Připravte svůj e-shop na GDPR

Pravidla ve zpracování osobních údajů, která přináší obecné nařízení o ochraně osobních údajů (dále v textu pouze jako nařízení) jsou pro některé provozovatele e-shopů úplnou novinkou.  Proto se v tomto článku podíváme na to, co znamená právní titul zpracování, kdy vyžadovat souhlas a co by měl správný souhlas se zpracováním osobních údajů obsahovat.

Je nutné získávat od zákazníků souhlas se zpracováním OÚ za účelem vyřízení objednávky?

Začneme příkladem:

Firma prodává zboží prostřednictvím elektronického obchodu – e-shopu. Pro objednání zboží a jeho dodání je nevyhnutelné, aby zákazník poskytl své osobní údaje, kterými jsou jméno, příjmení, adresa, telefonický a e-mailový kontakt.

Je potřeba, aby firma (provozovatel, dále správce) získávala od svých zákazníků souhlas se zpracováním těchto osobních údajů?

Ne, správce zpracovává osobní údaje za účelem zpracování objednávky a dodání zboží bez souhlasu zákazníka.

Proč je to tak?

Jednou ze základních zásad zpracování osobních údajů, kterou je nutno dodržovat za každých okolností, je zásada zákonnosti. Tato říká o tom, že zpracování osobních údajů je možné vykonávat jen na základě jednoho z definovaných právních titulů zpracování tak, aby nedošlo k porušení základních práv subjektu údajů (tedy dotknuté osoby).

Nařízení ve svém článku 6 rozlišuje celkem 6 právních základů pro zpracování osobních údajů. Jde o jakési oprávnění, které správci webu:

• umožňují
• nebo jej zavazují

zpracovat osobní údaje.

Všechny právní tituly  jsou rovnocenné, ani jeden z nich není pouze doplňkový.

V podmínkách provozovatelů e-shopů jsou nejčastěji používány tyto tři:

• subjekt údajů vyjádřil souhlas se zpracováním svých osobních údajů alespoň k jednomu konkrétnímu účelu,
• zpracování osobních údajů je nevyhnutelné pro plnění smlouvy, smluvní stranou, kterou je subjekt údajů, nebo na vykonání opatření před uzavřením smlouvy na základě žádosti subjektu údajů,
• zpracování osobních údajů je nevyhnutelné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je členský stát vázaný.

Často pouze zjednodušeně říkáme, že osobní údaje zpracováváme na základě: souhlasu, smlouvy nebo zvláštního předpisu.

Takže když se vrátíme zpět k našemu prvnímu příkladu, pak už můžeme říct, že právním titulem zpracování těch osobních údajů, které jsou nevyhnutelné pro dodání zboží nebo služby správcem e-shopu, je smlouva. Ne souhlas se zpracováním.

Je proto nesprávné, když provozovatel prostřednictvím svých obchodních podmínek informuje své zákazníky o zpracování osobních údajů například takto:

„Kupující odesláním vyplněného objednávkového formuláře čestně prohlašuje, že dává souhlas ve smyslu zákona o ochraně osobních údajů, aby prodávající zpracoval jeho osobní údaje za účelem uzavření kupní smlouvy.“

A nesprávně je to i takto:

„Odesláním objednávky zákazník dobrovolně souhlasí se zpracováním jeho osobních údajů z důvodu předmětu plnění smlouvy.“

Proto v situaci, kdy jsou osobní údaje zákazníka nevyhnutelné k tomu, abyste mu dodali produkt (ať už je jím zboží, nebo služba), nevyžadujete souhlas se zpracováním.

Vložení souhlasu se zpracováním do smlouvy jakoby „pro jistotu“ není považováno jen za jakousi drobnost nebo kosmetickou chybu. Jde o nesprávně zvolený právní titul a správci e-shopů tímto postupem porušují pravidla zpracování osobních údajů.

V případě zpracování osobních údajů za účelem realizace dodání zboží (kdy postupujeme bez souhlasu zákazníka) je potřeba prokazatelně zabezpečit plnění informační povinnosti o tom, jak budou osobní údaje zákazníka zpracovány (článek 13 nařízení).

V tomto případě má správce na výběr:

• zda informace uvede do obchodních podmínek (stále ale hovoříme o situaci, kdy správce nevyžaduje souhlas se zpracováním; osobní údaje jsou využívány jen v souvislosti s dodáním zboží),
• nebo všechny informace o tom, jak bude osobní údaje zákazníků zpracovávat, uvede například na samostatnou stránku webu, která bude zaměřena výhradně na ochranu osobních údajů; na tuto stránku bude odkazovat například z objednávkového formuláře, případně jiným způsobem tak, aby se zákazník mohl s informacemi obeznámit.

Samotnou informaci o tom, že budeme zpracovávat osobní údaje bez souhlasu, není potřeba uvádět. Ale podle článku 13 ods. 2 písm. e) nařízení – zákazníka informujeme i o tom, že jeho osobní údaje jsou nevyhnutelné k tomu, abychom s ním mohli uzavřít smlouvu, a v případě, že nám osobní údaje (jméno, příjmení, adresa dodání atd.) neposkytne, poté s ním nemůžeme uzavřít smlouvu.

Proto doporučuji přečíst si článek 13 nařízení, projít jednotlivé body a prověřit, zda o tom zákazníka informujeme, nebo ne.
(Samozřejmě článek 14 se rovněž týká informační povinnosti, ale v situaci, kdy osobní údaje nejsou získány od dotčené osoby, například od jiné osoby, z jiné organizace atd.)

Ochrana osobních údajů a newsletter

Správce e-shopu chce zasílat svým potenciálním zákazníkům e-mailový newsletter. Prostřednictvím něj bude informovat o slevách, novém zboží a různých jiných novinkách. Potřebuje k tomu pouze e-mailovou adresu příjemce. Je potřebný souhlas se zpracováním e-mailové adresy?

Ano, v tomto případě je souhlas se zpracováním nevyhnutelný a je právním titulem pro získání a další zpracování osobních údajů z důvodu zasílání newsletteru.  A to bez ohledu na to, zda bude provozovatel zpracovávat jen e-mailovou adresu příjemce nebo například i jeho jméno nebo příjmení. Zpracování již samotných e-mailových adres všeobecně považujeme za zpracování osobních údajů.

Samozřejmě můžeme namítat, že ne každá e-mailová adresa, kterou provozovatel e-shopu získá, je automaticky osobním údajem. Ale s ohledem na samotnou definici osobních údajů, kterými jsou:

„jakékoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen „subjekt údajů“); identifikovatelná fyzická osoba je osoba, kterou možno identifikovat přímo nebo nepřímo, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor nebo odkazem na jeden, příp. více prvků, které jsou specifické pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní nebo sociální identitu této fyzické osoby“

je velmi pravděpodobné, že získané e-mailové adresy budou většinou považovány za osobní údaje.

Jak získat souhlas  se zpracováním, který bude v souladu s nařízením?

Aby byl souhlas udělený v souladu s nařízením, je nevyhnutelné, aby jím byl svobodný, konkrétní, informovaný a jednoznačný projev vůle dotčené osoby (v tomto případě příjemce e-mailové zprávy), kterým potvrzuje, že souhlasí s tím, aby byly jeho osobní údaje zpracovány.

Je proto nesprávné,  když provozovatel získává souhlas se zpracováním, a to prostřednictvím svých obchodních podmínek takto:

„Odesláním závazné objednávky uděluje zákazník prodávájícímu souhlas se zpracováním své e-mailové adresy, a to za účelem zasílání newsletteru.“

Takto získaný souhlas se zpracováním osobních údajů je v rozporu s nařízením (dokonce i s platným zákonem o ochraně osobních údajů). Je to z toho důvodu, že není  udělen svobodně. Dotčená osoba – zákazník nemá možnost svobodně se rozhodnout, zda souhlas udělí, nebo ne. Hovoříme o tom, že souhlas je vynucený, a proto je v rozporu s legislativou. Správci e-shopu se sice databáze odběratelů newsletterů  utěšeně rozrůstá, a to přímoúměrně počtu jeho zákazníků, tyto souhlasy ale nejsou platné.

Souhlas se zpracováním osobních údajů jednoduše nesmí být součástí obchodních podmínek nebo smlouvy, když dotčená osoba nemá svobodnou možnost vyjádřit svůj nesouhlas.

Rovněž je nesprávně, když pod objednávací formulář umístíte zaškrtávací políčko a vedle něj text „souhlasím se zařazením mojí e-mailové adresy do databáze odběratelů newsletteru“, přičemž je ale zaškrtávací políčko již předem označeno (zaškrtnuto). Ani takto získaný souhlas se zpracováním není platný. Zaškrtávací políčko nesmí být předem označené.

Správně získaný souhlas se zpracováním e-mailové adresy za účelem zasílání newsletteru by mohl být získáván například takto:

❯❯❯ Správce vytvoří samostatný formulář pro získávání e-mailových adres. K tomu uvede jednoznačnou informaci, že vložením e-mailové adresy subjekt údajů souhlasí s přijímáním newsletterových zpráv.

Podobné pravidlo platí i v souvislosti s členstvím ve věrnostním programu.  Zpracování osobních údajů z důvodu poskytování slev, bonusů nebo jiných výhod členem věrnostního programu je možné jen tehdy, když k tomu subjekt údajů udělí samostatný souhlas. I v tomto případě jde o jiný účel zpracování, který je odlišný od zpracování údajů z důvodu plnění předmětu smlouvy  (dodání zboží nebo služby).

Nesprávně by proto bylo, kdyby správce e-shopu své zákazníky automaticky považoval za členy svého věrnostního programu, a to například takovouto informací v obchodních podmínkách:

„Vyplněním a odesláním objednávkového formuláře se zákazník automaticky stává členem našeho věrnostního programu, který mu přinese spoustu zajímavých výhod.“

Souhlas se zpracováním osobních údajů pro účely členství ve věrnostním programu je proto potřeba získat odděleně od ostatních účelů zpracování (kupní smlouva a newsletter).

Co by měl souhlas se zpracováním obsahovat?

Získávání osobních údajů od dotčených osob, jako úvodní fáze zpracování, je spjato s povinnou informační povinností vůči těmto osobám. Vyplývá to z článku 13 nařízení. Z tohoto důvodu je potřebné, aby váš souhlas se zpracováním obsahoval například tyto informace:

• identifikační údaje vás jako správce,
• účel nebo důvod zpracování osobních údajů, pro který vyžadujete souhlas,
• příjemce, nebo kategorie příjemců (podle čl. 4 ods. 9 nařízení), kterým budete osobní údaje poskytovat,
• pokud budete osobní údaje vyvážet do třetího státu, poté informaci o přiměřených zárukách (například jako rozhodnutí Evropské komise nebo přistoupení organizace k tzv. bezpečnému štítu),
• informaci o tom, že souhlas je možné kdykoliv odvolat.

Informace je potřeba subjektu údajů poskytnout srozumitelným a dostupným  způsobem, a to například elektronicky – jako podmínky zpracování osobních údajů zveřejněné na webové stránce nebo e-shopu.

Zkontrolujte si proto:

• Zda souhlas se zpracováním není součástí obchodních podmínek, které zveřejňujete prostřednictvím webových stránek.
• Zda souhlas se zpracováním není součástí smlouvy se subjektem údajů tak, že subjekt údajů nemá možnost souhlas neudělit, resp. nemá prostor pro vyjádření nesouhlasu.
• Zda je souhlas udělený subjektem údajů skutečně svobodný, že subjekt údajů se opravdu sám a dobrovolně rozhoduje o tom, zda jeho osobní údaje budou zpracovány.
• Zda nepoužíváte předem zaškrtnutá políčka o uděleném souhlasu.
• Zda získáváte souhlas se zpracováním pro jistý účel odděleně od jiných účelů (například samostatně pro newsletter, samostatně pro věrnostní program, samostatně pro spotřebitelskou soutěž).
• Zda v čase získávání osobních údajů na základě souhlasu dostatečně informujete subjekty údajů o tom, jak budou jejich údaje zpracovány.
• Zda umíte udělený souhlas prokázat.
• Zda má subjekt údajů opravdu možnost kdykoliv udělený souhlas jednoduše odvolat.

Věřím, že v dnešním článku jste našli odpovědi na všechny své dotazy ohledně všeobecného nařízení na ochranu osobních údajů (GDPR), které nabude platnosti 25. května 2018.

Neodkládejte ale přípravy svého e-shopu nebo webové stránky na poslední chvíli.  Pokud byste potřebovali pomoci, rádi vám poradíme i v našem Centru ochrany osobních údajů.