Nevyžádaná obchodní sdělení
Úřad se setkává s mylnou představou, že zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (dále jen „zákon č. 480/2004 Sb.“) a zákon o ochraně osobních údajů spolu nesouvisejí. Opak je pravdou: Problematiky regulované oběma zákony jsou naopak úzce obsahově propojeny.
Úřad provádí dozor nad dodržováním povinností stanovených zákonem o ochraně osobních údajů při zpracování osobních údajů a je též příslušným orgánem pro výkon dozoru nad dodržováním povinností při šíření obchodních sdělení podle zákona č. 480/2004 Sb. V rámci tohoto dozoru se ukazuje, že firemní katalogy zákazníků obsahují (samozřejmě ne vždy) zejména jejich profil, tj. vedle identifikačních údajů pro účely dodávky a platby, také informace o druzích objednaného zboží, o oblasti zájmu zákazníka a o tom, zda zákazník souhlasí s příjímáním obchodních nabídek prostřednictvím elektronických prostředků.
Jestliže je zasílána obchodní nabídka na základě nepravého souhlasu, jde o porušení jak zákona č. 480/2004 Sb., neboť jde o samotné zasílání nevyžádaného obchodního sdělení, tak i porušení zákona o ochraně osobních údajů, jelikož takový správce osobních údajů uvádí údaje chybné a nepřesné (tedy deklaruje, že disponuje předchozím prokazatelným souhlasem se zasíláním obchodních sdělení). Skutečnost, že obě právní normy nejsou více provázány obsahově, způsobuje při kontrolním procesu skutečné komplikace. O funkční propojení obou těchto zákonů se Úřad snaží prakticky již od samého počátku platnosti zákona č. 480/2004 Sb.
Některé firmy se brání tím, že u e-mailových adres, které získají buď z otevřených zdrojů (internet) či nákupem databáze či jiného seznamu, nevedou jméno a příjmení, a nejde tedy o zpracování osobních údajů. Už tato obranná argumentace a zpochybnění, zda je e-mailová adresa osobním údajem či nikoliv, svědčí o nepochopení a neznalosti definice osobního údaje, neboť osobním údajem může být v podstatě jakýkoliv údaj. Vždy záleží na souvislostech. Osobním údajem je dle dikce zákona o ochraně osobních údajů „jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“. E-mailová adresa jako součást souboru informací vztažených k nějaké osobě, která je předmětem obchodního zájmu, je nepochybně osobním údajem.
Otázka může vyvstávat jen v tom smyslu, zda e-mailová adresa sama o sobě je osobním údajem. Tady je třeba odlišit adresy, které se týkají přímo určitelného subjektu jako např. jmeno.prijmeni@firma.xxx, anebo nepřímo určitelného subjektu. V prvém případě jde o osobní údaj nepochybně, zatímco případ druhý může vyvolávat pochybnosti. Z praxe se dá dovodit, že pokud si někdo zřídí např. adresu xxx@gmail.com je identifikovatelný i nepřímo jen velmi obtížně. Zákon o ochraně osobních údajů však neříká, pro koho je osoba identifikovatelná, a je tedy zřejmé, že pro určitý okruh osob je uvedená adresa osobním údajem jim známé osoby, a tedy se z principu o osobní údaj jedná vždy. Je tedy zřejmé, že výše uvedeným způsobem získané e-mailové adresy nemohou být využity pro zasílání obchodních sdělení, neboť jejich držitel nemohl dát příslušný souhlas, a to ani se zasíláním obchodních sdělení, ani se zpracováním osobních údajů. V těchto případech tedy dochází k porušení jak zákona o ochraně osobních údajů, tak zákona č. 480/2004 Sb.
S touto problematikou souvisí též právo subjektu údajů dle § 12 zákona o ochraně osobních údajů na přístup k informacím o své osobě. Pokud tedy subjekt údajů zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem o ochraně osobních údajů, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může dle § 21 zákona požádat správce nebo zpracovatele o vysvětlení, dále může též požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zákon o ochraně osobních údajů v takových případech zná možnost blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. V případě takových žádostí, ale bude na subjektu údajů, aby v některých případech prokázal správci, že je skutečným držitelem sporné e-mailové adresy.
Úřad pro ochranu osobních údajů aktivně připomínkoval novelu zákona č. 480/2004 Sb., která je odrazem praxe Úřadu, jako dozorového orgánu, a vychází též ze zkušeností obdobných úřadů členských států Evropské unie. Účelem této novely je především zlepšení hospodárnosti a efektivity kontrolních a na ně navazujících sankčních řízení za zjištěné porušení zákona, propojení se zákonem o ochraně osobních údajů, pokud jde o procesní ustanovení; novela též zohledňuje požadavky evropské právní normy - nového čl. 15a směrnice 2002/58/ES, zejména odstavce 3.
V roce 2010 obdržel Úřad 2827 podnětů na šíření nevyžádaných obchodních sdělení, bylo vyřešeno 1523 stížností. Zahájeno bylo 160 kontrol a v průběhu roku bylo 142 kontrol ukončeno. 344 stížností bylo shledáno neoprávněnými (288 nebylo obchodními sděleními, 116 pocházelo ze zahraničí), ve 120 případech se nepodařilo dohledat odesílatele. 578 subjektům bylo uloženo nápravné opatření. Se 78 subjekty bylo vedeno správní řízení a byla jim pravomocně uložena pokuta v celkové výši 378 000 Kč.