Hlavní navigace
Už zbývá jen pro podání daňového přiznání. Vyřešte je s našimi chytrými formuláři a tipy na slevy.

Je legální obchodovat s osobními údaji a za jakých podmínek?

Jiří Matzner

Při prodeji, ale i nákupu databází kontaktů je třeba držet se určitých pravidel. Jinak hrozí potíže se zákonem. Buďte obezřetní.

Databáze s osobními údaji (vč. kontaktních údajů) různých osob a cílových skupin, a to od novopečených maminek až po vrcholové české manažery, jsou velice žádaným zbožím. Především pro účely cíleného marketingu a oslovování potenciálních zákazníků, nejčastěji prostřednictvím telefonu nebo e-mailu. Zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění (dále jen „zákon ochraně osobních údajů“) samotný prodej či pronájem osobních údajů za účelem nabízení obchodu a služeb překvapivě umožňuje a v rozsahu jména, příjmení a adresy k tomu za určitých podmínek není ani potřeba souhlas subjektů údajů. Co se týče samotné využitelnosti zakoupených databází, toto většinou bývá kamenem úrazu. Pojďme si říci proč. 

Zákon o ochraně osobních údajů nikde konkrétně nespecifikuje, co vše se skrývá pod pojmem „nabízení obchodu a služeb“. Půjde však zpravidla o různé formy marketingu, včetně přímého oslovování prostřednictvím např. e-mailu, pošty, telefonu nebo i osobně. Osobní údaje jsou pro marketingové účely velice žádané, a existuje proto i celá řada subjektů, které s nimi obchodují a za nemalé peníze je nabízejí k pronájmu či prodeji – ve většině případů se cena pohybuje v řádech desetitisíců, ale lze se lehce dostat i do statisíců korun. 

Čtěte také: Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR

Obvykle se jedná o strukturované a filtrovatelné databáze různých cílových skupin (např. databáze firem a živnostníků, manažerů velkých firem apod.), obsahující osobní údaje potřebné k jednoduchému, levnému a přesnému zacílení na určitý segment trhu. Prodej těchto databází ještě bývá obecně v mezích zákona. Firmy nabízející tyto databáze s osobními údaji však mnohdy své zákazníky ujišťují, že přímé kontaktování v nich uvedených osob za účelem nabízení obchodu a služeb je plně v souladu se zákonem, jelikož databáze neobsahují osobní údaje nikoho, kdo si nepřeje být kontaktován a vyjádřil s tím svůj nesouhlas. Zde však většinou nastává problém. 

Předávání osobních údajů za účelem nabízení obchodu a služeb 

Podle ustanovení § 5 odst. 5 zákona o ochraně osobních údajů, provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, může pro tento účel použít jeho jméno, příjmení a adresu, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti s jeho činností (jakožto správce nebo zpracovatele). Správce nebo zpracovatel však nesmí tyto údaje dále zpracovávat, pokud s tím dotyčný subjekt údajů vyslovil svůj nesouhlas. Na základě zákona o ochraně osobních údajů tedy lze takto získané osobní údaje ve výše uvedeném rozsahu za účelem nabízení obchodu nebo služeb zpracovávat i bez souhlasu dotyčných osob, pokud s tím dané osoby výslovně nevyjádří svůj nesouhlas (tzv. „opt-out“ systém). 

Psali jsme: Všechno je to o kontaktech. Víme, kde je sehnat

Současně podle ustanovení § 5 odst. 6 zákona o ochraně osobních údajů může správce, který osobní údaje zpracovává za podmínek uvedených v předchozím odstavci, tyto údaje předat jinému správci. Pouze však pokud tyto osobní údaje (i) byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje, (ii) budou využívány pouze za účelem nabízení obchodu a služeb a (iii) subjekt údajů byl o tomto postupu předem informován a nevyslovil s ním nesouhlas. Předávat (resp. prodávat) osobní údaje třetím osobám je tedy za splnění těchto podmínek zcela legální. Nutno však zdůraznit, že na základě zákona o ochraně osobních údajů lze osobní údaje třetím subjektům předávat jen v rozsahu jména, příjmení a adresy. Nad rámec uvedeného bude vždy nutné získat potřebný souhlas. 

Využitelnost zakoupených databází 

Podíváme-li se blíže na samotnou využitelnost databází obsahujících osobní údaje pro účely nabízení obchodu a služeb a zasílání obchodních sdělení elektronickými prostředky, což bývá nejčastější a nejlevnější způsob oslovování zákazníků, dostaneme se ihned do jiné reality. Podle ustanovení § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, v platném znění, který upravuje podmínky zasílání obchodních sdělení, totiž lze „podrobnosti elektronického kontaktu“ za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas. 

Mohlo by vás zaujmout: Jak získat databázi kontaktů na e-mailing? 3 věci, které nikdy nedělejte

Výjimka z této povinnosti se uplatní pouze na zasílání obchodních sdělení e-mailem, avšak výlučně pro účely propagace vlastních výrobků nebo služeb a pouze za předpokladu, že je e-mail zákazníka získán v souvislosti s jejich prodejem. To vše za podmínky, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma či na účet obchodníka svůj souhlas se zasíláním odvolat, přičemž podobné e-maily musí být zřetelně označeny jako obchodní sdělení a nesmí skrývat totožnost odesílatele. 

Pokud si však kdokoliv databázi s osobními údaji cílových skupin jednoduše zakoupí, výše uvedená výjimka se samozřejmě neuplatní. Pod pojem „podrobnosti elektronického kontaktu“ současně spadá oslovování nejen přes e-mail, ale i přes telefon, SMS, MMS apod., přičemž dle stávajících výkladů Úřadu pro ochranu osobních údajů je za zasílání obchodních sdělení považováno i samotné kontaktování dotyčných osob za účelem získání jejich souhlasu. Za těchto podmínek se zakoupená databáze rázem stává téměř nepoužitelnou. 

Závěr 

Pokud se tedy nechcete dostat do křížku se zákonem, raději se vždy přesvědčte, zda obchodník nabízející vám k prodeji osobní údaje určitých cílových skupin je vám schopen zajistit souhlas všech těchto subjektů se zasíláním obchodních sdělení, a to přímo pro vás či pro vaši společnost, jakož i pro vámi nabízené výrobky nebo služby. Pokud totiž takovýto konkrétní souhlas všech osob obsažených v databázi adresovaný přímo vám předem nezíská, což nelze považovat za velmi pravděpodobné, bude vám zakoupená databáze buď k ničemu, nebo máte nakročeno k pokutě ze strany Úřadu pro ochranu osobních údajů.