Kontakty
Pravidla o zpracování osobních údajů, které přináší obecné nařízení o ochraně údajů (dále v textu budeme o něm mluvit jen jako o nařízení) jsou pro některé provozovatele e-shopů úplnou novinkou. Proto se v tomto článku podíváme na to, co znamená právní základ zpracování, kdy vyžadovat souhlas a co by měl správný souhlas se zpracováním osobních údajů obsahovat.
Začneme příkladem:
Firma prodává zboží prostřednictvím elektronického obchodu - e-shopu. Pro objednání zboží a jeho dodání je nezbytné, aby zákazník poskytl své osobní údaje, kterými jsou jméno, příjmení, adresa, telefonický a e-mailový kontakt.
Je třeba, aby firma (provozovatel e-shopu) získávala od svých zákazníků souhlas se zpracováním těchto osobních údajů?
Ne, provozovatel zpracovává osobní údaje za účelem zpracování objednávky a dodání zboží bez souhlasu zákazníka.
Jednou ze základních zásad zpracování osobních údajů, kterou je nutné dodržovat za všech okolností, je zásada zákonnosti. Tato hovoří o tom, že zpracování osobních údajů lze provádět pouze na základě jednoho z definovaných právních základů zpracování tak, aby nedošlo k porušení základních práv dotčené osoby.
Nařízení ve svém článku 6 rozlišuje celkem 6 právních základů pro zpracování osobních údajů. Jde o jakési oprávnění, které provozovateli:
zpracovávat osobní údaje.
Všechny právní základy jsou rovnocenné, ani jeden z nich není jen doplňkovým.
V podmínkách provozovatele e-shopů jsou nejčastěji používány tyto tři:
Často pouze zjednodušeně říkáme, že osobní údaje zpracováváme na základě: souhlasu, smlouvy nebo zvláštního předpisu.
Takže, když se vrátíme zpět k našemu prvnímu příkladu, pak už můžeme říci, že právním základem zpracování těch osobních údajů, které jsou nezbytné pro dodání zboží nebo služby provozovatelům e-shopu, je smlouva. Ne souhlas se zpracováním.
Je proto nesprávně, když provozovatel prostřednictvím svých obchodních podmínek informuje své zákazníky o zpracování osobních údajů například takto:
Kupující odesláním vyplněného objednávkového formuláře čestně prohlašuje, že dává souhlas ve smyslu zákona o ochraně osobních údajů, aby prodávající zpracovával jeho osobní údaje za účelem uzavření kupní smlouvy.
A nesprávné je to i takto:
"Odesláním objednávky, zákazník dobrovolně souhlasí se zpracováním jeho osobních údajů z důvodu předmětu plnění smlouvy."
Proto v situaci, kdy jsou osobní údaje zákazníka nezbytné k tomu, abyste mu dodali produkt (ať už je jím zboží nebo služba), nevyžadujete souhlas se zpracováním.
Vložení souhlasu se zpracováním do smlouvy jakoby "pro jistotu" není považováno pouze za jakousi drobnost či kosmetickou vadu. Jde o nesprávné zvolený právní základ a provozovatelé e-shopů tímto postupem porušují pravidla zpracování osobních údajů.
V případě zpracování osobních údajů za účelem realizace dodání zboží (kdy postupujeme bez souhlasu zákazníka) je třeba prokazatelně zajistit plnění informační povinnosti o tom, jak budou osobní údaje zákazníka zpracovávané (článek 13 nařízení).
V tomto případě má provozovatel na výběr:
Samotnou informaci o tom, že budeme zpracovávat osobní údaje bez souhlasu, není třeba uvádět. Ale, podle článku 13 odst. 2 písm. e) nařízení - zákazníka informujeme také o tom, že jeho osobní údaje jsou nezbytné k tomu, abychom s ním mohli uzavřít smlouvu a pokud nám osobní údaje (jméno, příjmení, adresa dodání atd.) neposkytne, pak s ním nemůžeme uzavřít smlouvu.
Proto doporučuji, prohlédnout si článek 13 nařízení, procházet jednotlivé body a prověřovat, zda zákazníka o tom informujeme nebo ne. (Samozřejmě, článek 14 se rovněž týká informační povinnosti, ale v situaci, kdy osobní údaje nejsou získány od dotyčné osoby, například od jiné osoby, z jiné organizace atd.)
Provozovatel e-shopu chce zasílat svým potenciálním zákazníkům emailový newsletter. Prostřednictvím něj bude informovat o slevách, novém zboží a různých jiných novinkách. Potřebuje k tomu pouze emailovou adresu příjemce. Je potřebný souhlas se zpracováním e-mailové adresy?
Ano, v tomto případě je souhlas se zpracováním nezbytný a je právním základem pro získání a další zpracování osobních údajů z důvodu zasílání newsletteru. A to bez ohledu na to, zda bude provozovatel zpracovávat pouze emailovou adresu příjemce nebo například i jeho jméno nebo příjmení. Zpracovávání už samotných emailových adres obecně považujeme za zpracovávání osobních údajů.
Samozřejmě můžeme namítnout, že ne každá emailová adresa, kterou provozovatel e-shopu získá, je automaticky osobním údajům. Ale s ohledem na samotnou definici osobních údajů, kterými jsou:
"Veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen" dotčená osoba "); identifikovatelná fyzická osoba je osoba, kterou lze identifikovat přímo či nepřímo, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor, nebo odkazem na jeden či více prvků, které jsou specifické pro fyzickou, fyziologickou, genetickou, mentální, ekonomickou, kulturní nebo sociální identitu této fyzické osoby, "
je velmi pravděpodobné, že získané emailové adresy budou většinou považovány za osobní údaje.
Aby byl souhlas udělen v souladu s nařízením, je nezbytné, aby jím byl svobodný, konkrétní, informovaný a jednoznačný projev vůle dotčené osoby (v tomto případě příjemce e-mailové zprávy), kterým potvrzuje, že souhlasí s tím, aby byly jeho osobní údaje zpracovávány.
Je proto nesprávné, když provozovatel získává souhlas se zpracováním prostřednictvím svých obchodních podmínek takto:
" Odesláním závazné objednávky uděluje zákazník prodávajícímu souhlas se zpracováním jeho emailové adresy, a to za účelem zasílání newsletteru. "
Takto získaný souhlas se zpracováním osobních údajů je v rozporu s nařízením (dokonce is platným zákonem o ochraně osobních údajů). Je to z toho důvodu, že není udělen svobodně. Dotyčná osoba - zákazník nemá možnost svobodně se rozhodnout, zda souhlas udělí, nebo ne. Říkáme, že souhlas je vynucený, a proto je v rozporu s legislativou. Provozovateli e-shopu se sice databáze odběratelů jeho newsletterů utěšeně rozrůstá, a to přímo úměrně počtu jeho zákazníků, tyto souhlasy však nejsou platné.
Stejně je nesprávné, když provozovatel pod objednací formulář umístí zaškrtávací políčko a vedle něj text "souhlasím se zařazením mé emailové adresy do databáze odběratelů newsletteru", přičemž je však zaškrtávací políčko už dopředu označené (zaškrtnuté). Ani takto získaný souhlas se zpracováním není platný. Zaškrtávací políčko nesmí být předem označeny.
Správně získaný souhlas se zpracováním emailové adresy za účelem zasílání newsletteru by mohl být získáván například takto:
❯❯❯ Provozovatel vytvoří samostatný formulář, pro získávání emailových adres. K tomu uvede jednoznačnou informaci, že vložením emailové adresy dotyčná osoba souhlasí s přijímáním newsletterové zpráv.
Podobné pravidlo platí i v souvislosti s členstvím ve věrnostním programu. Zpracování osobních údajů z důvodu poskytování slev, bonusů či jiných výhod členem věrnostního programu je možné pouze tehdy, pokud k tomu dotyčná osoba udělí samostatný souhlas. I v tomto případě jde o jiný účel zpracování, který je odlišný od zpracování údajů z důvodu plnění předmětu smlouvy (dodání zboží nebo služby).
Nesprávné by proto bylo, kdyby provozovatel e-shopu své zákazníky automaticky považoval za členy svého věrnostního programu, a to například takovou informací v obchodních podmínkách:
" Vyplněním a odesláním objednávkového formuláře se zákazník automaticky stává členem našeho věrnostního programu, který mu přinese řadu zajímavých výhod. "
Souhlas se zpracováním osobních údajů pro účely členství ve věrnostním programu je proto třeba získat odděleně od ostatních účelů zpracování (kupní smlouva a newsletter).
Získávání osobních údajů od dotčených osob, jak úvodní fáze zpracování, je spjato s povinnou informační povinností vůči těmto osobám. Vyplývá to z článku 13 nařízení. Z tohoto důvodu je proto nutné, aby váš souhlas se zpracováním obsahoval například tyto informace:
Informace je třeba dotčené osobě poskytnout srozumitelným a dostupným způsobem, a to například elektronicky - jako podmínky zpracování osobních údajů zveřejněny na webstránce či e-shopu.
Obecné nařízení na ochranu osobních údajů (GDPR) vstoupí v platnost 25. května 2018.
Zdroj: Ing. Martina Kroupová, https://blog.biznisweb.sk/