JE LEGÁLNÍ OBCHODOVAT S OSOBNÍMI ÚDAJI A ZA JAKÝCH PODMÍNEK?

Prodej nebo pronájem databází s osobními údaji (vč. kontaktních údajů) různých osob a cílových skupin, a to od novopečených maminek až po vrcholové české manažery, jsou velice žádaným zbožím. Především pro účely cíleného marketingu a oslovování potenciálních zákazníků, nejčastěji prostřednictvím telefonu nebo emailu. Zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (dále jen „zákon ochraně osobních údajů“) samotný prodej či pronájem osobních údajů za účelem nabízení obchodu a služeb překvapivě umožňuje a v rozsahu jména, příjmení a adresy k tomu za určitých podmínek není ani potřeba souhlas subjektů údajů. Co se týče samotné využitelnosti zakoupených databází, toto většinou bývá kamenem úrazu. Pojďme si říci proč.
Zákon o ochraně osobních údajů nikde konkrétně nespecifikuje, co vše se skrývá pod pojmem „nabízení obchodu a služeb“. Půjde však zpravidla o různé formy marketingu, včetně přímého oslovování prostřednictvím např. e-mailu, pošty, telefonu nebo i osobně. Osobní údaje jsou pro marketingové účely velice žádané a existuje proto i celá řada subjektů, kteří s nimi obchodují a za nemalé peníze je nabízejí k pronájmu či prodeji – ve většině případů se cena pohybuje v řádech desetitisíců, ale lze se lehce dostat i do statisíců korun.
 
Obvykle se jedná o strukturované a filtrovatelné databáze různých cílových skupin (např. databáze firem a živnostníků, manažerů velkých firem apod.), obsahující osobní údaje potřebné k jednoduchému, levnému a přesnému zacílení na určitý segment trhu. Prodej těchto databází ještě bývá obecně v mezích zákona. Firmy nabízející tyto databáze s osobními údaji však mnohdy své zákazníky ujišťují, že přímé kontaktování v nich uvedených osob za účelem nabízení obchodu a služeb je plně v souladu se zákonem, jelikož databáze neobsahují osobní údaje nikoho, kdo si nepřeje být kontaktován a vyjádřil s tím svůj nesouhlas. Zde však většinou nastává problém.
 
Předávání osobních údajů za účelem nabízení obchodu a služeb
 

Podle ustanovení § 5 odst. 5 zákona o ochraně osobních údajů, provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, může pro tento účel použít jeho jméno, příjmení a adresu, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti s jeho činností (jakožto správce nebo zpracovatele). Správce nebo zpracovatel však nesmí tyto údaje dále zpracovávat, pokud s tím dotyčný subjekt údajů vyslovil svůj nesouhlas. Na základě zákona o ochraně osobních údajů tedy lze takto získané osobní údaje ve výše uvedeném rozsahu za účelem nabízení obchodu nebo služeb zpracovávat i bez souhlasu dotyčných osob, pokud s tím dané osoby výslovně nevyjádří svůj nesouhlas (tzv. „opt-out“ systém).

 
Současně podle ustanovení § 5 odst. 6 zákona o ochraně osobních údajů může správce, který osobní údaje zpracovává za podmínek uvedených v předchozím odstavci, tyto údaje předat jinému správci. Pouze však pokud tyto osobní údaje (i) byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje, (ii) budou využívány pouze za účelem nabízení obchodu a služeb a (iii) subjekt údajů byl o tomto postupu předem informován a nevyslovil s ním nesouhlas. Předávat (resp. prodávat) osobní údaje třetím osobám je tedy za splnění těchto podmínek zcela legální. Nutno však zdůraznit, že na základě zákona o ochraně osobních údajů lze osobní údaje třetím subjektům předávat jen v rozsahu jména, příjmení a adresy. Nad rámec uvedeného bude vždy nutné získat potřebný souhlas.
 
Využitelnost zakoupených databází
 

Podíváme-li se blíže na samotnou využitelnost databází obsahujících osobní údaje pro účely nabízení obchodu a služeb a zasílání obchodních sdělení elektronickými prostředky, což bývá nejčastější a nejlevnější způsob oslovování zákazníků, dostaneme se ihned do jiné reality. Podle ustanovení § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, v platném znění, který upravuje podmínky zasílání obchodních sdělení, totiž lze „podrobnosti elektronického kontaktu“ za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas.

 
 
 

Výjimka z této povinnosti se uplatní pouze na zasílání obchodních sdělení emailem, avšak výlučně pro účely propagace vlastních výrobků nebo služeb a pouze za předpokladu, že je email zákazníka získán v souvislosti s jejich prodejem. To vše za podmínky, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma či na účet obchodníka svůj souhlas se zasíláním odvolat, přičemž podobné emaily musí být zřetelně označeny jako obchodní sdělení a nesmí skrývat totožnost odesílatele.

 
Pokud si však kdokoliv databázi s osobními údaji cílových skupin jednoduše zakoupí, výše uvedená výjimka se samozřejmě neuplatní. Pod pojem „podrobnosti elektronického kontaktu“ současně spadá oslovování nejen přes email, ale i přes telefon, SMS, MMS apod., přičemž dle stávajících výkladů Úřadu pro ochranu osobních údajů je za zasílání obchodních sdělení považováno i samotné kontaktování dotyčných osob za účelem získání jejich souhlasu. Za těchto podmínek se zakoupená databáze rázem stává téměř nepoužitelnou.
 
Závěr
 

Pokud se tedy nechcete dostat do křížku se zákonem, raději se vždy přesvědčte, zda obchodník nabízející Vám k prodeji osobní údaje určitých cílových skupin je Vám schopen zajistit souhlas všech těchto subjektů se zasíláním obchodních sdělení, a to přímo pro Vás či pro Vaši společnost, jakož i pro Vámi nabízené výrobky nebo služby. Pokud totiž takovýto konkrétní souhlas všech osob obsažených v databázi adresovaný přímo Vám předem nezíská, což nelze považovat za velmi pravděpodobné, bude Vám zakoupená databáze buď k ničemu, nebo máte nakročeno k pokutě ze strany Úřadu pro ochranu osobních údajů.