ÚOOÚ překonal dosavadní hranici nejvyšší pokuty udělené za porušení GDPR. Sankci ve výši 7,7 milionu korun udělil přepravní společnosti, která nedodržela pravidla pro rozesílku obchodních sdělení. Předmětný případ má také poměrně zajímavé dopady do praxe. Ačkoliv některé ze závěrů potvrzují dlouhodobě nastavený kurz ÚOOÚ, došlo i na nové, v tomto rozsahu doposud neřešené situace.
Právní úprava
Než se pustíme do podrobností předmětného případu, měli bychom si ujasnit zákonná pravidla, na základě kterých může správce osobních údajů provádět rozesílku obchodních sdělení. Kromě GDPR bychom neměli zapomínat, že tento typ marketingu se řídí zejména zákonem č. 480/2004 Sb., o některých službách informační společnosti (dále jen „zákon“). Tento zákon umožňuje posílat obchodní sdělení pouze v případě, že k tomu dá adresát výslovný souhlas nebo je adresát zákazníkem správce a v rámci takzvané zákaznické výjimky neprojevil vůli nedostávat obchodní sdělení, která se týkají zboží či služby, jež od něj nakoupil.
Tím samozřejmě povinnosti nekončí. Pokud chceme posílat obchod ní sdělení, musíme takové sdělení jako obchodní označit, musíme uvést naši totožnost (popřípadě totožnost třetí strany, v jejíž prospěch se obchodní sdělení posílá) a stejně tak musíme subjektu údajů umožnit odmítnout další zasílání obchodních sdělení, jakož i plnit další povinnosti. Pokud se nám nepodaří předmětná pravidla dodržet, hrozí nám pokuta za porušení zákona.
Co vše je obchodní sdělení?
Co je vlastně obchodní sdělení? V praktické rovině považuje zákon v § 2 písm. f) za obchodní sdělení všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určené k přímé či nepřímé podpoře zboží, služeb či image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost. Zjednodušeně řečeno, ne každý e-mail je sám o sobě obchodním sdělením. Pokud se komunikace odehrává v režimu běžné zákaznické spolupráce či plnění smlouvy, hovoříme o takzvané transakční komunikaci. Mezi takové e-maily můžeme řadit například potvrzení objednávky, upozornění na zpoždění dodání či e-mail, ve kterém obchodník zasílá zákazníkovi fakturu či zakoupený digitální obsah (nebo přístup k němu).
Obchodní sdělení bylo zahrnuto v e-mailu s potvrzením o platbě a jízdenkou
Případ pokutované osoby
Pokutovanou osobou byla společnost, která se zabývala přepravou osob prostřednictvím dopravních prostředků hromadného charakteru. Totožnost pokutované osoby nebyla ze strany ÚOOÚ zveřejněna.
Pokutovaná osoba prodávala jízdenky prostřednictvím mnoha kanálů, a to včetně internetového obchodu, který byl počátečním předmětem kontroly ÚOOÚ a také následné pokuty. V okamžiku, kdy jste si zakoupili jízdenku prostřednictvím e-shopu, přišel vám obratem e-mail (jak jsme zmiňovali transakční), ve kterém jste našli potvrzení o platbě, poděkování prodejce, ale hlavně samotnou jízdenku. Jenže to nebylo vše.
Pokutovaná osoba měla totiž uzavřeno několik smluv s různými subjekty, jejichž zboží a produkty se zavázala propagovat, a to například prostřednictvím poskytování slevových kódů, voucherů a podobných výhod konkrétním zákazníkům. Tyto „odměny“ se pak zobrazovaly i v internetovém obchodu při výběru jízdenky.
Klíčovou informací je právě to, že předmětná „odměna“ byla doručována stejným e-mailem, ve kterém zákazník obdržel i jízdenku – tedy v rámci transakčního e-mailu.
Co se ÚOOÚ nelíbilo
Základ celého rozhodnutí (a jemu předcházející kontroly) stojí na stížnosti dvou adresátů obchodních sdělení, jimž se nelíbil postup pokutované osoby. Té ÚOOÚ vyčetl například to, že jeden z adresátů v minulosti odebral souhlas se zasíláním obchodních sdělení, nicméně protože měl u pokutované osoby více účtů, nepovažovala to pokutovaná osoba za generální projev vůle adresáta již neobdržovat žádné obchodní sdělení, ale jen jejich specifickou část. Názor ÚOOÚ v tomto případě však nevybočuje z dosavadní rozhodovací praxe, tuto část tedy můžeme přejít.
Co se však ÚOOÚ zásadně nelíbilo, bylo právě zasílání obchodního sdělení bez souhlasu. I když pokutovaná osoba zastávala jiný názor, připojením obchodního sdělení ve prospěch svých partnerů k transakčnímu e-mailu ve skutečnosti porušila zákon. Přestože šlo o transakční e-mail, připojením reklamy ve prospěch třetí osoby takový e-mail spadl pod definici obchodního sdělení, a tím pádem pro něj platily veškeré výše zmíněné podmínky. Proti tomuto směřovala prvotní argumentace pokutované osoby v rámci kontrolního řízení. Pokutovaná osoba totiž tvrdila, že se nejednalo o obchodní sdělení, ale jen o „odměnu“, o níž zákazník věděl již při koupi jízdenky a kterou mu pouze „doručila“ spolu s jízdenkou.
Tuto argumentaci však ÚOOÚ neakceptoval s upozorněním na šíři zákonné definice obchodního sdělení. ÚOOÚ k tomu uvedl následující: „V rámci definice obchodního sdělení se nerozlišuje skutečnost, že obchodním sdělením musí být pouze sdělení obsahující nabídku odesílatele, může se jednat i o nabídku jakéhokoliv jiného podnikatelského subjektu. V těchto případech obsahovala zasílaná sdělení přímo nabídku zboží či služeb partnerů odesílatele, a to v podobě nabídek slev a voucherů při nákupu zboží či služeb na stránkách partnera. Ale současně, jak uvedla sama kontrolovaná osoba ve svém vyjádření, měly tyto nabídky partnerů taktéž podpořit (tedy nepřímo) i samotné nákupy [anonymizováno] v rámci e-shopu.“
ÚOOÚ pak upozornil na skutečnost, že předmětné obchodní sdělení má přímo podporovat partnera pokutované osoby, ale i samotnou pokutovanou osobu, neboť podle ÚOOÚ je předmětný postup „[…] zajisté cílená a přímá podpora zboží a služeb a též image podniku osoby, která je podnikatelem (v konkrétních případech tedy podpora partnera kontrolované osoby, ale nepřímo i podpora samotné kontrolované osoby)“.
ÚOOÚ se mimo jiné vyjádřil i k takovému sdělení, jako je přání k novému roku, k němuž uvedl následující: „Kontrolující k tomu uvádí, že za obchodní sdělení považuje e-mailové zprávy zasílané z e-mailové adresy [anonymizováno], jelikož tyto zprávy obsahují nabídku kontrolované osoby, ať už přímou, nebo nepřímou, a to v podobě přání k novému roku s odkazem na webové stránky kontrolované osoby.“ Jakmile ÚOOÚ dovodil, že předmětný transakční e-mail ve skutečnosti splňuje definiční znaky obchodního sdělení, bylo zřejmé, že pokutovaná osoba se automaticky dopustila více porušení. Jako první porušení ÚOOÚ konstatoval absenci souhlasu s předmětnými obchodními sděleními – zde Úřad upozorňoval i na požadavek takzvané granularity, tedy oddělení dotčených účelů a získání souhlasu pro každý účel.
Jak bylo zmíněno výše, předmětná obchodní sdělení byla zasílána ve prospěch třetích osob – to je ovšem operace zpracování, kterou nelze podřadit pod zákaznickou výjimku (ta se vztahuje pouze na obdobné produkty a služby „odesílající“ osoby). ÚOOÚ tak pokutované osobě vytknul, že v rámci předmětného sdělení nebyla uvedena totožnost osoby, v jejíž prospěch se rozesílka uskutečňovala. Ani v tomto ÚOOÚ nevybočuje ze své praxe – odkaz na stránky třetí osoby nepovažuje za dostatečný a požaduje uvedení celé obchodní firmy a jednoznačný identifikátor, jako je například IČO.
Další porušení se týká označení obchodního sdělení. Dle zákona je totiž nutné dostatečným způsobem označit obchodní sdělení tak, aby adresát jasně rozpoznal, zda se jedná o transakční, či obchodní sdělení. Dle ÚOOÚ jsou přípustná označení jako „OS“, „newsletter“, „obchodní sdělení“, „novinky“ a podobně, která jsou uvedena před adresou odesílatele nebo v předmětu zprávy. V tomto případě však nebyla tato podmínka splněna, neboť předmětné obchodní sdělení bylo označeno jako „[anonymizováno] – informace o objednávce č. xxxxxx“.
Čtvrté pochybení se týká poměrně specifické věci – možnosti odvolat souhlas. Panuje všeobecné přesvědčení, že v obchodním sdělení nemusí být nutně odkaz pro odvolání souhlasu. Jedná se o praxi, která se vyvinula pro specifické potřeby trhu a zákon jako takový ji toleruje. V liteře zákona je totiž požadavek, aby takové sdělení obsahovalo platnou adresu, prostřednictvím níž může adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby nadále obchodní sdělení dostával.
I když si v rámci kontrolního protokolu Úřad kladl otázku, zda předmětná e-mailová adresa teoreticky mohla sloužit i jako adresa pro odhlášení, v rámci příkazu, ve kterém konstatoval porušení zákona, již jednoduše shrnul, že předmětné e-maily „neobsahovaly žádnou možnost odhlášení, žádné informace o tom, jak má uživatel postupovat v případě nesouhlasu (odmítnutí) se zasíláním obchodních sdělení, resp. nebyla uvedená platná adresa, na kterou je možné přímo a účinně zaslat informaci o tom, že si adresáti nepřejí, aby jim obchodní informace byly odesílatelem nadále zasílány tak, jak požaduje § 7 odst. 4 písm. c) zákona č. 480/2004 Sb.“
Páté porušení pak ÚOOÚ vztahoval k tomu, že pokutovaná osoba nerespektovala v plném rozsahu žádost uživatele o nezasílání obchodních sdělení a vyloučila rozesílku pouze z části.
Rekordní pokuta
Samotné řízení bylo pro ÚOOÚ prakticky velmi jednoduché. Pokutovaná osoba totiž neměla vůči kontrolnímu protokolu žádné námitky, pouze zaslala ÚOOÚ informaci o tom, že již došlo k nápravě. ÚOOÚ tak nic nebránilo vydat takzvaný příkaz, jímž ihned uložil společnosti pokutu ve výši 7,7 milionu korun. Marným uplynutím lhůty pro podání odporu (8 dní od doručení příkazu) je toto rozhodnutí již (zjednodušeně řečeno) nezvratitelné. S ohledem na to, že pokutovaná osoba odpor nepodala, příkaz se stal pravomocným.
Zajímavé je odůvodnění ÚOOÚ, proč přistoupil k pokutě v této výši. Doba, během které se předmětná společnost dopouštěla porušení, nebyla totiž vůbec krátká. Jen od března 2015 do konce roku 2021 zaslala předmětná společnost celkem 46 250 264 e-mailů (tolik bylo zakoupených jízdenek), které obsahovaly výše zmíněné nedostatky. Porušování zákona se pak společnost dopouštěla minimálně do května roku 2022, respektive až do doby doručení protokolu o kontrole a reakci na něj v roce 2023.
ÚOOÚ předmětnou praktiku považoval za poměrně agresivní, neboť daná společnost má silné postavení na trhu a spojení obchodního sdělení s transakčním e-mailem má v tomto případě negativní efekt – adresát se nemohl takovému sdělení vyhnout, neboť ve stejném e-mailu měl svou jízdenku. Pokud chtěl tedy jízdenku otevřít, musel otevřít i e-mail s obchodním sdělením. Jako přitěžující okolnost vyhodnotil ÚOOÚ i to, že sdělení byla uskutečňována ve prospěch třetích osob. V tomto kontextu považuje ÚOOÚ porušení za vysoce závažné.
ÚOOÚ mohl uložit v tomto případě pokutu až ve výši 10 milionů korun, ale přestože vyhodnotil předmětný zásah jako vysoce závažný, vypočetl nakonec předmětnou pokutu na částku 7 milionů korun, kterou dále navýšil o 10 %, jelikož porušení bylo opakované a ve spojení se všemi prvky znamenalo hrubý zásah do soukromí uživatelů.
Poučení z případu
Spojování obchodních sdělení a transakční komunikace je v poslední době poměrně rozšířený trend. Zejména zahrnutí žádosti o poskytnutí souhlasu do potvrzení objednávky je praktika, která se na první pohled může zdát prakticky nevinná. Faktem však je, že i žádost o poskytnutí souhlasu je obchodním sdělením. Jak ÚOOÚ potvrdil ve svém rozhodnutí, to, že je nějaký e-mail důležitý pro plnění smlouvy, ještě neznamená, že se chybou odesílatele nestane obchodním sdělením. Z právního pohledu je jen trochu škoda, že předmětný názor ÚOOÚ nebude přezkoumán v rámci soudního přezkumu, neboť pokutovaná osoba verdikt akceptovala bez obrany.