Přestože právní úprava odesílání obchodních sdělení provedená zákonem č. 480/2004 Sb. je součástí českého právního řádu již delší dobu, nejsou pravidla dostatečně jasná, případně se objevují snahy tato pravidla obejít. Je však třeba si uvědomit, že odpovědný je nejen případný odesílatel, ale i ten, kdo si rozeslání obchodní sdělení objednal. Za první tři čtvrtletí roku 2020 udělil Úřad pro ochranu osobních údajů za rozesílání nevyžádaných obchodních sdělení pokuty ve výši 7, 447 milionu korun.
Elektronické rozesílání spamu, tedy nevyžádaných obchodních sdělení, reguluje především zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti). Ten v § 7 odst. 2 a 3 upravuje dvě možné situace, dva právní tituly, pro legální šíření elektronických obchodních sdělení: předchozí souhlas adresáta, nebo zaslání obchodního sdělení stávajícímu zákazníkovi s nabídkou stejného nebo obdobného zboží či služby. Ustanovení § 7 odst. 4 téhož zákona pak vypočítává povinné náležitosti obchodního sdělení, jako je jeho označení, identifikace odesílatele atd. Pro účely tohoto článku je rovněž důležité zmínit znění souvisejícího přestupku: Podle § 11 odst. 1 písm. a) se porušení zákona č. 480/2004 Sb. dopustí ta právnická osoba, která hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení v rozporu se zákonem.
Rozšiřující výklad Úřadu pro ochranu osobních údajů
Dle poznatků Úřadu pro ochranu osobních údajů (ÚOOÚ), který tento přestupek stíhá, se některé subjekty snažily své odpovědnosti zbavit tím, že si k faktickému rozesílání najímaly další osoby. V případě kontroly ze strany ÚOOÚ se pak snažily zbavit odpovědnosti právě s odkazem na tyto technické rozesílatele, kteří často byli, například z důvodu sídla mimo EU, jen obtížně dosažitelní. ÚOOÚ proto na základě několika kontrol vydal již v roce 2017 veřejné vyjádření, že za rozesílání obchodních sdělení nejsou právně odpovědni jen ti, kdo je fakticky (technicky) šíří, ale i ti, kteří si rozeslání obchodní sdělení objednají.[1]
ÚOOÚ tento rozšiřující výklad odpovědnosti za rozesílání spamů aplikoval i nadále. Někteří účastníci řízení, kterým byla s tímto výkladem za rozesílání obchodních sdělení, resp. jeho objednání uložena pokuta, se proti tomu pochopitelně bránili u soudu.
Současná judikatura
Městský soud v Praze k této otázce poprvé judikoval na jaře tohoto roku a potvrdil výklad ÚOOÚ.[2] Na půdorysu konkrétního případu soud mj. konstatoval, že za osobu, jež ve smyslu zákona č. 480/2004 Sb. šíří obchodní sdělení elektronickými prostředky, nelze považovat pouze jejich přímého odesílatele, ale rovněž toho, kdo jejich odeslání inicioval, dal k němu příkaz či z něj profitoval.[3] Účastník řízení se v tomto případě snažil bránit mj. tím, že s faktickým rozesílatelem uzavřel smlouvu, ve které mu tento další subjekt garantoval rozesílání obchodních nabídek v souladu s právními předpisy. Argumentoval rovněž další komunikací s daným dodavatelem, se kterým řešil stížnosti týkající se nevyžádaných obchodních sdělení, při které dodavatel znovu potvrdil, že marketingová komunikace probíhá dle smlouvy a v souladu se zákonem. Soud k tomu uvedl, že takováto opatření nestačí k vyvinění, protože se nejedná o maximální možné úsilí, které bylo možné požadovat, aby účastník řízení přestupku předešel, jak to uvádí § 21 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich.[4]
Jak ÚOOÚ v původním řízení[5], tak Městský soud v Praze konstatují, že smluvní ujednání mezi zadavatelem rozesílky obchodních sdělení a tím, kdo jej fakticky (technicky) realizuje, obsahující i záruky faktického rozesílatele, nemohou vyloučit odpovědnost zadavatele. V tomto konkrétním případě na smluvní ujednání navazovala i další komunikace, kdy se objednatel po obdržení informace o stížnostech adresátů na spamový charakter obchodních sdělení u dodavatele ujišťoval, zda je rozesílání zákonné a zda dodavatel dodržuje dotčená smluvní ujednání. ÚOOÚ i soud konstatovaly, že takováto opatření nepostačí. Bohužel už neuvádějí ani nenaznačují, jaká opatření by měl ten, kdo si faktické rozesílání obchodních sdělení objednává u dodavatele, přijmout, aby se vyhnul riziku porušení zákona č. 480/2004 Sb., které mu následně bude přičteno.
Závěrečné doporučení
Na základě upřesněného výkladu odpovědnosti za šíření obchodních sdělení ze strany ÚOOÚ a soudu můžeme tedy doporučení v této oblasti shrnout následujícím způsobem: Za elektronické rozesílání obchodních sdělení není z pohledu zákona č. 480/2004 Sb. odpovědný jen ten, kdo je fakticky zajišťuje, ale i subjekt, který si toto rozesílání objedná a v jehož prospěch je prováděno. Při využití třetí strany pro zajištění určité části rozesílky obchodních sdělení je klíčové zajistit, aby ani v tomto procesu nedocházelo k porušení zákona, zejména k zasílání obchodních sdělení bez dostatečného právního titulu či obchodních sdělení, která nesplňují další požadavky zákona. Pouhé smluvní ujištění dodavatele, že vše bude provádět v souladu s obecně závaznými předpisy, není z tohoto pohledu dostatečné. Objednatel, tedy ten, v jehož prospěch budou obchodní sdělení rozesílána, by měl pečlivě zvážit rizika spojená s takovýmto využitím služeb externího subjektu a přijmou dostatečná opatření, aby k porušení zákona dojít nemohlo.
Opatření budou vždy muset být individuální, resp. individualizovaná, ale typicky se bude moci jednat o detailní prověření (due diligence) dodavatele, ověření jeho interních procesů pro správu dat a další činnosti nezbytné k poskytnutí dané služby, nastavení technických a organizačních opatření k zajištění dodržení pokynů objednatele, možnost objednatele ověřit plnění daných opatření a v důvodných případech i faktické ověření na místě atd. Pokud budou tato opatření dostatečně individualizovaná, budou reflektovat konkrétní předmět plnění a jeho rizika a nebudou nastavena pouze formálně, lze uvažovat o tom, že by se objednatel v případě pochybení na straně technického rozesílatele mohl z odpovědnosti vyvinit.
František Nonnemann
Autor je právník. Je také členem Výboru Spolku pro ochranu osobních údajů.
[1] https://www.uoou.cz/za%2Dsireni%2Dobchodnich%2Dsdeleni%2Dje%2Dodpovedny%2Dnejen%2Drozesilatel%2Dale%2Di%2Dobjednatel/d-23490.
[2] Rozsudek Městského soudu v Praze ze dne 7. dubna 2020 č.j. 14 A 242/2018 – 40.
[3] Bod 45 rozsudku.
[4] Bod 60 rozsudku.
[5] Popis související kontroly a správního řízení je např. ve Výroční zprávě ÚOOÚ za rok 2018 na str. 34-35.