Vláda chystá nový zákon o digitální ekonomice, který by měl nahradit současnou právní úpravu rozesílky obchodních sdělení. Zásadním způsobem ovlivní pravidla využívání zákaznické výjimky. Jaké budou dopady do praxe?
Možná to nebude trvat dlouho a budeme muset dát sbohem zákonu č. 480/2004 Sb., o některých službách informační společnosti. Tento zákon by měl být totiž v nejbližší době nahrazen zákonem o digitální ekonomice, jejž bude vláda brzy obhajovat v rámci Poslanecké sněmovny. Nový zákon, který bude blíže adaptovat poslední nařízení EU o správě dat a o digitálních službách, vezme pod svá křídla i právní úpravu rozesílky obchodních sdělení, v plánu je tak i oprava jednoho letitého problému, který mnoha odborníkům komplikoval život.
Původní právní úprava
Úprava rozesílky obchodních sdělení není národním vynálezem, ale implementací pravidel z notoricky známésměrnice ePrivacy, jež byla postupně zahrnuta do vícero zákonů. Směrnice v rámci čl. 13 přikazovala členským státům EU, aby ve svých zákonech přijaly legislativu, která měla bránit nevyžádaným obchodním sdělením. Za tím účelem stanovovala dvě výjimky, za kterých lze elektronický kontakt pro takovou operaci zpracování využít pro účely přímého marketingu. Souhlas byl jednou z nich. Druhou možností bylo využití takzvané zákaznické výjimky, již směrnice ePrivacy zakotvila následovně ve svém čl. 13 odst. 2: „Bez ohledu na odstavec 1, pokud fyzická nebo právnická osoba získává od svých zákazníků podrobnosti jejich elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.“
A právě předmětná textace působila, byť spíše v akademické rovině, obtíže.
Zákaznická výjimka = oprávněný zájem, nebo souhlas?
Příchod GDPR
S příchodem GDPR se totiž otevřela diskuse (s relativně velkým zpožděním) o povaze právního titulu takzvaného oprávněného zájmu správce, jejž rozeznávala i směrnice o ochraně osobních údajů a potažmo i zákon o zpracování osobních údajů, než byl v souvislosti s příchodem GDPR nahrazen.
V rámci různých auditů se tak otevírala otázka, zda zákaznická výjimka dle § 7 odst. 3 ZSIS je svou povahou oprávněným zájmem či naopak souhlasem. GDPR totiž na několika místech oprávněný zájem předurčilo pro takové operace zpracování, jež se týkají přímého marketingu (viz například bod odůvodnění čl. 47 či námitka v rámci čl. 21 GDPR). Jenže ZSIS jakožto diskutovaný lex specialis (viz čl. 95 GDPR) obsahoval samostatnou úpravu, která explicitně hovoří o souhlasu, ale v souvislosti se zákaznickou výjimkou naopak o „nesouhlasu“, viz například § 7 odst. 3 ZSIS: „(…) nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl“, či čl. 13 odst. 2 směrnice ePrivacy „(…) že je zákazníkům jasně a zřetelně poskytnuta možnost zdarma a jednoduchým způsobem nesouhlasit s takovým využitím podrobností jejich elektronického kontaktu v době, kdy se shromažďují, a při zasílání každého jednotlivého sdělení, pokud zákazník původně toto využití neodmítl“.
Toto téma tak otevřelo mnohdy nekonečné debaty o významu směrnice ePrivacy a ZSIS na straně jedné a požadavků na souhlas, které přinesl čl. 7 GDPR, na straně druhé. Ústředním tématem těchto diskusí bylo to, zda se formalistně držet textace směrnice ePrivacy a ZSIS, které hovoří o zákaznické výjimce jako specifické podobě souhlasu, jenž je vlastně udělován implicitně a spíše umožňuje subjektům údajů projevit „nesouhlas“, nebo zda přehlížet černé na bílém, a jakkoliv zákon něco označuje za souhlas (respektive za nesouhlas), ve skutečnosti se jedná o právní titul oprávněného zájmu. Projevený nesouhlas tak ve skutečnosti znamenal uplatnění námitky dle čl. 21 GDPR, kterou notabene GDPR pro účely přímého marketingu deponuje (viz čl. 21 odst. 2 GDPR). Ustanovení čl. 7 GDPR totiž umožňuje všechno, jen ne udělení implicitního souhlasu.
V rámci předmětných diskusí zpravidla vyhrál ten, který udělal krok navíc a nahlédl do anglické jazykové verze směrnice ePrivacy. Ta má totiž v této věci poněkud jiný význam. V čl. 13 odst. 2 originálního znění směrnice ePrivacy místo pojmu „možnost nesou hlasit“ najdeme „opportunity to object“. A právě „opportunity to object“ po mohlo prostřednictvím čl. 21 GDPR najít souvislost s oprávněným zájmem spíš než se souhlasem – právo podat námitku totiž v originále zní jako „right to object“. V daný okamžik tak začne převládat argumentace, která se upíná sice k požadavkům směrni ce ePrivacy, ale tak, jak jsou popsány v originále předmětného dokumentu. Tyto diskuse už by však brzy mohly být jednou provždy vyřešené.
Nová právní úprava
Jak bylo nadneseno výše, zákonodárce brzo (pravděpodobně) přijde s novou verzí předmětných povinností, kde tento dlouholetý problém částečně narovnává. Zákon o digitální ekonomice by totiž měl v § 8 obsahovat následující ustanovení (viz box).
(1) Získal-li podnikatel od svého zákazníka v souvislosti s prodejem výrobku nebo služby jeho adresu pro doručování elektronické pošty, smí ji využít pro šíření obchodních sdělení týkajících se dalšího jím nabízeného obdobného výrobku nebo služby elektronickými prostředky pouze za předpokladu, že a) zákazník při poskytnutí adresy pro doručování elektronické pošty proti takovému využití nevznesl námitku, ačkoliv mu podnikatel umožnil tak učinit zdarma, jednoduchým a srozumitelným způsobem, b) zákazník může kdykoliv zdarma, jednoduchým a srozumitelným způsobem vznést námitku proti využití své adresy pro doručování elektronické pošty, a to i v případě zaslání každé jednotlivé zprávy, a c) od zaslání posledního obchodního sdělení zákazníkovi uplynul nejvýše jeden rok. |
Jak je vidět výše, zákonodárce opouští dosavadní nevyjasněnou terminologii a celou diskusi o povaze „ne souhlasu“ hází za hlavu tím, že ve svém textu (viz ust. § 8 odst. 1 písm. a) a písm. b)) nyní operuje explicitně s námitkou. V rámci důvodové zprávy k tomu předkladatel návrhu zákona doplňuje následující vysvětlení: „Oproti účinnému znění § 7 odst. 3 ZSIS se navrhuje změnit pojetí odmítnutí souhlasu s využitím adresy pro doručování elektronické pošty zákazníka na vznesení námitky proti takovémuto zpracování osobních údajů. V praxi představuje čl. 13 směrnice o soukromí a elektronických komunikacích (ve znění směrnice 2009/136/ES) zvláštní úpravu zpracování osobních údajů pro účely oprávněných zájmů příslušného podnikatele [čl. 6 odst. 1 písm. f) GDPR]. Proti takovémuto zpracování osobních údajů lze podle čl. 21 odst. 1 GDPR vznést námitku (srov. též čl. 21 odst. 5 GDPR). Vznesení námitky musí být vždy možné provést jednoduchým a srozumitelným způsobem, a to zdarma.“
Co to znamená v praxi
První věc, kterou bychom si měli uvědomit, je, jakým způsobem to dopadne na praxi a zda se bát formalistického přístupu ÚOOÚ. Pokud totiž nakupujeme na internetu a setkáme se s možností „podat námitku proti zákaznické výjimce“, často se tak děje prostřednictvím checkboxu, za kterým následují slova „Nesouhlasím se zasíláním obchodních sdělení, jež se týkají […]“. Bude předmětný text po nabytí účinnosti zákona porušovat čl. 12 a 13 GDPR? Možná ano.
Pro odmítnutí zasílání OS bude nově potřeba vznést námitku
Sám předkladatel zákona v důvo dové zprávě k možnosti následného odvolání souhlasu či podání námitky uvádí následující: „Navrhovaná úprava by neměla bránit odpovědným osobám plnit příslušnou informační povinnost jazykem srozumitelným širokému okruhu uživatelů. Dokud je kupříkladu z podaných informací zřejmé, že uživatel nebo zákazník má možnost přímo a účinně uvědomit odpovědnou osobu o tom, že si dále nepřeje dostávat obchodní sdělení šířená ve prospěch určitého podnikatele, není samo o sobě rozhodné, zda tato informace pracuje s pojmy využívanými navrhovanou úpravou (námitka anebo odvolání souhlasu) nebo k vyjádření téhož volí jiné výrazy („odmítnout“, „odhlásit se“, …).“
Ve výše zmíněném příkladě tak postačí, pokudslovíčko„nesouhlasím“ nahradíme slovem „nepřeji si“. Klíčové totiž není formalistní dodržování litery zákona, ale naopak základní porozumění ze strany subjektu údajů. Pravděpodobně se shodneme na tom, že kýženého výsledku dosáhneme spíše jednoduchým a srozumitelným jazykem, než abychom formalistně k předmětnému checkboxu doplňovali text „Podávám námitku proti zpracování na základě oprávněného zájmu pro účely přímého marketingu, jež spočívají v […]“.
Časové omezení
Kdo pozorně pročítal citaci nově navrhovaného ustanovení, nemohl přehléd nout odst. 1 písm. c) nového paragrafu („od zaslání posledního obchodního sdělení zákazníkovi uplynul nejvýše jeden rok“). Tato nová podmínka v zákoně doposud nebyla, přičemž její zavede ní vysvětluje zákonodárce následovně: „Dále se navrhuje zavést prekluzivní lhůtu statusu zákazníka z důvodu nutnosti časově limitovat tento status, a to s ohledem na skutečnost, že v určitých situacích nemá zákazník fakticky možnost podat námitku, protože neobdrží žádné obchodní sdělení v přiměřeném časovém rámci. Délka prekluze byla zvolena na jeden rok, vzhledem k tomu, že se jedná o období, po které si většina zákazníků obchodní styk (respektive kontakt s dotyčným podnikatelem) zpravidla stále pamatuje. Jako právní událost, na kterou se prekluze váže, bylo zvoleno zaslání posledního obchodního sdělení. Cílem této nové právní úpravy je ochrana osobních údajů zákazníků, která vychází z principů, na kterých je postaveno GDPR [čl. 5 odst. 1 písm. e) GDPR].“
Dovolte mi položit vám otázku – dává to omezení smysl? Těžko říct. V praktické rovině to totiž vlastně znamená jen to, že abychom nepřišli o možnost komunikovat se svými zá kazníky, stačí jim jednou za rok poslat obchodní sdělení. Pokud je premisou předmětného ustanovení ochrana soukromí, lidově ochrana před spamem, plní skutečně toto ustanovení svůj účel? Je pro adresáta klíčové, aby měl možnost svůj nesouhlas projevit do jednoho roku od posledního obchodního sdělení, ale nikoliv do jednoho roku a jednoho dne od posledního obchodního sdělení?
K těmto otázkám se určitě ještě vrátíme, až předmětný zákon postoupí v legislativním procesu. Zatím totiž není jisté, že v této podobě projde prvním čtením. Berte tedy tento článek jako ochutnávku toho, na co se může me v naší oblíbené právní oblasti těšit.
Celé znění návrhu zákona o digitální ekonomice si můžete stáhnout zde. |
Comments