Obchodní společnost
Kontrola byla zahájena na základě 7 podnětů, které se týkaly šíření nevyžádaných obchodních sdělení, přičemž jeden z těchto podnětů se týkal podezření z porušení povinností vztahujících se ke zpracování osobních údajů a jejich dalšího využívání k přímému marketingu. Důvodem této kontroly nebyly pouze tyto podněty, ale také stížnosti, které Úřad pravidelně dostává od roku 2015 a právě proto se rozhodl provést kontrolu jak právních titulů umožňujících zasílání obchodních sdělení elektronickými prostředky, tak také kontrolu zpracování osobních údajů, elektronických adres, které za účelem rozesílek obchodních sdělení kontrolovaná osoba zpracovává.
Předmětem kontroly bylo, kromě kontroly dodržování povinností vyplývajících ze zákona č. 480/2004 Sb., o některých službách informační společnosti, ve vztahu k rozesílání obchodních sdělení pomocí elektronických prostředků, také dodržování povinností správce či zpracovatele osobních údajů stanovených zákonem č. 101/2000 Sb., o ochraně osobních údajů, v době kontroly účinném, a to v souvislosti se zpracováním osobních údajů s ohledem na získávání e-mailových adres a případně jiných údajů zákazníků či registrovaných uživatelů, které jsou předmětem daných rozesílek obchodních sdělení, resp. e-mailových kampaní. Kontrola byla zahájena již dne 7. září 2017, přičemž s ohledem na rozsáhlost požadovaných informací, která se odvíjela od velkého počtu dotčených subjektů údajů, zasáhla tato kontrola až do doby účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), a proto se Úřad zaměřil nejen na posouzení stavu v době zahájení kontroly, ale také na posouzení faktického stavu v návaznosti na účinnou novou právní úpravu v oblasti ochrany osobních údajů.
Kontrolovaná osoba se nacházela v pozici správce osobních údajů, neboť sama pro sebe prováděla zpracování osobních údajů, a to minimálně za účelem propagování vlastní podnikatelské činnosti, přičemž si též sama zvolila prostředek zpracování osobních údajů, kterým je databáze systému CRM. Ke stejnému závěru dospěl Úřad i při posouzení nové právní úpravy vyplývající z nařízení (EU) 2016/679.
Kontrolovaná osoba v době zahájení kontroly shromažďovala osobní údaje subjektů údajů na základě právního titulu souhlasu ve smyslu ustanovení § 5 odst. 2 návětí zákona č. 101/2000 Sb., přičemž tento souhlas nebylo možné považovat za souhlas vědomý a informovaný ve smyslu ustanovení § 4 písm. n) zákona č. 101/2000 Sb., neboť kontrolovaná osoba nesprávně splnila svoji informační povinnost tak, jak jí to, jako správci osobních údajů, ukládá ustanovení § 11 odst. 1 a 2 zákona č. 101/2000 Sb., neboť dle dokumentu „Osobní údaje a ochrana osobních dat“ docházelo k předávání osobních údajů blíže neurčitým společnostem, které nemohly být z hlediska subjektů údajů dodatečně identifikovány. Subjekty údajů tak při udělení souhlasu se zpracováním osobních údajů předem nevěděly a neměly ani reálnou možnost zjistit, které subjekty odlišné od správce osobních údajů měly přístup k jejich osobním údajům, vyjma tří společností, které byly v informacích výslovně uvedeny. Kontrolovaná osoba tak systematicky porušovala zákon č. 101/2000 Sb., a to přinejmenším v době probíhající kontroly až do data 25. května 2018. Z hlediska nové právní úpravy pak Úřad zjistil, že kontrolovaná osoba upravila svoji informační povinnost v souladu s čl. 12-14 nařízení (EU) 2016/679, proto bylo ode dne 25. května 2018 možné hledět na osobní údaje kontrolovanou osobou získané na základě právního titulu souhlasu jako na zákonně získané.
Ve vztahu k předmětu kontroly, která se týkala kontroly dodržování povinností v oblasti rozesílání obchodních sdělení, Úřad konstatoval, že všechna předmětná sdělení, která byla zasílána prostřednictvím elektronické pošty nebo SMS zpráv, odpovídají definici obchodního sdělení, jelikož obsahovala nabídky zboží a služeb poskytované kontrolovanou osobou a rovněž vybízela k návštěvě webových stránek kontrolované osoby. Všechna sdělení byla zasílána za účelem přímé podpory nabízeného zboží, služeb a image podnikatelského subjektu.
Úřad dále v rámci této kontroly zjistil, že část obchodních sdělení byla odeslána jinými subjekty. V těchto případech byla kontrolovaná osoba v pozici šiřitele obchodních sdělení, jelikož k odeslání předmětných sdělení došlo na základě objednání rozesílky zadané kontrolovanou osobou. U větší části obchodních sdělení bylo Úřadem konstatováno, že samotným rozesílatelem těchto sdělení byla kontrolovaná osoba.
Kontrolovaná osoba byla vyzvána k doložení právních titulů pro zasílání předmětných obchodních sdělení, a to konkrétně pro celou realizovanou předmětnou kampaň, a taktéž pro další jednotlivá obchodní sdělení. Úřad k tomuto poznamenává, že z pohledu zákona č. 480/2004 Sb. jsou možné pouze 2 právní tituly, a to buď souhlas se zasíláním obchodních sdělení nebo zákaznický vztah, který je však podmíněn nabídkou pouze vlastních a obdobných výrobků či služeb a tím, že zasílání obchodních sdělení nebylo dříve adresátem odmítnuto. Kontrolovaná osoba se vyjádřila k e-mailovým adresám a telefonním číslům, které byly předmětem jednotlivých rozesílek. Dále uvedla způsoby získávání kontaktních údajů, kterými jsou hovor na centrálu, vyplnění formuláře na webu skupiny, kontakt získaný v souvislosti s prodejem. Všechny tyto způsoby byly Úřadem prověřeny jak přímo při místním šetření, tak formou zkušebních registrací. Ve vztahu k předmětné kampani kontrolovaná osoba uvedla, že rozesílka byla realizována na 459.779 e-mailových adres a uvedla pouze zdroj, ze kterého tyto e-mailové adresy pocházejí. S ohledem na velké množství těchto e-mailových adres žádal Úřad o doložení (prokázání) konkrétních právních titulů pouze u vzorku 1 % e-mailových adres, které sám vybral. Kontrolovaná osoba však doložila pouze částečnou verzi databáze týkající se předmětné e-mailové kampaně, kde většina kontaktů byla anonymizována. Tato verze čítala pouze 996 e-mailových adres, ostatní e-mailové adresy byly, jak uvedla kontrolovaná osoba, již anonymizovány. Pouze u 256 e-mailových adres bylo uvedeno číslo faktury, ze kterého lze usuzovat, že se jednalo o zákazníka kontrolované osoby, přičemž toto zjištění bylo Úřadem náhodně ověřeno již v rámci místního šetření. V ostatních případech nebyl právní titul (tedy souhlas) se zasíláním obchodních sdělení doložen.
Úřad tak zjistil, že kontrolovaná osoba zaslala či nechala zaslat (jakožto šiřitel) obchodní sdělení v rozporu s § 7 odst. 2 zákona č. 480/2004 Sb., tedy bez předchozího souhlasu adresáta. V rámci hromadné rozesílky předmětné kampaně pak Úřad konstatoval, že pouze u 256 kontaktů je možné říci, že obchodní sdělení byla zaslána kontrolovanou osobou v souladu s § 7 odst. 3 zákona č. 480/2004 Sb., neboť zde byl prokázán zákaznických vztah ke kontrolovaná osobě.
Úřad dále hodnotil dodržování podmínek uvedených v § 7 odst. 4 zákona č. 480/2004 Sb. Ve vztahu k části obchodních sdělení dospěl k závěru, že kontrolovaná osoba nesplnila podmínku stanovenou v § 7 odst. 4 písm. a) zákona č. 480/2004 Sb., jelikož předmětné zprávy nebyly jasně a zřetelně označeny jako obchodní sdělení. Označení těchto sdělení byla značně zavádějící a ani z jejich názvu (předmětu) nebylo možno zjistit, že se jedná o obchodní nabídku nebo nebyla označena vůbec.
Kontrolovaná osoba podala proti kontrolním zjištění námitky. Všechny námitky byly předsedkyní Úřadu zamítnuty a kontrola tak byla vyřízením námitek dne 4. září 2019 ukončena.
Doporučení
Šiřitel, resp. odesílatel obchodních sdělení musí být vždy schopen prokázat právní titul, který jej opravňuje k zaslání obchodního sdělení. Je třeba prokázat, že adresát souhlasil se zasláním obchodního sdělení, a že souhlas splňoval všechny náležitosti nebo jde o elektronický kontakt získaný v souvislosti s vlastním prodejem výrobků či služeb. Pouhé telefonní hovory, jejichž uskutečnění je poznamenané do systému, nejsou důkazem udělení či neudělení souhlasu k zasílání obchodních sdělení. Pro prokázání zákaznického vztahu je například nutné doložení faktury či objednávky, ze kterých bude patrné, jaké podrobnosti svého kontaktu adresát (kupující) uvedl.