Pořádání soutěží o ceny je poměrně snadnou cestou, jak dostat do povědomí svoji značku, svoji činnost, a jak zviditelnit své podnikání. Nicméně i pořádání soutěží s sebou nese jisté právní povinnosti, a to i ty, jež souvisí se zpracováním osobních údajů.
Spotřebitelská soutěž je samostatně definována v § 2 odst. 1 písm. v) zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů, a to jako „anketa nebo jiná akce o ceny pořádaná pro spotřebitele v přímé souvislosti s propagací, nabídkou nebo prodejem výrobku či služby prodávajícího, při níž se prodávající či jím pověřená osoba zavazuje vyplatit účastníkům určeným náhodným výběrem peněžité či nepeněžité ceny a při kterých je podmínkou účasti zakoupení určitého výrobku či služby a doložení tohoto nákupu prodávajícímu nebo uzavření smluvního vztahu s prodávajícím výrobku, nebo služby či účast spotřebitele na marketingové akci prodávajícího, a to i nepřímo prostřednictvím jiné osoby“. V tomto duchu je třeba na spotřebitelskou soutěž hledět jako na obchodní praktiku ve smyslu § 2 odst. 1 písm. o) téhož zákona.
To má dva zásadní důsledky…
V první řadě nesmí spotřebitelská soutěž naplnit znaky hazardní hry ve smyslu § 3 odst. 1 zákona č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů[1], pro které platí zcela jiná pravidla včetně nutnosti povolení hazardní hry Ministerstvem financí, a ve druhé řadě nesmí dojít k naplnění znaků nekalé nebo klamavé obchodní praktiky. Aby se pořadatel soutěže vyhnul případným potížím v oblasti ochrany spotřebitele, měl by stanovit soutěžní podmínky. A právě soutěžní podmínky jsou prostorem pro řádné informování subjektů údajů o zpracování jejich osobních údajů. Pro úplnost je však třeba doplnit, že právní úprava je poměrně široká a na spotřebitelské soutěže se vztahuje rovněž zákon č. 40/1995 Sb., o regulaci reklamy a o změně zákona č. 468/1991 Sb., o provozování rozhlasového a televizního vysílání, ve znění pozdějších předpisů.
Dodržení základních zásad
Stejně jako u jiného zpracování osobních údajů i v tomto případě bude muset správce osobních údajů, který bude zároveň v postavení pořadatele soutěže, postupovat tak, aby dodržel veškeré náležitosti vyplývající ze základních zásad zpracování. V první řadě tedy bude muset určit účel a prostředky zpracování osobních údajů. Účel musí být definován tak, aby nebyl zaměnitelný s jiným a byl účelem legitimním. V daném případě je možné účel definovat jako „agendu účastníků a výherců soutěže“ či „pořádání soutěže“. S ohledem na stanovený účel bude třeba určit rozsah zpracovávaných osobních údajů. V případě pořádání spotřebitelských soutěží by se měl správce patrně omezit na osobní údaje identifikační a kontaktní, aby mu byl účastník soutěže znám a aby byl schopen tohoto účastníka kontaktovat s informací o výhře a způsobu předání ceny. Z logiky věci však bude mimoděk docházet i ke zpracování údajů, které účastníka blíže specifikují, např. že jde o zákazníka či klienta správce, že bylo zakoupeno konkrétní zboží apod. Podmínkou řádného zpracování je také určení doby uložení osobních údajů. Ta se bude odvíjet od toho, zda se subjekt údajů soutěže pouze zúčastnil, či zda se nejen zúčastnil, ale i vyhrál. V případě těch, kteří se pouze zúčastnili, bude doba uložení limitována vyhodnocením výherců. U výherců pak bude limitována nárokem na výhru. Podstatné rovněž bude informovat subjekty údajů o zpracování jejich osobních údajů, a to včetně stanovení právního titulu.
Určení právního titulu
Začněme tím, který právní titul tomuto zpracování odpovídat určitě nebude. Zcela jednoznačně toto zpracování nebude založeno na právních titulech dle čl. 6 odst. 1 písm. c), d), e), a f), neboť zákonný požadavek na zpracování dán není, zpracování osobních údajů při pořádání spotřebitelské soutěže nebude nezbytné pro ochranu životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby, stejně tak nebude docházet k nezbytnému zpracování osobních údajů pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, a ani oprávněný zájem správce nebude právním titulem, který je pro dané zpracování relevantní.
Dva finalisté: a) nebo b)?
Z pestré nabídky šesti právních titulů tak zůstali dva finalisté – souhlas subjektu údajů ve smyslu čl. 6 odst. 1 písm. a) GDPR a nezbytnost zpracování osobních údajů pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů ve smyslu čl. 6 odst. 1 písm. b) GDPR.
V případě právního titulu souhlasu je situace poměrně jasná…
Subjekt údajů bude udělovat svůj souhlas za účelem účasti v marketingové soutěži, jejího slosování a pro případné vyhlášení vítězů. Souhlas musí být udělen na dobu konání soutěže nebo do odvolání, což je jedno z práv subjektu údajů. Otázkou však je, zda by v kontextu účelu zpracování bylo možné souhlas považovat za svobodný projev vůle, tj. takový projev vůle, který není ničím podmíněný. Je tedy nutné si položit otázku, zda je možné uspořádat a vyhlásit soutěž, aniž by došlo ke zpracování osobních údajů. To možné není, neboť zpracování osobních údajů je esenciální podmínkou účasti v soutěži, protože správce jinak nemá možnost odlišit od sebe jednotlivé účastníky, vylosovat výherce a zaslat jim ceny či je uvědomit o výhře. Subjekt údajů tedy nemá možnost účastnit se spotřebitelské soutěže, pokud by vyjádřil svůj nesouhlas se zpracováním osobních údajů.
Právním titulem zpracování tak bude čl. 6 odst. 1 písm. b) GDPR, tehdy dojde přistoupením k podmínkám soutěže k uzavření smlouvy, kdy se jedna smluvní strana (účastník/subjekt údajů) zavazuje plnit podmínky účasti v soutěži, zatímco druhá smluvní strana (podnikatel/správce osobních údajů) se zavazuje např. soutěž uskutečnit, vylosovat výherce a předat ceny.
Informace o zpracování osobních údajů
Právní základ zpracování se jako povinná náležitost musí objevit v informaci o zpracování osobních údajů. Tím, že nebude docházet ke zpracování na základě souhlasu subjektu údajů, může být informace o zpracování osobních údajů součástí podmínek soutěže. Vhodnější a pro subjekt údajů přehlednější by však bylo, kdyby byly součástí podmínek pouze základní informace o zpracování (správce, právní titul, účel zpracování, kontaktní údaje) a dále odkaz na kompletní informaci o zpracování. Ta může být např. přílohou podmínek soutěže tak, aby se jednalo o samostatný dokument, který na jednom místě uceleně podá veškeré informace, jež vyžaduje čl. 13 GDPR. Je důležité, aby tyto informace obdržel subjekt údajů v okamžiku, kdy od něj správce osobní údaje získává (podmínky čl. 13 odst. 1 GDPR). Z praktického hlediska tak bude nejvhodnější využít checkbox, v němž subjekt údajů potvrdí, že se seznámil s informacemi o zpracování osobních údajů při pořádání spotřebitelské soutěže, přičemž by zde mohl být umístěn proklik na samostatný dokument – informaci o zpracování.
Správce může soutěž pouze vyhlásit…
Na tomto místě je třeba upozornit na skutečnost, že správce může soutěž pouze vyhlásit a celý soutěžní proces pro něj zajistí dodavatel. Pokud tento dodavatel bude zajišťovat i shromáždění soutěžních odpovědí a losování výherců, bude z pohledu ochrany osobních údajů v postavení zpracovatele osobních údajů. V takovém případě musí správce s tímto dodavatelem (zpracovatelem) uzavřít zpracovatelskou smlouvu ve smyslu čl. 28 GDPR a rovněž musí v rámci informace o zpracování uvést, že osobní údaje jsou předávány příjemci osobních údajů a tohoto příjemce identifikovat [čl. 13 odst. 1 písm. e) GDPR]. O tom, že zpracovatele je třeba považovat za příjemce osobních údajů, hovoří WP29 ve svých pokynech k transparentnosti[2].
S fotkou nebo bez?
Při pořádání spotřebitelských soutěží cílí správce na to, aby dostal do povědomí společnosti svůj produkt, svoji službu, svoji značku. Za tím účelem, a zvláště, pokud se soutěží o hodnotnější ceny, může chtít správce předávání cen dokumentovat, ať již pořízením videa nebo fotografie z předávání ceny s cílem toto video nebo fotografii umístit na své internetové stránky, sociální sítě apod. Toto však nesmí správce učinit automaticky, ale musí mít pro tento účel nový právní titul a účel, neboť se bude jednat o nové zpracování osobních údajů. Při pořizování videa či fotografií je nutné vycházet z právního rámce ochrany osobnosti, který je stanoven § 84 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Tento právní rámec stanovuje, že zachytit podobu člověka tak, aby bylo možné určit totožnost tohoto člověka, je možné pouze v případě, že k tomu fyzická osoba udělí souhlas. Správce tedy bude muset mít souhlas s pořízením fotografie. Pokud však správce bude mít zájem na zveřejnění fotografie výherce na svých webových stránkách za účelem své sebepropagace, pak pro takové zpracování (tj. pro zveřejnění na webu) již nebude apriori nutný souhlas, ale bude potřeba otestovat oprávněný zájem správce na zveřejnění takové fotografie balančním testem. Teprve za předpokladu, že výsledek balančního testu neumožní správci fotografii zveřejnit[3], je možné vyžadovat souhlas s jejím uveřejněním. Tento souhlas však musí naplňovat podmínky uvedené v definici dle čl. 4 bod 11 GDPR a rovněž podmínky pro souhlas uvedené v čl. 7 GDPR. Souhlas tedy musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle, z nějž vyplyne, že subjekt údajů souhlasí s pořízením své fotografie/videa z předávání cen a zároveň souhlasí s jejich uveřejněním pro marketingové účely správce ve stanoveném rozsahu (např. sociální sítě, webové stránky správce apod.). Souhlas bude muset být oddělen od ostatních sdělení, subjekt údajů bude mít možnost ho neudělit. Nepřijde přitom o vysoutěžené ceny (či nebude jinak „sankcionován“) a získá možnost ho kdykoli odvolat, aniž by tím utrpěl újmu. Správce pak bude povinen tento souhlas doložit po celou dobu zpracování (viz čl. 7 odst. 1 GDPR). Je tedy zřejmé, že pro toto zpracování (pořízení a zveřejnění fotografií z předávání cen) bude muset být subjektu údajů poskytnuta nová informace o zpracování, která bude reflektovat možnost souhlas kdykoli odvolat, rozsah zveřejnění (interní síť správce nebo prostřednictvím sítě internet) a další náležitosti dle čl. 13 GDPR.
Profilování?
Pořádání soutěže, zvláště jedná-li se o soutěž dlouhodobější, může mít v některých odvětvích i jiný záměr, než jakým je pouhá propagace vlastních výrobků, služeb či vlastní značky. Cílem soutěže může být rovněž zjištění spotřebitelských návyků, a to v návaznosti např. na pohlaví kupujících (v českém prostředí možnost odvodit z tvaru příjmení), cenový rozsah prováděných nákupů, oblíbenost produktů mezi věkovými skupinami apod. Pokud se však výstup z takového pozorování nebude vztahovat výlučně ke konkrétní fyzické osobě, ale vztáhne se ke skupině fyzických osob, byť se shodnými rysy (muži, věk 40–50, nákup do 500 Kč), nebude se jednat o profilování ve smyslu čl. 4 bod 4 GDPR[4].
Správce má možnost spotřebitelskou soutěž koncipovat i tak, že účastník soutěže nebude odpovídat jednorázově, což může vést k obecnému vyhodnocení spotřebitelských preferencí (viz předchozí odstavec), ale že ji postaví na co největším počtu zaslaných odpovědí (např. s přiloženými účtenkami). V takovém případě se může správce pokusit provést profilování jednotlivých soutěžících s cílem zaměření na budoucí reklamu. Tehdy však bude třeba stanovit nový právní titul pro toto zpracování, bude nutné o profilování informovat subjekty údajů [čl. 13 odst. 2 písm. f) GDPR] a případně též provést posouzení vlivu na ochranu osobních údajů, naplní-li se podmínka čl. 35 odst. 2 písm. a) GDPR.
Následný marketing
Jakmile správce získá při pořádání soutěže osobní údaje účastníků, je pochopitelné, že by takto snadno získané informace rád využil ve svůj další prospěch – pro propagaci svých výrobků a služeb. To samozřejmě možné je, ale pouze za splnění zákonných požadavků. V případě, že je cílem správce zasílat na získané elektronické adresy obchodní sdělení ve smyslu § 2 písm. f) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, ve znění pozdějších předpisů, bude muset splnit podmínky pro zasílání obchodních sdělení, které jsou uvedeny v § 7 tohoto zákona. V první řadě je nutné zajistit právní titul pro zasílání obchodních sdělení.
Dva právní tituly pro zasílání obchodních sdělení: souhlas a zákaznický vztah
Cit. zákon v § 7 odst. 2 a 3 stanovuje dva právní tituly pro zasílání obchodních sdělení – souhlas (§ 7 odst. 2) a zákaznický vztah (§ 7 odst. 3), přičemž pro zasílání obchodních sdělení zákazníkovi stanovuje § 7 odst. 3 další podmínky. Mezi tyto podmínky patří možnost dřívějšího odmítnutí obchodních sdělení již při uzavření smlouvy (vyplývá z § 7 odst. 3 „…odmítnout souhlas s využitím svého elektronického kontaktu i při zaslání každé jednotlivé zprávy, pokud původně toto využití neodmítl“) a možnost jednoduchým a nezpoplatněným způsobem odmítnout obchodní sdělení i pro každou jednotlivou zprávu. Pro souhlas se zasíláním obchodních sdělení pak platí, že musí splňovat podmínky GDPR, tj. musí se jednat o svobodný, konkrétní, informovaný a jednoznačný projev vůle, který může subjekt údajů kdykoli snadným způsobem odvolat, přičemž udělení souhlasu musí být dle čl. 7 odst. 2 GDPR odděleno od jiných skutečností (např. od obchodních či soutěžních podmínek). Protože se jedná o projev vůle subjektu údajů, musí subjekt údajů skutečně konat, tj. správcem definované výchozí nastavení ve formě předzaškrtnutého checkboxu se souhlasem se zasíláním obchodních sdělení nebude považováno za řádně udělený souhlas. Zároveň je třeba mít na paměti, že podmiňovat účast v soutěži zasíláním obchodních sdělení by bylo v rozporu s definicí souhlasu ve smyslu čl. 4 bod 11 GDPR, neboť by chyběla svobodná složka vůle.
Ačkoli to zákon neupravuje, je dobrou praxí v případě získání souhlasu postupovat podle zásady double OPT-IN. Tato zásada znamená, že po zadání elektronické adresy pro zasílání obchodních sdělení je na tuto adresu nejdříve zaslán konfirmační e-mail a teprve po jeho potvrzení i obchodní sdělení. Tato praxe se osvědčila jako způsob, jakým může správce doložit, že souhlas se zasíláním obchodních sdělení získal skutečně od subjektu údajů, respektive od uživatele elektronické adresy (vynechány jsou případy, kdy je e-mailová schránka zřízena na cizí jméno, neboť tuto skutečnost nemá odesílat obchodních sdělení šanci zjistit).
Další podmínky pro zasílání obchodních sdělení vyplývají a contrario z § 7 odst. 4 písm. a) – c) zákona č. 480/2004 Sb. Zasílat obchodní sdělení je tedy možné, pokud je z každého obchodního sdělení zřejmé, že jde o obchodní sdělení (označení jako OS:, newsletter, novinky apod.), je uvedena totožnost odesílatele, jehož jménem se komunikace uskutečňuje, a je uvedena adresa, na níž je možné zaslat žádost o ukončení zasílání obchodních sdělení (např. proklikem na odhlašovací formulář, možností na zaslanou zprávu jednoduše odpovědět apod.).
Za zasílání obchodních sdělení je odpovědný i ten, kdo odeslání inicioval…
Při zasílání obchodních sdělení je třeba mít na paměti, že odpovědným za zasílání není jen subjekt, který rozesílku fakticky uskuteční, ale rovněž subjekt, který takové odeslání inicioval, dal k němu příkaz či z něj profitoval. Tento konstrukt Úřadu pro ochranu osobních údajů svým rozhodnutím posvětil také Městský soud v Praze, když v rozhodnutí 14 A 242/2018 konstatoval, že „soud musí souhlasit se žalovaným (ÚOOÚ pozn. autora), že za osobu, jež šíří obchodní sdělení elektronickými prostředky, nelze považovat pouze jejich přímého odesílatele, nýbrž též osobu, která jejich odeslání iniciovala, dala k němu příkaz či z něj také profitovala. Jestliže cílem zákonodárce byla především ochrana adresátů obchodních sdělení před obtěžujícími marketingovými akcemi, musí výklad dotčených právních norem odpovídat tomuto záměru. Opačný výklad, tedy že za šíření odpovídá pouze faktický odesílatel, by činila předmětné právní normy ve své podstatě neúčinnými, neboť v současném digitálním světě by se skutečný šiřitel obchodního sdělení mohl velmi snadno zbavit své odpovědnosti tím, že by odesláním obchodních sdělení pověřil jinou osobu, typicky tu, která by se nacházela mimo dosah českých orgánů veřejné moci. Navíc nelze odhlédnout od faktu, že zákon o některých službách informační společnosti nehovoří o povinnostech toho, kdo rozesílá obchodní sdělení, nýbrž toho, kdo jej šíří. A takto je nezbytné považovat za šiřitele obchodních sdělení elektronickými prostředky nikoli jen subjekt, který fakticky „klikem na myš“ rozešle daná obchodní sdělení, nýbrž i subjekt, který dal podnět k jejich šíření ke konečným adresátům.“
Shrnuto a podtrženo
Spotřebitelskou soutěž je možné vcelku bez problémů provozovat. Je ale třeba dát pozor na dodržení základních zásad zpracování osobních údajů. V případě spotřebitelské soutěže je nutné zaměřit se především na text podmínek soutěže a řádně informovat o zpracování osobních údajů. Pořizovat fotografie šťastných výherců je možné pouze s jejich souhlasem, kdy se tento požadavek opírá o ochranu osobnosti zakotvenou v občanském zákoníku. Další využití získaných osobních údajů (např. pro zasílání obchodních sdělení) možné je, avšak je třeba dodržet podmínky stanovené v § 7 zákona č. 480/2004 Sb., který šíření obchodních sdělení upravuje. V každém případě je však nutné umožnit subjektům údajů výkon jejich práv ve smyslu čl. 15-21 GDPR a o možnosti tato práva vykonávat je třeba je informovat. Správce osobních údajů rovněž musí mít na paměti podmínky pro získání souhlasu, které jsou uvedeny v čl. 7 GDPR. Vztahují se na souhlas s pořízením fotografie a na souhlas se zasíláním obchodních sdělení. Oba tyto souhlasy musí být oddělené od ostatních sdělení (typicky od soutěžních podmínek) a pro oba také platí, že subjekt údajů musí svůj souhlas sám a svobodně vyjádřit, tj. předzaškrtnutý checkbox je špatná praktika a podmiňovat udělení výhry zasláním obchodního sdělení či pořízením fotografie by bylo důvodem pro kontrolu ze strany Úřadu pro ochranu osobních údajů.
Vojtěch Dlouhý
Autor je právník, pracuje jako konzultant ochrany osobních údajů ve společnosti F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ, a. s.
[1] § 3 odst. 1 zákona č. 186/2016 Sb.: Hazardní hrou se rozumí hra, sázka nebo los, do nichž sázející vloží sázku, jejíž návratnost se nezaručuje, a v nichž o výhře nebo prohře rozhoduje zcela nebo zčásti náhoda nebo neznámá okolnost.
[2] WP 29 Pokyny k transparentnosti podle nařízení 2016/679 ve znění ze dne 11. dubna 2018, str. 38.
[3] Oprávněný zájem správce bude patrně dán téměř vždy, nicméně pokud by zveřejnění fotografie mělo fyzickou osobu identifikovat jako např. návštěvníka stránek s citlivým obsahem, návštěvníka poskytovatele specifických služeb, návštěvníka provozovatele VLT či jiných hazardních her, pak je výsledek balančního testu velmi nejistý.
[4] Profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.