Čerstvé závěry z kontrol ÚOOÚ: Zasílání obchodních sdělení
- Josef Bátrla
- 5. 6.
- Minut čtení: 8
Víme, na co se ÚOOÚ zaměřil při loňských kontrolách rozesílání obchodních sdělení. Velká část správců stále ignoruje pravidla, brzy přitom budou hrozit i pokuty v desítkách milionů eur! Jaké chyby se opakují? A u čeho Úřad naopak přimhouří oko?

To, na co jsme tak dlouho čekali, konečně přišlo. ÚOOÚ zveřejnil závěry kontrol týkajících se zasílání nevyžádaných obchodních sdělení, které řešil v roce 2024. Prá vě problematika obchodních sdělení je dlouhodobě jednou z nejčastějších agend ÚOOÚ, neboť marketingové operace zpracování zaujímají co do počtu přední příčku v rámci stížností a podnětů, jež ÚOOÚ celkově obdrží. Pojďme se tedy podívat na vybrané pří pady zasílání nevyžádaných obchodních sdělení, které ÚOOÚ v roce 2024 řešil.
Příklad dobré praxe
První z kontrol bohužel nenabídla nic zvlášť zajímavého. Kontrola nejmenované společnosti byla zahájena ze strany ÚOOÚ na základě kontrolního plánu pro rok 2024. Cílem bylo ověřit dodržování povinností podle § 7 zákona o některých službách informační společnosti (ZSIS), tedy pravidel pro zasílání obchodních sdělení elektronickými prostředky, zejména prostřednictvím e-mailu a SMS zpráv, a posoudit oprávněnost právního titulu pro tyto rozesílky.
Kontrolovaná společnost uvedla, že ke komunikaci využívá pouze e-maily a push notifikace v mobilních aplikacích. Nepoužívá SMS, MMS ani jiné obdobné formy zpráv (například přes Viber nebo WhatsApp). Co se týče právního titulu, obchodní sdělení zasílá na základě souhlasu příjemců dle § 7 odst. 2 ZSIS. U dotazníků spokojenosti uvádí jako právní titul oprávněný zájem dle § 7 odst. 3 ZSIS, tedy takzvanou zákaznickou výjimku.
V tomto případě bylo kontrolou dle ÚOOÚ prokázáno, že obchodní sdělení byla zasílána pouze po předchozím souhlasu příjemce. Dále bylo zjištěno, že společnost dodržuje i další podmínky stanovené v § 7 ZSIS, tedy obchodní sdělení byla zřetelně a jasně označena jako obchodní sdělení, obsahovala identifikaci odesílatele a informace o možnosti jednoduchého a účinného odhlášení ze zasílání sdělení. Kontrola tak ukázala, že společnost postup vala v souladu se zákonem a nedošlo k porušení právních předpisů týkajících se ochrany osobních údajů.
Obecné dotazníky spokojenosti považuje ÚOOÚ za obchodní sdělení
Dotazníky spokojenosti
Druhou kontrolu zahájil ÚOOÚ opět v rámci kontrolního plánu pro rok 2024 a zaměřil se na dodržování pravidel podle § 7 ZSIS, zejména co se týče právního titulu zasílání obchodních sdělení e-mailem a SMS zprávami. Veškerá kontrolovaná sdělení odpovídala definici obchodního sdělení, neboť obsahovala nabídky produktů a služeb společnosti a pobídky k návštěvě webových stránek společnosti určených k přímé podpoře nabízené služby.
ÚOOÚ kontroloval vzorový e-mail obsahující fakturu a dotazník spokojenosti ve formě jednoduchého hodnocení pomocí smajlíků. ÚOOÚ vyhodnotil tento typ zprávy jako transakční komunikaci, nikoliv samostatné obchodní sdělení, jelikož hlavním účelem bylo doručení daňového dokladu a umožnění reklamace zboží. Doslova k tomu ÚOOÚ uvedl následující: „Obecně koncipované dotazníky spokojenosti se s ohledem na dlouhodobou praxi Úřadu též považují za obchodní sdělení. Nicméně v tomto případě byla zpráva zaslána ihned po předání zboží zákazníkovi spolu jak se zaslanou fakturou, tak i možností ihned zboží reklamovat, přičemž samotný dotazník spokojenosti spočíval pouze v připojení vyjádření zákazníka v podobě zakliknutí tzv. smajlíků (perfektní / šlo to / nic moc).“
To je celkem zajímavý závěr z kontroly, neboť to není dlouho, co si za podobnou věc (zasílání slevových kódů spolu s jízdenkou) jiná organizace vysloužila zatím nejvyšší pokutu v této oblasti, a sice 7,7 milionu korun.
Společnost sama rozesílala obchodní sdělení prostřednictvím e-mailů, SMS zpráv a notifikací v mobilní aplikaci. V době kontroly využívala právní titul souhlasu, ačkoliv v minulosti využívala i zákaznickou výjimku. Ve všech rozesílkách, které ÚOOÚ kontroloval, byly doloženy předchozí prokazatelné souhlasy příjemců. Nedostatky byly zjištěny u SMS zpráv zasílaných v roce 2023 a začátkem roku 2024, přičemž tyto zprávy nebyly dostatečně označené jako obchodní sdělení a chyběla možnost snadného odhlášení. Na opak e-mailová sdělení byla v souladu se zákonnými požadavky.
ÚOOÚ společnosti doporučil upravit způsob možnosti odmítnutí zasílání obchodních sdělení prostřednictvím SMS zpráv tak, aby byla zajištěna možnost přímého a účinného zrušení souhlasu bez nutnosti připojení k internetu (například uvedení telefonního čísla do SMS zprávy, kam by mohli příjemci zavolat a předmětné zasílání odvolat či zrušit). Vzhledem k porušení některých zákonných podmínek pro zasílání obchodních sdělení zahájil ÚOOÚ správní řízení a udělil společnosti sankci.
Příjemce musí mít možnost odběr SMS sdělení zrušit i bez přístupu k internetu
Rozesílání bez platného právního titulu
Další kontrola byla zahájena na základě kontrolního plánu a zaměřila se na dodržování ZSIS, konkrétně při rozesílání obchodních sdělení elektronickými prostředky, a také na pravidla ochrany osobních údajů v souvislosti s přímým marketingem dle nařízení GDPR, konkrétně čl. 12, 13, 21 a později i čl. 5, 6 a 7.
Společnost zpracovávala osobní údaje svých zákazníků pro marketingové účely na základě souhlasu a oprávněného zájmu, avšak některé souhlasy nebyly v souladu s GDPR (nebyly svobodné, konkrétní ani jednoznačné), a tudíž byly neplatné. Zároveň docházelo k nadbytečnému zpracování osobních údajů (například rodná čísla, bankovní účty) a k jejich uchovávání po delší dobu, než bylo nezbytné, čímž byla porušena zásada minimalizace a omezení uložení vyplývající z GDPR.
Obchodní sdělení zasílaná e-mailem i SMS zprávami ze strany společnosti odpovídala zákonné definici obchodního sdělení, nicméně byla zasílána bez příslušného právního titulu a v některých případech (zejména u obchodních sdělení šířených ve prospěch třetích stran) nebyla uvedena totožnost odesílatele, což bylo v rozporu s § 7 odst. 4 ZSIS. U SMS zpráv navíc chyběla možnost snadného odhlášení, jelikož toto odhlášení neby lo přístupné například pro příjemce bez chytrého telefonu, což společnost během kontroly napravila doplněním telefonního kontaktu pro odhlášení. V případě zasílání elektronických sdělení adresovaných osobám, které nebyly zákazníky společnosti, nebyla navíc dána možnost odhlášení přímo příjemcům, čímž došlo k dalšímu porušení zákonných povinností.
Společnost podala proti protokolu o kontrole námitky, přičemž většina z nich byla zamítnuta. V roce 2025 tak bude vůči společnosti na základě zjištěných porušení vedeno správní řízení.
Obchodní sdělení nezamaskujete tím, že dáte do předmětu „zákaznický dotaz“
Zavádějící předmět sdělení
ÚOOÚ v loňském roce dále zahájil kontrolu u společnosti na základě 24 stížností na obchodní sdělení rozesílaná e-mailem. Tyto zprávy nabízely zprostředkování služeb či přivýdělek a obsahovaly odkazy na webové stránky propagující konkrétní služby. Zprávy tedy sloužily ke zcela jasné a přímé podpoře nabízených služeb, ačkoliv byl jejich předmět zavádějící a obsahoval slova jako „zákaznický dotaz“ nebo „dobrý přivýdělek“, a splňovaly tak definici obchodního sdělení dle ZSIS.
Společnost tvrdila, že probíhá převod projektů, a tedy i šíření obchodních sdělení, na slovenskou společnost. Ta ale popřela, že by služby spojené s daným projektem a doménou provozovala či rozesílala marketingové e-maily. V době šíření sdělení byla provozovatelem projektů i domén nadále původní (kontrolovaná) společnost, která však nedisponovala souhlasem příjemců sdělení. Sdělení dále nebyla zřetelně a jasně označena jako obchodní sdělení a u některých zpráv chyběla informace o totožnosti odesílatele, čímž došlo k porušení § 7 ZSIS. ÚOOÚ tedy zahájil vůči společnosti správní řízení a uložil jí sankci za uvedená porušení.
Podvodné zálohové faktury
Tato kontrola společnosti byla zahájena na základě 15 stížností na e-maily s přiloženými zálohovými fakturami, které vyzývaly k úhradě služby internetové prezentace. Tyto prezentace byly přílohou samotné emailové zprávy a vybízely k návštěvě webových stránek a k nákupu poskytované služby, a to zaplacením částky v přiložené faktuře. Šlo tedy o obchodní sdělení dle § 2 písm. f) ZSIS.
Společnost během kontroly s ÚOOÚ nespolupracovala, což vedlo k uložení pořádkové pokuty. Společnost nedoložila, že by disponovala souhlasem příjemců se zasíláním obchodních sdělení nebo že by se jednalo o její zákazníky. Zprávy dále nebyly zřetelně a jasně označeny jako obchodní sdělení. Společnost tedy porušila § 7 ZSIS a ÚOOÚ jí udělil sankci.
ÚOOÚ zároveň zahájil i další kontrolu na základě 256 stížností na elektronicky zasílaná obchodní sdělení obsahující zálohové faktury k zaplacení za nabízené služby spojené s reklamou na internetu. Sdělení obsahovala i upomínky či výzvy k zaplacení. Tyto zprávy byly ze strany ÚOOÚ vyhodnoceny jako obchodní sdělení dle ZSIS. Společnost v rozesílání sdělení a získávání e-mailových adres nadále pokračovala i během kontroly. Společnost tvrdila, že e-maily získává z veřejně dostupného portálu, jehož provozovatelem je jiná společnost, a že veškeré informace o podnikatelských subjektech jsou zveřejňovány se souhlasem právnických či podnikajících fyzických osob. Kontakty těchto osob však nejsou zveřejněny za účelem zasílání obchodních sdělení jinými subjekty, jak si mylně společnost vyložila. V podmínkách tohoto portálu je navíc výslovně uvedeno, že zveřejněné kontakty nesmějí být použity pro rozesílání obchodních sdělení.
Společnost tak porušila § 7 ZSIS, jelikož nedisponovala souhlasem příjemců, sdělení nebyla zřetelně a jasně označena a některá neobsahovala možnost odmítnutí zasílání sdělení. ÚOOÚ tak zahájil správní řízení, uložil společnosti sankci a zjištěné skutečnosti poskytl Policii ČR a Finančnímu analytickému úřadu pro podezření z dalších porušení.
Nejasný odesílatel
Kontrola další společnosti byla zahájena na základě 19 stížností na e-maily propagující zboží a vybízející k návštěvě e-shopu. Tyto zprávy sloužily ke zcela jasné a přímé podpoře zboží a e-shopu, a tedy odpovídaly definici obchodního sdělení dle ZSIS. Sdělení byla odesílána z různých e-mailových adres obsahujících různá doménová jména, jejichž držitelem byla jiná společnost. Chyběly tedy jasné informace o odesílateli, sdělení odkazovala pouze na webové stránky.
Kontrola tak byla zahájena s provozovatelem webových stránek, tedy e-shopu, na který obchodní sdělení odkazovala a v jehož prospěch byla odesílána. Kontrolovaná společnost neposkytovala žádnou součinnost, a proto jí byla uložena pořádková pokuta. ÚOOÚ tak požádal o informace k danému e-shopu poskytovatele hostingu. Z těchto informací ÚOOÚ zjistil, že šíření probíhalo ve prospěch kontrolované společnosti a že odesílatel je pro ÚOOÚ známý již z předchozích případů týkajících se obchodních sdělení.
ÚOOÚ při kontrole zjistil, že kontrolovaná společnost nedisponovala souhlasy příjemců, zprávy nebyly zcela zřetelně a jasně označeny a neobsahovaly údaje o odesílateli, čímž porušila § 7 ZSIS. ÚOOÚ tak zahájil společné správní řízení jak se společností, v jejíž prospěch byla sdělení zasílána, tak s odesílatelem a uložil jim příslušné sankce.
Nulová součinnost
ÚOOÚ zahájil kontrolu této společnosti na základě devíti stížností na e-maily s přiloženými zálohovými fakturami za marketingové služby, které zároveň odkazovaly na webové stránky propagující tyto služby. Zprávy jedno značně sloužily k podpoře podnikání společnosti, a byly tedy vyhodnoceny jako obchodní sdělení dle ZSIS. Společnost během kontroly neposkytovala ÚOOÚ žádnou součinnost, za což jí byla udělena pořádková pokuta.
Během kontroly bylo prokázáno, že kontrolovaná společnost byla jak v postavení subjektu, v jehož prospěch jsou obchodní sdělení zasílána, tak i faktickým odesílatelem, přičemž neprokázala, že by disponovala souhlasem příjemců se zasíláním těchto sdělení. Zaslané zprávy dále nebyly zřetelně a jasně jako obchodní sdělení označeny a neuváděly platné adresy, na které je možné přímo a účinně zaslat informaci o tom, že si příjemci nepřejí, aby jim byly obchodní informace nadále zasílány. Společnost tak porušila § 7 ZSIS a byla jí ze strany ÚOOÚ udělena sankce.
Pokutu dostanete i za nespolupráci s Úřadem
Kontakty z veřejného portálu
Také další kontrola byla zahájena na základě 48 stížností na e-maily s přiloženými zálohovými fakturami k zaplacení za nabízené služby, které též odkazovaly na webové stránky. Některá sdělení obsahovala informaci o splatnosti faktury, upozornění na prodlení splatnosti faktury, druhou připomínku splatnosti faktury či neuhrazení faktury. E-maily podporovaly podnikání společnosti, a byly tedy vyhodnoceny jako obchodní sdělení dle ZSIS.
Společnost získávala e-mailové adresy z veřejně dostupného portálu, stejně jako společnost z již výše zmiňované kontroly, ve které figuroval stejný jednatel. Podmínky portálu přitom výslovně zakazují využití kontaktů k rozesílání obchodních sdělení. V zasílání obchodních sdělení pokračovala společnost i v průběhu kontroly. Společnost opět nedisponovala souhlasy příjemců, zprávy nebyly zřetelně a jasně označeny a neobsahovaly informace o možnosti odmítnutí zasílání sdělení. Společnost se tak dopustila porušení § 7 ZSIS a ÚOOÚ jí udělil sankci.
Poučení z loňských kontrol
Z kontrol provedených ÚOOÚ v roce 2024 je zřejmé, že řada společností pořád nedodržuje zákonné povinnosti a zasílá obchodní sdělení v rozporu s právními předpisy, a to navzdory tomu, že se jedná o poměrně jasnou právní úpravu.
Nejčastěji se opakujícími problémy jsou v souvislosti se zasíláním obchodních sdělení zejména zneužívání takzvaných zálohových (proforma) faktur jako marketingového nástroje, šíření sdělení bez souhlasu příjemců či bez takzvané zákaznické výjimky a rozesílání zpráv, které postrádají zřetelné a jasné označení obchodního sdělení, identifikaci odesílatele či možnost snadného odmítnutí zasílání obchodních sdělení. V některých případech navíc společnosti pokračovaly v porušování i během samotné kontroly, což svědčí o zjevném ignorování zavedených pravidel.
Může se však stát, že letošní rok bude poslední, kdy pravidla podle ZSIS budeme řešit. Jak dobře víte, v Poslanecké sněmovně leží zákon o digitální ekonomice, který významně zvyšuje možné sankce (oproti stávajícím 10 milionům korun se jedná o pokutu kopírující GDPR – tedy 20 milionů eur nebo čtyři procenta celosvětového obratu). Uvidíme, jak potom k dané oblasti bude ÚOOÚ přistupovat.
Comments