Půl miliardy za nevyžádanou poštu. Do zákona se pokoutně dostaly enormní pokuty

Nový zákon o digitální ekonomice předložilo ministerstvo průmyslu a obchodu (MPO) na konci února letošního roku. V předkládací zprávě uvádí, že jde o minimalistickou variantu adaptačního předpisu, který do české legislativy transponuje požadavky evropského „nařízení o digitálních službách“ a částečně i „nařízení o správě dat“.

„Cílem návrhu zákona je zajištění správného fungování vnitřního trhu v oblasti digitální a datové ekonomiky prostřednictvím vytvoření jasného a předvídatelného právního rámce pro vymáhání povinností plynoucích ze souvisejících právních předpisů EU,“ uvádí MPO v předkládací zprávě.

Mimo to zákon upravuje i řadu dalších už existujících předpisů. A jeho součástí jsou i podmínky, za kterých mohou firmy napřímo oslovovat zákazníky v rámci své elektronicky zasílané marketingové komunikace. Typicky tedy s přímou obchodní nabídkou, nebo třeba pravidelnými newslettery. Za porušení těchto pravidel přitom zavádí ony zmiňované – a až drakonické – pokuty.

Jaké konkrétně? Namísto dosavadní horní hranice ve výši deseti milionů korun se nově posouvají až na 20 milionů eur, tedy přes půl miliardy korun! A nebo čtyři procenta z ročního obratu, což může být ještě víc. „Změna pravidel, respektive pokut pro spamy, je tam navíc,“ říká v rozhovoru pro Finmag.cz právník František Nonnemann, který se dlouhodobě věnuje problematice ochrany soukromí.

Zmíněný zákon o digitální ekonomice dramaticky zvyšuje sankce za porušení pravidel přímého marketingu, který by bylo možné považovat za nevyžádanou poštu, takzvaný spam. Jaká je jeho definice dnes a jaké postihy za něj hrozí?

Zákon č. 480/2004 Sb., o některých službách informační společnosti, definuje obchodní sdělení jako jakoukoliv marketingovou nabídku zasílanou elektronickými prostředky, typicky e-mail, SMS a podobné zprávy. Dozorový orgán, Úřad pro ochranu osobních údajů (ÚOOÚ), tuto definici vykládá široce. Obchodní sdělení je cokoliv, co slouží k podpoře konkrétního produktu, služby nebo i brandu podnikatele, tedy nejen nabídky slev, tarifů a zboží, ale i newslettery, informace o novém zboží, nové obchodní spolupráci, přání k Vánocům, přání k narozeninám a tak dále, pokud obsahují název a značku podnikatele.

František Nonnemann

Se souhlasem Františka Nonnemanna

Právník, který se zabývá především ochranou osobních údajů, compliance, finanční regulací a řízením nefinančních rizik. Působil na Úřadu pro ochranu osobních údajů (ředitel analytického odboru, vedoucí právního oddělení). Od roku 2016 působí v soukromém, především finančním, sektoru. Podílel se na založení Partners Banky, kde má na starosti compliance a operační rizika. Externě spolupracuje s Právnickou fakultou Univerzity Karlovy v Praze, je šéfredaktorem odborného portálu GDPR.cz.

Obchodní sdělení lze posílat za splnění jedné ze dvou podmínek: buď s tím adresát předem souhlasil, nebo odesílatel posílá nabídku svému stávajícímu zákazníkovi a nabízí mu produkty podobné těm, které od něj zákazník už dostal. Pokud si tedy člověk například koupil gauč, můžete mu nabídnout křeslo, k autu servis nebo pneumatiky a podobně. Vždy musí jít ale o produkt, který máte v nabídce, ne produkty či služby třetích stran.

Za posílání nevyžádaných obchodních sdělení (ani souhlas, ani současný klient), nebo za porušení dalších pravidel (jasné označení jako obchodní sdělení, identifikace odesílatele, možnost se snadno odhlásit a tak dále) dnes hrozí pokuta až deset milionů korun. Ta mi přijde přiměřená a dostatečně odrazující.

Existuje nějaký příklad z poslední doby, kdy ÚOOÚ za nevyžádanou poštu někoho pokutoval? A případně koho?

Ano, v listopadu 2023 ÚOOÚ uložil asi zatím nejvyšší pokutu za porušení pravidel, tedy posílání nevyžádané pošty, ve výši 7,7 milionu Kč. Informace o tom, kdo tuto pokutu dostal, ale není veřejně dostupná. Každopádně hlavní porušení zákona spočívalo v tom, že tato společnost posílala na e-maily svých zákazníků obchodní sdělení ve prospěch třetích stran.

Další velkou pokutu za nevyžádaná obchodní sdělení dostala už v roce 2020 společnost AAA Auto, respektive jejich provozovatel Aures Holdings a.s., a to šest milionů korun. To ale zrušil Městský soud v Praze a vrátil to ÚOOÚ zpátky k řízení.

Jak moc je v téhle oblasti ÚOOÚ aktivní?

Docela dost. Pro ÚOOÚ to je známá a docela snadná agenda. Má na to sice dedikováno jen několik málo pracovníků, ale ti zvládají vyřídit tisíce stížností ročně. Podle výročních zpráv úřad to bylo v roce 2019 přes dva tisíce stížností, v roce 2020 dokonce přes tři tisíce. Rekordní úhrn pokut za spam pak padl v roce 2020, celkem téměř devět milionů Kč.

Zákon o digitální ekonomice obsahuje i ustanovení v rámci evropského nařízení o digitálních službách, známého pod zkratkou DSA. Ta – řečeno úředním jazykem – mají za cíl „zvýšit bezpečnost a transparentnost online prostoru, chránit uživatele před škodlivým obsahem a klamavými praktikami“. DSA dále ukládá provozovatelům digitálních služeb povinnosti ohledně transparentnosti reklamních a algoritmických systémů a boje proti nelegálnímu obsahu. Co přesně se ale mění s tímto zákonem v Česku? Jde jen o onu výši pokuty, nebo se mění i podstata toho, co je považované za nevyžádané reklamní sdělení?

Nový zákon o digitální ekonomice, který má mimo jiné zrušit současný zákon č. 480/2004 Sb. a který nyní míří na vládu, nemění definici obchodního sdělení ani další povinnosti – souhlas nebo současný zákazník, jasné označení zprávy jako obchodní sdělení a tak dále. Mění vlastně jen dvě věci: zvyšuje možné pokuty za spam z deseti milionů korun na dvacet milionů eur nebo čtyři procenta z obratu podniku, a zavádí časový rámec, kdy je možné zákazníkům posílat obchodní sdělení bez souhlasu. To bude nově možné jen do dvanáct měsíců od zaslání poslední nabídky.

Jinak řečeno, abych si mohl klienta udržet v marketingové databázi, budu mu muset alespoň jednou za rok poslat obchodní sdělení, i když nechci. Asi abych ho ochránil před spamem… (smích)

Jaké další povinnosti (vyjma e-mailové komunikace) zákon přináší?

Zákon primárně míří na úpravu českého právního řádu pro dvě nová EU nařízení o využití a ochraně digitálně zpracovávaných dat, nařízení o digitálních službách (DSA) a akt o správě dat (DGA). Změna pravidel, respektive pokut za posílání spamů, je tam navíc; výrazně vyšší pokuty se v materiálu objevily až po meziresortním připomínkovém řízení, aniž by to bylo detailně odůvodněno.

Nějaký důvod to přese mít musí…

Předkladatel, kterým je ministerstvo průmyslu a obchodu, argumentuje tím, že při zasílání obchodních sdělení se jedná o podobně citlivý zásah jako u protiprávního zpracování osobních údajů. Proto považuje za vhodné sladit pokuty za spamy s pokutami za závažná porušení GDPR, kde je hranice právě 20 milionů eur nebo 4 % z obratu. To mi nepřijde zcela přesvědčivé.

Proč?

Protiprávní monitorování lidí, vytváření a prodej profilů, nelegální a skryté shromažďování biometrických údajů, tam všude jsou za mě takto vysoké pokuty v pořádku s ohledem na chráněná práva a veřejný zájem. Ale u spamu, který je sice otravný, ale do základních práv prakticky nezasahuje, mi to přijde nevyvážené.

Jedním z důvodů regulace a postihování spamu původně byla ochrana internetu a e-mailových schránek uživatelů před přetížením a zahlcením spamem. Což je jistě relevantní, ale pořád méně závažné, než třeba protiprávní prodej citlivých klientských dat.

Pojďme k praxi. Na co bych si jako podnikatel, který klientům komunikuje svou nabídku produktů nebo služeb hromadnými e-maily, měl dát pozor?

Pokud chci svým klientům elektronicky nabízet další produkty nebo služby, a nechci od nich ještě navíc vymáhat souhlas, tak bych si měl dát pozor hlavně na to, abych klientovi umožnil při zadávání kontaktu (první nákup, registrace...) vyjádřit nesouhlas (opt-out) s takovýmto mailingem. Měl bych mu následně posílat také jen vlastní nabídky, ne nabídky třetích stran. A v neposlední řadě obchodní sdělení a sebe jako odesilatele jasně označit, aby věděl, kdo mu píše. V každém obchodním sdělení je také nutné uvést možnost, jak se snadno odhlásit.

Co se stane, když pochybím a uvědomím si, že jsem udělal něco špatně? Jak to napravit, abych minimalizoval riziko vysoké pokuty?

Doporučil bych to opravit hlavně u sebe, aby se chyba neopakovala. To znamená jasně evidovat, kdo je můj zákazník, kteří z nich si nepřejí marketingové e-maily dostávat, kterým to naopak nevadí, případně evidovat adresáty, u kterých mám souhlas. Ke správě kontaktů a souhlasů se hodí mít automatizovaný nástroj, který obsahuje i nějaké kontrolní mechanismy.

A co když se mi ozve zákazník, že jsem mu nabídku zaslal bez platného právního titulu?

Pokud je to pravda a došlo na mé straně k chybě, zákazníkovi bych svoji chybu a přijaté kroky k nápravě transparentně vysvětlil. Adresátům, u kterých jsem vlastní kontrolou zjistil, že jsem jim omylem poslal obchodní sdělení, bych se ale aktivně neozýval, protože by to z jejich pohledu byl další nevyžádaný kontakt. Pokud se jedná o individuální chybu, a ne plošné či opakované zasílání spamů, tak to obvykle zohledňuje i ÚOOÚ a za individuální či drobné technické chyby pokuty nedává.

Po jaké době tedy musím souhlas se zasíláním obchodních sdělení obnovit? Mohu si ho u příjemce nějak vynucovat?

Souhlas lze udělit na jakoukoliv dobu, třeba „až do odvolání“. Důležité je, aby v každém obchodním sdělení byla možnost odhlášení se. Souhlasem se zasíláním obchodních sdělení ale nemůže být například podmiňováno poskytnutí služby, třeba nákup zboží, protože takový souhlas by byl neplatný. Daný podnikatel by, kromě pravidel pro obchodní sdělení, zřejmě měl i problém s pravidly pro ochranu spotřebitele proti klamavým a agresivním obchodním praktikám.

Jaký je ten správný postup získání souhlasu?

Souhlas se zasíláním obchodních sdělení musí mít stejné náležitosti jako souhlas se zpracováním osobních údajů podle GDPR. To znamená, že musí být svobodný, vědomý a transparentní. V praxi tedy musí být dán aktivně, a to zadáním kontaktu, potvrzením, zatržením check boxu atd. Nemůže být udělen mlčky, respektive mlčky akceptován. Když si například e-shop do podmínek napíše, že nákupem klient souhlasí s marketingem, tak se opět nejedná o platný souhlas.

Ona zmíněná pravidla DSA jsou v Evropě platná už od 17. února 2024. Komise v rámci nich může ukládat vysoké pokuty za jejich porušení včetně denních sankcí za prodlení při případné nápravě. Tohle platí i pro Česko republiku?

Ano, tohle už platí, nařízení je přímo závazné. Komise už určila klíčové online platformy, které bude přímo regulovat ona. Platformy či další subjekty (internetové vyhledávače) sídlící v ČR, které nespadají pod ty velké, bude dozorovat skrze místní instituce. V České republice by to měl být Český telekomunikační úřad (ČTÚ). Zákon jen upřesňuje některé procesní aspekty DSA.

Nařízení o digitálních službách aneb co je to DSA

Akt o digitálních službách (Digital Services Act neboli „DSA“) je přelomové evropské nařízení, které vešlo v platnost listopadu 2022 a účinnosti nabylo v půli února 2024. Komplexně upravuje sektor digitálních služeb v rámci EU a jeho cílem je zajistit správné fungování jednotného trhu, udržovat bezpečné online prostředí a chránit základní práva uživatelů. Stanovuje pravidla a povinnosti pro digitální služby, které fungují jako zprostředkovatelé, tedy propojují uživatele se zbožím, službami a obsahem. Jedná se o celé spektrum digitálních služeb, od služeb poskytujících síťovou infrastrukturu, přes webhosting až po online platformy, jako jsou sociální sítě nebo internetová tržiště. Více o DSA včetně toho, jak se dotkne podnikatelů, se dočtete na stránkách MPO.

Zákon by měl být účinný co nejdříve, až na drobné výjimky patnáct dní od schválení a vyhlášení ve Sbírce zákonů. Záleží tedy na délce legislativního procesu, jak rychle stihne vláda, Sněmovna a Senát zákon projednat.

Bude nějaké přechodné období?

Podle návrhu zákona, který nyní posoudí vláda, ne. Od chvíle, kdy nový předpis vyjde ve Sbírce zákonů, bude – pravděpodobně až na drobné výjimky, protože některé části zákona mají v návrhu odloženou působnost – účinný za patnáct dnů.

Zaujali jsme vás? Pokračujte...

• Směrnice NIS2 se blíží, jste připraveni? Otestujte se

• Proč to stále nejde, když tu máme paušální daň? Jedno inkasní místo očima expertů

• ESG jako bič na velké i malé. Brusel dál přitvrzuje, chystá se uregulovat firmy k smrti

Jak jde dohromady byznys a medicína? Dočtete se v novém Finmagu

Je medicína byznys? Jak pro koho. „Frustraci mladých lékařů chápu. Nemají ani na chůvu, aby jim pohlídala děti, když pracují,“ říká přednosta chirurgické kliniky Robert Lischke.

Zdroj: Finmag

MEDICÍNA A BYZNYS

Jak venkovští praktici nepřicházejí o iluze • Ženy mění medicínu • Nejstarší pražská nemocnice objektivem Alžběty Jungrové • Nejdražší léky na světě • Obézních přibývá, Česko dohání USA.

BYZNYS JE HRA

„Investice do umění se do tabulek nevtěsná,“ říká Pavlína Pudil z Kunsthalle • Nejdražší materiál roku 2023? Hrst štěrku z vesmíru za miliardu dolarů • Ekologie musí být podle Tomáš Nemravy, výrobce dřevěných domů, ekonomická.

Koupit Finmag