Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2022
  6. Nevyžádaná obchodní sdělení
  7. Obchodní společnost

Obchodní společnost

Kontrola u této společnosti byla zahájena na základě Kontrolního plánu Úřadu pro rok 2021, a to ve věci dodržování povinností vyplývajících ze zákona č. 480/2004 Sb., týkajících se rozesílání obchodních sdělení pomocí elektronických prostředků a dále ve věci dodržování povinností při zpracování osobních údajů dle nařízení (EU) 2016/679 v souvislosti s přímým marketingem. V rámci této kontroly byly prověřeny také podané stížnosti na zasílání obchodních sdělení a stížnosti podané v souvislosti s uplatněním práv subjektů dle nařízení (EU) 2016/679.

V oblasti zasílání obchodních sdělení byla kontrola, jak obecně, tak i ve vztahu k podaným stížnostem, zaměřena na zjištění, jakým způsobem jsou osobní údaje (e-mailová adresa, telefonní číslo) získávány, jakým způsobem jsou obchodní sdělení šířena, jak je o tom uživatel daného elektronického kontaktu informován, a jak jsou plněny podmínky pro šíření obchodních sdělení.

V oblasti zpracování osobních údajů pro účely přímého marketingu dle nařízení (EU) 2016/679 byl zjišťován právní titul, rozsah a doba zpracování osobních údajů pro tento účel zpracování, dále, jak je plněna v této souvislosti informační povinnost vůči subjektům údajů, a jak je zákazníkům umožněno realizovat práva subjektu údajů, především pokud jde o právo vznést námitku proti zpracování pro účely přímého marketingu (dle čl. 21 nařízení (EU) 2016/679).

Přímý marketing je nástroj, který společnosti používají k podpoře své podnikatelské činnosti a maximalizaci zisku. Je to určitá forma reklamy, která je cílena na konkrétní osoby. Pokud je přímý marketing realizován pomocí elektronických prostředků, tedy zejména pomocí elektronické pošty, SMS/MMS zpráv, je třeba při zasílání takových obchodních sdělení dodržovat též příslušná ustanovení zákona č. 480/2004 Sb., jelikož se v této oblasti jedná o speciální úpravu k nařízení (EU) 2016/679 a tento zákon stanoví přesné podmínky, za nichž lze obchodní sdělení elektronickými prostředky šířit.

Zpracování osobních údajů (telefonních čísel a e-mailových adres) zákazníků pro účely přímého marketingu je zpracování prováděné z důvodu oprávněného zájmu dle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679. Zákazník při nákupu výrobku či služby může odůvodněně očekávat, že mu obchodník zašle obdobnou nabídku. Zájem obchodní, převažující v tomto případě nad zájmem zákazníka, je přitom korigován dalšími povinnostmi obchodníka jako správce osobních údajů. Správce musí splnit informační povinnost stanovenou v čl. 13 nařízení (EU) 2016/679, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 tohoto nařízení proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů tuto námitku vznese, nesmějí již být osobní údaje pro tento účel zpracovány (jde tedy o tzv. princip opt-out, který je vyjádřen i v § 7 odst. 3 zákona č. 480/2004 Sb.). Správce, který využívá přímého marketingu na základě oprávněného zájmu, musí mít též zpracován příslušný balanční test.

V rámci kontroly bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje svých zákazníků pro marketingové účely buď na základě oprávněného zájmu dle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679 pro tzv. přímý marketing, nebo zpracovává osobní údaje svých zákazníků na základě souhlasu dle čl. 6 odst. 1 písm. a) nařízení (EU) 2016/679, a to v případě marketingu ve prospěch třetích stran či při zpracování provozních a lokalizačních údajů pro marketingové účely.

Ve vztahu k rozsahu zpracování osobních údajů pro účely přímého marketingu bylo kontrolou konstatováno, že jsou osobní údaje zpracovávány v nadbytečném rozsahu, a to zejména pokud jde o údaje fakturační a platební, komunikaci s kontrolovanou osobou a cookies. V této souvislosti je třeba uvést, že po vyhodnocení podaných námitek došlo ze strany kontrolujících k vyhovění námitky v této oblasti a fakturační a platební údaje a komunikace vztahující se k poskytované službě byly uznány jako údaje zpracovávané v souladu s přímým marketingem. Pokud však jde o údaje získané formou cookies, stále platí, že tyto údaje lze zpracovávat pouze na základě souhlasu subjektu údajů.

Dále bylo konstatováno, že kontrolovaná osoba zpracovává osobní údaje svých zákazníků pro účely přímého marketingu po dobu delší, než je nezbytná ke stanovenému účelu, kdy tato doba činila až tři roky po ukončení zákaznického vztahu. V této souvislosti je třeba uvést, že kontrolovaná osoba již učinila opatření, kdy tato doba byla zkrácena na šest měsíců. Jako zdůvodnění uvedla možnost oslovení po přiměřenou dobu i po ukončení smluvního závazku, což je i dle obecné praxe nejen v telekomunikačním odvětví oprávněným zájmem, a to zejména možnost zákazníkům nabídnout retenční nabídku, která umožňuje podnikatelským subjektům „udržet si zákazníka“, a zároveň může být prospěšná i pro zákazníka samotného, kdy může obdržet nabídku, která by pro něho mohla být zajímavá. Tato doba je z pohledu Úřadu již akceptovatelná, odpovídá běžné praxi, i budoucí úpravě v rámci e-privacy, která dobu pro zasílání obchodních sdělení má ve svém návrhu též omezenu. Nadále však platí, že pokud si subjekt údajů dále nepřeje dostávat nabídky kontrolované osoby, může je kdykoli jednoduše odmítnout (podat námitku proti zpracování za tímto účelem), přičemž kontrolovaná osoba informuje subjekty údajů o způsobech, jak toto lze učinit.

Pokud jde o plnění povinností správce v souvislosti s informační povinností dle čl. 12 a 13 nařízení (EU) 2016/679, nebylo konstatováno porušení. Kontrolovaná osoba poskytuje informace především v rámci dokumentu Zásady ochrany osobních údajů, který je zveřejněn na webových stránkách kontrolované osoby, a kde jsou podrobně a přehledně popsány veškeré informace týkající se zpracování osobních údajů pro marketingové účely. Současně jsou tyto informace poskytovány též přímo při uzavírání zákaznického vztahu, ať už elektronicky na webu, prostřednictvím zákaznické linky nebo osobně na prodejně.

Kontrolovaná osoba taktéž plní povinnosti ve vztahu k právům subjektů údajů. V tomto ohledu nebylo obecně zjištěno porušení. Pouze ve vztahu k jedné stížnosti, tedy pouze v rámci individuální jedné žádosti subjektu údajů v souvislosti s námitkou proti zpracování osobních údajů pro účely přímého marketingu mělo být danému subjektu vyhověno a další zpracování za tímto účelem tedy již nemělo být prováděno. V tomto případě se však jednalo pouze o chybu, kdy bylo vyžadováno další ztotožnění subjektu údajů i přesto, že tento učinil svou námitku proti zpracování osobních údajů pro účely přímého marketingu z e-mailové adresy, na kterou mu jsou předmětná obchodní sdělení zasílána, a tedy toto další ztotožnění pro tento účel nemělo být ze strany kontrolované osoby požadováno a mělo být v tomto smyslu danému subjektu vyhověno.

Ve vztahu k dodržování povinností při zasílání obchodních sdělení podle zákona č. 480/2004 Sb. bylo konstatováno, že kontrolovaná osoba obecně dodržuje povinnosti a podmínky zasílání obchodních sdělení elektronickými prostředky. Pochybení bylo konstatováno pouze v případě jednotlivých stížností, kdy došlo v jednom případě k technické chybě, a v jednom případě bylo obchodní sdělení zasláno již poté, co daný zákazník další zasílání obchodních sdělení již dříve odmítl.

V návaznosti na tato porušení bude s kontrolovanou osobou vedeno příslušné správní řízení.