Od Nového roku je účinná novela zákona o elektronických komunikacích. Co to znamená pro telemarketing? Můžete vytvářet databáze kontaktů z webových stránek? A co firemní telefonní čísla? Nový výklad ČTÚ ve spojení s ÚOOÚ přináší překvapivé odpovědi.
Pokud pravidelně čtete Zpravodaj, určitě vám neušla novelizace zákona o elektronických komunikacích, která se dotkla nejen cookies, ale i telemarketingu. Ostatně část, která se týkala telemarketingu, konkrétně seznamu účastníků, byla důvodem, proč se předmětná novela zdržela u Senátu.
Novela ZEK vs. GDPR
Předmětná novela vzbuzovala poměrně dost otazníků. Nejdůležitější byla otázka, jaký je vztah mezi novelizovaným zákonem o elektronických komunikacích a GDPR. Objevilo se několik výkladů. Některé z nich byly poměrně těžkopádné a velmi složitě rozšiřovaly působnost omezení telemarketingu i na situace, které nutně nesouvisejí s účastnickými seznamy (například telefonováním svým zákazníkůma podobně). Ostatní, o něco opatrnější, se snažily najít cestu, jak uplatnit souběžně oba přístupy.
Naštěstí nám na konci minulého roku část odpovědí nabídlo výkladové stanovisko Českého telekomunikačního úřadu, na kterém se podílel i ÚOOÚ. V tomto článku rozebereme nejdůležitější část tohoto výkladového stanoviska a odpovíme na otázku, jak tato novela skutečně zasahuje do stávajících operací zpracování.
Obsah výkladového stanoviska
V první řadě doporučujeme si patnáctistránkové výkladové stanovisko pozorně přečíst. Ačkoliv jste spoustu informací mohli získat již ze stránek našeho Zpravodaje, výkladové stanovisko obsahuje odpovědi na konkrétní otázky. V tomto článku tedy přeskočíme část, která se týká změny režimu účastnických seznamů (z opt-out na opt-in), a to včetně vysvětlení účelu předmětné novely, otázek týkajících se tvorby účastnických seznamů a přidávání samotných účastníků – pro připomenutí si případně můžete přečíst článek Sněmovna schválila zásadní změny pro cookies i telemarketing. Podíváme se rovnou na tu nejdůležitější otázku – jak novela zasáhne námi vytvořenou databázi.
Kontakty z internetových stránek
Pokud nalistujeme devátou stránku předmětného výkladového stanoviska, narazíme na odpověď na dotaz č. 6, kde ČTÚ a ÚOOÚ vlastně zodpověděly většinu otázek, které jsme do tohoto okamžiku měli. Tedy téměř. Tazatel nastínil postup společnosti, která prostřednictvím vyhledávání na webových stránkách sbírá telefonické a e-mailové kontakty. Na kontakty z této databáze pak společnost zavolá a zeptá se na souhlas s marketingovým oslovováním (a to buď formou přímo po telefonu, prostřednictvím SMS double opt-in, či zasláním odkazu na nastavení souhlasu).
Dlužno dodat, že tato situace je v rámci firem poměrně běžná, nicméně příchod novely zákona o elektronických komunikacích s sebou přinesl zásadní otázku. Pokud tato novela dopadá nejen na účastnické seznamy, ale i na náhodně generovaná čísla, nevztahuje se i na získávání osobních údajů z internetových stránek uživatelů, účastníků či subjektů údajů?
Novela se nevztahuje na kontakty zveřejněné samotným subjektem údajů
Odpověď je jednoznačná – nevztahuje. ČTÚ a ÚOOÚ v rámci odpovědi uvádí, že „na kontaktní údaje zveřejněné samotným subjektem údajů se předmětná právní úprava zákona o elektronických komunikacích nevztahuje a bude potřeba ve vztahu k takovému zveřejněnému kontaktu posuzovat, k čemu takový kontakt slouží (zda například není u takového kontaktu uveden specifický účel jeho použití) a zda jeho použitím nedochází k porušování pravidel obsažených v jiných právních předpisech (obecné nařízení o ochraně osobních údajů a tak dále)“.
Dopady této odpovědi jsou poměrně zajímavé. Jak již bylo zmíněno, dle § 95 odst. 5 zákona o elektronických komunikacích se za účastnický seznam považují i náhodně vygenerovaná telefonní čísla. Důvod? Zákonodárci se snažili omezit praktiku, kdy různá call centra obvolávala uživatele a na jejich otázku: „Kde jste vzali moje číslo?“ s falešným pocitem, že jim pak nehrozí žádný postih v oblasti ochrany osobních údajů, odpovídala: „Vaše číslo bylo náhodně vygenerováno.“ Za tímto účelem zákonodárci zavedli poměrně vysoké sankce a rozšířili působnost i na náhodně generovaná čísla.
Jak se tedy této sankci call centra (zejména v rámci podnikatelského segmentu) vyhnou? Jednoduše – v lepším případě budou tvrdit, že na předmětná čísla narazili na webových stránkách, v horším případě si čísla skutečně vygooglují a přesvědčí se, že jsou na internetových stránkách různých společností skutečně zveřejněná.
Než se však začnou všichni radovat, že se jim podařilo předmětné ustanovení novelizovaného zákona obejít a můžou pokračovat ve výše zmíněných činnostech, měli by myslet na několik důležitých věcí. Předně – tvorba databáze kontaktních údajů z internetových stránek a veřejných zdrojů je zpracováním osobních údajů, o které se ÚOOÚ v minulosti přinejmenším otřel. Dále nesmíme zapomenout (ostatně i na to upozorňuje předmětné stanovisko), „že i žádost o souhlas se již za obchodní sdělení považuje“. To dopadá na zasílání e-mailů, ale i SMS na předmětná čísla.
Osobní údaje právnických osob
Výkladové stanovisko také upozorňuje na jednu věc, která může být relativně ošemetná. ČTÚ (respektive v této části předpokládáme, že spíše ÚOOÚ) upozorňuje na to, že informace o právnické osobě obecně nepožívají ochrany GDPR, a to dle bodu 14 odůvodnění GDPR, který stanovuje, že „toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby“.
Ačkoliv se v tomto bodě s ÚOOÚ nemůžeme přít (nota bene pokud se jedná o přímou citaci GDPR), aplikační důsledek je možná trochu jiný, dokonce užší, než se na první přečtení může zdát. Je sice pravda, že právnická osoba (stejně jako zemřelá fyzická osoba) nepožívá ochrany GDPR, nicméně živé, fyzické osoby této ochrany požívají, a to nejen v rámci svého soukromého života, ale i v rámci pracovního života.
Není to tedy tak, že by po příchodu do práce vedoucí výroby pozbýval svých práv na ochranu soukromí a musel zvedat každý telefon s marketingovou nabídkou jen proto, že je jeho číslo jakožto kontakt na vedoucího výroby spolu se jménem umístěno na internetové stránce kontaktů právnické osoby. Naopak. Již dobře víte, že definice osobních údajů je postavena na objektivním pojetí a že osobními údaji je vše, co vede k identifikaci fyzické osoby či co o identifikované osobě již evidujeme (k tomu viz blíže strana 12, otázka č. 5 stanoviska). Je tedy evidentní, že situace, kdy kontaktní údaj nebude patřit žádné fyzické osobě a vyhneme se tak jakékoliv legislativě na poli ochrany osobních údajů, nastane v praxi jen zřídka. Ještě méně častá je navíc využitelnost této skutečnosti v rámci marketingu.
Literatura za kontaktní údaje právnické osoby považuje zpravidla adresu, obecnou e-mailovou adresu jako info@spolecnost.cz (na tu však naplno dopadá úprava týkající se obchodních sdělení) či obecné telefonní číslo (tedy zjednodušeně řečeno číslo, které zjevně není spojeno s konkrétní fyzickou osobu, ale směřuje například na recepci či vrátnici).
S tím jsou spojené přinejmenším dva konkrétní problémy. Pokud chceme telefonní číslo používat pro účely obvolávání, jak zajistíme, že nedojde k přiřazení daného čísla ke konkrétnímu člověku? Tedy jak zajistíme, že nebudeme k danému číslu evidovat informace, jako například komu patří, jak danou osobu oslovovat, popřípadě další informace, které nám pomůžou zlepšit úspěch našich marketingových telefonátů? Druhá otázka je ještě více praktická – k čemu nám vlastně takové navolávání náhodné osoby pomocí kontaktních údajů právnické osoby bude? Jistě, můžeme si zavolat o souhlas, abychom už napříště mohli obvolávání spustit naplno. Jenže pokud na nějaké číslo voláme s cílem získat od konkrétní fyzické osoby souhlas, abychom ji nadále mohli kontaktovat, nejedná se už o zpracování osobních údajů?
Nezapomeňte na další podmínky GDPR
Celé stanovisko rozhodně stojí za přečtení. Kromě případu uvedeného pod otázkou č. 6 stojí za zmínku i otázka č. 2 na stránce 11. V souvislosti s novelou jste se mohli dočíst, že nová právní úprava brání navolávání na základě oprávněného zájmu, což ÚOOÚ a ČTÚ nepotvrzují, respektive naopak sdělují, že na tyto situace novela nedopadá. Na stejném místě je popsán i samotný vztah mezi GDPR a zákonem o elektronických komunikacích: „Zákazníka lze tedy oslovit, pokud má podnikatel jakýkoliv jiný individuální souhlas s kontaktováním, a to i přes to že, tento ve veřejném seznamu uvedl, že si nepřeje být kontaktován za účelem marketingu. Účastník nemusí odmítnout kontaktování za účelem marketingu, i když předtím v účastnickém seznamu neuvedl, že si přeje být kontaktován (tedy presumuje se, že si účastník nepřeje být kontaktován). V takovém případě by současně ale nemohl účastník tvrdit, že byl obtěžován kontaktováním za účelem marketingu.“
Při čtení daného stanoviska je však třeba si dát pozor na to, jak odpovědi úřadů interpretujeme. Stanovisko se totiž týká primárně novely v oblasti telemarketingu. To, že v této oblasti něco není zakázáno, ještě neznamená, že na to nedopadají obecné podmínky ochrany osobních údajů. Jak totiž uvádí úřady v daném stanovisku: „Pokud je využívána určitá interní databáze kontaktů, je potřeba na její vytváření a nakládání s údaji v ní obsaženými respektovat pravidla stanovená obecným nařízením o ochraně osobních údajů.“
Článek byl publikován v Elektronickém zpravodaji pro pověřence
Kommentarer