Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2023
  6. Nevyžádaná obchodní sdělení 2023
  7. Obchodní společnost 005732/22

Obchodní společnost 005732/22

Kontrola u této společnosti byla zahájena na základě 7 stížností na rozesílání obchodních sdělení. Sdělení byla rozesílána prostřednictvím e-mailových zpráv a obsahovala nabídky služeb v podobě produktů, které usnadní používání internetového či mobilního bankovnictví a dále nabídku aplikace k používání bankovního klíče, spolu s odkazem na příslušné internetové stránky dané bankovní instituce.

Kontrolovaná osoba v rámci kontroly uváděla, že zprávy obsahující nabídku aplikace bankovního klíče nejsou obchodními sděleními, nýbrž technickou či servisní zprávou. Kontrolující k tomu uvedl, že servisní či technickou zprávou je taková zpráva, která je zasílána pouze klientům (zákazníkům), a která neobsahuje konkrétní další nabídky produktů či služeb, ale obsahuje jen určité technické informace, jako například změny v poskytovaných službách, zprávy o odstávce systému apod. Tato sdělení však byla zasílána nikoli jen klientům dané bankovní instituce na základě oprávněného zájmu, ale právě i jiným osobám, které klienty kontrolované osoby nejsou.

K vyjasnění této skutečnosti bylo provedeno i místní šetření, při kterém mimo jiné kontrolující prověřovali, zda jsou obeslaní adresáti zákazníky kontrolované osoby.

Pouze v jednom případě bylo zjištěno, že adresát je klientem kontrolované osoby. Tento adresát však uváděl, že příjem obchodních sdělení již dříve odmítl. Tuto skutečnost však nemohl prokázat a jelikož tato skutečnost nebyla zjištěna ani ze systémů kontrolované osoby, nemohlo být v tomto případě (u tohoto adresáta) konstatováno porušení při zasílání obchodních sdělení.

U ostatních adresátů však bylo kontrolou zjištěno, že tito již nejsou klienty příslušné bankovní instituce. Jednalo se buď o bývalé klienty (kteří ukončili zákaznický vztah již před více jak 10 lety) nebo o osoby, které pouze projevili zájem o jiný produkt kontrolované osoby.

Kontrolující k tomu uvádí, že právní titul oprávněného zájmu dle § 7 odst. 3 zákona č. 480/2004 Sb. musí odpovídat i požadavkům ochrany osobních údajů upravených nařízením (EU) 2016/679. V této souvislosti je třeba zmínit recitál 47 tohoto nařízení, ze kterého je patrné, že lze použít právního titulu oprávněného zájmu pro účely přímého marketingu, ovšem za předpokladu, že je zde přiměřené očekávání subjektu údajů na základě jeho vztahu se správcem, například pokud je subjekt údajů zákazníkem správce nebo mu správce poskytuje služby. Kontrolující k tomu uvádí, že u bývalých klientů (kdy doba ukončení klientského vztahu je již několik let), ani u zájemců o produktu (opět již před více než několika lety) zde ji po tak dlouhé době není přiměřené očekávání marketingové nabídky, a tedy ani odůvodněné zpracování jejich osobních údajů, a oprávněné zájmy správce tak nepřeváží zájmy nebo základní práva a svobody subjektů údajů.

Kontrolovaná osoba tak ve výše uvedených případech nemohla využít pro zasílání obchodních sdělení právního titulu oprávněného zájmu. Obchodní sdělení by těmto adresátům mohla zaslat pouze na základě právního titulu souhlasu, kterým však kontrolovaná osoba v těchto případech nedisponovala. Kontrolující tak konstatoval porušení § 7 odst. 2 zákona č. 480/2004 Sb.

K dodržování podmínky uvedené v § 7 odst. 4 písm. c) zákona č. 480/2004 Sb., tedy uvádět v obchodním sdělení platné adresy, na které je možné přímo a účinně zaslat informace o tom, že si adresát nepřeje, aby mu byly obchodní informace nadále zasílány, bylo kontrolou zjištěno, že ve všech případech byla v zápatí obchodních sdělení uvedena možnost odhlášení z odběru obchodního sdělení, avšak za předpokladu, že uživatel (klient) zadá do příslušného formuláře pro odhlášení, kromě samotné e-mailové adresy i jméno, příjmení a datum narození (jako povinné údaje). Kontrolovaná osoba tak podmiňovala odhlášení ze zasílání obchodních sdělení získáním dalších osobních údajů. Tento způsob odhlašování byl prověřen jak v rámci zkušebního zadání, tak i přímo při místním šetření. Kontrolovaná osoba tento způsob odůvodňovala propojením na profil konkrétní osoby, nikoli pouze na jednotlivý kontaktní údaj. Kontrolující konstatoval, že takto nastavený systém odhlašování ze zasílání obchodních sdělení, který byl použit i u předmětných obchodních sdělení, neodpovídal požadavkům § 7 odst. 4 psím. c) zákona č. 480/2004 Sb., jelikož vyžadoval poskytnutí dalších údajů, což v případě odmítání či odhlašování elektronického kontaktu, na který bylo obchodní sdělení zasláno, je zcela nadbytečné, o to více, pokud se jednalo o obchodní sdělení zaslaná osobám, které nejsou klienty kontrolované osoby.

Kontrolovaná osoba uvedla, že pracuje na změně tohoto systému odhlašování z dalšího zasílání obchodních sdělení. Nicméně i tak podala proti tomuto kontrolnímu zjištění námitku. Tato námitka byla nadřízeným orgánem kontrolujícího zamítnuta.

S kontrolovanou osobou bylo za předmětná porušení při zasílání obchodních sdělení zahájeno správní řízení a uložena sankce.