Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2024
  6. Nevyžádaná obchodní sdělení 2024
  7. Obchodní společnost - 00803/21

Obchodní společnost - 00803/21

Kontrola byla zahájena na základě plánu kontrol pro rok 2021, a to ve věci dodržování povinností vyplývajících ze zákona č. 480/2004 Sb., o některých službách informační společnosti, konkrétně při rozesílání obchodních sdělení elektronickými prostředky, a dále též ve věci dodržování pravidel ochrany osobních údajů podle nařízení (EU) 2016/679 (dále jen „GDPR“) v souvislosti s přímým marketingem se zaměřením na dodržování povinností vyplývajících především z čl. 12, 13 a 21 GDPR. Následně byla kontrola rozšířena i o posouzení podmínek souhlasu se zpracováním osobních údajů, zejména ve vztahu k ustanovením čl. 5, 6 a 7 GDPR.

V oblasti zasílání obchodních sdělení byla kontrola zaměřena jak na jednotlivé stížnosti, tak na dodržování podmínek při šíření obchodních sdělení ve vztahu k jedné vytipované kampani.

Kontrolou bylo zjištěno, že kontrolovaná osoba zpracovává osobní údaje svých zákazníků pro marketingové účely buď na základě oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR, nebo na základě souhlasu se zpracováním osobních údajů pro obchodní účely podle čl. 6 odst. 1 písm. a) GDPR. Souhlas pro obchodní účely byl kontrolou shledán v rozporu s požadavky stanovenými v čl. 4 bodu 11 a čl. 7 GDPR, neboť není svobodný, konkrétní a jednoznačný. V důsledku toho je tento souhlas neplatný a nelze na jeho základě zpracovávat osobní údaje pro účely v něm uvedené, ledaže by pro tyto účely svědčil jiný právní titul. V případě souhlasu s marketingovým oslovením, který udělují potenciální zákazníci pokud chtějí být osloveni nabídkou kontrolované osoby a souhlas se zasíláním obchodních sdělení a přímým marketingem produktů a služeb kontrolované osoby, který je udělován zákazníkem v případě, pokud po odmítnutí zasílání obchodních sdělení a přímého marketingu produktů a služeb kontrolované osoby změní zákazník názor a opět si zasílání těchto marketingovým zpráv přeje, bylo kontrolujícím zjištěno, že tyto souhlasy odpovídají požadavkům a náležitostem podle nařízení.

Dále bylo zjištěno, že kontrolovaná osoba zpracovává pro marketingové účely osobní údaje svých zákazníků v nadbytečném rozsahu, a to minimálně pokud jde o rodné číslo, bankovní spojení (číslo bankovního účtu), čímž dochází k porušení zásady minimalizace údajů podle čl. 5 odst. 1 písm. c) GDPR. Kontrolovaná osoba dále zpracovává osobní údaje svých zákazníků pro účely přímého marketingu po dobu delší, než je nezbytná ke stanovenému účelu. V tomto ohledu tak dochází k porušení zásady omezení uložení podle čl. 5 odst. 1 písm. e) GDPR.

Kontrolovaná osoba poskytuje informace podle čl. 12 a 13 GDPR především v rámci dokumentu „Zásady zpracování osobních údajů“, který je zveřejněn na webových stránkách kontrolované osoby. V tomto dokumentu jsou veškeré informace týkající se zpracování osobních údajů pro marketingové účely popsány. Současně jsou tyto informace poskytovány též přímo při uzavírání zákaznického vztahu, ať už elektronicky na webu, e-mailem, prostřednictvím zákaznického vztahu, ať už elektronicky na webu, e-mailem, prostřednictvím zákaznické linky nebo osobně na prodejně, či v rámci aplikace nebo samoobsluhy. Kontrolou nebylo zjištěno porušení ve vztahu k plnění povinnosti podle čl. 12 a 13 GDPR. Rovněž nebylo zjištěno porušení ve vztahu k plnění povinnosti podle čl. 21 GDPR.

V průběhu kontroly bylo zjištěno, že kontrolovaná osoba zasílala prostřednictvím elektronických prostředků, a to jak elektronickou poštou, tak i SMS zprávami, sdělení, která odpovídají definici obchodního sdělení ve smyslu § 2 písm. f) zákona č. 480/2004 Sb., jelikož tato sdělení obsahují obchodní nabídky, a tak přímo, ale i nepřímo podporují podnikatelskou činnost kontrolované osoby, nebo jsou zasílány k podpoře podnikatelské činnosti třetích stran. Kontrolovaná osoba šířila obchodní sdělení elektronickými prostředky buď na základě souhlasu (souhlas pro obchodní účely), podle ustanovení § 7 odst. 2 zákona č. 480/2004 Sb., a to u nabídek produktů a služeb třetích stran a dále v případě relevantního zacílení reklamních nabídek, a dále v souvislosti s prodejem výrobků či služeb i podle ustanovení § 7 odst. 3 zákona č. 480/2004 Sb., přičemž jsou takto šířena pouze obchodní sdělení týkající se vlastních či obdobných výrobků a služeb, kdy zákazníci, kterým jsou zasílána tato obchodní sdělení mají jasnou a zřetelnou možnost jednoduchým způsobem, zdarma odmítnout souhlas s takovýmto využitím jejich elektronického kontaktu. Vzhledem ke skutečnosti, že souhlas pro obchodní účely byl podle GDPR shledán kontrolujícími v rozporu s požadavky na platně udělený souhlas, tak i v případě zasílání obchodních sdělení na základě tohoto souhlasu, kontrolující konstatoval, že tato obchodní sdělení byla zaslána bez příslušného právního důvodu.

Označení zasílaných obchodních sdělení kontrolovanou osobou, a to, ať už formou SMS či e-mailem bylo, v souladu s požadavky § 7 odst. 4 písm. a) zákona č. 480/2004 Sb., vždy zcela jasné a zřetelné, a evokuje tak adresátovi obsah takového zasílaného sdělení.

Kontrolovaná osoba šířila obchodní sdělení ve prospěch třetích stran, ať už formou e-mailové či SMS zprávy, a v této souvislosti se dopustila porušení § 7 odst. 4 písm. b) zákona č. 480/2004 Sb., neboť v těchto obchodních sděleních neuváděla totožnost odesílatele, jehož jménem se komunikace uskutečňuje.

Dále v případě, kdy kontrolovaná osoba zasílá obchodní sdělení formou e-mailové zprávy, je v zasílaných obchodních sděleních uvedena možnost toto zasílání odmítnout (odvolat souhlas), a to primárně přihlášením se do samoobsluhy, kde lze po přihlášení provést změnu nastavení souhlasu, případně lze zavolat na zákaznickou linku. Kontrolované osobě bylo doporučeno, aby možnost přihlášení se do samoobsluhy byla zákazníkovi umožněna přímo, tedy bez nutnosti vyplňovat přihlašovací údaje, jelikož jedině tak je tato podmínka, náležitě splněna. V případě zasílání obchodních sdělení formou SMS zprávy nebyla podmínka § 7 odst. 4 písm. c) zákona č. 480/2004 Sb. kontrolovanou osobou náležitě splněna, jelikož v případě adresátů, kteří nedisponují tzv. chytrým telefonem či datovým tarifem, nebyla možnost odmítnutí dalšího zasílání obchodních sdělení přihlášením do samoobsluhy dostatečná. Nicméně kontrolované osoba tuto skutečnost napravila, když v průběhu kontroly doplnila v zasílaných obchodních sdělení možnost odmítnutí i o telefonní číslo, na které lze zasílání obchodních sdělení odmítnout. Kontrolující dále konstatoval, že možnost odmítnout další zasílání obchodních sdělení musí být dána adresátovi, a tedy v případech, kdy je tato osoba odlišná od zákazníka, dopustila se kontrolovaná osoba při zaslání elektronické pošty též porušení § 7 odst. 4 písm. c) zákona č. 480/2004 Sb., jelikož osobám odlišným od zákazníka nebylo umožněno na jejich telefonní čísla (uživatelé) zasílání obchodních sdělení zrušit. V této souvislosti kontrolující doporučili kontrolované osobě napravit systém odmítání dalšího zasílání obchodních sdělení tak, aby toto bylo umožněno přímo adresátovi.

Kontrolovaná osoba si podala proti protokolu o kontrole námitky. Námitky byly až na jeden bod, ve kterém byly částečně vyhověny, zamítnuty.

V roce 2025 bude za konstatovaná porušení vedeno s kontrolovanou osobou správní řízení.