Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2023
  6. Nevyžádaná obchodní sdělení 2023
  7. Obchodní společnost 00804/21

Obchodní společnost 00804/21

Kontrola u této společnosti byla zahájena na základě plánu kontrol pro rok 2021, a to ve věci dodržování povinností vyplývajících ze zákona č. 480/2004 Sb. týkajících se rozesílání obchodních sdělení pomocí elektronických prostředků a dále ve věci dodržování povinností při zpracování osobních údajů dle nařízení (EU) 2016/679 v souvislosti s přímým marketingem. V rámci této kontroly byly prověřeny také podané stížnosti na zasílání obchodních sdělení a stížnost podaná v souvislosti s uplatněním práva subjektu údajů dle čl. 15 a čl. 21 nařízení (EU) 2016/679.

V oblasti zasílání obchodních sdělení byla kontrola zaměřena jak na jednotlivé stížnosti, tak také bylo dodržování podmínek při šíření obchodních sdělení zkoumáno ve vztahu k jedné kampani, kdy byl právní titul k zaslání předmětného obchodního sdělení prověřen na několika náhodně vybraných adresátech. Současně bylo prověřováno plnění i dalších podmínek, zejména pokud jde o označení obchodního sdělení, uvedení totožnosti toho, v čí prospěch je obchodní sdělení šířeno a zejména též zda obchodní sdělení obsahuje možnost další zasílání odmítnout.

Kontrolou byla zjištěno, že kontrolovaná osoba obecně dodržuje povinnosti a podmínky zasílání obchodních sdělení elektronickými prostředky. Pochybení bylo konstatováno pouze v případě jednotlivých stížností. V případě zaslání obchodního sdělení prostřednictvím SMS zprávy bylo konstatováno porušení § 7 odst. 4 písm. b) a c) zákona č. 480/2004 Sb., tedy, že v zaslaném sdělení nebyla uvedena informace o tom, v čí prospěch je dané obchodní sdělení šířeno a dále, že neobsahovalo možnost další zasílání odmítnout. Dále bylo ve třech případech konstatováno porušení § 7 odst. 2 zákona č. 480/2004 Sb., jelikož obchodní sdělení těmto adresátům byla zaslána bez prokazatelného souhlasu, resp. poté, co jejich příjem byl již adresáty dříve odmítnut. V těchto případech kontrolovaná osoba nedisponovala již náležitým právním titulem pro zaslání obchodního sdělení.

V souvislosti s výše uvedenými porušeními při zasílání obchodních sdělení bylo s kontrolovanou osobou zahájeno příslušné správní řízení.

V oblasti zpracování osobních údajů pro účely přímého marketingu dle nařízení (EU) 2016/679 byl zjišťován právní titul, rozsah a doba zpracování osobních údajů pro tento účel zpracování, dále jak je plněna v této souvislosti informační povinnost vůči subjektům údajů a jak je zákazníkům umožněno realizovat práva subjektu údajů, především pokud jde o právo vznést námitku proti zpracování pro účely přímého marketingu (dle čl. 21 nařízení).

Zpracování osobních údajů (telefonních čísel a e-mailových adres) zákazníků pro účely přímého marketingu je zpracováním prováděné z důvodu oprávněného zájmu dle čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679. Zákazník při nákupu výrobku či služby může odůvodněně očekávat, že mu obchodník zašle obdobnou nabídku. Tento obchodní zájem převáží v tomto případě nad zájmem zákazníka, je však korigován dalšími povinnostmi obchodníka jako správce osobních údajů. Správce musí splnit informační povinnost stanovenou v čl. 13 nařízení (EU) 2016/679, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 tohoto nařízení proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů tuto námitku vznese, nesmějí již být osobní údaje pro tento účel zpracovány (jde tedy o tzv. princip opt-out, který je vyjádřen i v § 7 odst. 3 zákona č. 480/2004 Sb.). Správce, který využívá přímého marketingu na základě oprávněného zájmu musí mít též zpracován příslušný balanční test.

Kontrolou bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje svých zákazníků pro účely marketingu, buď na základě oprávněného zájmu (čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679), a to pro tzv. přímý marketing, nebo na základě souhlasu dle čl. 6 odst. 1 písm. a) nařízení (EU) 2016/679, a to v případě marketingu, který je realizován ve prospěch třetích stran nebo v případě zasílání vlastních nabídek potenciálním zákazníkům (není zde tedy ještě zákaznický vztah). Na základě právního titulu souhlasu zpracovává kontrolovaná osoba také provozní a lokalizační údaje zákazníků, včetně profilování a údaje získané na základě cookies, a to pro účely personalizovaného cílení marketingu.

Pokud jde o rozsah a dobu zpracování osobních údajů pro účely přímého marketingu bylo kontrolou zjištěno, že rozsah zpracovávaných osobních údajů je dán zákaznickým vztahem, kdy jsou kontrolovanou osobou zpracovávány pouze takové údaje, které jsou nezbytné pro komunikaci relevantních nových služeb a nabídek zákazníkům. Doba zpracování osobních údajů zákazníků pro účely přímého marketingu byla kontrolovanou osobou stanovena maximálně 6 měsíců od ukončení zákaznického vztahu, jelikož v této krátké době po ukončení zákaznického vztahu, a to z důvodu nabídnout takovým zákazníkům určitou retenční nabídku, která by pro ně byla zajímavá. Tato doba odpovídá i obecné praxi v telekomunikačním odvětví. V případě uplatnění námitky proti zpracování osobních údajů pro účely přímého marketingu, však nejsou již tyto údaje pro tento účel zpracovávány. Kontrolující tak konstatoval, že jak rozsah, tak doba zpracování jsou přiměřené.

Kontrolou bylo dále zjištěno, že kontrolovaná osoba poskytuje informace dle čl. 12 a 13 nařízení (EU) 2016/679 především v dokumentu „Prohlášení o zpracování osobních údajů“, který je zveřejněn na webových stránkách kontrolované osoby. V tomto dokumentu jsou veškeré informace týkající se zpracování osobních údajů pro marketingové účely přehledně popsány. Současně jsou tyto informace poskytovány též přímo při uzavírání účastnického vztahu, ať už elektronicky na webu, prostřednictvím zákaznické linky nebo osobně na prodejně.

Kontrolovaná osoba taktéž plní povinnosti ve vztahu k právům subjektů údajů (čl. 15 – 18 a zejména čl. 21 nařízení (EU) 2016/679). V tomto ohledu tedy nebylo obecně zjištěno porušení.