Zpracování osobních údajů pro účely nabízení obchodu a služeb

Zákon o ochraně osobních údajů nedefinuje, co se rozumí pod pojmem „nabízení obchodu a služeb“. Z výkladového stanoviska Úřadu pro ochranu osobních údajů č. 1/2012 publikovaného na webových stránkách tohoto úřadu pod názvem „Nepřípustné propojování databází pro marketingové účely“ vyplývá, že je pod tímto pojmem chápáno pouze skutečné nabízení produktů či služeb příslušného správce osobních údajů, nikoliv jiné související akce mající za cíl či za následek provedení výzkumu a ovlivňování trhu či stanovování koncepcí podnikatelské politiky, která vychází z potřeb a požadavků trhu a reaguje na ně opatřeními, kterými trh ovlivňuje. Takové zpracovávání osobních údajů označuje Úřad pro ochranu osobních údajů jako zpracování osobních údajů pro účely marketingu v širším slova smyslu.¹

Málokdo si uvědomuje, že osobní údaje se ve spojení s účelem marketingu stávají velmi žádaným obchodním artiklem. Existuje řada firem, které se zabývají právě prodejem nebo pronájmem osobních údajů pro marketingové účely. Obvykle nabízí databáze osob se vztahem k firmám i bez něj (údaje společníků, jednatelů, statutárů, akcionářů, předsedů družstev, ale i kontakty osob z domácností).

Databáze jsou k dispozici včetně rozpadu na dílčí bloky: jméno, příjmení, adresa, telefony, e-mail, včetně možnosti segmentace dle lokality, věkové skupiny, pohlaví a vzdělání. Možné je také objednat si vazby na firmy, typ vazby, datum vzniku vazby (jmenování do funkce apod.), vztahy mezi osobami a firmami (propojení holdingů a spřízněných firem).

Firmy nabízející takové databáze obvykle zaručují, že databáze je plně v souladu se zákonem o ochraně osobních údajů, databáze neobsahují již zrušené veřejné záznamy a záznamy osob, které si nepřejí být kontaktovány prostřednictvím přímého marketingu a vyjádřily svůj nesouhlas s kontaktováním na základě dat z veřejného zdroje nebo prostřednictvím přímé komunikace.

Cenu je složité určit, vždy vychází z kvality dat, jejich komplexnosti a věrohodnosti. Roli hraje i způsob získání záznamů. Pokud jde o obchodní data, budou mít nižší cenu než databáze získaná průnikem do cizího počítače. Opravdu dobrá data by v takovémto množství mohla mít cenu až kolem půl milionu.²

Zákon o ochraně osobních údajů obsahuje poměrně podrobnou úpravu možnosti zpracování osobních údajů pro účely marketingu, a to konkrétně ustanovením § 5 odst. 5 a násl. Základní zásadou zpracování osobních údajů je zpracování se souhlasem subjektu údajů podle ustanovení § 5 odst. 2 zákona o ochraně osobních údajů.³ U zpracování údajů pro marketingové účely zákonodárce zvolil formulaci poněkud nezvyklou. Zatímco dikce výjimek z povinnosti zpracovávat osobní údaje výhradně se souhlasem, uvedené v § 5 odst. 2 věta druhá v návětí, mluví o „souhlasu“ („bez tohoto souhlasu je může zpracovávat“), v případě textace odst. 5 a násl. je volena jiná varianta, i když i zde se jedná o zpracování osobních údajů (pro nabízení obchodu a služeb) bez souhlasu. Legislativně technicky se vlastně jedná o souhlas subjektu údajů, který je pro danou aktivitu a daný okruh oprávněných osob, správců, souhlasem zákonodárcem předvídaným. Nicméně je zřejmé, že tak může osoba v postavení správce nebo zpracovatele činit (nabízet obchod nebo služby), pokud osobní údaje získá z přesně vymezených zdrojů a souhlas, jako úkon definovaný v § 4 písm. n), za podmínek § 5 odst. 4 zákona o ochraně osobních údajů potřebovat nebude.

Tímto zdrojem jsou osobní údaje, jimiž již taková osoba reálně disponuje a byly získány z její činnosti, tedy například pokud při sjednání obchodu (což by bylo spíše výjimkou) nebo při poskytování služby získala kontaktní údaje na svého zákazníka, klienta, případně by takové údaje mohla využít i osoba, která je k poskytovateli obchodu nebo služby (správci) v postavení zpracovatele. Využitelné jsou však jen základní kontaktní údaje, tedy jméno, příjmení a adresa. Z praktického hlediska se však možnosti zpracování dané komentovaným ustanovením budou vztahovat jen na nabízení obchodu a služeb realizované cestou listovních zásilek. Lze totiž připustit, že adresou může být i adresa elektronická, neboť v tomto případě zákonodárce pojem nijak neomezuje. Nutno však upozornit na to, že využití elektronické adresy pro nabízení obchodu nebo služeb bude podřízeno i jiné regulaci. Touto regulací je zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), zejména pak jeho § 7⁴.

Mimo údaje získané správcem (resp. zpracovatelem) z jeho vlastní činnosti bude dalším možným zdrojem osobních údajů (ovšem ve vymezeném rozsahu a pro daný účel) jakýkoliv veřejný seznam. Jakýkoliv proto, že v tomto případě není oprávnění omezeno [jako například v § 5 odst. 2 písm. d) zákona o ochraně osobních údajů] na seznam, jenž je veřejným seznamem označeným za takový zvláštním zákonem. Lze tak pro nabízení obchodu a služeb využít i seznamy, které jsou například přístupné prostřednictvím internetu, neboť i takové seznamy jsou „veřejně přístupné“.

Zákon o ochraně osobních údajů, tak jako v mnoha jiných případech, používá obecný výraz „zpracování“ i zde, ačkoliv je zřejmé, že by bylo vhodnější použít výraz jiný, přesnější, ze škály forem zpracování příkladmo uvedených v § 4 písm. e) zákona. Oč přesněji by znělo například: „Správce nebo zpracovatel však nesmí uvedené údaje dále využívat (na místo obecného,zpracovávat'), pokud s tím subjekt údajů vyslovil nesouhlas.“ A právě vyslovení nesouhlasu, tedy aktivního, písemného úkonu subjektu údajů vůči osobě správce (zpracovatele), je prostředkem, kterým zákonodárce vyvážil onen, jak výše uvedeno, „předpokládaný souhlas“. Lze jen doporučit, aby toto písemné vyslovení nesouhlasu bylo subjektem údajů doručeno správci nějakým prokazatelným způsobem. Neboť jen tak má pak subjekt údajů dostatek důkazů pro případ, že by správce jeho vůli nerespektoval.

Subjekt údajů pak také může souhlasit s tím, aby k jeho údajům byly přiřazovány i jiné údaje, tedy například co a kdy bylo konkrétním subjektem nakoupeno. I takový souhlas pak musí mít všechny parametry, které zákon o ochraně osobních údajů pro tento úkon stanoví. Pokud zákon o ochraně osobních údajů v tomto případě používá textaci "Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje", zdá se slovo „osobní“ být spíše zavádějící. Osobním údajem totiž bude, zcela ve smyslu definice osobního údaje podle § 4 písm. a) zákona o ochraně osobních údajů, i jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.⁵

Řeší-li § 5 odst. 5 zákona o ochraně osobních údajů obecně možnosti využívání jména, příjmení a adresy subjektu údajů k nabízení obchodu a služeb, odstavec 6 řeší situaci, kdy by osobní údaje, zpracovávané za podmínek odstavce 5 pro nabízení obchodu a služeb jedním správcem, měly být předány správci jinému a stanoví pro takové předání přesné podmínky.

Tak především se musí jednat o osobní údaje, které byly získány, shodně jak uvádí odst. 5, v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje. Je tedy třeba zdůraznit, že možnost předání je zakázána zpracovateli, byť by i ten využíval údaje v souvislosti s oprávněním podle odst. 5 pro nabízení vlastních služeb. Postavení zpracovatele je tedy limitujícím faktorem pro další nakládání se zpracovávanými údaji.

Další podmínkou je, že předávané osobní údaje budou využívány právě zase jen pro nabízení obchodu a služeb „přejímajícího“ dalšího správce. Splnění a hlavně realizace této podmínky tak zavazuje oba subjekty, správce, aby tento účel byl mezi nimi jednoznačně deklarován, nejlépe jako zvláštní ustanovení smlouvy, na jejímž základě nejspíše k předání údajů dojde.

Poslední podmínkou možného předání osobních údajů je jednoznačná informace poskytnutá subjektu údajů o tomto záměru, a také to, že subjekt údajů nevyslovil s tímto postupem nesouhlas. Předpokládá se tedy aktivní vyslovení záporného názoru, tedy nevůle subjektu údajů umožnit, aby jeho osobní údaje byly předány jinému správci.

Proto správce, který hodlá předat (spíše snad přesněji prodat) například databázi kontaktů pro účely nabízení obchodu a služeb, nemusí disponovat souhlasy dotčených fyzických osob, subjektů údajů, naopak bude disponovat vyslovenými nesouhlasy dotčených osob a jejich osobní údaje, které byly původně součástí k předání určené databáze, předat nesmí. Jakým způsobem tak učiní, je zcela na jeho vůli. Jsme toho názoru, že lze právní úkon v souladu s § 35 odst. 1 občanského zákoníku učinit i opomenutím. Kdyby například správce zaslal subjektu údajů dopis, který by mohl obsahovat i formulaci: "Pokud písemně nevyjádříte svůj nesouhlas do ..., budeme marným uplynutím uvedené lhůty považovat za zřejmé, že nevyjadřujete nesouhlas s předáním Vašich údajů správci XY." Z hlediska dodržení zákona o ochraně osobních údajů by však musel správce prokázat, že subjektu údajů zaslal žádost, resp. informoval jej o svém úmyslu osobní údaje předat jinému správci, že žádost/ /informace byla konkrétně formulována a že i například uchovaná kopie zaslané žádosti odpovídá zaslanému originálu a že ji také subjekt údajů prokazatelně obdržel, nehledě na to, že lhůta, poskytnutá dotčeným subjektům údajů je, resp. byla přiměřená, a tedy dostatečně dlouhá na to, aby lidé měli možnost věc uvážit a také aby odpověď, reakce subjektu údajů, mohla dorazit ke správci dříve, než tento osobní údaje předá, tedy před uvažovaným datem předání. Lze bezpochyby považovat se zákonem o ochraně osobních údajů za konformní i elektronickou komunikaci, pokud má správce postaveno na jisto, že elektronický kontakt, kterým případně disponuje, je i elektronickou adresou zcela konkrétního subjektu údajů. Lze dokonce konstatovat, že elektronická forma je například z hlediska prokazatelnosti výrazně jednodušší, neboť elektronickou komunikaci lze dobře uchovávat v originálních podobách, včetně časových údajů.

Požadavek zákona o ochraně osobních údajů, že subjekt údajů musí být informován předem, zákon dále nijak neřeší. Tomuto problému se věnovala i jiná odborná publikace⁶, kde je uvedeno, že "možné problémy s aplikací tohoto ustanovení spočívají v tom, že zákon o ochraně osobních údajů obsahuje slovo,předem‘ a bude poněkud obtížné stanovit dobu, kdy tento krok musí správce učinit. Základní pohled na toto ustanovení předpokládá, že správce tento krok vůči subjektu údajů učinil z časového hlediska vždy dříve, než hodlá předávat uvedené osobní údaje dalšímu správci. Další možné problémy s aplikací tohoto ustanovení lze očekávat v souvislosti s právem subjektu údajů vyslovit se k takové informaci správce. Zákon o ochraně osobních údajů sice toto jednání kvalifikuje jako právo subjektu údajů,nevyslovit nesouhlas‘, ale vzhledem k tomu, že současně nestanoví žádnou dobu, po kterou musí správce pasivně čekat na tento možný krok subjektu údajů, bude zřejmě nezbytností, aby správce, pokud osloví subjekt údajů v souvislosti s plánovanými kroky ve smyslu ustanovení § 5 odst. 6, učinil tak vždy s určitým časovým předstihem a subjektu údajů stanovil určitou lhůtu, po kterou se bude moci subjekt údajů k tomuto plánovanému kroku správce vyjádřit." (Poznámka: Do stávající právní úpravy upraveno autory.) Důležité však je, že všechny výše uvedené podmínky, tedy že údaje byly získány v souvislosti s činností správce nebo z veřejných seznamů, že budou využívány pouze za účelem nabízení obchodu nebo služeb a že subjekt údajů byl o předání předem informován a nevyslovil s předáním písemně nesouhlas, musí být splněny současně.

Dále pak je stanoven jednoznačný zákaz správci, kterému byly údaje předány, předat je komukoliv dalšímu, což je v zákoně o ochraně osobních údajů vyjádřeno užitím slova „osoba“, což obecně také znamená, zjednodušeně řečeno, „každý“. Je upravena i situace, kdy správce již předal osobní údaje jinému správci, resp. jiným správcům (jak plyne z výše uvedeného, například na základě nevysloveného nesouhlasu subjektu údajů), avšak někdy později tento nesouhlas byl subjektem údajů písemně deklarován. (Dikce zákona o ochraně osobních údajů § 5 odst. 8 to však v tomto případě vyjadřuje pozitivně, tedy že "subjekt údajů vyslovil nesouhlas".) V takovém případě je původní správce povinen informovat všechny správce, jimž údaje předal, o této skutečnosti a současně to pro všechny správce znamená, že dotčené osobní údaje již nemohou dále využívat pro nabízení obchodu a služeb a musí osobní údaje dotčených subjektů údajů zařadit do vlastního „seznamu robinsonů“ (viz níže).

I když však subjekt údajů odvolá svůj souhlas, tedy v dikci odst. 5 vysloví svůj nesouhlas se zpracováním (využíváním) svých osobních údajů pro nabízení obchodu a služeb, neznamená to, že správce jeho osobní údaje zlikviduje. Ten je naopak povinen i tak osobní údaje v rozsahu jméno, příjmení a adresa uchovat, avšak v odděleném seznamu, a to pro svou vlastní potřebu. Smyslem je následné vyloučení možnosti, že by subjekt byl znovu kontaktován za účelem nabízení obchodu nebo služeb. Prakticky tak správce, který používá své seznamy, musí každou nabídku služeb, k jejíž distribuci hodlá seznam použít, porovnat se seznamem, v němž jsou uvedeni ti, kteří si nepřejí být nabídkami dále kontaktováni a tuto svoji vůli písemně správci sdělili, a takovým osobám pak nesmí být další nabídky zasílány. Je třeba zdůraznit, že tento seznam osob, které vyslovily svůj nesouhlas se zasíláním nabídek obchodu anebo služeb (takový seznam se obecně v odborných publikacích označuje jako „seznam robinsonů“) se nutně musí posuzovat podle jeho účelu, je tedy třeba zajistit, aby osoby v něm uvedené nebyly kontaktovány. Jako obcházení zákona o ochraně osobních údajů by muselo být považováno, kdyby správce, který seznamy (zejména veřejné) pro nabízení obchodu a služeb využívá, dál kontaktoval osoby i ze „seznamu robinsonů“ s argumentací, že sice ví, že konkrétní subjekt údajů vyslovil svůj nesouhlas, ale on pro nabídku, kterou nově, po odepření souhlasu zaslal, využil kontaktní údaje z jiného veřejného seznamu, než byl ten původní.

Lze se setkat i se situací, že lidé jsou kontaktováni adresnou zásilkou se žádostí o finanční příspěvek a osobní údaje pro takové žádosti jsou vesměs rovněž získávány z veřejných seznamů, které jsou za veřejné označeny zvláštním zákonem. V tomto případě se však nejedná o nabízení obchodu nebo služeb, ale o specifickou žádost a je nutno vycházet pouze z druhé věty § 5 odst. 2 písm. d) zákona o ochraně osobních údajů, která pro zpracování oprávněně zveřejněných údajů bez souhlasu subjektu údajů stanoví, že tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů. Bude-li některá z takto oslovených osob používání jména a adresy za účelem výzvy k zaslání příspěvku pociťovat jako obtěžující pro její soukromý život, má možnost postupovat podle § 21 odst. 1 zákona o ochraně osobních údajů, tedy zejména požádat správce nebo zpracovatele o vysvětlení, nebo požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Podle posledně citovaného ustanovení zákona o ochraně osobních údajů mohou oslovené osoby písemně požadovat, aby jim tyto žádosti nebyly dále zasílány a jejich údaje nebyly pro tento účel používány. Pokud by jejich žádostem ze strany zasílatele nebylo vyhověno, pak se mohou obrátit se stížností na Úřad pro ochranu osobních údajů, který by posoudil, zda je praktikovaným způsobem zpracování osobních údajů v konkrétním případě dotčeno právo na ochranu soukromého a osobního života subjektu údajů.

V praxi se objevily snahy obejít dikci zákona i tím, že za zaslání příspěvku subjekt údajů obdrží nějakou věc (například sadu vytištěných vizitek), což potom lze teoreticky kvalifikovat jako službu ve smyslu § 5 odst. 5 zákona o ochraně osobních údajů. Ani takovéto obcházení zákona by však rovněž nemělo být tolerováno.⁷

Mezi společnostmi, které zpracovávají osobní údaje pro účely marketingu, dochází někdy na základě uzavřených smluv k situaci, v níž jedna ze společností v postavení zpracovatele osobních údajů zpracovává osobní údaje pro několik jiných společností, které jsou z hlediska zákona o ochraně osobních údajů správci osobních údajů. Přitom se může u tohoto zpracovatele projevit tendence k propojování jednotlivých databází a ke sdružování osobních údajů zákazníků. Ve smlouvě uzavřené mezi správcem a zpracovatelem osobních údajů podle § 6 zákona o ochraně osobních údajů však není možné dohodnout slučování databází jednotlivých správců, jelikož každý správce může pověřit zpracovatele zpracováním osobních údajů maximálně v takovém rozsahu, v jakém sám zpracování provádí. Jinak řečeno, propojování databází zpracovatelem při zpracování osobních údajů prováděných pro různé správce, a tedy vytváření „megadatabází“, zákon neumožňuje. Pokud zpracovatel zpracovává osobní údaje pro více správců, musí být jednotlivé klientské databáze striktně oddělené.⁸

Jak vidno, ani dnes tak běžná činnost, jako je nabízení obchodu a služeb, není z hlediska právní úpravy záležitost zcela jednoduchá a bez rizika pro toho, kdo tak činí. Riziko spočívá v tom, že opomenutí pravidel a zákonných limitů stanovených zákonem pro ochranu osobních údajů může mít za následek i citelnou finanční sankci. Lze totiž vypozorovat tendenci, že čím vlezlejší nebo obtěžující je neustálý příval nabídek na uzavření obchodu nebo využití služeb, tím více jsou lidé připraveni se tomu bránit. A zákon o ochraně osobních údajů jim k tomu poskytuje patřičnou a také účinnou právní oporu.