Otázka deliktní odpovědnosti v souvislosti s obchodními sděleními je dlouho diskutované téma, na něž bývá nahlíženo různými pohledy. Zřejmě je tomu tak proto, že zatímco některé státy zakotvily výslovný zákaz nejen přímého rozesílání spamu, nýbrž i jeho iniciaci, český zákonodárce navázal povinnosti na šíření obchodních sdělení. Ustanovení § 7 odst. 1 SlInfSp obecně stanoví, že
„obchodní sdělení lze šířit elektronickými prostředky jen za podmínek stanovených tímto zákonem“.
S tím koresponduje i sankční ustanovení § 11 odst. 1 SlInfSp, které objektivní stránku deliktu vymezuje jako hromadné nebo opakované šíření obchodních sdělení elektronickými prostředky bez souhlasu adresáta, nedostatečně označené, neumožňující odhlášení apod.
Úřad dlouhodobě zastává názor, že za šíření lze postihnout nejen faktického odesílatele, nýbrž i osobu, v jejíž prospěch sdělení směřuje a jež rozesílku ze své strany iniciovala na základě smlouvy, pokynu či jiného obdobného úkonu. Dle mého názoru jde o výklad správný, neboť pojem šíření nelze ztotožňovat s odesláním, když jde o pojem nepochybně širšího významu. Zákon přitom v tomto interpretaci nijak neomezuje a jde naopak o výklad mnohem lépe zajišťující zachování smyslu a účelu přijetí zákonných ustanovení, jakož i o zajištění eurokonformnosti se směrnicí 2002/58. Zákon nadto výslovně předvídá, že šiřitelem může být nejen osoba sama fakticky odesílající obchodní sdělení, když mezi pojmy jednoznačně rozlišuje. Ustanovení § 7 odst. 4 písm. b) SlInfSp a contrario stanoví povinnost identifikovat odesílatele, jehož jménem se komunikace uskutečňuje. Toto ustanovení je přitom zjevnou transpozicí čl. 13 odst. 4 směrnice 2002/58, který je v zásadě obdobného znění. Již z uvedené dikce je však jednoznačně patrné, že při výkladu šiřitele toliko ve smyslu faktického odesílatele by předmětné ustanovení zcela ztratilo na významu. Slovní spojení „jehož jménem se komunikace uskutečňuje“ pak zcela evidentně implikuje možnou odlišnost původce obchodního sdělení od jeho faktického šiřitele, neboť byl-li by nutně ve všech případech faktický šiřitel zároveň ten, jehož jménem se sdělení přenáší, dovětek ustanovení by byl zcela nadbytečný a bez významu. Snad ještě výstižnějším je potom anglické znění čl. 13 odst. 4 směrnice 2002/58, označující za odesílatele (původce) osobu, v jejíž zastoupení či v jejíž prospěch sdělení směřuje. Je to přitom zcela logické, neboť případný oprávněný zájem na propagaci svého zboží, služeb či image ve smyslu recitálu 40 GDPR, resp. tomu odpovídající rozumné očekávání adresáta možnosti obdržet zprávu takového charakteru může existovat pouze ve vztahu k danému obchodníkovi. Stěžejní je totiž očekávání založené na zájmu o nabízené zboží či službu, a nikoliv to, prostřednictvím jakého poštovního serveru či z jakého e-mailu nabídku obdrží.
Takto pojatý výklad dlouho zůstával bez relevantního judikaturního závěru, který by praxi Úřadu potvrdil, či vyvrátil. Za zcela zásadní pro samotnou dozorovou činnost Úřadu, a tím i úroveň marketingových akcí, lze proto považovat nedávný rozsudek MS v Praze. Při aplikačním rozsahu zákona č. 480/2004 Sb. toliko na elektronickou formu šíření obchodních sdělení je totiž možno marketingovou činnost snadno přenést na jiné, k tomu účelově vytvořené subjekty, případně subjekty ve třetích zemích; tím by v případě odpovědnosti výhradně těchto osob dozor fakticky pozbyl významu. Jednalo se o případ, kdy česká společnost uzavřela smlouvu o marketingové spolupráci se společností z Ukrajiny, která se tímto zavázala pořádat v její prospěch elektronické marketingové kampaně. Vzhledem k tomu, že obchodní sdělení směřovala ve prospěch české společnosti a tato za účelem své propagace uzavřela smlouvu, Úřad s ní vedl správní řízení o podezření ze spáchání přestupků na úseku šíření obchodních sdělení, což vyústilo ve vyslovení viny za současného uložení pokuty. Česká společnost však trvala na názoru, že odpovědným může být výhradně ukrajinský partner.
MS v Praze nejprve vyložil smysl a účel zákonné úpravy, přičemž shledal, že při výkladu některých pojmů v zákoně č. 480/2004 Sb. je třeba přihlížet i k tehdy účinnému zákonu č. 101/2000 Sb., o ochraně osobních údajů. Současně dospěl k závěru, vycházejíc přitom z obdobných myšlenek jako NSS, že nastíněný smysl a účel zákona musí být považován za východiska pro interpretaci § 7 a 11 SlInfSp. V rozsudku pak uvedl:
„A takto soud musí souhlasit se žalovaným, že za osobu, jež šíří obchodní sdělení elektronickými prostředky, nelze považovat pouze jejich přímého odesílatele, nýbrž též osobu, která jejich odeslání iniciovala, dala k němu příkaz či z něj také profitovala. Jestliže cílem zákonodárce byla především ochrana adresátů obchodních sdělení před obtěžujícími marketingovými akcemi, musí výklad dotčených právních norem odpovídat tomuto záměru. Opačný výklad, tedy že za šíření odpovídá pouze faktický odesílatel, by činila předmětné právní normy ve své podstatě neúčinnými, neboť v současném digitálním světě by se skutečný šiřitel obchodního sdělení mohl velmi snadno zbavit své odpovědnosti tím, že by odesláním obchodních sdělení pověřil jinou osobu, typicky tu, která by se nacházela mimo dosah českých orgánů veřejné moci. Navíc nelze odhlédnout od faktu, že zákon o některých službách informační společnosti nehovoří o povinnostech toho, kdo rozesílá obchodní sdělení, nýbrž toho, kdo je šíří. A takto je nezbytné považovat za šiřitele obchodních sdělení elektronickými prostředky nikoli nejen subjekt, který fakticky ‚klikem na myš‘ rozešle daná obchodní sdělení, nýbrž subjekt, který dal podnět k jejich šíření ke konečným adresátům.“
Odpovědnost za šíření obchodních sdělení tak lze uplatnit vůči každému, kdo šíří obchodní sdělení, bez ohledu na to, zda tak činí vlastními silami. S tímto korespondující odpovědnost nelze smluvně přenést, neboť případná smlouva bude mít účinky výhradně inter partes. Jde tak o situaci obdobnou zpracovateli osobních údajů, za jehož případné nezákonné zpracování, bez ohledu na zpracovatelskou smlouvu, v zásadě odpovídá správce, a to objektivně na základě principu odpovědnosti správce. V této souvislosti lze především připomenout, že § 21 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, umožňuje liberaci:
„právnická osoba za přestupek neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby přestupku zabránila“.
Vzhledem k absenci textace ve smyslu subjektivního úsilí, které by bylo možno po ní požadovat, však dikce zákona vyžaduje vynaložení objektivně maximálního možného úsilí. Pouhý odkaz na smluvní ujednání či na porušení povinnosti ze strany smluvního partnera tak liberační důvod nezakládá.
S ohledem na argumentaci Úřadu i MS v Praze obecnou právní úpravou ochrany osobních údajů je možno si položit otázku, zda lze vyvozené závěry využít i po zrušení zákona č. 101/2000 Sb., eventuálně v případě rozesílky výhradně právnickým osobám. Jsem přesvědčen, že v obou případech je třeba odpovědět kladně. Zákon č. 101/2000 Sb. byl nahrazen (primárně) GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, a jelikož vycházejí v zásadě z totožných principů, zatímco některé oblasti problematiky naopak více precizují, lze v současnosti odkázat na ně. Argumentace v tomto směru nicméně i tak byla toliko podružnou a pouze podpůrnou, neboť stěžejním podkladem byl eurokonformní výklad osoby šiřitele a pojmu šíření, tedy naplnění skutkové podstaty deliktu. Osoba adresáta je tak v tomto nerozhodná, přičemž je ale současným faktem, že zákon č. 480/2004 Sb. nepodmiňuje ochranu možným zásahem do práv konkrétně individualizované fyzické osoby, nýbrž chrání elektronické kontakty jako takové, čímž nepřímo přispívá i ke zmírnění zátěže elektronických sítí. V opačném případě by tento účel právní úpravy zůstal nenaplněn.
Jakkoli se s názorem MS v Praze mohu ztotožnit, je nutno mít na paměti, že judikatura k dané problematice ojedinělá. S ohledem na právní jistotu adresátů norem, jakož i dozorovou praxi Úřadu je však o to významnější a je poněkud škoda, že žalobce nepodrobil rozsudek MS v Praze přezkumu NSS. Vzhledem ke společným interpretačním východiskům, jak je NSS podává v rozsudku č. j. 1 As 136/2019-38, se lze domnívat, že by dospěl k obdobným závěrům, nicméně jeho rozsudek se týkal jiného merita, a proto tato úvaha zůstává pouze v mezích domněnky. Nezbývá proto, než sledovat, jak se bude výkladová praxe dále vyvíjet, a to i s ohledem na případné přijetí nařízení e-Privacy.