GDPR compliance pro telemarketing a osobní údaje:

Využíváte telemarketing k oslovení nových klientů, ale nejste si jisti, zda postupujete v souladu s GDPR a přísnými českými zákony? Nejste sami. V tomto článku naleznete konkrétní odpovědi a praktické kroky, jak nastavit vaše marketingové kampaně legálně, efektivně a bez rizika sankcí, které mohou dosahovat desítek milionů korun.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "JUDr. Jakub Dohnal, Ph.D.,LL.M.", expert na dané téma.

Proč je telemarketing v Česku rizikovější než kdy dříve?

Telemarketing byl dlouhá léta efektivním nástrojem prodeje. Nicméně, legislativní změna v roce 2022 zcela přepsala pravidla a proměnila dříve běžné praktiky v nelegální a vysoce rizikové aktivity. 

Pro firmy, které se nepřizpůsobily, se telemarketing stal právním minovým polem s hrozbou citelných finančních postihů. Klíčovým momentem byla novela zákona č. 127/2005 Sb., o elektronických komunikacích (ZEK), která s účinností od 1. července 2022 zavedla radikální změnu. 

Tato úprava reagovala na sílící společenskou poptávku po ochraně před nevyžádanými hovory a zásadně zpřísnila podmínky pro marketingová volání.

Od principu „Opt-Out“ k přísnému „Opt-In“

Před touto novelou platil princip „opt-out“. To znamenalo, že firmy mohly volat komukoliv, kdo aktivně nevyjádřil svůj nesouhlas, například zapsáním do speciálního registru.

Nová úprava tento model zcela obrátila. Nyní platí striktní princip „opt-in“, který předpokládá, že každý s marketingovým voláním automaticky nesouhlasí.

Firmy tak dnes mohou legálně volat pouze těm účastníkům, kteří k tomu předem udělili svůj aktivní a prokazatelný souhlas. 

Tento posun znamená, že břemeno důkazu leží plně na volající společnosti. Nestačí se domnívat, že volaný nemá námitky; je nutné mít důkaz, že si hovor výslovně přál.

Konec výmluvy na „náhodně vygenerovaná čísla“

Oblíbený argument mnoha call center, že „telefonní číslo bylo náhodně vygenerováno“, již není platnou obranou. Zákon a výkladová stanoviska dozorových orgánů explicitně uvádějí, že i náhodné generování čísel je považováno za vytvoření účastnického seznamu. 

Na takto získané kontakty se proto plně vztahuje režim „opt-in“ a bez předchozího souhlasu na ně nelze volat.

Hrozba je reálná a sankce se stupňují

Přechodné období již dávno skončilo a dozorové orgány, především Český telekomunikační úřad (ČTÚ), začaly nová pravidla aktivně a tvrdě vymáhat. 

Již během prvního roku platnosti nové úpravy úřad řešil přes 1380 stížností, provedl 75 hloubkových kontrol a uložil pokuty v souhrnné výši téměř 5 milionů Kč.

Tato čísla jasně ukazují, že se nejedná o teoretickou hrozbu. Dozorové orgány jsou nyní plně vybaveny k odhalování a trestání prohřešků. Ignorování nových pravidel již není kalkulovaným rizikem, ale téměř jistou cestou k vysoké pokutě a poškození reputace společnosti.

Souhlas, nebo oprávněný zájem? Klíč k legálním marketingovým kampaním

Aby vaše telemarketingové aktivity stály na pevných právních základech, musíte se opírat o jeden ze dvou klíčových právních titulů, které GDPR umožňuje: souhlas subjektu údajů, nebo oprávněný zájem správce. Volba mezi nimi není libovolná a každá má svá striktní pravidla, jejichž porušení je snadnou cestou k sankcím.

Souhlas: Zlatý standard s přísnými podmínkami

Souhlas je nejbezpečnějším právním základem pro oslovení nových, potenciálních klientů. Aby byl však platný, musí dle GDPR splňovat čtyři základní kritéria: musí být svobodný, konkrétní, informovaný a jednoznačný.

Zapomeňte na souhlas ukrytý v obchodních podmínkách nebo předem zaškrtnutá políčka – takové praktiky jsou neplatné. Klíčová je prokazatelnost. Jako správce údajů musíte být kdykoliv schopni doložit, kdy, jak a v jakém rozsahu byl souhlas udělen. 

V praxi se nejčastěji využívá nahrávka hovoru (s předchozím upozorněním) nebo potvrzovací mechanismus, jako je tzv. double opt-in, kdy subjekt potvrdí svůj zájem například kliknutím na odkaz v e-mailu.

Nevíte si s daným tématem rady?

Oprávněný zájem: Úzká výjimka pro stávající zákazníky

Oprávněný zájem lze využít pro přímý marketing, ale pouze za velmi specifických podmínek. 

Typicky se jedná o situaci, kdy oslovujete svého stávajícího zákazníka s nabídkou obdobných produktů nebo služeb, než jaké si u vás v minulosti zakoupil. Zákazník musí navíc takové oslovení rozumně očekávat.

I v tomto případě však máte povinnosti. Než začnete oprávněný zájem využívat, musíte provést a zdokumentovat tzv. balanční test. 

V něm musíte pečlivě zvážit a vyhodnotit, zda váš obchodní zájem skutečně převažuje nad právem dané osoby na soukromí. Tento dokument je při případné kontrole naprosto zásadní.

V ARROWS vám pomůžeme nejen s přípravou GDPR-compliant textů pro získání souhlasu, ale také s vypracováním právně neprůstřelného balančního testu pro marketingové aktivity cílící na vaše stávající klienty. Spojte se s námi na office@arws.cz a získejte právní jistotu.

FAQ – Právní tipy k právnímu základu

• Musím mít souhlas, i když volám stávajícímu zákazníkovi?
  Ne vždy. Můžete se opřít o oprávněný zájem, ale musíte mít zdokumentováno, proč váš zájem převažuje, a nabízet pouze obdobné produkty. Pro právní jistotu a přípravu potřebné dokumentace nás kontaktujte na office@arws.cz.
• Jak dlouho platí jednou udělený souhlas?
  Souhlas platí, dokud není odvolán. Doporučujeme však souhlasy pravidelně ověřovat a vést přesnou evidenci. Potřebujete nastavit interní procesy pro správu souhlasů? Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Mýty a fakta B2B telemarketingu: Smíte volat na čísla z firemních webů?

Oblast B2B marketingu je plná nebezpečných mýtů a polopravd, které mohou firmy stát miliony. Mnoho společností se mylně domnívá, že přísná pravidla se vztahují pouze na spotřebitele. 

Opak je pravdou a dozorové orgány v praxi ukazují, že nerozlišují a pokutují i firmy za nelegální oslovování jiných firem.

Mýtus č. 1: „Na firmy se GDPR a ZEK nevztahují.“

Toto je zásadní a velmi nákladný omyl. Zákon o elektronických komunikacích (ZEK) se vztahuje na všechny „účastníky“, což zahrnuje fyzické i právnické osoby.

Ačkoliv GDPR primárně chrání fyzické osoby, i firemní telefonní číslo se stává osobním údajem, pokud je možné jej přiřadit ke konkrétnímu zaměstnanci – například přímá linka na manažera nebo telefon uvedený u jména na webu.

Mýtus č. 2: „Co je na webu, je veřejné a mohu to použít.“

Zveřejnění telefonního čísla na webových stránkách neznamená automatický souhlas s marketingovým oslovením. 

Tento kontakt je primárně určen pro zákazníky nebo obchodní partnery k navázání legitimního obchodního vztahu, nikoliv pro nevyžádané nabídky. Že se nejedná o teorii, dokazuje i praxe ČTÚ, který již udělil pokutu 40 000 Kč společnosti právě za to, že volala na číslo získané z veřejně dostupného webového katalogu.

Na koho se můžete obrátit?

Mýtus č. 3: „Nákup databází je legální zkratka.“

Nákup databází kontaktů je jednou z nejrizikovějších marketingových strategií. Plnou odpovědnost za platnost a prokazatelnost souhlasů v zakoupené databázi nese vaše společnost, nikoliv prodejce databáze. 

Obecný souhlas udělený „třetím stranám“ je podle GDPR téměř vždy neplatný. Bez detailní právní prověrky a smluvních záruk se vystavujete obrovskému riziku.

Rozdíl mezi benevolentním výkladem a přísnou praxí dozorových orgánů je přesně tím místem, kde firmy přicházejí o peníze. Zatímco některé výklady mohou naznačovat určitou volnost, skutečná rozhodnutí o pokutách ukazují, že ČTÚ se drží nejpřísnější interpretace zákona. 

Spoléhat na nejasnosti v legislativě je strategie, která vede přímo k sankčnímu řízení.

Získávání a správa B2B kontaktů

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Použití telefonního čísla z webových stránek firmy bez dalšího právního titulu. Hrozí pokuta od ČTÚ v řádech desítek až stovek tisíc Kč za porušení ZEK.	Právní analýza a stanovení strategie. Posoudíme vaše zamýšlené marketingové aktivity a navrhneme bezpečný postup. Chcete znát své právní možnosti? Napište na office@arws.cz.
Nákup databáze kontaktů s neplatnými nebo neprokazatelnými souhlasy. Riziko pokuty od ÚOOÚ za zpracování osobních údajů bez právního důvodu, která může dosáhnout milionů Kč.	Due diligence a revize smluv s dodavateli. Prověříme vaše dodavatele dat a připravíme smlouvy, které vás ochrání. Potřebujete revizi smlouvy? Kontaktujte nás na office@arws.cz.
Oslovování kontaktů z veřejných rejstříků (např. ARES) pro marketingové účely. Jedná se o zpracování údajů pro jiný účel, než pro který byly zveřejněny. Hrozí sankce od ÚOOÚ.	Nastavení interních compliance procesů. Vyhotovíme interní směrnice pro práci se zdroji dat, které ochrání vaši společnost před sankcemi. Pro okamžité řešení vaší situace nám napište na office@arws.cz.
Předpoklad, že firemní telefonní číslo není osobní údaj. Pokud je číslo přiřaditelné konkrétní osobě, jedná se o osobní údaj podléhající GDPR. Chybný předpoklad vede k nelegálnímu zpracování.	Odborná školení pro vaše zaměstnance. Proškolíme vaše marketingové a obchodní týmy v oblasti GDPR a telemarketingu, včetně certifikátu. Zajistěte si školení na míru – napište na office@arws.cz.

Mezinárodní kampaně bez rizika: Jak ARROWS řeší telemarketing v zahraničí

Pokud vaše obchodní aktivity přesahují hranice České republiky, právní komplexita telemarketingu dramaticky narůstá. 

Spoléhat na to, že pravidla, která platí v Česku, budou platit i jinde, je recept na mezinárodní právní problém. Každá země EU má svá specifická pravidla, která jsou často ještě přísnější než ta naše.

Ačkoliv GDPR stanovuje jednotný rámec pro ochranu osobních údajů v celé EU, samotná pravidla pro elektronickou komunikaci, včetně telemarketingu, jsou upravena národními zákony, které implementují tzv. ePrivacy směrnici.

To vede k výrazným rozdílům mezi jednotlivými členskými státy. Co je legální v jedné zemi, může být přísně zakázáno v druhé.

Příklad z praxe: Přísné Německo a Polsko

Pro ilustraci se podívejme na dva klíčové trhy pro české firmy:

• Německo: Německá legislativa je extrémně přísná a vyžaduje výslovný, prokazatelný souhlas (opt-in) i pro většinu B2B telemarketingových hovorů. Koncept „předpokládaného souhlasu“ je vykládán velmi úzce a pouhé zveřejnění čísla na webu pro něj rozhodně nestačí.
• Polsko: Nový zákon o elektronických komunikacích, platný od roku 2024, zavedl striktní požadavek na výslovný souhlas pro veškerou B2B elektronickou komunikaci, včetně telemarketingu. Polské úřady tak následují trend nejpřísnějších evropských regulací.

Správné nastavení mezinárodní kampaně není jen o vyhýbání se pokutám; je to strategický krok, který umožňuje vstup na nové trhy.

Zatímco konkurence je paralyzována právní nejistotou nebo čelí sankcím, firma s robustním právním zázemím může expandovat rychle a bezpečně. Investice do mezinárodního právního poradenství se tak stává investicí do růstu.

Řešení ARROWS International

Díky naší deset let budované síti ARROWS International jsme schopni zajistit pro naše klienty spolehlivé a lokalizované právní poradenství napříč Evropou i mimo ni. 

Prakticky denně řešíme případy s mezinárodním prvkem a dokážeme vaši telemarketingovou kampaň nastavit tak, aby byla v souladu s lokální legislativou každého cílového trhu.

Kroky, které musíte podniknout před prvním hovorem

Efektivní a legální telemarketing vyžaduje pečlivou přípravu a zavedení jasných interních procesů. 

Nejde jen o to, co říkají vaši operátoři, ale také o to, jakou máte za sebou dokumentaci a jak reagujete na požadavky klientů. Následující kroky jsou absolutním minimem, které musíte splnit.

Krok 1: Ověření právního základu

Než vytočíte jediné číslo, musíte mít stoprocentní jistotu ohledně právního titulu pro každý kontakt ve vaší databázi. 

Zeptejte se sami sebe: Máme pro tento kontakt prokazatelný souhlas? Nebo se jedná o stávajícího zákazníka, kde můžeme aplikovat oprávněný zájem a máme k tomu vypracovaný balanční test? Bez jasné odpovědi nesmíte volat.

Krok 2: Plnění informační povinnosti

GDPR vám ukládá rozsáhlou informační povinnost. 

Nejpozději na začátku hovoru musíte volaného srozumitelně informovat o tom, kdo jste (identita správce), za jakým účelem mu voláte a zpracováváte jeho údaje, a poučit ho o jeho právech – zejména o právu vznést námitku.

Krok 3: Zajištění práv subjektů údajů

Vaše firma musí mít zavedený jednoduchý a funkční proces pro vyřizování žádostí a námitek. 

Pokud kdokoliv vznese námitku proti zpracování svých údajů pro účely marketingu, musíte jeho údaje pro tyto účely přestat zpracovávat okamžitě a bez zbytečného odkladu. Toto právo je absolutní a neexistují z něj výjimky.

Krok 4: Vedení záznamů o činnostech zpracování

Podle článku 30 GDPR musíte vést a pravidelně aktualizovat záznamy o činnostech zpracování. 

Tato dokumentace musí detailně popisovat, jaké osobní údaje pro telemarketing používáte, odkud pocházejí, komu je předáváte a jak jsou technicky i organizačně zabezpečeny. Absence těchto záznamů je sama o sobě porušením GDPR.

Krok 5: Smlouvy se zpracovateli

Pokud pro telemarketing využíváte služby externího call centra nebo marketingové agentury, musíte s nimi mít uzavřenou platnou zpracovatelskou smlouvu dle článku 28 GDPR. Pamatujte, že odpovědnost za jejich případná pochybení vůči úřadům nesete primárně vy jako správce údajů.

ARROWS vám pomůže s kompletní přípravou dokumentace, která ochrání před pokutami a sankcemi, včetně interních směrnic, záznamů o činnostech zpracování a zpracovatelských smluv. Neváhejte se obrátit na naši kancelář – office@arws.cz.

Nevíte si s daným tématem rady?

Nejčastější a nejdražší chyby: Jak se vyhnout pastem, do kterých padají ostatní

I firmy, které se snaží postupovat v souladu se zákonem, se často dopouštějí provozních chyb, které vedou ke stížnostem a následným kontrolám. Tyto chyby obvykle pramení z nedostatečně nastavených interních procesů nebo špatně proškolených zaměstnanců.

• Chyba č. 1: Ignorování námitky: Nejčastější a nejzávažnější chyba. Operátor sice přijme námitku klienta, ale ta není správně zaznamenána a promítnuta do všech systémů. Jakýkoliv další hovor na toto číslo je pak již vědomým porušením zákona a může být klasifikován jako agresivní obchodní praktika.
• Chyba č. 2: Nedostatečná identifikace: Operátor se na začátku hovoru nepředstaví celým jménem společnosti nebo nejasně formuluje účel volání. Tím dochází k porušení informační povinnosti a zvyšuje se nedůvěra volaného, který si spíše bude stěžovat.
• Chyba č. 3: Žádost o souhlas je již marketing: Mnoho firem se mylně domnívá, že mohou zavolat s cílem získat souhlas pro budoucí marketing. Samotný nevyžádaný hovor s žádostí o souhlas je však již považován za marketingovou komunikaci, a je tedy nelegální, pokud pro něj nemáte předchozí právní titul.
• Chyba č. 4: Absence zpracovatelské smlouvy: Spolupráce s externím call centrem bez řádné a detailní zpracovatelské smlouvy je časovanou bombou. Při kontrole je to jedna z prvních věcí, kterou bude úřad požadovat, a její absence je snadno prokazatelným a pokutovaným prohřeškem.

Provozní pochybení a jejich následky

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Nerespektování námitky klienta proti přímému marketingu. Okamžitá povinnost přestat se zpracováním. Opakované volání může vést k vysoké pokutě a poškození reputace.	Zavedení compliance procesů a směrnic. Nastavíme vám interní postupy pro správu žádostí a námitek, aby vaše firma plnila své zákonné povinnosti. Potřebujete právní pomoc? Kontaktujte nás na office@arws.cz.
Neplnění informační povinnosti během hovoru. Porušení čl. 13/14 GDPR. Může vést ke stížnosti u ÚOOÚ a následné kontrole a pokutě.	Příprava skriptů a školení operátorů. Připravíme pro vás právně ověřené skripty pro operátory a zajistíme jejich proškolení, aby každý hovor proběhl v souladu se zákonem. Spojte se s námi na office@arws.cz a získejte řešení na míru.
Neexistence nebo formálně chybná zpracovatelská smlouva s call centrem. Správce (vy) plně odpovídá za pochybení zpracovatele (call centra). Pokuta od ÚOOÚ hrozí oběma stranám.	Příprava nebo revize zpracovatelských smluv. Zajistíme, aby vaše smlouvy s dodavateli splňovaly všechny náležitosti GDPR a chránily vaše zájmy. Potřebujete připravit smlouvu? Napište na office@arws.cz.
Nedostatečné zabezpečení databáze kontaktů. Únik databáze může vést k masivní pokutě od ÚOOÚ (až 4 % celosvětového obratu) a k hromadným žalobám.	Právní konzultace v oblasti kybernetické bezpečnosti. Poskytneme vám právní rámec pro zabezpečení dat a pomůžeme s nastavením procesů pro hlášení bezpečnostních incidentů. Naši právníci jsou připraveni vám pomoci – napište na office@arws.cz.

Proč si pro GDPR compliance vybrat právě ARROWS?

V dnešním komplexním právním prostředí nestačí mít jen právníka. Potřebujete partnera, který rozumí vašemu byznysu, myslí strategicky a dokáže přeměnit právní povinnosti ve vaši konkurenční výhodu. 

V ARROWS kombinujeme hlubokou právní expertízu s praktickým obchodním přístupem.

Naše zkušenosti se opírají o dlouhodobou spolupráci s rozsáhlým portfoliem klientů. Staráme se o více než 150 akciových společností, 250 společností s ručením omezeným a 51 obcí a krajů. 

Tato praxe nám dává unikátní vhled do problémů, kterým čelí firmy všech velikostí, a schopnost navrhovat ověřená a funkční řešení.

Komplexní řešení, nejen paragrafy

Neposkytujeme jen izolované právní rady. Nabízíme komplexní servis, který pokryje všechny vaše potřeby v oblasti telemarketingu a GDPR. 

Od úvodních právních stanovisek, přes přípravu veškeré dokumentace (směrnice, smlouvy, souhlasy), zastupování u správních orgánů (ČTÚ, ÚOOÚ), až po odborná školení pro vaše zaměstnance.

Víme, že v byznysu rozhoduje čas. Zakládáme si na rychlosti reakce a vysoké kvalitě naší práce. Naším cílem je poskytovat vám nejen právně bezchybná, ale i praktická a rychle implementovatelná řešení, která nebudou brzdit vaše obchodní aktivity.

Naši specialisté pro Vás

Partner pro váš byznys

Naši roli vnímáme šířeji než jen jako poskytovatele právních služeb. Jsme vaším strategickým partnerem. Aktivně propojujeme naše klienty, pokud vidíme zajímavé obchodní či investiční synergie. 

Rádi si poslechneme i vaše podnikatelské nápady a pomůžeme vám najít cesty k jejich realizaci. Nečekejte na první stížnost nebo kontrolu. 

Investice do prevence je zlomkem nákladů spojených s pokutami a poškozenou reputací. Náš tým je připraven provést audit vašich telemarketingových procesů a zajistit jejich plný soulad s legislativou. Kontaktujte nás ještě dnes na office@arws.cz a domluvte si nezávaznou konzultaci.

FAQ – Nejčastější právní dotazy k GDPR v telemarketingu

1. Co mi reálně hrozí za jeden jediný nevyžádaný telefonát?
Za jediný hovor v rozporu se zákonem o elektronických komunikacích může ČTÚ zahájit řízení, které může vést k pokutě v řádech desítek tisíc korun. Pokud zároveň došlo k porušení GDPR, může samostatné řízení vést i ÚOOÚ. Riziko tedy není zanedbatelné. Pokud řešíte podobný problém, kontaktujte nás na office@arws.cz.

2. Jak mám prokazovat udělený souhlas po telefonu?
Nejspolehlivějším způsobem je nahrávka hovoru, kde je souhlas jasně a srozumitelně udělen. Musíte však volaného na nahrávání předem upozornit a informovat ho o účelu. Alternativou je následný potvrzovací e-mail (double opt-in). Pro správné nastavení těchto procesů se obraťte na naše specialisty na office@arws.cz.

3. Vztahují se tato pravidla i na volání na živnostníky (OSVČ)?
Ano, plně se na ně vztahují. Fyzická osoba podnikající je z pohledu GDPR považována za subjekt údajů a z pohledu ZEK za účastníka. Pravidla pro souhlas a oprávněný zájem platí stejně jako pro nepodnikající fyzické osoby. Potřebujete poradit s kampaní cílenou na OSVČ? Jsme tu pro vás na office@arws.cz.

4. Může mi pokutu udělit ČTÚ i ÚOOÚ zároveň za stejnou kampaň?
Ano, je to možné. ČTÚ postihuje porušení zákona o elektronických komunikacích (samotné nevyžádané volání), zatímco ÚOOÚ postihuje porušení GDPR (např. zpracování osobních údajů bez právního titulu). Jedná se o dva různé přestupky. Pro komplexní právní ochranu se neváhejte obrátit na office@arws.cz.

5. Co dělat, když mi přijde předžalobní výzva nebo oznámení o kontrole?
V žádném případě situaci neignorujte. Okamžitě přestaňte s danou aktivitou a co nejdříve vyhledejte specializovanou právní pomoc. Včasná a správná reakce může výrazně snížit výši případné sankce. Pro zastupování u správních orgánů nás kontaktujte na office@arws.cz.

6. Jaký je rozdíl mezi telemarketingem a průzkumem trhu?
Čistý průzkum trhu, který nic nenabízí a jehož cílem je pouze sběr anonymizovaných dat, nespadá pod definici marketingu. Pokud se však průzkum byť jen okrajově snaží propagovat produkt nebo domluvit schůzku, jedná se o skrytý marketing a platí pro něj přísná pravidla. Hranice je tenká a její překročení je rizikové. Pro posouzení vaší kampaně nám napište na office@arws.cz.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.