Jak dopadly kontroly ÚOOÚ v oblasti obchodních sdělení za první pololetí roku 2022? Stížností sice ubylo, ale přístup Úřadu byl poměrně nekompromisní. Zaměřil se mimo jiné na nabídky prostřednictvím SMS. Jakých chyb se musíte v novém roce vyvarovat?
Jak lépe vstoupit do nového roku, než ohlédnutím se za rokem minulým? ÚOOÚ nám pod stromeček nadělil dárek v podobě závěrů z kontrol, které byly provedeny v prvním pololetí roku 2022. Pojďme již tradičně začít jedním z nejzajímavějších témat, jímž je zasílání obchodních sdělení.
Statistiky
Informace uvedené ze strany ÚOOÚ naznačují, že rok 2022 (respektive jeho první pololetí) byl oproti předchozím rokům, co se týče oblasti zasílání obchodních sdělení, relativně klidný. Od 1. 1. 2022 do 30. 6. 2022 ÚOOÚ obdržel celkem 419 stížností na zasílání obchodních sdělení, což je nejnižší počet stížností za poslední léta.
Oddělení kontrol pak ve stejné době zahájilo 9 nových kontrol a 5 kontrol ukončilo. Vedle toho ÚOOÚ upozornil celkem 196 drobnějších hříšníků na možné porušení zákona, jež nevedlo k navazujícímu řízení (k tomu viz níže). Počet zahájených správních řízení naopak narostl na 14 a došlo k ukončení 10 správních řízení.
Součet uložených sankcí činil celkem 260 tisíc korun, pokud nepočítáme uložené pořádkové pokuty za neposkytnutí součinnosti, které ÚOOÚ udělil dvěma subjektům v souhrnné výši 75 tisíc korun.
Přístup ÚOOÚ ke stížnostem
Sám ÚOOÚ připomněl, že kontrolní činnost není jedinou složkou dozorových činností úřadu. Mnoho případů totiž do této fáze nedojde a některé případy porušení jsou naopak tak jednoznačné, že lze přistoupit k uložení sankce bez zahájení kontroly.
A právě zde ÚOOÚ poskytl poměrně cennou informaci, jejíž důsledky bychom měli velmi dobře zvážit. Uvedl, že v případě méně intenzivních porušení zákona (doslova: „v případě, kdy obdrží v určitém období jen jednu nebo několik málo stížností na jeden subjekt – šiřitele“) nemusí nutně přistoupit k dalším úkonům v dozorové činnosti, ale skončí u upozornění, v rámci nějž vysvětluje šiřitelům podmínky, za kterých lze obchodní sdělení zasílat.
Bylo by však velmi neopatrné chápat toto sdělení jako jeden „záchranný život“, který lze použít v případě, kdy nás poprvé osloví ÚOOÚ, že jsme něco udělali v rozporu se zákonem. Porušení zákona je porušením zákona a jako takové je vždy sankciovatelné – benevolentní přístup ÚOOÚ nemusí být pravidlem.
Stejně tak ÚOOÚ uvedl, že pokud dostává opakované stížnosti nebo musí šiřitele opakovaně upozorňovat, může bez provedení kontroly přistoupit k samotnému správnímu řízení, které může končit uložením pokuty.
Závěry z kontrol
ÚOOÚ v prvním pololetí uzavřel celkem 5 kontrol, z nichž některé neodhalily významnější porušení, a naopak některé budou mít ještě dohru.
Oslovování bývalých zákazníků
Tato kontrola (UOOU-00802/21) byla zahájena na základě kontrolního plánu na rok 2021, nicméně ÚOOÚ si vypomohl i několika stížnostmi, které byly na kontrolovanou osobu podány. Samotná kontrola ověřovala, jak daný subjekt přistupuje ke sběru e-mailových adres a telefonních čísel za účelem reklamní rozesílky.
Kontrolovaná osoba zasílala obchodní sdělení v režimech opt-in i opt-out. Úřadu se pak nelíbily celkem dvě věci – nadbytečný rozsah sběru osobních údajů pro rozesílku a nepřiměřená doba zpracování osobních údajů. Ačkoliv to z předmětné tiskové zprávy jednoznačně nevyplývá, předpokládáme, že zjištění se týkají zejména režimu opt-out.
V prvním případě se ÚOOÚ nelíbilo, že pro účely marketingu byly zpracovávané i fakturační a platební údaje, komunikace se subjektem údajů a cookies. Proti tomu kontrolovaná osoba podala námitky, ve kterých jí ÚOOÚ vyhověl, tedy kromě informací týkajících se cookies – zde ÚOOÚ uvedl, že ty lze zpracovávat pouze na základě souhlasu subjektu údajů.
Co se týče doby zpracování, zde to začíná být skutečně zajímavé. ÚOOÚ totiž potvrdil svůj poměrně přísný pohled na to, po jakou dobu lze oslovovat „bývalého“ zákazníka s marketingovou rozesílkou. Kontrolovaná osoba totiž tuto činnost provozovala i po dobu tří let od proběhlého nákupu, což jí však ÚOOÚ vyčetl. Ten k tomu uvedl následující: „V této souvislosti je třeba uvést, že kontrolovaná osoba již učinila opatření, kdy tato doba byla zkrácena na šest měsíců. Jako zdůvodnění uvedla možnost oslovení po přiměřenou dobu i po ukončení smluvního závazku, což je i dle obecné praxe nejen v telekomunikačním odvětví oprávněným zájmem, a to zejména možnost zákazníkům nabídnout retenční nabídku, která umožňuje podnikatelským subjektům ‚udržet si zákazníka‘, a zároveň může být prospěšná i pro zákazníka samotného, kdy může obdržet nabídku, která by pro něho mohla být zajímavá.“
Neznámý odesílatel
Druhá z kontrol (UOOU-04773/21) byla zahájena na základě celkem šesti stížností. Stěžovatelé obdrželi nabídku zboží v oblasti pánské kosmetiky s odkazem na internetové stránky, kde lze produkty zakoupit. V tomto případě však e-maily nebyly zasílány z domény předmětného internetového obchodu, ale z jiných domén, u nichž se ÚOOÚ nepodařilo zjistit, kdo je jejich faktickým odesílatelem. Kontrolovanou osobou se tak stal provozovatel e-shopu, na jehož stránky bylo odkazováno z předmětných obchodních sdělení.
Takový postup by nás již neměl překvapovat, poněvadž ÚOOÚ se k němu již několikrát (po právu) uchýlil. Ačkoliv tedy kontrolovaná osoba neposkytla součinnost a s ÚOOÚ nespolupracovala, vyhodnotil ÚOOÚ porušení několika ustanovení zákona. Úřadu pak došla trpělivost v okamžiku, kdy po ukončení kontroly obdržel dalších 17 stížností na zasílání obchodních sdělení ve prospěch stejného subjektu. Rozhodl se tedy zahájit správní řízení a lze předpokládat, že na jeho konci bude čekat kontrolovanou osobu pokuta.
Obchodní sdělení ve formě SMS
Osm stížností na kontrolovanou osobu (UOOU-02174/21) vedlo k tomu, že se ÚOOÚ rozhodl zkontrolovat, jak tato osoba provádí rozesílku prostřednictvím e-mailu a SMS. Po prověrce ze strany ÚOOÚ došlo k vyjasnění, že ne všechny zprávy ve skutečnosti byly obchodními sděleními. ÚOOÚ k tomu uvedl následující: „Nicméně v několika případech se o obchodní sdělení nejednalo, jelikož obsahem zasílaných zpráv byly technické či informativní zprávy. Jednalo se o sdělení, jehož obsahem byla zpráva, že v internetovém bankovnictví je připraven dokument k podpisu nebo zpráva obsahující oprávnění k účtu, které byly odeslány klientovi kontrolované společnosti.“
ÚOOÚ pak došel k závěru, že kontrolovaná osoba se dopustila porušení zákona ve dvou rovinách, a sice že v případě tří adresátů došlo k neoprávněné rozesílce, neboť kontrolovaná osoba nedisponovala právním titulem. Ve vztahu k rozesílce prostřednictvím SMS pak ÚOOÚ vadilo, že tyto SMS neobsahovaly informaci o tom, jak lze zasílání obchodních sdělení ukončit, respektive odmítnout.
Poměrně zajímavé je uložení pokuty ve výši 50 tisíc korun. Její výši ÚOOÚ odůvodňoval jako mírnější kvůli tomu, že došlo k pochybení pouze u tří adresátů, a následek tak neměl být závažný. Zároveň však ÚOOÚ uvedl, že kontrolovanou osobu již několikrát upomínal a ve stejné věci jí byla dokonce uložena sankce.
Rozesílka prostřednictvím třetí strany
Předposlední kontrola (UOOU-02293/21) byla opět zahájena na základě šesti stížností a týkala se nabídek finančních služeb a půjček, které byly rozesílány prostřednictvím SMS. V rámci konfrontace ze strany ÚOOÚ kontrolovaná osoba uvedla, že předmětné SMS neodeslala a ani nezná jejich adresáty.
Kromě toho však kontrolovaná osoba uvedla, že využívá pro účely marketingu spolupráci se soukromou společností, přičemž z předložené smlouvy mělo vyplynout, že tato společnost měla provádět rozesílku na svoji „klientskou databázi“. Kontrolovaná osoba pak řešila již jen načasování rozesílky a její obsah, nicméně služby dané společnosti několikrát reklamovala a spolupráci s ní ukončila. Tím se však kontrolovaná osoba své odpovědnosti nevyhnula a ÚOOÚ konstatoval porušení zákona z její strany.
Kromě chybějících právních titulů pak ÚOOÚ vadila i formální stránka SMS: „Úřad se dále zabýval i kontrolou dodržování dalších podmínek, které je nutné při šíření obchodních sdělení splnit, přičemž bylo zjištěno, že obchodní sdělení zasílaná formou SMS neobsahovala žádnou možnost odhlášení, např. odkaz pro odhlášení na konci zprávy, či uvedení kódu pro odhlášení či jasný kontakt, kde lze zasílání takových zpráv zrušit.“
Kontrolovaná osoba dostala pokutu 10 tisíc korun, přičemž ani společnost, která rozesílku uskutečňovala, nezůstala bez postihu. Jelikož tato společnost nespolupracovala, dostala od ÚOOÚ pořádkovou pokutu.
Zákaznická výjimka
To nejzajímavější nás čeká nakonec. Poslední kontrola (UOOU-00685/20) byla zahájena na základě kontrolního plánu z roku 2020. Svým obsahem patří k těm nejvíce přínosným, neboť ÚOOÚ se vyjádřil k dalším poměrně palčivým otázkám, které se týkají zasílání obchodních sdělení.
Ostatně, kontrolovaná osoba měla za své počínání dostat pokutu 250 tisíc korun. Úřadu se opět nelíbily (mimo jiné) dvě věci – rozesílka týkající se zboží a produktů třetích osob a následně rozesílka 250 tisícům subjektů bez právního titulu, ke které mělo dojít technickou chybou. V posledním jmenovaném kontrolovaná osoba přijala opatření, aby k chybě už nedošlo.
Kontrolovaná osoba mimo jiné v rámci svých služeb umožňovala dostávat newsletter s nabídkami třetích osob. A právě průběh této rozesílky se nelíbil ÚOOÚ, který v rámci poměrně formalistického výkladu uvedl následující: „V souvislosti s dodržováním podmínek pro šíření obchodních sdělení bylo zjištěno, že v případě zasílání obchodních sdělení ve prospěch třetích stran (tzv. infotexty) nebyla kontrolovanou osobou splněna podmínka uvedení totožnosti odesílatele, jehož jménem se komunikace uskutečňuje. Obchodní sdělení tedy musí obsahovat identifikaci té fyzické nebo právnické osoby, jejíž výrobky, zboží či služby jsou obchodním sdělením propagovány. Pro takové označení je třeba uvést jasnou identifikaci podnikatele, tedy jasné uvedení obchodní firmy, jména s dodatky a případně i dalších identifikátorů, jako např. IČO společnosti (dalším identifikátorem by mohlo být např. sídlo, DIČ, adresa provozovny). Za dostatečné označení nelze považovat například uvedení pouhého odkazu, který adresáta přesměruje na stránky toho, v čí prospěch je obchodní sdělení zasíláno.“
V rámci informování o tomto případu pak ÚOOÚ doplnil informace, které se týkají takzvané zákaznické výjimky: „Na zasílání obchodních sdělení zákazníkům se uplatní § 7 odst. 3 zákona č. 480/2004 Sb., kdy obchodní sdělení lze zákazníkům zaslat bez jejich předchozího souhlasu (princip opt-out), ovšem zákazník musí mít možnost toto zasílání odmítnout před odesláním takového obchodního sdělení (např. obchodník umožní zákazníkovi v rámci obchodních podmínek či při finálním potvrzení objednávky, aby zaškrtl políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána). Pokud zákazník toto dopředu neodmítne, tak tato možnost musí být dána v každém dalším odeslaném obchodním sdělení.“
Zatímco v případě nabídek třetích osob se ÚOOÚ řídí poměrně formalistickým výkladem, v případě možnosti odmítnutí zasílání obchodních sdělení naznačuje, že by bylo možné tolerovat provedení tohoto odmítnutí „v rámci obchodních podmínek“. Jedná se však o postup, který už sám ÚOOÚ v rámci své rozhodovací praxe zavrhnul a jinou možnost, než je umístění checkboxu s možností odmítnutí, prakticky nenabídnul. V tomto ohledu tedy raději berte doporučení ÚOOÚ s nadhledem.
Přísnější přístup ÚOOÚ
Zatímco počet stížností v oblasti obchodních sdělení se snižuje, přísnost, s jakou ÚOOÚ vykládá zákon, se naopak zvyšuje. Každá situace může být trochu jiná, vždy bude záležet na konkrétních podmínkách zpracování osobních údajů. To však nemění nic na tom, že bychom měli při rozesílce obchodních sdělení postupovat maximálně obezřetně a respektovat názor ÚOOÚ.
Comments