Předávání osobních údajů obchodními společnostmi za účelem nabízení obchodu nebo služeb

Oslovování potenciálních klientů probíhá nejrůznějšími způsoby. je oslovován prvotně obvykle reklamní zásilkou, která je doručena buď na běžně dostupnou adresu (např. z telefonního seznamu), nebo i bez adresy, např. roznáškou neadresovaných reklamních nabídek do poštovních schránek. Součástí tohoto prvotního oslovení je kromě nabídky zboží či služeb obvykle „kupón“, kde vypíše svoji dodací adresu, tedy své osobní údaje (obvykle jméno, příjmení a adresu) a podepíše souhlas se zpracováním těchto osobních údajů. Tento souhlas bývá obvykle velmi obecný, např. „Souhlasím s využitím obsažených osobních údajů společností XY a jejích marketingových partnerů pro další nabízení obchodu a služeb do odvolání tohoto souhlasu“. Poté odešle objednávku zpět a očekává, že na uvedenou adresu obdrží objednané zboží, což bývá dodrženo.

K prvotnímu oslovení klienta však dochází i jinými způsoby, např. předáváním malých dárkových balíčků rodičkám ještě v porodnici, kde žena získává zdarma reklamní vzorky zdarma a současně podepíše souhlas se zpracováním svých osobních údajů pro marketingové účely.

Dalším způsobem je telefonická objednávka zboží ze strany klienta na základě inzerátu, kdy v rámci této telefonické objednávky nadiktuje své kontaktní údaje (dodací adresu) je telefonistkou informován o tom, že údaje budou předávány pro marketingové účely, a tato informace je pak i součástí dodaného zboží.

Jen málokdo si totiž uvědomuje, že osobní údaje se ve spojení s účelem marketingu stávají velmi žádaným obchodním artiklem. Existuje řada firem, které se zabývají právě prodejem nebo pronájmem osobních údajů pro marketingové účely. Obvykle nabízí databáze osob se vztahem k firmám i bez něj (údaje společníků, jednatelů, statutárů, akcionářů, předsedů družstev, ale kontakty osob z domácností).

Databáze jsou k dispozici včetně rozpadu na dílčí bloky: Jméno, příjmení, adresa, telefony, e-mail, včetně možnosti segmentace dle lokality, věkové skupiny, pohlaví a vzdělání.

Možné je také objednat si vazby na firmy, typ vazby, datum vzniku vazby (jmenování do funkce apod.), vztahy mezi osobami a firmami (propojení holdingů a spřízněných firem).

Firmy obvykle zaručují, že databáze je plně v souladu se zákonem o ochraně osobních údajů, databáze neobsahují již zrušené veřejné záznamy a záznamy osob, které si nepřejí být kontaktovány prostřednictvím přímého marketingu a vyjádřily svůj nesouhlas s kontaktováním na základě dat z veřejného zdroje nebo prostřednictvím přímé komunikace.

Cenu je složité určit, vždy vychází z kvality dat, jejich komplexnosti a ověřenosti. Roli hraje i způsob získání záznamů. Pokud jde o obchodní data, budou mít nižší cenu než databáze získaná průnikem do cizího počítače. Opravdu dobrá data by v takovémto množství mohla mít cenu až kolem půl milionu korun.¹⁾

Co se však stane s osobními údaji klienta, který podepsal v podstatě „bezbřehý“ souhlas s nakládáním s jeho jménem a adresou, nebo byl alespoň informován o tom, že jeho osobní údaje budou předávány za účelem nabízení obchodu a služeb? Obchodní společnosti tyto údaje téměř vždy předávají dalším společnostem, které označují jako své marketingové partnery.

Často se jedná o specializované marketingové společnosti, které pro obchodní společnosti (obvykle nejen pro jednu) za úplatu zabezpečují . Tato marketingová společnost pak oslovuje onoho výše uvedeného klienta nejrůznějšími reklamními nabídkami na jeho adresu a s jeho souhlasem, a je udiven, kde tato marketingová společnost vzala jeho jméno a adresu. Navíc dochází i k tomu, že marketingová společnost má své subdodavatele služeb, a člověka oslovuje až tento subdodavatel, tedy vlastně již třetí společnost v pořadí.²⁾

Dnes je totiž běžnou věcí, že obchodní společnosti nepodnikají na trhu samostatně, resp. osamoceně. Jsou většinou součástí větších ekonomických uskupení kapitálově propojených na různých úrovních. Jednak mohou být společnosti součástí vyšších, v drtivé většině nadnárodních korporací, a také si samy mohou vytvářet vlastní spřízněné skupiny obchodních společností, ve kterých, pokud to zvláštní zákony umožňují, mají kapitálový podíl, a které podnikají v příbuzných oborech služeb. Je tedy do značné míry logické, že v takové finančně a kapitálově propojené skupině existuje velký zájem na tom, aby jednou získané informace, tedy osobní údaje, zejména ty, které nějakým způsobem popisují klienta jedné ze společností skupiny, měly k dispozici i její další členové.

Jedním z relevantních ustanovení zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“), v souvislosti s takovým předáváním osobních údajů je § 5 odst. 2 písm. a) a b) ve vztahu k návětí tohoto ustanovení. Podle zákona je základním principem zpracování osobních údajů zásadně souhlas subjektu údajů s takovým zpracováním. Návětí určuje právě tento princip a zmíněná ustanovení stanoví některou z výjimek z něj. Především se tedy jedná o případy, kdy jsou osobní údaje zpracovávány bez souhlasu, jak jej chápe § 4 písm. n) a také § 5 odst. 4 ZoOU, a to v případech možných výjimek. Pokud tedy společnosti zpracovávají osobní údaje na základě zvláštního zákona nebo pro jednání o smlouvě, bude platit, že souhlasy nepotřebují. Protože však neexistuje žádná právní povinnost předávat osobní údaje mezi ekonomicky spjatými subjekty, nezbývá, než tak činit se souhlasem subjektů údajů. Takový souhlas musí mít právě ty náležitosti, které ZoOU požaduje. Musí tedy jít o právní úkon, a to jednostranný, jehož obsahem je svolení klienta (subjektu údajů) s takovým předáním. Jedním z „parametrů“ takového souhlasu je to, že musí být tzv. informovaný.³⁾ Z hlediska předávání osobních údajů jiným subjektům, ZoOU vyžaduje informaci relativně přesnou, a to proto, že je právem subjektů údajů obracet se i na tyto osoby za účelem ochrany svých práv, např. se žádostí nepřesné údaje opravit, nebo také s požadavkem, aby údaje nebyly zpracovávány vůbec či byly zlikvidovány. Z toho je zřejmé, že nelze vystačit s obecnými formulacemi, jako například, že osobní údaje budou předány či zpřístupněny i jiným osobám, které tvoří „skupinu“, a dále osoby, které jsou touto osobou přímo či nepřímo ovládány. Je zjevné, že bývá používána terminologie vlastní obchodnímu zákoníku, který právě takové vztahy upravuje a definuje jejich obsah. Z hlediska přímé informovanosti je však takové obecné vymezení osob, kterým mohou být osobní údaje dále předávány či zpřístupněny, zcela nedostatečné. Takové vymezení neumožňuje subjektu údajů jednoduchým způsobem seznat, kdo tedy ve skutečnosti bude jeho osobními údaji disponovat. Při tom se vždy bude jednat o takové, vesměs právnické osoby, které mají postavení správce, resp. dalšího správce osobních údajů. Takto obecné vymezení osob (dalších správců osobních údajů), kterým by údaje měly být předávány, je nedodržením zákonné povinnosti stanovené právě ZoOU, a tedy jeho porušením, za které lze uložit sankci. Právě náležitosti takto uděleného souhlasu budou důležité pro ty další správce v ekonomicky spřízněné skupině, kteří na základě souhlasu subjektů údajů, klientů udělenému jednomu z nich, nejčastěji bance, získají právo osobní údaje předat či zpřístupnit jiným správcům. Z takto uděleného souhlasu totiž vzniká právo jiným správcům zpracovávat osobní údaje klientů jiného člena ekonomicky spjaté skupiny. Takový souhlas však musí obsahovat všechny náležitosti ve smyslu ZoOU. Tedy z něj musí být i zřejmý účel, ke kterému jsou údaje předávány a budou dále zpracovány. Neurčitost označení osob, jimž mají či mohou být osobní údaje zpřístupněny, pak znamená zásah do práv subjektu údajů a prakticky eliminuje jeho možnosti se svých práv domáhat přímo u těchto správců.⁴⁾ Vzhledem k tomu, že ustanovení § 5 odst. 4 ZoOU stanoví, že souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování je také nutné, aby takovým souhlasem další správce skutečně disponoval, resp. měl jej jednoduchým způsobem prokazatelně k dispozici. Zcela specifický problém vznikne v případě, že mezi osobami, jimž mohou být osobní údaje klientů předány či zpřístupněny, je taková, která sídlí v zemi, v níž neexistuje institucionální, na základě právních předpisů garantovaná adekvátní ochrana osobních údajů. V tomto případně se takové předání bude řídit právní úpravou § 27 odst. 3 písm. a) ZoOU, který stanoví, že se souhlasem lze do takových zemí osobní údaje předat, nicméně takové předání vyžaduje předchozí souhlas Úřadu pro ochranu osobních údajů a to ve smyslu odst. 4 citovaného ustanovení zákona. Je tedy zřejmé, že i předávání osobních údajů klientů společnosti s ní ekonomicky či jinak svázaným společnostem se řídí ZoOU a jeho principy, tedy zejména ustanovením § 5 odst. 4, a to na základě informovaného souhlasu.⁵⁾

Předávání osobních údajů za účelem nabízení obchodu nebo služeb je povoleno ve vyšší míře, než obecně předávání osobních údajů: jedná se pouze o jméno a adresu a smí se použít pouze k rozesílání různých nabídek. I zde však existují jistá omezení. Řeší-li § 5 odst. 5 ZoOU obecně možnosti využívání jména, příjmení a adresy subjektu údajů k nabízení obchodu a služeb, odstavec 6 řeší situaci, kdy by osobní údaje, zpracovávané za podmínek odstavce 5 pro nabízení obchodu a služeb jedním správcem, měly být předány správci jinému a stanoví pro takové předání přesné podmínky.

Tak především se musí jednat o osobní údaje, které byly získány, shodně jak uvádí odst. 5, v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje. Je tedy třeba zdůraznit, že možnost předání je zakázána zpracovateli, byť by i ten využíval údaje v souvislosti s oprávněním podle odst. 5 pro nabízení vlastních služeb. Postavení zpracovatele je tedy limitujícím faktorem pro další nakládání se zpracovávanými údaji.

Další podmínkou je, že předávané osobní údaje budou využívány právě jen pro nabízení obchodu a služeb „přejímajícího“ dalšího správce. Splnění a hlavně realizace této podmínky tak zavazuje oba subjekty, správce, aby tento účel byl mezi nimi jednoznačně deklarován, nejlépe jako zvláštní ustanovení smlouvy, na jejímž základě nejspíše k předání údajů dojde.

Poslední podmínkou možného předání osobních údajů je jednoznačná informace subjektu údajů o tomto záměru, a že subjekt údajů nevyslovil s tímto postupem nesouhlas. Předpokládá se tedy aktivní vyslovení záporného názoru, tedy nevůle subjektu údajů umožnit, aby jeho osobní údaje byly předány jinému správci.

Proto správce, který hodlá předat (spíše snad přesněji prodat) např. databázi kontaktů pro účely nabízení obchodu a služeb, nemusí disponovat souhlasy dotčených fyzických osob, subjektů údajů, naopak bude disponovat vyslovenými nesouhlasy dotčených osob a jejich osobní údaje, které byly původně součástí k předání určené databáze, předat nesmí. Jakým způsobem tak učiní, je zcela na jeho vůli. Autoři jsou názoru, že lze právní úkon v souladu s § 35 odst. 1 starého občanského zákoníku učinit i opomenutím (podle zákona č. 89/2012 Sb., občanský zákoník, pak jde o právní jednání ve smyslu § 545, resp. § 546). Kdyby např. správce zaslal subjektu údajů dopis, který by mohl obsahovat i formulaci: "pokud písemně nevyjádříte svůj nesouhlas do..., budeme marným uplynutím uvedené lhůty považovat za zřejmé, že nevyjadřujete nesouhlas s předáním Vašich údajů správci XY". Z hlediska dodržení ZoOU by však musel správce prokázat, že subjektu údajů zaslal žádost, resp. informoval jej o svém úmyslu osobní údaje předat jinému správci, že žádost / informace byla konkrétně formulována a že i např. uchovaná kopie zaslané žádosti odpovídá zaslanému originálu a že ji také subjekt údajů prokazatelně obdržel, nehledě na to, že lhůta, poskytnutá dotčeným subjektům údajů je, resp. byla přiměřená a tedy dostatečně dlouhá na to, aby lidé měli možnost věc uvážit a také, aby odpověď, reakce subjektu údajů, mohla dorazit ke správci dříve, než tento osobní údaje předá, tedy před uvažovaným datem předání. Lze bezpochyby považovat se zákonem o ochraně osobních údajů za konformní i elektronickou komunikaci, pokud má správce postaveno na jisto, že elektronický kontakt, kterým případně disponuje, je i elektronickou adresou zcela konkrétního subjektu údajů. Lze dokonce konstatovat, že elektronická forma je např. z hlediska prokazatelnosti výrazně jednodušší, neboť elektronickou komunikaci lze dobře uchovávat v originálních podobách, včetně časových údajů.

Požadavek ZoOU, že subjekt údajů musí být informován předem, zákon dále nijak neřeší. Tomuto problému se věnovala i jiná odborná publikace⁶⁾, kde je uvedeno, že "možné problémy s aplikací tohoto ustanovení spočívají v tom, že zákon o ochraně osobních údajů obsahuje slovo „předem" a bude poněkud obtížné stanovit dobu, kdy tento krok musí správce učinit. Základní pohled na toto ustanovení předpokládá, že správce tento krok vůči subjektu údajů učinil z časového hlediska vždy dříve, než hodlá předávat uvedené osobní údaje dalšímu správci. Další možné problémy s aplikací tohoto ustanovení lze očekávat v souvislosti s právem subjektu údajů vyslovit se k takové informaci správce. Zákona o ochraně osobních údajů sice toto jednání kvalifikuje jako právo subjektu údajů „nevyslovit nesouhlas", ale vzhledem k tomu, že současně nestanoví žádnou dobu, po kterou musí správce pasivně čekat na tento možný krok subjektu údajů, bude zřejmě nezbytností, aby správce, pokud osloví subjekt údajů v souvislosti s plánovanými kroky ve smyslu ustanovení § 5 odst. 6, učinil tak vždy s určitým časovým předstihem a subjektu údajů stanovil určitou lhůtu, po kterou se bude moci subjekt údajů k tomuto plánovanému kroku správce vyjádřit" (pozn. do stávající právní úpravy upraveno autory). Důležité však je, že všechny výše uvedené podmínky, tedy že údaje byly získány v souvislosti s činností správce nebo z veřejných seznamů, že budou využívány pouze za účelem nabízení obchodu nebo služeb, a že subjekt údajů byl o předání předem informován a nevyslovil s předáním písemně nesouhlas, musí být splněny současně.

Dále pak je stanoven jednoznačný zákaz správci, kterému byly údaje předány, předat je komukoliv dalšímu, což je v ZoOU vyjádřeno užitím slova „osoba“, což obecně také znamená, zjednodušeně řečeno, „každý“. Je upravena i situace, kdy správce již předal osobní údaje jinému správci, resp. jiným správcům a (jak plyne z výše uvedeného, např. na základě nevysloveného nesouhlasu subjektu údajů) avšak někdy později tento nesouhlas byl subjektem údajů písemně deklarován. (dikce ZoOU § 5 odst. 8 to však v tomto případě vyjadřuje pozitivně, tedy že "subjekt údajů vyslovil nesouhlas"). V takovém případě je původní správce povinen informovat všechny správce, jimž údaje předal, o této skutečnosti a současně to pro všechny správce znamená, že dotčené osobní údaje již nemohou dále využívat pro nabízení obchodu a služeb a musí osobní údaje dotčených subjektů údajů zařadit do vlastního „seznamu robinsonů“, tedy do databáze osob, které vyslovily svůj nesouhlas se zasíláním nabídek obchodu a služeb.