Tento článek se věnuje problematice prodeje části závodu, přičemž k této části závodu náleží i databáze klientů se závodem souvisejících. V případě prodeje části závodu, jehož součástí je též databáze fyzických osob, dochází ke změně správce údajů a na tuto skutečnost je tedy třeba adekvátně reagovat. Od účinnosti nařízení Evropského parlamentu a rady (EU) 2016/679, obecné nařízení o ochraně osobních údajů (GDPR) začala řada osob řešit otázky, nad kterými se za účinnosti zákona č. 101/2000 Sb., o ochraně osobních údajů, téměř nikdo nepozastavoval.
Nešlo o to, že by dané otázky nebylo třeba řešit i za účinnosti zákona o ochraně osobních údajů. Šlo o to, že o existenci zákona a povinnostech z něj plynoucích řada osob nevěděla. Jednou z otázek, kterou jsem v praxi řešil, byla problematika prodeje části závodu, k níž náleží i databáze klientů. V případě prodeje části závodu, jehož součástí je též databáze fyzických osob, dochází ke změně správce údajů. Na tuto skutečnost je tedy třeba adekvátně reagovat.
Jelikož se u nás touto problematikou nikdo do detailů nezabýval, dovoluji si shrnout své poznatky níže. Závěry, které budou uvedeny v rámci textu, se nevztahují na případy prodeje podílu ve společnosti. V takovém případě zůstává správce údajů stále stejný a dochází pouze ke změně osob ve společnosti činných, tedy z pohledu subjektů údajů nedochází k žádné změně.
Krátce k problematice převodu části závodu
V průběhu podnikání nastávají situace, kdy se podnikatel rozhodne, že se části svého podnikání již nechce věnovat. Rozhodne se proto tuto část převést na jinou osobu. Na druhou stranu však nechce přijít o značku, kterou v průběhu let budoval. Věc tedy nelze řešit převodem podílu ve společnosti. Jako příklad lze uvést salon, v jehož rámci je provozováno kadeřnictví a kosmetické služby. Jde tedy o podnikatelskou činnost, pro kterou je zcela zásadní klientela, kterou podnikatel eviduje v databázi. Aby mohlo reálně dojít k úspěšnému prodeji části závodu spočívající v poskytování kosmetických služeb, nelze tak učinit bez převodu databáze stálých klientů. Zejména v sektoru služeb jde totiž o jedno z nejcennějších aktiv. V takové situaci však může podnikatel narazit na problém, zda lze tuto klientskou databázi převést současně s částí závodu.
Prodej databází obecně
S prodejem databáze se může pojit (a často pojí) řada problémů, a to právě s ohledem na ochranu osobních údajů. Na problematičnost této praxe často upozorňuje i Úřad pro ochranu osobních údajů, ukázáno třeba ZDE ↗.
První problém spočívá již v samotném pořízení databáze. Pokud si správce koupí databázi, nemá reálně možnost zjistit, zda údaje v této databázi byly získány v souladu s platnou a účinnou právní úpravou či nikoli. Ani prohlášení prodejce databáze v tomto případě nehraje valnou roli, jelikož jeho ověřitelnost je ve většině případů nereálná.
Pokud byly osobní údaje, které jsou v databázi, pořízeny zákonně, nastává další problém, týkající se možnosti předání jinému správci. Velmi často se totiž stává, že subjekt údajů předá údaje prodejci databáze dobrovolně. Již ale není informován o tom, že by mělo dojít k následnému předání jiné osobě. Případně (pokud je vyžadován) nedá k takovému předání souhlas.
Pokud nenastane ani jeden z výše uvedených problémů, je zde ještě třetí, z mého pohledu nejzávažnější. Dle ust. § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, mohou být obchodní sdělení zasílána zásadně se souhlasem příjemce, bez souhlasu pouze tehdy, pokud se jedná o zákazníka zasílatele. Tedy i v případě, kdy prodejce databáze může zasílat subjektům údajů obchodní sdělení bez souhlasu (na základě oprávněného zájmu), neznamená to, že tak může činit i správce, který si databázi koupí.
Subjekty údajů totiž apriori nelze považovat za zákazníky správce, jelikož zde není obchodní vazba. Pokud chce následně nový správce využít údaje z databáze pro účely zasílání obchodních sdělení, v drtivé většině případů si musí opatřit souhlas subjektů údajů s takovým zasíláním. Netřeba dodávat, že procento osob, které takový souhlas udělí, nebude příliš vysoké. Využitelnost kontaktů z databáze pro nového správce se tak značně snižuje.
K zamyšlení je pak názor úřadu pro ochranu osobních údajů, dle kterého je případná žádost o udělení souhlasu také obchodním sdělením, který si můžete přečíst ZDE ↗. Osobně se s tímto názorem neztotožňuji. Mám za to, že pokud jsou splněny předchozí 2 podmínky, vyjadřuje svůj zájem na tom, aby osobní údaje byly předány předem neurčeným příjemcům. Následně, na základě žádosti o udělení souhlasu, se může dobrovolně rozhodnout, zda si přeje, aby na něj konkrétní správce obchodní sdělení cílil.
Převod databáze v rámci převodu části závodu
Jak bylo nastíněno výše, s prodejem databáze osobních údajů je spojena řada problémů. Velká část těchto problémů však dle mého názoru odpadá za situace, kdy je databáze převáděna v rámci převodu části závodu. Problematiku rozeberu na dvou situacích, kdy každá má z mého pohledu jiné řešení.
První ze situací je případ, kdy je databáze osobních údajů získána v rámci obchodní činností převodce části závodu a osobní údaje jsou zpracovávány z jiného důvodu, než na základě souhlasu (tedy typicky pro účely plnění smlouvy). Správce, který část závodu nabývá následně bude využívat tyto údaje pro stejné účely a bude poskytovat totožné či obdobné výrobky či služby. V takovém případě lze dle mého názoru převést databázi jako součást závodu bez souhlasu subjektů údajů, stejně tak nebude třeba získat souhlas subjektů údajů se zasíláním obchodních sdělení. Vždy však bude třeba informovat subjekty údajů o změně správce osobních údajů (s ohledem na informační povinnost) a zároveň, jak bylo uvedeno výše, nový správce musí osobní údaje užívat ke stejným účelům a ke stejnému předmětu podnikání.
Pokud by již při převodu databáze bylo zřejmé, že předmět podnikání nového správce bude odlišný, nebylo by možné obchodní sdělení zasílat, jelikož s ohledem na ust. § 7 zákona o některých službách informační společnosti mohou být bez souhlasu zasílána obchodní sdělení, která se týkají pouze obdobných výrobků nebo služeb. Je však třeba upozornit, že v takovém případě musí být stále zachována možnost zasílání obchodních sdělení odmítnout, na tomto se nic nemění.
Rozdílný postup však nastane v druhé situaci, kdy jsou údaje získány na základě uděleného souhlasu (tedy například souhlasu se zasíláním obchodních sdělení od osob, které nejsou zákazníky převodce). V takovém případě lze dle mého názoru převést databázi (i když je převáděna jako součást závodu) jen na základě souhlasu subjektu údajů. Souhlas totiž subjekt údajů uděluje konkrétnímu správci osobních údajů (což plyne i z výše citovaného sdělení Úřadu pro ochranu osobních údajů), konkrétní osoba správce mnohdy hraje při udělení souhlasu stěžejní roli, a nelze tedy přistoupit ke změně správce bez dalšího.
V případě nového souhlasu pak samozřejmě již nemusí být totožný předmět podnikání, souhlas bude získán pro konkrétní účely, výrobky a služby u nového správce. Setkal jsem se též s názorem, že ve druhém případě nebude souhlas potřeba a pouze před převodem části závodu stačí jednotlivé subjekty údajů adresně a výslovně poučit o možnosti odvolat souhlas, domnívám se však, že takový výklad není v souladu s GDPR z důvodů, které jsem uvedl výše (tedy že souhlas je udělen konkrétnímu správci).
Ať už jde o jakýkoli ze dvou výše uvedených případů, je dobré dávat si pozor na to, co převodce uvádí při plnění informační povinnosti (tedy nejčastěji v zásadách ochrany osobních údajů neboli privacy policy). Pokud by informoval subjekty údajů ve smyslu, že osobní údaje nebude předávat (tedy například větou „Vaše údaje nikdy neprodáme“ či „Vaše údaje nikdy nebudeme sdílet s třetími osobami“), mohl by se dostat do problémů z důvodu nepřesné informace a porušení legitimního očekávání subjektů údajů.
Závěr
V článku jsem se zabýval problematikou prodeje databáze osobních údajů při převodu části obchodního závodu. Z mého pohledu není toto téma dostatečně řešeno, ač má oproti běžnému prodeji databáze (který je ve většině případů velmi problematický) svá specifika, která část problémů eliminují. Je třeba upozornit, že řešení, které jsem výše předestřel, vychází z mého názoru na danou problematiku, tento názor je podpořený názory několika málo zahraničních autorů, kteří se tomto tématu věnovali. Jsem přesvědčen, že mnou uvedené řešení je zcela v souladu s GDPR, ač jsem si vědom toho, že názory na tuto problematiku se mohou lišit.
JUDr. Roman Tomek
