/Třeba to někomu pomůže, když už jsem nad tím strávil tolik času.../
Jaký dopad bude mít GDPR na běžné e-shopy z hlediska toho, jak má vypadat objednávkový formulář, zákazníkův profil a rozesílání obchodních sdělení?
Minimální.
Na moje otázky, jak GDPR zasáhne fungování běžných e-shopů a rozesílání obchodní nabídek, jsem našel odpovědi v knize
Praktický průvodce GDPR.
Praktický průvodce GDPR – Knihkupectví Neoluxor
https://neoluxor.cz/odborne-knihy/prakticky-pruvodce-gdpr--271813/
Jejím autorem je JUDr. Jiří Žůrek, ředitel Odboru pro styk s veřejností Úřadu na ochranu osobních údajů, kde se mimo jiné zabývá vyhodnocováním stížností a podnětů. Zjevně ví, o čem mluví, respektive tento pán je asi tím nejpovolanějším v republice z hlediska výkladu nejasností v této problematice.
Takže:
1) Osobní údaje získané prostřednictvím zákaznického vztahu lze používat k zasílání obchodních sdělení, protože to spadá do definice oprávněného zájmu, který tu zmiňoval HARALD. Tedy pokud ve vašem e-shopu v minulosti někdo nakoupil, můžete mu (hned, nebo i později) začít zasílat obchodní sdělení.
Nepotřebujete k tomu jeho výslovný souhlas s tímto užitím jeho kontaktů. Musíte mu ovšem umožnit (snadno a přehledně) vznést námitku proti zpracování osobních údajů, jinými slovy, v každém zaslaném obchodním sdělení musí být možnost se od jejich odběru odhlásit. To vše platí už teď a bude to platit i za půl roku.
2) Jelikož nelze definovat, jak dlouho takový zákaznický vztah trvá, je možné zasílat zákazníkům obchodní sdělení bez časového omezení, ovšem je nutné dodržet podmínku snadné odhlásitelnosti.
3) Pokud by provozovatel chtěl rozesílat nabídky jiného druhu zboží, než prodává (a tedy než si u něj zákazníci běžně kupují), tak už se „nevejde“ do definice oprávněného zájmu a potřebuje jejich souhlas.
4) Pokud si kvůli bodu 3 (jinak to nepotřebuje) bude provozovatel zajišťovat souhlas se zasíláním nabídek prostřednictvím webového formuláře („Zde zadejte svůj e-mail a budou Vám zasílány naše novinky“), měl by uživateli přijít potvrzovací link, kterým souhlas potvrdí, aby se zabránilo tomu, že tam někdo zadá jeho e-mail bez jeho vědomí.
Tady bych zdůraznil to „měl by“, podle mě se nejedná o povinnost, ale pouze o slušnost.
5) Zároveň platí, že ke zpracování osobních údajů pro účel splnění objednávky nepotřebuje provozovatel e-shopu souhlas zákazníka, protože jejich zpracování je nezbytné pro splnění kupní smlouvy.
6) Z bodů 5) a 1) vyplývá, že technicky vzato není nutné mít v rámci objednávkového formuláře checkbox „Mám zájem o zasílání novinek“, ať už předzaškrtnutý nebo ne, protože osobní údaje získané prostřednictvím realizovaných objednávek může obchodník použít i bez souhlasu k rozesílání obchodních nabídek. Ale je slušné a vstřícné vůči zákazníkům to tam mít.
7) „Šedou zónou“ jsou registrace zákazníků, protože když se zákazník registruje, tak to ještě nemusí nutně znamenat, že si hned i něco koupí a že hned vznikne kupní smlouva nebo zákaznický vztah (pouhým projevením zájmu ze strany zákazníka zákaznický vztah nevzniká). Nicméně bod o zpracování z důvodu plnění smlouvy má takový dodatek: „zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů,
nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů“. Ten by podle mě mohl pokrývat zpracování údajů zadaných při registraci, u které hned nedojde ke koupi. Protože zákazník se svobodně rozhodl, že koupi neprovede bez registrace, ale že se u nás napřed zaregistruje. My ho k registraci nenutíme, koupi může za stejných podmínek provést i bez registrace. Tedy on na svou vlastní žádost (
„na žádost tohoto subjektu údajů“ ) se zaregistruje (iniciuje
„opatření před uzavřením smlouvy“ ) a my jím zadaná data uložíme (
„provedeme opatření přijatá před uzavřením smlouvy“ ).
Ale tohle je jenom můj výklad, 100% jistý si tím nejsem.
8) Co ovšem platí za všech okolností, to je informační povinnost, tedy zákazník musí být jasně a srozumitelně informován (asi stačí odkazem na Smluvní podmínky, ve kterých to bude napsané), jak a pro jaké účely se budou jeho osobní údaje zpracovávat, kdo je spravuje atd. Zde je seznam informací, které se tam musí objevit:
http://gdpr.spir.cz/NARIZENI_EU_2016-679.html#clanek13 Také by bylo čistší, aby se Souhlasy se zpracováním osobních údajů nemíchaly s Obchodními podmínkami – zákazníkův souhlas s Obchodními podmínkami totiž nesmí znamenat, že tím poskytne Souhlasy se zpracováním, které jsou v Obchodních podmínkách zahrnuty, protože ty Souhlasy by pak byly neplatné. Nicméně jak vyplývá z předchozích bodů, při běžném provozu běžného e-shopu nejsou Souhlasy zapotřebí.
9) Kdyby někdo chtěl být ale hóóódně pintlich, mohl by tvrdit, že a) souhlas pro zpracování údajů při plnění objednávky, b) souhlas s rozesíláním obchodních nabídek a c) souhlas s poskytnutím osobních údajů firmě, která bude objednávku přepravovat, jsou tři různé souhlasy, přičemž bez souhlasu a) a b) se běžný e-shop obejde díky zákaznickému vztahu, ale o souhlasu c) to už neplatí, ten musí mít. Ale já si myslím, že je přijatelné souhlasy a) a c) sloučit do jednoho (ale je nutné o tom zákazníka informovat).