Osobní zkušenost s nevyžádanými nabídkami nejrůznějšího zboží či služeb, ať již v podobě telefonátu nebo e-mailu, má dnes snad každý. Také v této oblasti se očekávalo, že s příchodem GDPR, s jeho požadavky na kvalitu souhlasu, obtěžující volání a e‑maily skončí nebo se alespoň stanou jen okrajovou metodou marketingu. Skončit měla i praxe přeprodávání databází s kontaktními údaji určenými k šíření obchodních sdělení. Pohled do seznamu hovorů a do e-mailové schránky toto očekávání ale nepotvrzuje.
O tom, že přeprodej databází kontaktů stále dobře funguje, svědčí jak nabídky doručované (jak jinak) formou nevyžádaných e-mailů, tak i výsledky jen zběžně zadané poptávky na internetu:
Účelem tohoto příspěvku je proto připomenutí, proč tento způsob shromáždění kontaktních údajů není (a nikdy nebyl) dobrý nápad.
Co je obchodní sdělení?
Vzhledem k tomu, že smyslem přeprodávání databází je získání kontaktních údajů, na které mají být následně adresovány obchodní (marketingové) nabídky, je důležité si nejprve vymezit, co přesně se pod pojem obchodní sdělení rozumí a jaké jsou podmínky pro jejich rozesílání prostřednictvím elektronických kontaktů.[1]
Šíření obchodních sdělení elektronickou cestou upravuje zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (dále jen „ZSIS“), který definuje obchodní sdělení v § 2 písm. f) jako „všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost.“
Uvedená definice zahrnuje širokou škálu obsahu. Kromě typických newsletterů s nabídkou zboží či služeb se za obchodní sdělení považuje např. pozvánka na propagační akci nebo i novoroční přání (neboť jde o podporu zboží či značky odesílatele). Dle výkladu Úřadu pro ochranu osobních údajů (ÚOOÚ), který je orgánem příslušným k dozoru nad dodržováním povinností při šíření obchodních sdělení podle ZSIS, spadají do této kategorie také případné žádosti o vyslovení souhlasu se zasíláním obchodních sdělení. Takový výklad je pochopitelný, protože v opačném případě by se jen těžko docílilo účelu ZSIS, kterým je ochrana uživatelů elektronických komunikací před zahlcením nevyžádanými zprávami – v tomto případě formálně označenými jako žádost o udělení souhlasu.
Co do formy pak ZSIS reguluje nejen e-mailovou komunikaci (která při šíření obchodních sdělení dominuje), ale i SMS, tzv. push notifikace, zprávy na sociálních sítích, obrazové nebo hlasové zprávy. Naopak telefonní hovory (telemarketing) do kategorie obchodních sdělení dle ZSIS nespadají. Tuto problematiku upravuje zákon č. 127/2005 Sb., o elektronických komunikacích (ZEK). Definici telemarketingu ZEK nenabízí, pouze v § 96 odst. 1 uvádí, že prostřednictvím sítí nebo služeb elektronických komunikací je zakázáno nabízet marketingovou reklamu nebo jiný obdobný způsob nabídky zboží nebo služeb. Na rozdíl od ZSIS zde také není důvod považovat za nedovolené jednání jednorázový adresný dotaz např. na možnost spolupráce.
Za zmínku dále stojí, že jak ZSIS, tak i ZEK chrání elektronické kontakty jak fyzických, tak i právnických osob.
Režimu ZSIS naopak nepodléhají sdělení zasílaná subjekty, které nevykonávají podnikatelskou činnost. V definici obchodního sdělení v § 2 písm. f) ZSIS je totiž uveden odkaz na § 420 a 421 zákona č. 89/2012 Sb., občanský zákoník, podle kterého je podnikatelem ten, kdo vykonává výdělečnou činnost, resp. účelem jeho činnosti je dosažení zisku. To vytváří v praxi nevyváženou situaci, kdy marketingové aktivity neziskového sektoru, které mohou využívat stejné postupy pro „sběr“ kontaktů a mohou být stejně obtěžující jako aktivity podnikatelů, nijak regulovány nejsou.[2]
Kdy je marketing dovolený a kdy není?
Šíření obchodních sdělení prostřednictvím elektronické komunikace je podle § 7 odst. 2 ZSIS možné výhradně s předchozím souhlasem uživatele daného kontaktu. Výjimka z tohoto pravidla platí pouze pro kontaktování vlastních zákazníků[3] a na zakoupené kontakty se pochopitelně vztahovat nebude.
V případě telemarketingu platí, podle § 96 ZEK, že kontakty dostupné ve veřejných účastnických seznamech[4] lze využít k nabídce zboží nebo služeb pouze za podmínky, že si to příslušní uživatelé výslovně přejí (tzv. opt-in princip, zavedený do ZEK v roce 2022). K tomu je možné dodat, že samotné uvedení ve veřejném sezamu je záležitost zcela dobrovolná a soukromá mobilní čísla takto dostupná v zásadě nejsou. Ostatně vznik „trhu“ s databázemi kontaktních údajů souvisí právě s tím, že přístup ke kontaktům je obtížnější než v době tištěných Zlatých stránek.
V obou případech je dále nutno zohlednit, že telefonní číslo či e-mail jsou zpravidla údajem osobním, jejichž využívání (zpracování) spadá i do režimu GDPR. K databázi se smíšeným, resp. neznámým obsahem je proto nutno přistupovat vždy tak, že osobní údaje obsahuje. To má relevanci například pro vymezení parametrů souhlasu, který ve zvláštních předpisech blíže definován není. ÚOOÚ přímo uvádí, že „Souhlasem [podle ZSIS] se rozumí svobodný, konkrétní, informovaný a jednoznačný projev vůle… Ze souhlasu musí být patrné, kdo jej poskytuje, komu a pro jaký účel je dáván. Souhlas musí být dán předem (před odesláním obchodního sdělení), musí být vztažen ke konkrétnímu odesílateli (šiřiteli) a musí být prokazatelný…“ a dále, že souhlas musí splňovat náležitosti GDPR.[5] Aplikace GDPR má také zásadní dopad v tom směru, že umožňuje postihnout již samotné pořízení (shromáždění) kontaktních údajů, když jejich nákup zjevně nekoresponduje s žádným právním titulem podle čl. 5 odst. 1 GDPR.
Z uvedeného je zjevné, že marketing ve formě e-mailů nebo telefonních hovorů je (až na zmíněnou výjimku týkající se vlastních zákazníků) možný zásadně pouze na základě souhlasu adresáta či účastníka. Jak se s touto podmínkou vypořádají databáze nabízené na trhu? Jednoduchá odpověď je, že nijak.
Podmínka, aby byl souhlas udělen konkrétnímu odesílateli obchodních sdělení, vylučuje (v případě e‑mailové komunikace) předběžné generální vyjádření souhlasu např. vůči všem budoucím držitelům databáze (i za předpokladu, že by někdo z uživatelů chtěl takový souhlas udělit).[6] Opačné tvrzení prodejců databází, případně sofistikovanější ujištění, že kontakty byly ověřeny metodou double‑opt‑in, je jednoduše lživé. Naopak je spíše pravděpodobné, že uživatelé o žádný souhlas požádáni nebyli a svého zařazení do takové databáze si nejsou vůbec vědomi. Souhlas není možné získat ani dodatečně, neboť jak bylo uvedeno již výše, i samotná žádost o udělení souhlasu je považována za nedovolené šíření obchodních sdělení.
V případě telefonních kontaktů je sice předběžný generální souhlas možný, ve formě sdělení ve veřejném účastnickém seznamu, je ale současně nepravděpodobné, že obsahem prodávané databáze jsou právě tyto kontakty.
Získání kontaktů nákupem databáze a jejich využití k šíření obchodních sdělení nikdy nebude legální
Jinými slovy, u kontaktních údajů, jejichž zdroj nebo původní účel nejsou vůbec zřejmé, není možné získat platný souhlas se zasíláním obchodních sdělení, resp. ověřit jeho existenci. Získání kontaktních údajů nákupem databáze a jejich využití k šíření obchodních sdělení tak nikdy nebude legální postup.
Co hrozí za šíření nevyžádaného marketingu?
Využitím kontaktů ze zakoupené databáze k šíření nevyžádaného marketingu se odesílatel, resp. šiřitel dostává do konfliktu se zákonem a vystavuje se riziku v podobě správních sankcí. Dozorem nad touto oblastí jsou pověřeny dva úřady, konkrétně ÚOOÚ (pro oblast spamů podle ZSIS) a Český telekomunikační úřad (ČTÚ pro oblast telemarketingu podle ZEK).
Nejcitelnější sankce je možné udělit v oblasti nevyžádaných telefonních hovorů uskutečněných právnickou osobou nebo podnikající fyzickou osobou, kde se horní sazba možné pokuty pohybuje ve výši 50 000 000 Kč, případně 10 % z čistého obratu za poslední ukončené účetní období (podle toho, která z těchto hodnot je vyšší). Pokud se tohoto přestupku dopustí fyzická osoba, hrozí jí sankce ve výši do 100 000 Kč. Za rozesílání spamu je pak možné právnickým nebo podnikajícím fyzickým osobám uložit sankci do výše 10 000 000 Kč a osobám fyzickým do 100 000 Kč.
Z dostupných informací (tj. z webových stránek a z výročních zpráv) je zřejmé, že dohled nad dodržováním pravidel pro šíření marketingových sdělení představuje u obou dozorových úřadů nezanedbatelnou agendu, zejména s ohledem na počty přijatých stížností a podnětů. Realizované kontroly často zahrnují prošetření více stížností současně, neboť je běžné, že v důsledku aktuálně probíhající marketingové kampaně se na příslušný úřad obrací více stěžovatelů (až v řádu stovek).
Kontroly, stížnosti, pokuty…
ČTÚ ve své výroční zprávě za rok 2023 uvádí, že ve věci telemarketingu vedl 103 kontrol (obvykle zahrnujících více nevyžádaných telefonních hovorů), z čehož ve 40 případech zahájil správní řízení o přestupku za porušení pravidel týkajících se marketingové nabídky prostřednictvím telefonu nebo za neposkytnutí součinnosti při kontrole. Za porušení ZEK při šíření marketingu bylo v roce 2023 pravomocně uloženo 7 pokut v celkové výši 2 325 000 Kč.[7]
Stížností na nevyžádaná obchodní sdělení, spadající do působnosti ÚOOÚ, bylo podle výroční zprávy tohoto úřadu za rok 2023 celkem 1 388. Kontrol pak ÚOOÚ v uvedeném roce vedl 20 a správních řízení 29. Celková výše pravomocně uložených sankcí činila 8 623 000 Kč. Také ÚOOÚ standardně v rámci jedné kontroly prověřuje více stížností, přičemž svoji pozornost zaměřuje primárně na ty odesílatele, na které směřuje větší počet stížnosti anebo jsou jejich předmětem opakovaně. V případě méně závažných pochybení zasílá ÚOOÚ upozornění na nezákonný postup a poučení, jak lze zasílat obchodní sdělení v souladu s požadavky zákona. Tímto způsobem ÚOOÚ v minulém roce upozornil celkem 359 subjektů.
Doposud nejvyšší pokutu za šíření nevyžádaných obchodních sdělení uložil ÚOOÚ v loňském roce, konkrétně ve výši 7 700 000 Kč (výše sankce zohlednila šíření spamu v delším časovém úseku, konkrétně od roku 2015, i značný počet dotčených uživatelů, kterých bylo přes 40 milionů). V rozhodovací praxi ÚOOÚ se nicméně trend vysokých pokut za spam objevuje již delší dobu, např. v roce 2020 uložil tento úřad pokutu ve výši 6 000 000 Kč za obchodní sdělení adresované téměř 500 000 adresátům.
Pokuty za přeprodávání databází
V souvislosti s přeprodáváním databází je také nutné zmínit, že v roce 2019 uložil ÚOOÚ pokutu ve výši 400 000 Kč právě společnosti, která koupila databázi kontaktů. Konkrétně se jednalo o více než 80 000 kontaktních údajů zákazníků odcizených telefonnímu operátorovi, které byly nabídnuty ke koupi společnosti zabývající se marketingem a analýzou dat. Ačkoli v tomto případě k rozeslání obchodních sdělení nedošlo (v důsledku zásahu Policie ČR), jednání dotyčné společnosti ÚOOÚ posoudil jako zpracování osobních údajů bez právního titulu.[8]
Podezřelé subjekty často vůbec nespolupracují
Z údajů publikovaných oběma dozorovými úřady nicméně vyplývá i to, že při kontrolách šíření nevyžádaného marketingu naráží na limity svých pravomocí a možností, jak zjistit totožnost šiřitelů a jak jim nezákonné jednání prokázat. Podezřelé subjekty často vůbec nespolupracují, případně se ani nedaří zjistit jejich identitu, anebo je místo, odkud působí, mimo jurisdikci českých úřadů. Relativně často jsou tak místo sankcí za samotné šíření spamu či obtěžující volání ukládány pokuty za nesoučinnost v rámci kontroly.[9]
Jaké mohou být další negativní dopady?
Pomineme-li legální stránku věci, pak šiřitelé nevyžádaných obchodních sdělení a obdobně i ti, kteří si takto šířenou reklamu zadávají (ať již vědomě či ne), riskují, že dosah a dopady marketingové kampaně nebudou takové, jak možná očekávali. Přeprodávané databáze totiž neposkytují žádnou garanci aktuálnosti dat, natož pak zaměření na vhodné cílové skupiny.
Dále je zde nemalé riziko ztráty pověsti v důsledku spojení obchodního jména či značky s obtěžujícím nelegálně šířeným marketingem. Namísto snadného a rychlého vyřešení marketingové kampaně a očekávaných objednávek od zákazníků tak může dotyčný podnikatel obdržet spíše desítky stížností anebo rovnou oznámení o zahájení kontroly od dozorového úřadu.
Jak správně získat kontaktní údaje?
Nabízí se tedy otázka, jak správně získat nové kontakty na potenciální zákazníky? Odpověď je taková, že žádný snadný, rychlý a současně legální způsob neexistuje.
Argument o veřejně dostupném údaji neobstojí
Z předchozího textu je zřejmé, že zakoupení databáze kontaktů řešením není. A v souladu se zákony není ani doplnění vlastní databáze sběrem veřejně dostupných kontaktních údajů např. z webových stránek nebo sociálních sítí – i v tomto případě bude chybět předcházející konkrétní souhlas, a tedy právní titul. Argument, že veřejně dostupný údaj je přeci zamýšlen tak, aby na něj byly adresovány nabídky a sdělení, vzhledem k požadavkům ZEK, ZSIS a GDPR neobstojí. Cestou není ani rozesílání žádostí o souhlas na kontakty získané z veřejného prostoru, neboť i taková žádost spadá do definice spamu (v případě e-mailů), příp. může jít opět o zpracování osobních údajů bez právního titulu (u telefonních čísel).
Co lze považovat za přípustné?
Za přípustné lze ještě považovat využití telefonních kontaktů zveřejněných např. na webových stránkách k adresném dotazu ohledně spolupráce, a to zejména v případě právnických a podnikajících osob. Smyslem ZEK totiž určitě není zamezit jakémukoli kontaktu a spolupráci. Elektronickou poštu k uskutečnění prvního kontaktu využít nelze (viz výše), nicméně zaslání podrobnějších informací s odkazem na předchozí dohodu (telefonickou či osobní) již možné je.
Legální cestou, jak rozšiřovat síť kontaktů zejména u fyzických osob, je neadresně nabízená možnost registrace k odběru novinek nabízená na webových stránkách a sociálních sítích, případně v rámci akcí pořádaných pro veřejnost (ideálně vždy ve spojení s ověřením, že žadatel je skutečně uživatelem daného kontaktu tzv. metodou double-opt‑in).
Ludmila Probstová
Autorka je GDPR specialistka ve společnosti Bosch
[1] Přeprodej databází je zaměřen právě na elektronické kontakty, adresy bydliště či sídla jsou zde spíše doplňkovou informací. Nabídky (letáky) distribuované klasickou poštou proto nejsou předmětem tohoto příspěvku (v jejich případě platí princip opt-out).
[2] Viz také názor ÚOOÚ v článku „Často kladené otázky k zákonu o některých službách informační společnosti (č. 480/2004 Sb.)“, webové stránky ÚOOÚ (www.uoou.cz).
[3] V tomto případě je podmínkou, že obsahem sdělení je nabídka vlastních obdobných výrobků nebo služeb, tj. takových, které zákazník již koupil nebo využil (§ 7 odst. 3 ZSIS).
[4] K zamezení obcházení zákona ZEK v § 95 odst. 5 pod definici účastnického seznamu zahrnuje i náhodně vygenerovaná telefonní čísla či jiné – vlastní – seznamy telefonních čísel (bez ohledu na to, jestli obsahují i jiné identifikační údaje).
[5] Viz „Často kladené otázky k zákonu o některých službách informační společnosti (č. 480/2004 Sb.)“, webové stránky ÚOOÚ (www.uoou.cz).
[6] K tomu viz také vyjádření ÚOOÚ z roku 2017 „Využívat databáze k rozesílání nabídek lze jen omezeně“, dostupné na jeho webových stránkách (www.uoou.cz).
[7] Z toho je zjevné, že sankce se k horní hranici zákonné sazby zdaleka ani nepřibližují, což může být dáno tím, že horní hranice je v místních poměrech skutečně vysoká, ale i obtížnou prokazatelností případů, kdy se podaří prokazatelně přiřadit pouze zlomek oznámených telefonátů.
[8] Vzhledem k době, kdy ke skutku došlo, ukládal ÚOOÚ sankci ještě podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, tj. podle předcházející právní úpravy. Je ale jisté, že obdobnou kvalifikaci by volil i při aplikaci GDPR.
[9] Podle § 15 odst. 2 zákona č. 255/2012 Sb., o kontrole (kontrolní řád), lze kontrolované osobě za neposkytnutí součinnosti uložit pokutu do výše 500 000 Kč.