GDPR a praxe internetových obchodů / svoboda souhlasu

Mezinárodní advokátní kancelář Taylor Wessing se věnuje problematice GDPR komplexně prostřednictvím seminářů a odborných článků. Zajímavou problematikou v praxi internetových obchodů je souhlas se zpracováním osobních údajů.

Primárně e-shopy zpracovávají osobní údaje svých zákazníků na základě jiných legitimních důvodů než je souhlas. Jednak je to pro účely plnění smlouvy, jejíž smluvní stranou je zákazník e-shopu, jednak to může být pro účely splnění právní povinnosti, která se na provozovatele e-shopu vztahuje, např. podání kontrolního hlášení, jednak pro účely oprávněných zájmů provozovatele e-shopu s výjimkou případů, kdy zájmy a základní práva a svobody zákazníků mají přednost před oprávněnými zájmy provozovatele e-shopu, např. pro účely vymáhání pohledávek. Zpracování osobních údajů na základě souhlasu zákazníků tak připadá v úvahu pouze nad rámec těchto účelů zpracování, zejména půjde o souhlas ke zpracování osobních údajů k marketingovým účelům, např. souhlas s poskytnutím osobních údajů třetím osobám za účelem zasílání nevyžádaných obchodních sdělení.

GDPR klade velký důraz na to, aby byl souhlas udělen svobodně a aby byl konkrétní, informovaný a jednoznačný.

Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha upozorňuje na jednotlivá úskalí: “Prvním úskalím v praxi je svoboda souhlasu. Tento požadavek obsahuje i dnes platný zákon o ochraně osobních údajů a tento požadavek mnohé e-shopy možná i nevědomky porušují, a to i přes to, že nejde o požadavek nijak nový. Úřad na ochranu osobních údajů uvádí ve svém stanovisku, že souhlas nelze považovat za dobrovolný, resp. svobodný, pokud je součástí smlouvy a není možno o něm jednat. To znamená, že smlouvu, např. všeobecné obchodní podmínky, musí zákazník přijmout a nemá možnost vyjádřit nesouhlas s textem zpracování osobních údajů, např. k marketingovým účelům.” A Pomaizlová dodává: “GDPR vysloveně zakazuje, aby plnění podle smlouvy bylo podmíněno souhlasem se zpracováním osobních údajů.”

Často e-shopy neakceptují objednávku zákazníka, pokud nezaškrtne, že souhlasí se všeobecnými obchodními podmínkami a zpracováním osobních údajů. Takový souhlas však nelze považovat za svobodný. Provozovatel e-shopu však může své zákazníky motivovat jinak k tomu, aby od nich získal svobodný souhlas ke zpracování jejich osobních údajů k marketingovým účelům, např. jim nabídnout nějakou slevu či malý dárek k objednanému zboží.

Dalším praktickým příkladem je vyžadování souhlasu ve spojení s vyžadováním osobních údajů, které nejsou nezbytné pro realizaci objednávky zboží. Pokud chce zákazník v nejmenovaném e-shopu se sportovním vybavením, oblečením a obuví objednat zboží, nelze to jinak než úplnou registrací a poskytnutím nejen adresných údajů, ale i pohlaví a přesného data narození. Součástí registrace je i nutný souhlas se zpracováním osobních údajů k marketingovým účelům a jejich předání obchodním partnerům provozovatele e-shopu.  V poslední době se objevují diskuse o tom, že e-shopy chtějí sdílet údaje o svých zákaznících, kteří si opakovaně nevyzvedávají objednané zboží. Pokud si chce e-shop vést takovou evidenci pro své vlastní účely, tj. pro ochranu svých oprávněných zájmů, sice nebude k tomu potřebovat souhlas svých zákazníků, ale musí je o tom transparentně informovat dříve, než mu tito poskytnou své osobní údaje či s ním uzavřou smlouvu.

A Pomaizlová varuje: “Podle GDPR již nebude možné, aby souhlas se zpracováním osobních údajů byl součástí všeobecných obchodních podmínek. Jakmile vstoupí GDPR v účinnost, bude takový postup protiprávní.” A upozorňuje, že dalším požadavkem na kvalitu souhlasu je, aby byl souhlas informovaný a jednoznačný. Tento požadavek se vztahuje nejen na správce osobních údajů, ale i na totožnost třetích osob, kterým hodlá správce osobní údaje poskytnout za účelem dalšího využití / například marketingová sdělení zákazníkům e-shopu /.

Po vstupu GDPR v účinnost bude zejména třeba striktně odlišovat případy, kdy souhlas není ke zpracování osobních údajů třeba, a případy zpracování k účelům, kdy souhlas třeba je. V takovém případě bude nutno tento text souhlasu a projev vůle zákazníka oddělit od ostatních obchodních podmínek a zákazník musí mít zcela volnost v tom, zda souhlas udělí a v jakém rozsahu. A Pomaizlová konkretizuje: “Pokud tedy např. bude provozovatel e-shopu požadovat souhlas za účelem profilování a zobrazování cílené reklamy a dále souhlas se zasílám obchodních sdělení nad rámec, který povoluje zákon, doporučuji, aby každý účel byl v souhlase oddělen a opatřen samostatným políčkem, kdy zákazník může vyjádřit svůj souhlas. Rozhodně nelze zobrazovat předvyplněné souhlasy, souhlas musí být udělen aktivním výběrem, např. zakliknutím příslušného políčka. Zároveň musí být zákazník vždy poučen o tom, že může svůj souhlas kdykoliv odvolat.”

O Taylor Wessing:

Taylor Wessing je mezinárodní advokátní kancelář poskytující svým klientům celosvětově kompletní servis ve všech odvětvích jejich podnikání. Více než 1 200 právníků přistupuje k poradenství cílevědomě a o obchodních záležitostech klientů přemýšlí inovativně, čímž jim pomáhá uspět zejména v rychle se rozvíjejících oblastech. Taylor Wessing podporuje své klienty všude tam, kde chtějí podnikat. Celkem 33 kanceláří v Evropě, na Středních východě a v Asii, stejně tak dvě kanceláře v USA, nejsou jen symbolickým zastoupením;  jedná se o týmy se znalostí místního obchodního, průmyslového a kulturního prostředí, ale zároveň s mezinárodní zkušeností, která advokátní kanceláři umožňuje vždy poskytovat efektivní a integrovaná řešení.