Jedná se o zejména o určení, komu lze nevyžádaná obchodní sdělení zasílat (osobám, které k tomu udělily souhlas) a jaké náležitosti musí obchodní sdělení splňovat (být jasně rozeznatelná, neutajovat identitu odesilatele atd.). Tato směrnice byla následně v roce 2002 doplněna směrnicí o soukromí a elektronických komunikacích[3], která zavedla možnost zasílání obchodních sdělení bez souhlasu současným zákazníkům odesílatele (opt-out princip) a některá další pravidla (např. povinnost zasílat obchodní sdělení s platnou adresou pro možnost vyjádřit nesouhlas s jejich dalším zasíláním).

V České republice byla uvedené směrnice v částech týkajících se obchodních sdělení transponovány zákonem č. 480/2004 Sb. , o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), zejména jeho § 7. Pro úplnost toto ustanovení ocitujme celé:

§ 7 Šíření obchodních sdělení

(1) Obchodní sdělení lze šířit elektronickými prostředky jen za podmínek stanovených tímto zákonem.

Reklama

DPP/DPČ ve víru legislativních změn (online - živé vysílání) - 25.11.2024

25.11.2024 09:303 025 Kč s DPH
2 500 Kč bez DPH

Koupit

(2) Podrobnosti elektronického kontaktu lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas.

(3) Nehledě na odstavec 2, pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.

(4) Zaslání elektronické pošty za účelem šíření obchodního sdělení je zakázáno, pokud

• tato není zřetelně a jasně označena jako obchodní sdělení,
• skrývá nebo utajuje totožnost odesílatele, jehož jménem se komunikace uskutečňuje, nebo
• je zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány.

Výkladová praxe dozorového úřadu

Dozorovým úřadem, který kontroluje dodržování citované právní normy, je Úřad pro ochranu osobních údajů (ÚOOÚ). Jak vyplývá z veřejně dostupných informací, ÚOOÚ se této oblasti také pravidelně věnuje, provede mj. několik desítek až stovek kontrol zaměřených na zasílání obchodních sdělení ročně[4] a na svých internetových stránkách zveřejňuje řadu obecných či metodických informací[5]. Přesto se však řada subjektů snaží uvedená pravidla obcházet, což v digitálním světě není až tolik komplikované. ÚOOÚ to komentoval například ve své výroční zprávě za rok 2016 pojmem „Systém bílý kůň“, kde popisoval praxi několika konkrétních společností, které pro rozesílání nevyžádaných obchodních sdělení najal různé schránkové společnosti. ÚOOÚ dovodil, že odpovědným za porušení zákona č. 480/2004 Sb. je v tomto případě i ten, v jehož prospěch byla obchodní sdělení rozesílána, tedy objednatel. Tento výklad ÚOOÚ ve své dozorové činnosti zastává i nadále.[6]

Jedná se o poměrně významnou změnu dosavadního výkladu, která není zcela v souladu s českou odbornou literaturou.[7] I z tohoto důvodu je klíčové, jak k danému výkladovému posunu přistoupí správní soudy. Nahlédnutím do databáze Nejvyššího správního soudu zjistíme, že aplikace zákona č. 480/2004 Sb. předmětem přezkumu ve správním soudnictví opravdu příliš často nebývá. V databázi jsou informace toliko o 3 rozsudcích Městského soudu v Praze, které následně přezkoumával Nejvyšší správní soud; žádné z nich se však nezabývalo otázkou, zda je za případné porušení zákona č. 480/2004 Sb. odpovědný i jeho objednatel, nikoliv jen faktický rozesílatel.

Aktuální judikatura správních soudů

ÚOOÚ však na konci dubna tohoto roku na svých stránkách zveřejnil aktuální rozsudek Městského soudu v Praze[8], který se, zřejmě jako první v historii českého správního soudnictví, otázkou odpovědnosti za šíření obchodních sdělení zabývá a přináší poměrně jednoznačné odpovědi. Z tohoto důvodu si, podle mého názoru, zaslouží pozornost.

Uvedený rozsudek řeší právě takovýto případ: Společnost A si u společnosti B se sídlem na Ukrajině sjednala elektronické rozesílání marketingových nabídek.[9] Společnost B se smluvně zavázala marketingová sdělení zasílat jen těm adresátům, kteří jí k tomu poskytli souhlas, a to při splnění všech právních povinností. Smluvní strany si rovněž ujednaly, že společnost B bude marketingové kampaně realizovat jako celek a společnosti A, tedy objednateli, nebude předávat žádné údaje o jejích adresátech.

ÚOOÚ se na základě stížností začal tímto případem šíření obchodních sdělení zabývat a mj. vyzval společnost A k vysvětlení. Společnost A se obrátila na svého dodavatele, společnost B, se žádostí o vyjádření. Společnost B potvrdila, že disponuje souhlasy se zasíláním obchodních sdělení. ÚOOÚ však věc uzavřel s tím, že za rozesílání obchodních sdělení a jeho soulad s požadavky práva byly odpovědny obě společnosti, jak A tak i B. Společnost A se podle kontrolních závěrů ÚOOÚ dostatečným způsobem neujistila, že společnost B disponuje validními souhlasy se zasíláním obchodních sdělení, a proto došlo k tomu, že šířila obchodní sdělení, resp. že v jejím zájmu byla šířena obchodní sdělení bez souhlasu, resp. obecně bez dostatečného právního titulu. Společnosti A proto byla uložena pokuta ve výši 80.000 Kč a to za zasílání obchodních sdělení bez právního titulu a za zasílání obchodních sdělení, ve kterých nebyla tato společnost jasně identifikována jako jejich odesílatel. Společnost A proti uložené sankci podala rozklad, předsedkyně ÚOOÚ jej však zamítla. Při potvrzení uvedeného závěru argumentovala rovněž uplatněním v té době účinného zákona o ochraně osobních údajů[10] a pojmu správce osobních údajů. Společnost A podle jejího závěru určila účel a prostředky zpracování osobních údajů souvisejících s předmětným marketingem a tím se stala správcem osobních údajů, přičemž je primárně odpovědností správce, aby zajistil soulad zpracování osobních údajů s požadavky práva.

Společnost A toto rozhodnutí napadla správní žalobou. V ní, stručně řečeno, argumentovala především tím, že nebyla šiřitelem ani odesílatelem předmětných obchodních sdělení a že vynaložila veškeré možné úsilí k tomu, aby zajistila, že obchodní sdělení budou rozesílána legálním způsobem.

Soud se v této věci přiklonil na stranu ÚOOÚ. Ve své vlastní argumentaci se nejprve poměrně detailně zabýval pojmem šíření, resp. šiřitel obchodních sdělení. Konstatoval, že tento pojem není v zákoně č. 480/2004 Sb. definován, a proto se při jeho výkladu obrátil k výše uvedeným směrnicím o elektronickém obchodu a o soukromí a elektronických komunikacích. Na jejich základě pak konstatoval, že „za osobu, jež šíří obchodní sdělení elektronickými prostředky, nelze považovat pouze jejich přímého odesílatele, nýbrž též osobu, která jejich odeslání iniciovala, dala k němu příkaz či z něj také profitovala. Jestliže cílem zákonodárce byla především ochrana adresátů obchodních sdělení před obtěžujícími marketingovými akcemi, musí výklad dotčených právních norem odpovídat tomuto záměru. Opačný výklad, tedy že za šíření odpovídá pouze faktický odesílatel, by činila předmětné právní normy ve své podstatě neúčinnými, neboť v současném digitálním světě by se skutečný šiřitel obchodního sdělení mohl velmi snadno zbavit své odpovědnosti tím, že by odesláním obchodních sdělení pověřil jinou osobu, typicky tu, která by se nacházela mimo dosah českých orgánů veřejné moci.“ Soud z toho dovodil, že odpovědnost společnosti A nelze vztahovat pouze k uzavření smlouvy se společností B, nýbrž k celému procesu šíření obchodních sdělení, při kterém bylo povinností právě společnosti A jako jejich šiřitele zajistit, aby obchodní sdělení byla zasílána pouze na základě předchozího souhlasu adresátů a aby byla jasně a zřetelně označena jako obchodní sdělení.  Soud rovněž potvrdil závěr, že společnost A byla v tomto případě správcem osobních údajů adresátů obchodních sdělení, protože určila účel a prostředky zpracování těchto údajů. Společnost B pak soud označuje za zpracovatele osobních údajů.

Rozsudek tedy můžeme shrnout tak, že ten, v jehož prospěch jsou elektronicky šířena obchodní sdělení, je jejich šiřitelem a tím i osobou primárně odpovědnou za zákonnost celého procesu. Této odpovědnosti se nelze zbavit, resp. nelze ji přenést na případné dodavatele, kteří rozesílání obchodních sdělení fakticky zajišťují, byť by tito smluvně garantovali, že budou obchodní sdělení zasílat jen těm adresátům, kteří s tím předem vysloví souhlas. Zadavatel, resp. šiřitel, je v případě, kdy jsou adresáty marketingové kampaně i fyzické osoby, rovněž správcem osobních údajů, protože určuje účel a prostředky souvisejícího zpracování.

Otevřené otázky

Ač je předmětný rozsudek Městského soudu v Praze jednoznačný, neodpovídá na všechny související otázky, resp. některé další výkladové otázky a nejasnosti naopak otevírá. Zkusme si ty základní z nich shrnout:

• Může být osoba, která si u dalšího subjektu objedná realizaci marketingové kampaně spočívající v zasílání obchodních sdělení, odpovědná za její legálnost, soulad se zákonem č. 480/2004 Sb. ? ÚOOÚ i Městský soud v Praze shodně konstatují, že ano.
• Pokud mohou být objednatel, šiřitel, obchodních sdělení a jejich faktický odesílatel dvě odlišné osoby, jaké bude jejich postavení jak vzájemně, tak z pohledu veřejnoprávní odpovědnosti? ÚOOÚ kupříkladu ve své výroční zprávě za rok 2018 k této kauze uvádí[11], že právním titulem k šíření obchodních sdělení mohou disponovat oba, tedy jak objednatel, tak i faktický odesilatel elektronických obchodních sdělení. Znamená to, že objednatel souhlasem adresátů disponovat nemusí, postačí více či méně obecný souhlasu udělený faktickému odesilateli?
• Může existovat legální obchodní model založený na tom, že podnikatel bude shromažďovat kontaktní údaje osob, které budou souhlasit s příjmem obchodních sdělení od předem neurčeného okruhu zadavatelů, šiřitelů? Ze závěrů ÚOOÚ o tom, že právním titulem k rozesílání obchodních sdělení může disponovat i jejich faktický odesilatel, by bylo možné dovodit, že ano. ÚOOÚ ale obecně uvádí, že souhlas se zpracováním osobních údajů (v tomto případě zasíláním obchodních sdělení na elektronický kontakt fyzické osoby) musí být vždy udělen konkrétnímu správci.[12] Kterou z těchto variant se tedy ÚOOÚ bude při výkladu do budoucna řídit?
• ÚOOÚ a do jisté míry i soud konstatují, že v posuzované kauze společnost A nedostatečně zajistila právní titul, resp. obecně legalitu procesu zasílání obchodních sdělení. Jaké kroky nad rámec výše uvedených, tzn. smluvní ujednání o povinnosti společnosti B, odesilatele, a navazující komunikaci s ním v okamžiku, kdy se společnost A dozvěděla o stížnostech adresátů obchodních sdělení, by ÚOOÚ či správní soud v tomto případě považovaly za dostatečné? Předložení textu souhlasu, seznamu adresátů dané kampaně či ještě něco dalšího?
• Jak ÚOOÚ, tak správní soud argumentují rovněž tím, že společnost A, šiřitel obchodních sdělení, určila účel a prostředky souvisejícího zpracování osobních údajů, byla tedy jejich správcem a jako správce osobních údajů je odpovědná za jejich zpracování. Pokud by se však určitá marketingová kampaň netýkala fyzických osob a byla by zaměřena toliko na osoby právnické[13], argumentace právní úpravou zpracování osobních údajů by byla lichá. Změnilo by se v tom případě na závěrech dozorového úřadu a soudu něco?
• Existuje již poměrně rozvinutá judikatura Soudního dvora Evropské unie k pojmu společných správců osobních údajů, tedy těch subjektů, které účel a prostředky zpracování určí společně.[14] Soudní dvůr se kloní k tomu tento pojem vykládat spíše široce a za správce považovat každý subjekt, který, společně s dalšími, rozhodl o některém kroku v procesu zpracování, tedy zejména o jeho účelu či prostředcích.[15] Vztahem k této judikatuře a jejím závěrům, zejména k postavení faktického odesilatele, se však ÚOOÚ ve zveřejněných informacích ani Městský soud v Praze v komentovaném rozsudku bohužel nezabývá.

Závěr

Šíření obchodních sdělení elektronickými prostředky představuje poměrně efektivní nástroj pro marketingovou komunikaci. Související regulace je poměrně přísná, proto se z obecného hlediska nelze divit tomu, že některé subjekty se jí snaží obejít využíváním třetích osob jako faktických odesilatelů. Ani tento přístup však faktického šiřitele, tedy ten subjekt, který o rozesílání obchodních sdělení rozhodne a v jehož prospěch jsou fakticky rozeslána, nemůže zbavit (veřejnoprávní) odpovědnosti. V tomto závěru se shoduje jak dozorový úřad, ÚOOÚ, tak správní soud. Jejich výklad k této otázce však v tuto chvíli podle mého názoru nepokrývá některé zásadní otázky, které mají významný praktický dopad. Pro posílení právní jistoty si tak budeme muset počkat na další závěry ÚOOÚ či správních soudů.

Mgr. František Nonnemann

Autor je členem výboru Spolku pro ochranu osobních údajů a zaměstnancem společnosti MallPay s.r.o.

Článek vyjadřuje osobní názor jeho autora.

e-mail: nonnemann@volny.cz