GDPR, obchodníci a nákupní rádce Heureka. Jak správně na předání osobních údajů?

Publikováno: 04. květen 2018

GDPR a hodnocení nákupů prostřednictvím portálu Heureka.cz? Jak to bude se zasíláním dotazníků nakupujícím ze strany Heureky? Bude se možné vůbec na zákazníky takto obracet? To byla hlavní témata během setkání členů APEK se zástupci tohoto on-line nákupního rádce, které proběhlo již v pátek 6. dubna 2018 v Praze – Strašnicích. Jelikož tato akce vyvolala další otázky, na které bylo třeba najít odpovědi, připravili jsme pro obchodníky aktuální souhrn – jak APEK vnímá situaci dnes. Videozáznam z celého setkání je pak k dispozici na webu apek.cz v rámci členské zóny.

Hlavním tématem setkání i spojených diskuzí bylo, zda je možné předávat některé osobní údaje zákazníků portálu Heureka.cz, aby ten je mohl následně e-mailem kontaktovat se žádostí o hodnocení proběhlého nákupu,“ uvádí výkonný ředitel APEK Jan Vetyška. „Dle dostupných analýz a vyjádření by měl platit, při dodržení nezbytných podmínek, princip opt-out. Obchodník by tak na základě tzv. oprávněného zájmu neměl být povinen vyžadovat aktivní souhlas zákazníka s předáním osobních údajů Heurece, která bude vystupovat v pozici zpracovatele a pošle žádost o hodnocení jménem obchodníka. Obchodník samozřejmě musí vždy umožnit kupujícímu předání těchto údajů odmítnout.Ze setkání je pro členy k dispozici kompletní videozáznamčlenské zóně webu apek.cz.

Pro úspěšné splnění všech nových požadavků, které nařízení GDPR přináší, je však nutné dodržet všechny podmínky. Jedná se hlavně o správné nastavení smluvního vztahu obchodník – nákupní rádce (tedy správce – zpracovatel osobních údajů), splnění řádné informační povinnosti směrem k zákazníkovi (subjektu osobních údajů) a také možnost odmítnout zaslání dotazníku pro účely hodnocení spokojenosti s nákupem. A to buď samostatně, nebo jako součást odmítnutí zasílání obchodních sdělení jako celku. Vztah správce údajů – zpracovatel údajů je pro posouzení celé situace klíčové. A to i podle dostupných informací ohledně aktuálního přístupu ÚOOÚ.

 

Podrobně se pro APEK k celému tématu vyjádřili zástupci Heureka.cz. Obchodníci se tak mohou díky tomu lépe zorientovat v aktuálních výkladech:

 

„Obchodník je oprávněn zasílat obchodní sdělení svým zákazníkům, pokud jejich kontaktní údaj obchodník získal v souvislosti s prodejem zboží nebo služeb, přičemž musí být dodržen opt-out princip, tedy zákazník musí mít možnost odmítnout zaslání obchodního sdělení při realizaci objednávky, případně kdykoliv poté při zaslání obchodního sdělení. Obchodník je oprávněn zasílat pouze taková sdělení, která se týkají činnosti obchodníka. Oprávnění zasílat obchodní sdělení jeho zákazníkům je obchodníkovi dáno na základě příslušných ustanovení zákona o některých službách informační společnosti (ZSIS).

Heureka bude ve vztahu k obchodníkům kontrolovat, zda má e-shop na svých stránkách checkbox pro službu Ověřeno zákazníky a to princip opt-out. Jakékoliv checkboxy formou opt-in, tedy že zákazník musí vyjadřovat souhlas, budou v rozporu s pravidly služby Ověřeno  zákazníky. Doporučená textace Heurekou pro takový checkbox je “Nesouhlasím se zasláním dotazníku spokojenosti v rámci programu Ověřeno zákazníky, který pomáhá zlepšovat vaše služby.“

Při zapojení obchodníka do programu Ověřeno zákazníky je obchodník v pozici správce a Heureka v pozici zpracovatele osobních údajů. Lze říci, že obchodník rozhoduje o způsobu získání zpětného hodnocení svých služeb a produktů, a k tomuto účelu zvolil program Ověřeno zákazníky (tedy že program Ověřeno zákazníky je jen nástrojem vybraným a použitým obchodníkem k vlastní propagaci a získání hodnocení zákazníků, a Heureka je jeho provozovatelem) Předání e-mailové adresy jakožto osobního údaje Heurece není podmíněno žádným souhlasem subjektu (kupujícího), protože použití zpracovatele souhlasu subjektu nepodléhá. Subjekt musí pouze ve smyslu čl. 13 odst. 1 písm. e) Nařízení GDPR obdržet informaci o použitém zpracovateli jakožto příjemci osobních údajů.

Heureka bude kontrolovat, zda e-shop splňuje informační povinnost směrem k zákazníkovi a má na svých stránkách dokument ochrana soukromí (nebo ve svých OP), ve kterém bude uvedena informace o předávání e-mailové adresy za účelem sběru zpětné vazby. Doporučenou textaci, kterou pro tyto účely může e-shop využít naleznete zde: https://sluzby.heureka.cz/napoveda/overeno-faq/

Z pohledu GDPR je třeba identifikovat právní základ zpracování OÚ. Na základě poslední věty bodu 47 Recitálu Nařízení, podle něhož lze zpracování osobních údajů pro účely přímého marketingu považovat za zpracování z důvodu oprávněného zájmu ve smyslu čl. 6 odst. 1 písm. f) , není k zasílání obchodních sdělení  zapotřebí souhlasu subjektu (příjemce). Obchodník jako správce osobních údajů musí subjektu (kupujícímu) poskytnout možnost vznést námitku proti zpracování ve smyslu čl. 21 odst. 2 Nařízení, musí být tedy schopen tuto žádost vyřídit a o této možnosti kupujícího informovat. Uplatnění opt-outu ze strany kupujícího ve smyslu ZSIS je svou podstatou vlastně vznesením námitky proti zpracování ve smyslu GDPR.

Heureka bude posílat všem svým obchodním partnerům několik dní před platností nového nařízení GDPR nové obchodní podmínky pro službu Ověřeno zákazníky, které budou obsahovat doložku o zpracování osobních údajů“.

Pro soulad s GDPR a ZSIS je tedy obchodník povinen:

1)      uzavřít s Heurekou smlouvu o účasti v programu Ověřeno zákazníky, jejíž součástí je doložka o zpracování osobních údajů (uzavření smlouvy probíhá formou akceptace Obchodních podmínek programu Ověřeno zákazníky);

2)      informovat zákazníky v dokumentu ochrana soukromí o předání údajů zákazníků Heurece jako zpracovateli osobních údajů (znění informačního textu je uvedeno v Obchodních podmínkách programu Ověřeno zákazníky);

3)      umožnit zákazníkům odmítnout zasílání obchodních sdělení vč. dotazníku Ověřeno zákazníky.“

 

Kompletní přehled všech informací k tématu GDPR najdou členové APEK v našem rozcestníku.