V oblasti nevyžádaných obchodních sdělení se ÚOOÚ v minulém roce opět činil. Padaly desetitisícové až čtvrtmilionové pokuty. Znovu se ukázalo, že rozesílat nabídky na vaše zboží bez souhlasu se nevyplatí. Pokutě se navíc nevyhnete, ani když dobře skryjete odesílatele.
Ze závěrečné zprávy ÚOOÚ v roce 2020 vyplývá, že téměř 30 procent stížností, které Úřad obdržel, směřovalo proti zasílání obchodních sdělení a telemarketingu. Tímto spamem se tak ÚOOÚ v rámci své kontrolní činnosti zabýval i v prvním pololetí roku 2021.
Kontrolám se nevyhnuly klasické e-shopy ani prodejci ochranných prostředků proti covidu-19, kteří mnohdy zvolili nezákonné praktiky, aby zvýšili své prodeje. Velmi často se ochrana proti spamu vnímá jako doména B2C obchodu. Tento článek vás však jistě přesvědčí, že se nevyhýbá ani B2B.
Nabídky „výhodného“ nákupu
První kontrola (ÚOOÚ-01976/20) byla zahájena na základě 75 stížností. Dotyčné obchodní sdělení nabízelo různé spotřební zboží s odkazy na internetové stránky e-shopů. Odesílající domény často ani nefungovaly jako webové stránky a v čase se měnily. Dle ÚOOÚ však byla sdělení vždy tvořena určitým souslovím evokujícím výhodný nákup. Provozovatelem e-shopů, které zasílaná obchodní sdělení propagovala, byla z větší části kontrolovaná osoba, z menší části (u obchodních sdělení zasílaných později) šlo o další společnost, která daný e-shop provozovala po kontrolované osobě.
Všechny tyto společnosti měly další spojitost – osobu statutárního orgánu, respektive jednatele, který byl pro všechny totožný. Za faktické odesílatele pak byly Úřadem označeny další tři společnosti, jelikož na ně byla registrována odchozí doménová jména a v některých obchodních sděleních byly též uváděny jako odesílatelé. Kontrolovaná osoba zprvu dostala pokutu ve výši 50 tisíc korun, neboť neposkytla potřebnou součinnost. Následovala pak další pokuta ve výši 100 tisíc korun. Dalším třem společnostem, které ÚOOÚ považoval za faktické odesílatele, udělil pokuty 100 tisíc korun, 25 tisíc korun a 20 tisíc korun.
Omluva před pokutou neochrání
Druhá kontrola (ÚOOÚ-02478/20) byla zahájena na základě 36 stížností, které směřovaly proti nabídce online seminářů a webinářů z oblasti daní a účetnictví. Obchodní sdělení byla zasílána v průběhu šesti měsíců z adresy accontconsulting.cz, a to na adresy, které kontrolovaná osoba vyhledávala na internetu, konkrétně na stránkách seznam.cz.
Dle kontrolované osoby došlo k zahrnutí těchto adres do databáze „chybou při aktualizaci systému“. Kontrolovaná osoba adresátům zaslala omluvu a následně adresy smazala. To ji však neuchránilo před pokutou 80 tisíc korun, kterou jí za to ÚOOÚ udělil.
Nespolupracuješ? Zaplatíš
Celkem 52 stížností za období od února 2020 do ledna 2021 spustilo kontrolu (ÚOOÚ-01100/20) společnosti, v jejíž prospěch byla zasílána obchodní sdělení na propagaci výrobků z jejího e-shopu, mezi které patří například roušky, respirátory a podobné zboží.
Úřad nejprve zahájil „předkontrolu“ pro určení odesílajících osob, jimiž byla v jednom případě kontrolovaná osoba a ve dvou dalších případech zahraniční osoby, jejichž totožnost se Úřadu nepodařila zjistit. Všechna obchodní sdělení však byla zasílána ve prospěch kontrolované osoby, proto si ÚOOÚ vystačil s ní.
Kontrolovaná osoba argumentovala tím, že se jednalo o pochybení jejích affiliate partnerů, souhlasy však nedoložila a přestala s Úřadem komunikovat, za což si vysloužila sankci za neposkytnutí součinnosti ve výši 50 tisíc korun. Kontrolovaná obchodní sdělení pak trpěla dalšími vadami, zejména tím, že nebyla označena jako obchodní sdělení a taktéž neuváděla totožnost odesílatele, respektive osoby, v jejíž prospěch se obchodní sdělení zasílají. Proti pravomocnému rozhodnutí byl však podán rozklad, na informace o řízení si tedy ještě počkáme.
Legislativa upravující obchodní sdělení se vztahuje i na SMS
SMS obchodní sdělení
Legislativa, která se vztahuje k zasílání obchodních sdělení, platí i pro zasílání SMS. O tom se přesvědčila i obchodní společnost, která byla na základě jedenácti stížností podrobena kontrole ze strany ÚOOÚ. Kontrolovaná osoba zasílala prostřednictvím e-mailu i SMS sdělení, která obsahovala konkrétní nabídky elektronického zboží či nábytku a slevy společně s odkazem na webové stránky kontrolované osoby a dále sdělení obsahující informace z návštěv jednotlivých prodejen, která rovněž jednoznačně evokovala potenciální možný nákup zboží a odkazovala na stránky.
Kontrolované osobě byla udělena pokuta ve výši 20 tisíc korun za to, že pochybila při sběru osobních údajů (konkrétně absence souhlasu u osmi stěžovatelů), i za neoznačení totožnosti odesílatele v e-mailových zprávách. S ohledem na omezený formát SMS se ÚOOÚ spokojil s tím, že označení webových stránek kontrolované osoby je v tomto případě dostačující. Jako poslední pochybení ÚOOÚ uvedl extenzivní uchovávání osobních údajů i po podané námitce proti zpracování na základě oprávněného zájmu pro účely přímého marketingu.
Nabídka registrace domény
Celkem šestnácti stěžovatelům se nelíbila nabídka na registraci doménových jmen, kterou obdrželi e-mailem od obchodní společnosti. Úřad této osobě udělil pokutu ve výši 50 tisíc korun.
V rámci kontroly totiž zjistil, že odesílající doména je registrována na zahraniční společnost v Nizozemsku a odesílající IP adresy v USA. Ačkoliv se tedy ÚOOÚ nepodařilo zjistit konkrétního odesílatele, spokojil se s tím, že sdělení byla zasílána ve prospěch kontrolované osoby. ÚOOÚ pak konstatoval, že nebyly dodrženy ani podmínky pro získání souhlasu, ani tato sdělení nebyla zřetelně označena jako obchodní.
Čtvrt milionu za opakovaný přestupek
O tom, jak osm stížností na zasílání obchodních sdělení dokáže pokazit den, se přesvědčila společnost, která obchoduje se zbožím pro školy či firmy. Ta totiž zasílala obchodní sdělení na uvedené zboží, včetně odkazu na internetové stránky.
Kontrolovaná osoba (ÚOOÚ-01260/21) uvedla, že daná obchodní sdělení odeslala a že ani jeden z kontaktů nebyl jejím klientem. K dané rozesílce uvedla, že začala využívat placenou službu pro odesílání obchodních sdělení, přičemž „měly být využity pouze vlastní kontakty ze zákaznické databáze (čítající zhruba jedenáct tisíc obchodovatelných subjektů), nicméně došlo zřejmě ke smísení nově získaných kontaktních údajů s kontakty původními“.
Danou kontrolovanou osobu ovšem ÚOOÚ neřešil poprvé, a proto jí uložil sankci 250 tisíc korun. Již v minulosti ji upozorňoval, aby zasílala obchodní sdělení jen svým zákazníkům (popřípadě disponovala souhlasem). Vzhledem k tomu, že drtivá většina obchodních sdělení ani neobsahovala odkaz (nebo jiný způsob) pro odvolání souhlasu, byla sankce prakticky nevyhnutelná (ačkoliv v tomto případě se ÚOOÚ nepodařilo prokázat, zda pro odvolání nebyla funkční alespoň odesílající adresa).
Neznámí odesílatelé a pokuta tři sta tisíc
Celkem 300 tisíc korun musela (respektive by měla) ÚOOÚ zaplatit kontrolovaná osoba (ÚOOÚ-03912/20), která zasílala nabídku spotřebního zboží a odkazy na různé e-shopy adresátům, z nichž 75 se vůči tomu ohradilo a podalo stížnost.
Za obchodní sdělení odpovídá ten, kdo má z jejich šíření fakticky prospěch
Odesílající doménová jména ani IP adresy se ÚOOÚ ve většině případů nepodařilo spojit s konkrétními osobami. Výjimkou bylo sedm sdělení, kde se Úřadu podařilo ukázat prstem na konkrétní společnost, která provozovala i e-shopy, na něž obchodní sdělení odkazovala. Protože osoba neposkytla součinnost, udělil jí ÚOOÚ pokutu 100 tisíc korun. Zbývajících 200 tisíc byla pokuta za to, že kontrolovaná osoba (v rámci objektivní odpovědnosti) nedoložila ani souhlasy, ani nebyly splněny další podmínky (zejména informace o totožnosti odesílatele a podobně). Úřad následně musel pokuty předat k vymáhání příslušenému celnímu orgánu, neboť sankce nebyla zaplacena dobrovolně.
Ke kontrole stačily tři stížnosti
Asi nejsmolnější byla kontrola e-shopu (ÚOOÚ-03120/19), kterou Úřad zahájil v souvislosti s třemi podanými stížnostmi na dodržování antispamových pravidel. ÚOOÚ se totiž do této společnosti pustil i z pohledu ochrany osobních údajů (tedy nejen legislativy týkající se zasílání obchodních sdělení) a vzal předmětnou kontrolu pořádně od podlahy.
ÚOOÚ se nelíbila spousta věcí od sběru po označení sdělení. Předně nebyl spokojený se způsobem odběru souhlasu, informace byly totiž subjektu údajů poskytovány v různých částech dokumentace (nejčastější nešvar vzorových zásad zpracování). „Pro roztříštěnost úpravy je pro subjekt údajů netransparentním,“ prohlásil Úřad. Nezamlouvalo se mu ani to, jak kontrolovaná osoba poskytuje další informace.
Nejzajímavější je však to, že ÚOOÚ se nepřímo dotkl i cookies. Ačkoliv (jak již bylo zmíněno v předchozích článcích Zpravodaje) se Úřad nepouštěl do pokutování způsobu sbírání souhlasu s ukládáním cookies, neznamená to, že tuto oblast opustil úplně. V tomto případě se totiž ÚOOÚ nelíbilo, že kontrolovaná osoba neposkytovala informace o tom, komu jsou cookies (respektive údaje z cookies) předávány, ale ani o jejich době uložení.
Pokut je čím dál víc…
SMS, B2B business, stahování e-mailů ze seznamu.cz – to vše se neobešlo bez pokuty ze strany ÚOOÚ. Zasílání obchodních sdělení není z právního hlediska až taková věda, stále se však potkáváme s případy, kdy se různé společnosti snaží předmětnou legislativu obcházet. ÚOOÚ však přestává dělat ústupky a přistupuje k sankcím i v případech, kdy si kontrolované osoby sypou popel na hlavu. Kdo je připraven, není překvapen.
Článek byl publikován v Elektronickém zpravodaji pro pověřence