čl. 83 sankcionuje správními pokutami, které mohou dosáhnout výše 20 000 000 eur, nebo, jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. V případech upravených v § 63 zák. č. 110/2019 Sb., o zpracování osobních údajů, zákonodárce snížil horní hranici pokuty na 10 000 000 Kč.
U nevyžádaných telefonických obchodních sdělení ukládá sankce Český telekomunikační úřad. Za nevyžádaný telemarketing je možné udělit pokutu až 50 000 000 Kč nebo částku do výše 10 % z čistého obratu pachatele přestupku dosaženého za poslední ukončené účetní období.
V praxi je udělení pokuty v takové výši spíše nepravděpodobné, nicméně reálně nelze vyloučit sankce pohybující se v řádu statisíců či jednotek milionů. I taková pokuta může být pro řadu podnikatelů za určitých okolností až likvidační, a proto je třeba důsledně dbát na řádné plnění povinností, které předpisy na ochranu osobních údajů podnikatelům ukládají.
Dle názoru autorky přitom nelze vyloučit situaci, kdy podnikatel v souvislosti se zpracováním poruší své povinnosti uložené zákonem o některých službách informační společnosti (či jiným zákonem) i povinnosti v oblasti ochrany osobních údajů. Jelikož se jedná o dvě samostatné oblasti, může být takovému podnikateli uložena dvojí sankce.
Závěr
Je zřejmé, že platná právní úprava klade na podnikatele, kteří chtějí zákazníky informovat o marketingových aktivitách, značné nároky.
Takoví podnikatelé musí splnit nejen povinnosti, které jim ukládají předpisy upravující poskytování služeb prostřednictvím elektronických prostředků, ale musí dbát i na dodržování předpisů upravujících nakládání s osobními údaji zákazníků.
Je proto třeba, aby podnikatelé této problematice věnovali dostatečnou pozornost, v této oblasti se pravidelně vzdělávali a dbali rovněž na výběr správného softwarového řešení, jehož prostřednictvím v praxi plní řadu svých povinností.
Jen tak mohou snížit možná rizika spojená s porušením uvedených povinností v podobě vysokých finančních sankcí, příp. tato rizika zcela eliminovat.
JUDr. Veronika Bernardinová působí jako advokátka v AK Görges & Partners a doktorandka na Katedře obchodního práva PF ZČU v Plzni.
[1] Na nevyžádanou komunikaci poskytovanou automatickými systémy volání se vztahuje samostatná právní úprava, konkrétně se jedná o ust. § 95 a 96 zák. č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (dále jen jako „zákon o elektronických komunikacích“). Dle ust. § 96 odst. 1 zákona o elektronických komunikacích je zakázáno prostřednictvím sítí nebo služeb elektronických komunikací nabízet marketingovou reklamu nebo jiný obdobný způsob nabídky zboží nebo služeb účastníkům nebo uživatelům, kteří ve veřejném seznamu ve smyslu § 95 citovaného zákona neuvedli, že si přejí být kontaktováni za účelem marketingu. Cílem marketingové reklamy tak mohou být pouze ti uživatelé a účastníci, kteří si to výslovně přejí a svoji vůli aktivně projeví. Dohled nad dodržováním uvedených povinností vykonává Český telekomunikační úřad.
[2] Jedná se o tzv. „opt-in pravidlo“ – podle něj platí, že nevyjádřím-li svůj výslovný souhlas, platí automaticky můj nesouhlas, tj. „k čemu se nepřihlásím, to nedostávám“. Srov. Úřad pro ochranu osobních údajů: Slovníček nejdůležitějších pojmů [online], [cit. 14. 6. 2023]. Souhlas musí být zároveň dostatečně určitý a musí splňovat i další zákonné náležitosti, jinak je neplatný.
[3] Srov. Úřad pro ochranu osobních údajů: Často kladené otázky k zákonu č. 480/2004 Sb. [online], [cit. 11. 4. 2023].
[4] Jedná se o tzv. „opt-out pravidlo“ – podle něj platí, že nevyjádřím-li výslovný nesouhlas, platí automaticky můj souhlas, tj. „od čeho se neodhlásím, to dostávám“. Srov. Úřad pro ochranu osobních údajů:
Slovníček nejdůležitějších pojmů [online], [cit. 14. 6. 2023].
[5] Srov. op. cit. sub 3.
[6] Jedná se o organizaci zabývající se otázkami ochrany a zpracování osobních údajů, která sdružuje zájemce o tuto problematiku a profesionály zabývající se zpracováním a ochranou osobních údajů v soukromém podnikání, samosprávě a veřejné správě.
[7] Srov. Spolek pro ochranu osobních údajů: Poziční dokument Spolku pro ochranu osobních údajů k užití e-mailových adres a dalších souvisejících údajů pro nabídky zboží a služeb, verze 27. 2. 2019 [online], [cit. 12. 4. 2023].
[8] Může se jednat např. o prodejce vonných svíček či dětského funkčního oblečení.
[9] Srov. op. cit. sub 3.
[10] Op. cit. sub 3.
[11] Srov. tamtéž.
[12] Tamtéž.
[13] Jedná se o tzv. no reply, noreply či no-reply e-maily, tedy takové e-maily, na něž nelze odpovědět.
[14] Srov. § 10 odst. 1 písm. a) zákona o některých službách informační společnosti.
[15] Např. Českému telekomunikačnímu úřadu dle zákona o elektronických komunikacích.
[16] Srov. op. cit. sub 3.
[17] Jednou z nejvyšších uložených sankcí byla pokuta ve výši šesti milionů korun, kterou ÚOOÚ vyměřil společnosti zabývající se prodejem ojetých automobilů za opakovaná nevyžádaná rozesílání obchodních sdělení. V rámci reklamní kampaně uvedené společnosti bylo obesláno téměř 500 tisíc adresátů, přičemž kontrolovaná společnost nebyla schopna prokázat konkrétně udělené souhlasy dotčených adresátů.
[18] Tam, kde to nařízení připouští.
[19] Srov. op. cit. sub 7.
[20] Srov. Úřad pro ochranu osobních údajů: Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů, verze 1.0 [online], [cit. 2023-10-7].
[21] Některé země ponechaly hranici 16 let (např. Slovensko).
[22] V praxi se tak děje zpravidla pomocí tzv. ověřovacích e-mailů.
[23] Jedná se o dva nejčastější právní základy pro zpracování osobních údajů v souvislosti se zasíláním obchodních sdělení, které v praxi naprosto převažují.
[24] Jedná se o nezávislý evropský subjekt, který byl zřízen na základě nařízení GDPR a jehož hlavním úkolem je přispívat k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii.
[25] European Data Protection Board: Guidelines 05/2020 on consent under Regulation 2016/679 Version 1.1 Adopted on 4 May 2020, [online], European Data Protection Board, Brussels [cit. 15. 4. 2023], dostupné z: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf.
[26] Takový příjemce osobních údajů zákazníků bude rovněž jejich zpracovatelem, se kterým by podnikatel měl mít uzavřenu smlouvu o zpracování osobních údajů.
[27] Op. cit. sub 7.
[28] Což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
[29] Autorka se domnívá, že informace o automatizovaném rozhodování pro účely zasílání „běžných“ obchodních sdělení zpravidla nebudou relevantní. Jednou z podmínek, která musí být splněna, aby se jednalo o automatizované rozhodování, je, že musí takové rozhodování mít pro subjekt údajů právní účinky nebo se jej obdobným způsobem významně dotýkat. Uvedená podmínka v praxi ve většině případů naplněna nebude.