Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2022
  6. Nevyžádaná obchodní sdělení
  7. Obchodní společnost

Obchodní společnost

Kontrola byla zahájena na základě Kontrolního plánu Úřadu pro rok 2020, a to ve věci zpracování osobních údajů pro účely přímého marketingu v rámci registrací na společnosti provozovaných portálech, možného propojování jednotlivých portálů do jedné databáze a realizace práv subjektů údajů dle nařízení (EU) 2016/679. Dále byla kontrola zaměřena také na oblast zasílání obchodních sdělení, kdy bylo kontrolou zjišťováno, jakým způsobem jsou osobní údaje (e-mailová adresa, telefonní číslo) získávány, jakým způsobem jsou obchodní sdělení šířena a jak je o tom uživatel daného elektronického kontaktu informován, a dále též jak jsou plněny podmínky pro šíření obchodních sdělení dle zákona č. 480/2004 Sb.

Kontrolující ověřili zpracování osobních údajů zákazníků či registrovaných uživatelů v souvislosti s jednotlivými poskytovanými službami kontrolované osoby. Jednalo se o služby předplatného, dále o službu zřízení e-mailové schránky na příslušných doménách a s tím související zasílání infotextových zpráv (jedná se o zprávy zasílané uživatelům zřízených e-mailových schránek, které obsahují obchodní sdělení, tedy nabídku výrobků a služeb, třetích stran), dále o službu zasílání newsletterů, a službu spojenou se zasíláním obchodních sdělení v rámci eventových stránek. Kontrolující provedli jednotlivé zkušební registrace, zkušební objednávky apod., dále vycházeli také z vyjádření kontrolované osoby a v neposlední řadě z provedeného místního šetření, kde bylo ověřeno, jak se jednotlivé údaje propisují do systémů kontrolované osoby a jak se s nimi dále pracuje.

Kontrolovaná osoba zpracovává osobní údaje za účelem přímého marketingu a zasílání obchodních sdělení buď na základě oprávněného zájmu (pokud jde o její zákazníky a nabídku vlastních a obdobných produktů a služeb) nebo na základě souhlasu (v případě zasílání obchodních sdělení ve prospěch třetích stran, nebo nabídky z eventových stránek, či nabídky na základě registrace k newsletteru nebo pokud jde o zpracování osobních údajů návštěvníků webových stránek prostřednictvím souborů marketingových cookies).
Pokud jde o dodržování povinností při realizaci práv subjektů údajů, nebylo kontrolou v této oblasti zaznamenáno žádné porušení.
V části kontroly týkající se zasílání obchodních sdělení elektronickými prostředky bylo zjištěno, že obchodní sdělení kontrolovaná osoba zasílá jak na základě souhlasu, tak také na základě oprávněného zájmu.

V souvislosti s dodržováním podmínek pro šíření obchodních sdělení bylo zjištěno, že v případě zasílání obchodních sdělení ve prospěch třetích stran (tzv. infotexty), nebyla kontrolovanou osobou splněna podmínka uvedení totožnosti odesílatele, jehož jménem se komunikace uskutečňuje. Obchodní sdělení tedy musí obsahovat identifikaci té fyzické nebo právnické osoby, jejíž výrobky, zboží či služby jsou obchodním sdělením propagovány. Pro takové označení je třeba uvést jasnou identifikaci podnikatele, tedy jasné uvedení obchodní firmy, jména s dodatky a případně i dalších identifikátorů, jako např. IČO společnosti (dalším identifikátorem by mohlo být např. sídlo, DIČ, adresa provozovny). Za dostatečné označení nelze považovat například uvedení pouhého odkazu, který adresáta přesměruje na stránky toho, v čí prospěch je obchodní sdělení zasíláno.

V rámci jedné prověřované rozesílky (kampaně ve prospěch třetího subjektu), kterou kontrolovaná osoba rozeslala, bylo zjištěno technické pochybení, kdy v důsledku přidávání funkcionality systémových zpráv došlo ke zrušení přednastavených podmínek pro danou rozesílku, a tím došlo k chybnému odeslání předmětného obchodního sdělení i na 250 tisíc e-mailových adres, u kterých nebyl evidován souhlas se zasíláním obchodních sdělení. Tato chyba byla kontrolovanou osobou na základě zavedeného kontrolního mechanismu detekována. Na základě toho přijala kontrolovaná osoba příslušná opatření, aby se daná situace již neopakovala. Tato opatření, spočívající v zavedení poddatabáze pouze s adresáty, kteří udělili souhlas, byla v rámci kontroly Úřadem ověřena.

Kontrolovaná osoba podala proti kontrolním zjištění námitky, které byly předsedou Úřadu zamítnuty.

S kontrolovanou osobou bylo ve věci zaslání obchodního sdělení na e-mailové adresy 250 tisíc adresátů bez jejich souhlasu a neuvedení totožnosti toho, v čí prospěch je obchodní sdělení šířeno, vedeno správní řízení. Proti vydanému rozhodnutí podala obviněná rozklad, který však byl předsedou Úřadu zamítnut a byla potvrzena sankce ve výši 250 000 Kč uložená prvostupňovým orgánem.

Doplňující informace:

Obecně je třeba uvést, že přímým marketingem je také zasílání obchodních sdělení elektronickými prostředky. Způsob realizace oprávněného zájmu správce při samotné rozesílce obchodních sdělení prostřednictvím elektronických prostředků je přesně dán ustanoveními zákona č. 480/2004 Sb., o některých službách informační společnosti, který je tak v této oblasti speciální právní úpravou k obecnému nařízení.

Na zasílání obchodních sdělení zákazníkům se uplatní § 7 odst. 3 zákona č. 480/2004 Sb., kdy obchodní sdělení lze zákazníkům zaslat bez jejich předchozího souhlasu (princip opt-out), ovšem zákazník musí mít možnost toto zasílání odmítnout před odesláním takového obchodního sdělení (např. obchodník umožní zákazníkovi v rámci obchodních podmínek či při finálním potvrzení objednávky, aby zaškrtl políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána). Pokud zákazník toto dopředu neodmítne, tak tato možnost musí být dána v každém dalším odeslaném obchodním sdělení.

Současně je také dle § 7 odst. 4 zákona č. 480/2004 Sb. zakázáno šířit obchodní sdělení, která by nebyla zřetelně a jasně označena jako obchodní sdělení; která by skrývala či utajovala totožnost odesílatele, jehož jménem se komunikace uskutečňuje; a která by byla zaslána bez platné adresy, na kterou lze přímo a účinně toto zasílání odmítnout.