Jednou z prvních vlaštovek rozhodování německých soudů v souvislosti s ochranou osobních údajů na internetu bylo dnes již téměř rok staré rozhodnutí Zemského soudu v Mnichově ze dne 1.února 2001 ve věci klauzule všeobecného svolení ke zpracovávání osobních údajů v zákaznickém systému bonusů PAYBACK (Aktenzeichen: 12 O 13009/00).
Zemský soud v Mnichově shledal ve svém rozhodnutí jako oprávněnou žalobu berlínského Spolku pro ochranu spotřebitele proti společnosti "Payback-Rabattverein e.V." (dále jen Payback), která organizuje systém bonusů pro zákazníky PAYBACK ve spolupráci s mnichovskou firmou "Loyalty Partner GmbH" [1].
Tento zákaznický sytém spočívá v získávání bonusů (bodů) zaregistrovaného zákazníka při odběru zboží nebo služeb od firem účastnících se na tomto systému (partnerské firmy) po předložení karty na slevu. Majitel karty na slevu získává při každém nákupu u některé z partnerských firem až 3% slevu. Tu však nemůže uplatnit okamžitě. Poskytnutá srážka z ceny se přepočítává na body, které se připisují na účet majitele karty. Tyto body jsou elektronicky zaznamenávány u partnerských firem, které je poté odesílají společnosti Payback e.V., kde je evidence zákazníků, kteří se prokazují přiděleným zákaznickým číslem. Za každý cent (měna Euro) sražený z ceny získá zákazník bod na svůj účet. Po získání 1500 bodů si je může zákazník nechat proplatit.
Soud ve svém rozhodnutí zakázal v systému bonusu používat všeobecné klauzule se souhlasem ke zpracovávání dat umístené v prihlašovacím formulári tohoto systému a možnost se na tyto klauzule odvolávat pri realizaci smluv. Soud je shledal jako vědomě nejednoznačně formulované.
V přihlašovacím formuláři se zákazník mohl setkat s následujícím ustanovením:
„Souhlasím s tím, aby mnou zadané údaje, jakož i moje osobní údaje týkající se obratu, proplácení a mé účasti, získané v rámci programu PAYBACK, zpracovávaly a používaly v rámci platného zákona o ochraně osobních údaju společnost Payback e.V., príslušné partnerské firmy a v souvislosti s tímto pověřené firmy poskytující služby k realizaci programu PAYBACK, jakož i za účelem reklamy a průzkumu trhu.“
Podle soudu nebylo jasné, které firmě bude Payback e.V. výše uvedené údaje předávat. Zákazník by se nedozvěděl v jakých případech a kterým adresátům by mohly být jeho osobní údaje předávány.
Zájemci při objednávce karty na slevu Payback po internetu nezbývala jiná možnost než souhlasit, neboť pokud by se rozhodnul tuto volbu neakceptovat, došlo by k přerušení přihlašovací operace.
V bodě 6.2 podmínek účasti bylo dále uvedeno:
"Pokud jste při Vašem přihlášení výslovně vyjádřil Váš souhlas, může PAYBACK nebo pověřená firma Vaše údaje ve spolupráci s partnerskými firmami zpracovávat pro marketingové akce, zejména pro mailing a za účelem průzkumu trhu, používat je a předávat zúčastněným partnerským firmám ke zpracování."
Payback sice mezitím vysvětlil, že mailingem měl namysli posílání pošty a E-mailů. To však soudu nestačilo. Za mnohem problematičtější považoval skutečnost, že v podmínkách účasti se neuvádí, kdo smí v jednotlivých případech disponovat s jakými daty a zda smějí být data týkající se realizace zakázky ukládána a vyhodnocována společně s osobními kmenovými daty.
Soud shledal ve všeobecných klauzulích se souhlasem ke zpracovávání osobních údajů neúměrné znevýhodnění zákazníků a označil vyjádření souhlasu týkající se zpracování a používání osobních údajů na základě ustanovení § 9 odst.1 a 2, č.1 zákona o všeobecných obchodních podmínkách (AGBG) ve spojení s ustanoveními §4 a 28 spolkového zákona o ochraně osobních údajů (Bundesdatenschutzgesetz-BDSG) za neplané.
Podle ustanovení §4 odst.1 BDSG je zpracování osobních údajů a jejich používání přípustné pouze, stanoví-li tak tento zákon nebo jiný právní předpis nebo pokud s tím dotčená osoba vysloví souhlas. Dále musí být dotčená osoba před vyjádřením souhlasu poučena o dosahu svého souhlasu, tzn. upozorněna na účel ukládání údajů a jejich předpokládané předání další osobě.
Klauzule kromě jiného poukazuje na to, že zpracovávání a používání osobních údajů probíhá v rámci platných zákonů o ochraně osobních údajů. Tak je zákazníkovi sugerováno, že zpracovávání a používání probíhá podle platných ustanovení o ochraně osobních údajů, tedy v mezích zákona.
Účastník nebyl jednoznačně informován o rozsahu a účelu ukládání a předpokládaném předávání údajů, tzn. jaké údaje budou předávány partnerským firmám Paybacku, ani mu nebyla poskytnuta dostatečná možnost odmítnout některé formy zpracovávání údajů.
Zákazník si často neuvědomuje, že při placení zákaznickou kartou ho lze jednoznačně identifikovat a díky tomu je následně možné sledovat jeho chování jako spotřebitele, na základě čehož lze vytvořit zákaznický profil.
Vedle podnikatelského záměru spojuje všechny firmy podílející se na systému bonusů zájem o zákazníka. Čím více kupující nakupuje pomocí karty, tím více firmy vědí o jeho chování jako spotřebitele. Payback ukládá údaje o chování při nákupu každého držitele karty, vyhodnocuje je a v anonymizované podobě je poskytuje partnerským firmám. Z chování při nákupu je možné činit i takové závěry jako např. o příjmech nebo o způsobu trávení volného času apod. Každým nákupem s použitím karty na slevu roste informovanost firem o svých zákaznících.
Nutno dodat, že ještě před nabytím právní moci soudního rozhodnutí Payback podstatně změnil své obchodní podmínky. Dnes se již můžeme v přihlašovacím formuláři setkat s následujícími ustanoveními:
„Přečtěte si Podmínky účasti a Pokyny k ochraně osobních údajů. Správu Vašich údajů (základní údaje, dobrovolné údaje a údaje o slevách) provádí Loayalty Partner GmbH, Postfach 232103, 85330 München-Flughafen. Vaším souhlasem vyjadřujete souhlas se získáváním, ukládáním a používáním těchto údajů firmou Loayalty Partner GmbH pro realizaci programu podle Pokynů k ochraně osobních údajů.....Souhlasím s tím, aby za tímto účelem a za účelem průzkumu trhu používaly moje údaje podle Pokynů k ochraně osobních údajů společnost Payback, partnerské firmy a Loayalty Partner....Váš souhlas můžete kdykoliv odvolat.....“
Dále pak v Pokynech k ochraně osobních údajů se mimo jiné uvádí:
„...Veškeré údaje získané prostřednictvím přihlašovacího formuláře bude získávat, ukládat a používat firma Loyalty Partner pro realizaci programu PAYBACK. Základní údaje, dobrovolně poskytnuté údaje a popř. jejich změny obdrží a bude používat vedle firmy Loyalty Partner i partnerská firma, prostřednictvím které jste obdrželi Vaši kartu PAYBACK. Pokud jste obdrželi Vaši kartu přímo od společnosti PAYBACK, bude znát tato data pouze Loyalty Partner.....” atd.
Nakonec bych se v souvislosti s tímto jen okrajově ještě zmínil o dvou zásadách, které jsou charakteristické pro Spolkový zákon o ochraně osobních dat a rovněž i pro další související právní předpisy (např. Teledienstendatenschutzgesetz).
První zásadou je zásada zákazu zpracovávání osobních dat (něm. Verbotsgrundsatz). Podle této zásady je zakázáno vše, co není v rámci těchto zákonů dovoleno. Zpracovávání osobních dat je podle zákona přípustné pouze, souhlasí-li s tím dotčená osoba nebo to dovoluje tento zákon či jiné právní předpisy. Souhlas vyžaduje ustanovení §4 odst.1. Je možný pouze, pokud byla dotčená osoba předem informována o účelu uložení a předpokládaného předání dat, a pokud o to požádala, tak i o následcích odepření (viz §4 odst.2 věta první). Ustanovení §4 odst.1 jednoznačně hovoří o zpracování osobních dat, které je přípustné, pokud s tím dotčená osoba souhlasí. Souhlas vyžaduje písemnou formu, pokud není vzhledem ke zvláštním okolnostem přiměřená jiná forma (§4 odst.2 věta 2.).
Druhou zásadou je zásada účelovosti (něm. Zweckbindungsgrundsatz). Podle §28 odst.1 čís.1 je zpracovávání osobních dat přípustné v rámci účelu smluvního vztahu mezi dotčenou osobou a zpracovatelem, pro nějž byly určeny. Jedná se zejména o zpracovávání dat o zákaznících. Data smějí být zpracovávána pouze v rámci jednou daného účelu. Jakmile tedy tento účel odpadne, je další zpracovávání nepřípustné. Není tedy možné využít data, která byla získána v souvislosti s nějakou službou poskytnutou zákazníkovi nebo v souvislosti se získáváním informací o této službě, k nabídnutí jiné služby nebo zboží tomuto zákazníkovi. Jakmile odpadne účel, resp. důvod zpracovávání dat, např. zakázka byla vyřízena, musí být data vymazána.
Celé znění rozsudku najdete zde: http://www.jurpc.de/rechtspr/20010117.htm
Poznámky:
[1] Provozovateli systému PAYBACK firmě Loayalty Partner GmbH, která patří dceřinné společnosti firmy Lufthansa, společnosti Metro, firmě zabývající se podnikovým poradenstvím Roland Berger a svému zakladateli Alexandru Rittwegerovi, se podařilo v prvním pololetí roku 2000 získat sedm milionů členů systému PAYBACK a dosud zapojit do tohoto systému 25 partnerských firem mezi něž patří i taková zvučná jména jako Kaufhof, AOL, DEA, Europcar, dm-Drogeriemarkt a další. |
