Nejnovější kontroly ÚOOÚ v oblasti zasílání obchodních sdělení opět přinesly zajímavá zjištění. Jaký názor má Úřad na zákaznickou výjimku a double opt-in? ÚOOÚ si posvítil také na freemailové adresy i využívání affiliate partnerů. Za co padaly desetitisícové pokuty?
Situace s dodržováním zákonů v oblasti e-commerce dlouhodobě není zrovna příkladná a loňský rok v tomto nebyl výjimkou. V roce 2021 provedla Česká obchodní inspekce celkem 1 900 kontrol internetových obchodů, z nichž zjistila v celkem 1 288 případech porušení zákona. Mimo používání nekalých praktik stojí za 67,8 % porušení zákona neposkytování kompletních a komplexních informací o prodávaných výrobcích.
E-shopy však nedělají chyby jen v případě informování o reklamacích (celkem 740 případů) nebo o možnosti využít mimosoudní řešení sporů (celkem 534 případů), ale také při získávání právního titulu pro zasílání obchodních sdělení. Zde však končí pravomoc České obchodní inspekce a začíná práce pro ÚOOÚ. Ten nedávno zveřejnil závěry z celkem šesti kontrol v oblasti zasílání obchodních sdělení za minulý rok.
Závěry z kontrol ÚOOÚ v oblasti e-commerce jsou obzvláště zajímavé. V rámci obchodních sdělení se totiž stále setkáváme s různými mýty a nepřesnostmi, které pak podnikatelé velmi často opakují. V závěrech z kontrol z minulého roku ÚOOÚ znovu potvrdil své názory v oblasti double opt-in, freemailových adres a také zákaznické výjimky. Pojďme si dané případy rozebrat podrobněji.
Freemailové adresy vás neochrání
První z kontrol byla zahájena na základě celkem 19 stížností na obchodní sdělení, která obsahovala nabídky půjček a služeb bezpečného úložiště a odkazovala na webové stránky kontrolované osoby. Specifické pro tuto kontrolu bylo, že předmětná rozesílka probíhala dle slov ÚOOÚ ze smyšlených freemailových adres, jež byly založeny na zjevně neexistující osoby (mezi freemailovou službu můžeme počítat například seznam.cz, centrum.cz či gmail.com). Společné pro tyto e-mailové adresy bylo právě to, že odkazovaly na webové stránky kontrolované osoby, která jako argumentaci vůči ÚOOÚ použila tvrzení, že o předmětné rozesílce nic neví, nemá s ní nic společného a naopak že se ji snaží někdo poškodit.
ÚOOÚ v rámci součinnosti zjistil od společnosti Seznam.cz (tedy poskytovatele dotčených e-mailových adres, ze kterých rozesílka probíhala), že: „se jednalo o rozesílání skrze třetí stranu a že účty sloužily pouze jako příjemce případných odpovědí od entit, které spam obdržely“. Není od věci zmínit, že takovým jednáním došlo k porušení pravidel společnosti Seznam.cz, která předmětné e-mailové schránky následně zablokovala. Stránky, na něž bylo ve sdělení odkazováno, byly následně také zablokovány.
ÚOOÚ konstatoval, že i když nebyl zjištěn faktický odesílatel, je šiřitelem těchto obchodních sdělení kontrolovaná osoba, v jejíž prospěch byla sdělení zasílána. Kontrolovaná osoba s touto interpretací nesouhlasila a proti protokolu o kontrole podala námitky, jež však předseda ÚOOÚ zamítl. Dle jeho zjištění totiž kontrolovaná osoba svá tvrzení o možné třetí osobě, která se ji snaží poškodit, nijak nepodložila. Naopak předseda argumentoval tím, že ÚOOÚ eviduje stížnosti na jiné firmy, jež jsou spojeny se stejnou osobou jednatele kontrolované osoby či se stejným sídlem. ÚOOÚ pak v této věci zahájil správní řízení, o jehož konci nemáme žádné další informace.
ÚOOÚ vzal v potaz spamové pasti
V minulosti jsme se ve Zpravodaji věnovali otázce spamových pastí. Jedná se o zajímavé téma zejména z marketingového pohledu, neboť rozesílka do spamové pasti většinou vede k razantnímu snížení reputace, které může eskalovat i v nedoručitelnost e-mailů (k podrobnostem viz zmiňovaný článek). Nyní však toto téma nabylo i právního rozměru. ÚOOÚ v roce 2020 zařadil do kontrolního plánu předmětný e-shop z důvodu, že jeho domény se v posledních letech často objevovaly ve spamových pastech nastražených webovými stránkami dobryemail.cz. To je samo o sobě docela zajímavá informace s přihlédnutím k faktu, že se jedná o projekt soukromých osob. Podezření, že kontrolovaná osoba zasílala obchodní sdělení bez právního titulu, se však podle závěrů ÚOOÚ explicitně neprokázalo. Porušení zásady transparentnosti a pravidel pro ukládání cookies se však prokázala. Kontrolované osobě tak bylo po zamítnutých námitkách proti kontrolnímu protokolu uloženo pouze opatření k nápravě, které kontrolovaná osoba splnila.
Affiliate partneři a objektivní odpovědnost
Třetí kontrola zahájena na základě devíti stížností, jejímž předmětem byla obchodní sdělení, která se týkala nabídky respirátorů FFP2 a FFP3 a obsahovala odkaz na e-shop kontrolované osoby, kde byly výrobky nabízeny.
Právní zástupce kontrolované osoby však uvedl, že kontrolovaná osoba není odesílatelem nabídek, které navíc dle jeho slov ani nekorespondují se skutečnou nabídkou v e-shopu. Ačkoliv se kontrolovaná osoba cítila být rozesílkou poškozena, uvedla, že nelze vyloučit, že odesílatelem sdělení byl jeden z affiliate partnerů e-shopu. ÚOOÚ pak nebyl schopen zjistit, kdo je skutečným odesílatelem, a proto se zaměřil na osobu, v jejíž prospěch byla obchodní sdělení odesílána – tedy kontrolovaný e-shop. Po zamítnutí námitek předsedou ÚOOÚ byla e-shopu uložena sankce 50 tisíc korun.
ÚOOÚ k tomu uvedl následující doporučení: „Úřad v této souvislosti opětovně vyzývá podnikatele, kteří chtějí své produkty a služby propagovat prostřednictvím affiliate partnerů, třetích osob apod., aby si vždy tyto partnery důkladně prověřili. Důležité je taktéž vědět, zda adresáti obchodních sdělení udělili pro taková zasílání souhlas. Hlavním důvodem je, že společnosti, v jejichž prospěch jsou obchodní sdělení odesílána, mají objektivní odpovědnost za předmětné šíření obchodních sdělení prováděné jinou osobou. Tedy i tyto společnosti musí být schopny doložit souhlasy adresátů obchodních sdělení, nebo musí být schopny zajistit tyto souhlasy prostřednictvím společnosti, která obchodní sdělení fakticky odeslala.“
A právě existenci této objektivní odpovědnosti byste měli mít na paměti. Ve vztahu k affiliate partnerům je to relativně jednoduché – pokud tuto prodejní techniku využíváte, dbejte na to, aby vaše smluvní podmínky s affiliate partnerem regulovaly, jak on sám může či nemůže nakládat s osobními údaji, zejména v případě propagace vašich produktů či služeb.
Proč využívat double opt-in
Antigenní testování v jeden okamžik bezesporu patřilo k nejvyhledávanějším heslům na internetu. Na základě osmi stížností ÚOOÚ zahájil kontrolu počínání jednoho e-shopu s antigenními testy, na jehož stránky odkazovalo několik obchodních sdělení zasílaných z freemailových účtů jako je seznam.cz, centrum.cz a gmail.com.
Bez double opt-in těžko doložíte udělení souhlasu
Oproti předchozím případům však kontrolovaná osoba přiznala, že je faktickým odesílatelem sdělení a že byla zasílána na základě přihlášení k odběru newsletteru. Sama kontrolovaná osoba však nepoužívala double opt-in, ale pouze obyčejný formulář s přihlášením k odběru. Po vyplnění formuláře došlo rovnou k zapsání do databáze, nikoliv však k zaslání potvrzujícího e-mailu (double opt-in). Sama kontrolovaná osoba prokazovala udělený souhlas tím, že nechala ÚOOÚ nahlédnout do databáze s údaji o čase, kdy byla e-mailová adresa vyplněna do formuláře. Stěžovatelé však odmítli, že by se kdy prostřednictvím tohoto formuláře přihlašovali k odběru.
ÚOOÚ k tomu uvedl následující: „S ohledem na skutečnost, že při provedení registrace není vyžadováno žádné potvrzení zadávaných údajů, konstatoval Úřad, že kontrolovaná osoba nedoložila a tedy neprokázala, že získala souhlas se zasíláním obchodních sdělení od uživatelů předmětných e-mailových adres, na které následně obchodní sdělení odeslala.“
Kontrolovaná osoba tak nesplnila jednu ze svých povinností – doložení souhlasu. Za to jí byla vyměřena sankce ve výši 25 tisíc korun. ÚOOÚ k tomu pak ve svém doporučení uvedl následující: „V kontextu práva na ochranu osobních údajů je souhlas platný pouze tehdy, pokud jsou splněny všechny jeho požadavky. Povinností správce je tedy prokázat, že subjekt údajů udělil souhlas se zpracováním svých údajů.“ Stále se tak ukazuje, že bez double opt-in je velmi těžké prokázat, že došlo ke splnění právních povinností.
Nakupování databází
Obchodní sdělení, která se týkají antigenních testů, zasílala i další kontrolovaná osoba, což se nelíbilo celkem 11 stěžovatelům. Proč došlo k rozesílce na kontakty osob, které k tomu nedaly souhlas, vysvětluje ÚOOÚ takto: „Kontrolovaná osoba uvedla, že v dané době měla přístup ke zboží (antigenní testy a respirátory), které bylo pro danou dobu potřebné. Z tohoto důvodu a také z neznalosti marketingového prostředí zakoupila databázi kontaktů, na jejichž část provedla rozesílku předmětných obchodních sdělení, aniž by disponovala souhlasem adresátů s tímto zasíláním. Po zjištění samotného problému a informování od Úřadu v rámci probíhající kontroly byla veškerá aktivita zastavena.“
Zcela jednoznačně tak došlo k porušení zákona, neboť kontrolovaná osoba nedisponovala právním titulem k tomu, aby takto mohla postupovat. Za to jí byla uložena pokuta ve výši 30 tisíc korun.
Dotazník spokojenosti
Další e-shop, který odesílal obchodní sdělení, pochybil v oblasti dotazníku spokojenosti a předzaškrtnutého souhlasu. ÚOOÚ se do dané kontroly pustil poté, co obdržel celkem čtyři stížnosti. Zajímavé je, že ÚOOÚ provedl nedokončený zkušební nákup, u něhož si ověřil, jak předmětný e-shop přistupuje k získání právního titulu. Díky tomu pak odhalil celkem dvě zásadní pochybení.
První spočívalo v tom, že u předmětného formuláře byl sice checkbox pro udělení souhlasu se zasíláním obchodních sdělení, nicméně toto políčko bylo předzaškrtnuté. Takto získané souhlasy však rozhodně nejsou svobodné ani jednoznačné. Druhé pochybení spočívalo v tom, že v případě zasílání dotazníku spokojenosti „společnost neumožnila dopředu zasílání obchodních sdělení odmítnout, a to ani v procesu prováděné objednávky, ani v samotných hodnotících dotaznících“.
ÚOOÚ k tomu vydal následující doporučení, v němž jsou zajímavé zejména dvě poslední věty, kterým bychom měli věnovat pozornost: „Pokud společnosti získávají osobní údaje v souvislosti s nákupem jejich zboží či služeb a následně na tyto kontakty zasílají obchodní sdělení, činí tak na základě oprávněného zájmu (tedy bez nutnosti získávat souhlas), a to v souladu s ustanovením § 7 odst. 3 zákona č. 480/2004 Sb. V tomto případě je však zapotřebí dodržet i další podmínku uvedenou v tomto ustanovení, a sice umožnit kupujícímu dopředu zasílání obchodních sdělení na jím uváděné elektronické údaje odmítnout. Uvedené lze provést například vytvořením samostatného pole pro odmítnutí využití kontaktních údajů pro účely zasílání obchodních sdělení v procesu objednávky. Zaškrtnutím takto vytvořeného políčka by byla projevena vůle do budoucna toto zasílání odmítnout. Opětovný nákup pak na této situaci nic nemění. Pokud by chtěl zákazník, aby mu byla obchodní sdělení znovu zasílána, musí k tomu udělit souhlas.“
Interpretace ÚOOÚ v tomto případě přináší poměrně zajímavý pohled na to, jak přistupovat k zákazníkovi, který nám jednou vyloučil zákaznickou výjimku. To si však zaslouží podrobnější analýzu.
Jak se vyvarovat chyb
Oblast zasílání obchodních sdělení je jednou ze stěžejních oblastí marketingu, přičemž při jejich rozesílce lze evidentně udělat spoustu chyb. Některých se lze vyvarovat jednoduše, například tím, že nebudeme nakupovat databáze či že správně nastavíme formuláře sběru osobních údajů. Některým chybám se tak snadno nevyhneme – například nemáme kontrolu nad tím, zda v náš prospěch náhodou někdo bez našeho svolení nezasílá obchodní sdělení, zejména proto, že může mít provize z affiliate programu. V každém případě ten, kdo poctivě čte Zpravodaj, by měl být na všechny situace připraven.
Článek byl publikován v Elektronickém zpravodaji pro pověřence
Comments