Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

E-mailový a telefonický marketing, „oprávněný zájem“ a komerční databáze kontaktů – díl II.

Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 24. 11. 2020 23:10 | Přečteno: 2341X

První díl tohoto článku se věnoval rozdílům mezi tím, jak na e-mailový marketing dopadají předpisy o ochraně osobních údajů (zejména Nařízení GDPR), a jak na něj dopadá tzv. „antispamový zákon“ (tedy zákon o některých službách informační společnosti, dále jako „ZSIS“). Bylo uvedeno, že zatímco povinnosti týkající se ochrany osobních údajů se k e-mailovému marketingu budou vztahovat pouze tehdy, pokud lze dané e-mailové adresy nebo údaje obsažené v rozesílaných e-mailech považovat za osobní údaje, povinnosti dle antispamového zákona dopadají na jakákoliv e-mailová (a obecně elektronická) obchodní sdělení bez ohledu na to, jakou mají použité e-mailové adresy povahu.

V tomto smyslu se tedy odesílatel obchodních sdělení musí řídit primárně plošným požadavkem na udělení předchozího souhlasu ze strany příjemce, nejedná-li se o jeho předchozího zákazníka, od něhož získal jeho adresu v souvislosti s předchozím prodejem zboží nebo služby, u něhož postačuje, aby mu byla dána možnost kdykoli další zasílání sdělení odmítnout (rozesílání obchodních sdělení těmto stávajícím kontaktům je ovládáno zásadou tzv. „opt-out“, namísto jinak obecně patné zásady „opt-in“). Toto jednoduché pravidlo má širší dosah než často diskutované pravidlo „oprávněného zájmu“, zavedené preambulí Nařízení GDPR, z něhož však bývá často mylně vyvozováno, že souhlas se zasíláním obchodních sdělení již není zapotřebí.

V tomto pokračování se blíže zaměříme na využívání komerčních či přímo veřejných databází kontaktů pro účely rozesílání obchodních sdělení, stejně jako na další obtěžující formu marketingu – telefonické kampaně. 

Komerční databáze kontaktů a e-mailing

Nezřídka se lze setkat s tím, že odesílatelé sdělení v nich přímo uvádí zdroj, z něhož byla e-mailová adresa získána, přičemž jako zdroj bývá označena např. komerční databáze obchodních kontaktů, případně odesílatel uvede, že „vaše adresa byla získána z veřejně dostupných zdrojů“. Odesílatelé se tak snaží přenést problém se získáním souhlasu se zasíláním sdělení jinam – na subjekty, které takové databáze vytvářejí nebo s nimi obchodují, nebo se alespoň chtějí opřít o argument, že samotná veřejná dostupnost adresy znamená de facto souhlas se zasíláním obchodních sdělení. Stačí si však připomenout pravidla uvedená v předchozím článku, abychom mohli konstatovat, že žádný z těchto argumentů není relevantní. Charakteristickým znakem přechozího souhlasu, vyžadovaného ZSIS, je kromě nutnosti aktivního úkonu příjemce rovněž to, že musí být udělen konkrétnímu odesílateli. Příjemce tedy musí při odeslání souhlasu vědět, komu souhlas uděluje, a tudíž od koho bude obchodní sdělení dostávat. Splnění tohoto požadavku si lze v případě obvyklých databází obchodních kontaktů jen stěží představit – i kdyby příjemce aktivně udělil souhlas se zařazením své e-mailové adresy do databáze, nebude tento souhlas udělen ve vztahu ke konkrétnímu odesílateli, který si databázi teprve v budoucnu pořídí a začne ji používat pro svou e-mailingovou kampaň (takový příjemce už z podstaty věci nebývá v okamžiku získávání kontaktů znám).

Pořizovatelé databází kontaktů jsou často provozovateli různých on-line soutěží či loterií, kteří za možnost účasti v soutěži požadují jen maličkost – kontaktní údaje. V rámci registrace do takových soutěží, většinou s možností výhry lákavé ceny, uděluje uživatel souhlas s předáním své e-mailové adresy obchodním partnerům provozovatele, tedy těm, kteří si databázi údajů zakoupí. Takový obecný souhlas bez identifikace konkrétního subjektu však nepostačuje a nenaplňuje požadavky ZSIS. 

Je třeba dodat, že na tento postup nelze aplikovat ani výše zmíněné pravidlo opt-outu (§ 7 odst. 3 ZSIS), neboť to lze využít pouze v případech e-mailových adres, které dříve získal sám odesílatel v souvislosti s předchozím prodejem zboží nebo služby příjemci sdělení, přičemž tato sdělení se mohou týkat pouze souvisejícího zboží a služeb. V případě databází kontaktů však je e-mailová adresa příjemce získána jinou osobou, než je konečný odesílatel, a za jiným účelem.

Lze tedy uzavřít, že k tomu, aby odesílání obchodních sdělení na kontakty získané z nakoupených databází bylo v souladu s právními předpisy, musí být splněny podmínky, které činí využití databází prakticky nemožným. Souhlas příjemce by musel být především udělen ve vztahu ke konkrétnímu odesílateli, a to aktivním úkonem příjemce, učiněným v okamžiku předání e-mailové adresy. Pokud by chtěl odesílatel postupovat v režimu opt-out, musel by e-mailové adresy získat od příjemců sám v souvislosti s nějakou nabídkou výrobku nebo služby; tyto adresy by v žádném případě nemohly pocházet z databáze získané od třetí osoby, a pochopitelně ani z jakýchkoli veřejných zdrojů.

Jak je to s telefonickým marketingem?

Asi každý se setkává se situací, kdy jej telefonicky kontaktují nejrůznější poskytovatelé služeb (zejména dodavatelé energií) s více či méně lákavými nabídkami. Proto je zajisté na místě ptát se, zda jsou taková volání regulována a zda na ně lze vztahovat obdobná pravidla, která ovládají rozesílání obchodních sdělení.

I v tomto případě musíme rozlišovat mezi rovinou ochrany osobních údajů a rovinou pravidle dle ZSIS, případně obecných pravidel ochrany soukromí. Z hlediska ochrany osobních údajů se Nařízení GDPR pochopitelně vztahuje i na telefonní čísla, neboť i ta mohou být osobním údajem, minimálně ve spojení s údaji jinými (za obdobných okolností, jako e-mailové adresy, avšak s tím rozdílem, že telefonní číslo v sobě z podstaty věci nemůže obsahovat takové identifikátory, pomocí nichž lze identifikovat konkrétní fyzickou osobu samo o sobě). Pokud odesílatel povede databázi obsahující jméno, příjmení a telefonní číslo (zpravidla však bude obsahovat i další údaje), pak se jedná o osobní údaje identifikující konkrétní fyzickou osobu. I na tento druh přímého marketingu se tedy může vztahovat oprávněný zájem jakožto právní základ zpracování osobních údajů, zmíněný v Preambuli Nařízení GDPR.

Z hlediska aplikovatelnosti pravidel ZSIS je nutno především rozlišovat, jaká je povaha samotného telefonátu. Rozhodujícím kritériem v tomto ohledu je, zda se jedná o živý hovor či nikoliv. Abychom na volání mohli vztáhnout pravidla opt-inu a opt-outu dle ZSIS, muselo by volání naplňovat definici elektronické pošty dle ZSIS, jejímž charakteristickým rysem je možnost uložení zprávy v síti nebo na koncovém zařízení uživatele s možností jejího následného vyzvednutí. ZSIS lze v tomto smyslu aplikovat pouze na automatické telefonáty prováděné prostřednictvím automatického záznamového zařízení, které však jsou v případě obchodních sdělení značně výjimečné. Nelze proto konstatovat, že by k jakémukoli komerčnímu telefonátu obsahujícímu nabídku zboží nebo služeb volající potřeboval předchozí souhlas příjemce.

Telefonáty prováděné ve formě živého hovoru (většinou s pracovníkem call centra) však definici elektronické pošty nenaplňují, a nespadají tedy do působnosti ZSIS. Právní regulace je v tomto směru podstatně méně striktní. Volající by měl především brát v potaz, zda je dané číslo zapsáno ve veřejném telefonním seznamu (např. 1188), a zda je u něj uvedena poznámka zákazu marketingových volání. O uvedení této poznámky je podle zákona o elektronických komunikacích (tzv. „telekomunikační zákon“) oprávněn žádat kdokoli, jehož číslo je uvedeno ve veřejném seznamu. Provozovatelé call center tuto skutečnost zpravidla evidují a na takto označené kontakty nevolají.

Opakované volání pak je rovněž nutno hodnotit ve vztahu k definici tzv. agresivní obchodní praktiky, kterou stanoví příloha č. 2 zákona o ochraně spotřebitele (písm. b), podle níž se za takovou praktiku považuje rovněž postup, kdy podnikatel opakovaně činí spotřebiteli nevyžádané nabídky prostřednictvím telefonu, faxu, elektronické pošty, nebo jiných prostředků přenosu na dálku. S ohledem na tento aspekt se tedy volajícímu vyplatí sledovat, zda v rámci kampaně nedochází k opakovanému volání na totéž telefonní číslo.

Z hlediska příjemce hovoru je nejúčinnější obranou (vedle zmíněného uvedení poznámky zákazu marketingových volání ve veřejném seznamu) podání námitky proti zpracování osobních údajů, a to rovnou při hovoru samotném. Vzhledem k tomu, že v databázi, na základě níž bylo volání uskutečněno, je o příjemci nepochybně uvedeno více údajů než pouze telefonní číslo, jedná se o zpracování osobních údajů, k němuž ve smyslu preambule Nařízení GDPR dochází z titulu oprávněného zájmu volajícího, a vůči němuž je tedy možné podat námitku a další zpracování tak ukončit. Jak jsme uvedli výše, jen stěží si lze představit, že by oprávněný zájem volajícího mohl v těchto případech převýšit nad ochranou práv a svobod příjemce hovoru, volající by tudíž námitce měl vždy vyhovět a vlastníka čísla z databáze neprodleně vyřadit.

Závěr

Byť se lze stále setkat s názorem, že Nařízení GDPR znamenalo velkou změnu v možnostech elektronického marketingu, opak je pravdou. Hlavní pravidla, regulující možnosti využívání e-mailových, ale i telefonních kontaktů pro účely přímého oslovování potenciálních i stávajících zákazníků, jsou konzistentně nastavena antispamovým zákonem, resp. zákonem o elektronických komunikacích, přičemž v důsledku přijetí Nařízení GDPR se tato pravidla nijak nezměnila. Tím není řečeno, že by při zpracování e-mailových a telefonních kontaktů neměly být dodržovány povinnosti týkající se zpracování osobních údajů, nicméně ne vždy se o zpracování osobních údajů bude jednat. Oproti tomu pravidla dle antispamového zákona se vztahují na zpracování využívání jakýchkoli e-mailových adres, bez ohledu na jejich povahu. Nebudeme daleko od pravdy, pokud konstatujeme, že kdysi kvetoucímu businessu s databázemi obchodních kontaktů v aktuálních právních podmínkách odzvonilo.

 

Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz

Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.