Heureka a GDPR

S účinností od 25. května 2018 vstoupí v platnost evropské nařízení GDPR (General Data Protection Regulation). Cílem GDPR je co nejvíce hájit práva občanů EU proti neoprávněnému zacházení s jejich daty včetně jejich osobních údajů. GDPR se týká všech firem, institucí, jednotlivců a samozřejmě také online služeb. Více o GDPR si můžete přečíst zde: https://www.gdpr.cz/gdpr/. A jaký bude mít GDPR dopad na Heureku?

Ověřeno zákazníky

Na principu služby Ověřeno zákazníky se nic nemění ani po zavedení GDPR. Tak jako doposud není potřeba souhlas zákazníka ke zpracování osobních údajů. Heureka i nadále zůstává jejich zpracovatelem a e-shop je správcem.

Změnou bude nově zanesení podmínek ze smlouvy o zpracování osobních údajů přímo do Obchodních podmínek programu Ověřeno zákazníky.

Druhou změnou bude nutná úprava formulace obchodních podmínek e-shopu v sekci Ověřeno zákazníky. Umístění formulace v obchodních podmínkách e-shopu bude Heureka aktivně kontrolovat z důvodu dodržování GDPR. Celé znění najdete na konci článku.

Heureka Košík

Také v Heureka Košíku budou všechny GDPR náležitosti upraveny pomocí upřesnění textů v Obchodních podmínkách Heureky. I nadále platí, že je Heureka v roli zprostředkovatele a kupní smlouva je uzavřena mezi obchodníkem a zákazníkem. Obchodník je oprávněn nakládat s osobními údaji pouze za účelem vyřízení objednávky.

Důležité

V návaznosti na GDPR budeme měnit znění dokumentu Ochrana osobních údajů na portálu Heureka.cz, na který budeme na všech důležitých místech odkazovat.

Novou verzi obchodních podmínek všech našich služeb s GDPR změnami vám zašleme 14 dní před zahájením účinnosti GDPR.

Pokud máte k GDPR jakékoliv otázky, napište nám na info@heureka.cz

Heureka dodržuje zákon  č. 101/2000 Sb., o ochraně osobních údajů v platném znění a plní všechny stanovené povinnosti. Plnění všech povinností stanovených tímto zákonem ve vztahu k OZ kontroloval v Heurece Úřad pro ochranu osobních údajů (ÚOOU). Tato kontrola správnost všech procesů v Heurece potvrdila. Nad rámec této kontroly jsme zažádali o audit programu OZ a nakládání s osobními údaji. Ten provedla nezávislá auditorská společnosti PwC, který výsledek UOOU potvrdil. O auditu jsme na našem blogu psali zde.

Nová formulace obchodních podmínek e-shopu:

Vaši spokojenost s nákupem zjišťujeme prostřednictvím e-mailových dotazníků v rámci programu Ověřeno zákazníky, do něhož je náš e-shop zapojen. Ty vám zasíláme pokaždé, když u nás nakoupíte, pokud ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti neodmítnete zasílání našich obchodních sdělení nebo neodvoláte svůj dříve udělený souhlas. Pro zasílání dotazníků, vyhodnocování vaší zpětné vazby a analýz našeho tržního postavení využíváme zpracovatele, kterým je provozovatel portálu Heureka.cz; tomu pro tyto účely můžeme předávat informace o zakoupeném zboží a vaši e-mailovou adresu.

72 komentářů: „Heureka a GDPR“

  1. Dobrý den,

    z pohledů internetových lékáren, kde se jedná o citlivé nákupní údaje není výklad gdpr správný. V oblasti léčiv nebude možné bez explicitního souhlasu zaslat výzvu k hodnocení produktů ani zasílat nákupní historii.

    Prosím o vyjádření,jak budete postupovat v oblasti lékárenských eshopů.

    S pozdravem / Best regards

    Michal Macourek

    1. Dobrý den,

      služba Ověřeno zákazníky funguje primárně na základě předání kontaktu na zákazníka spolu s informací, že nakoupil na konkrétním e-shopu. Předání informace o zakoupeném zboží je volitelnou funkcí. Samozřejmě respektujeme, že informace o konkrétních nákupech v online lékárně jsou citlivými údaji a není možné je zpracovávat na základě oprávněného zájmu. Sama skutečnost, že zákazník v lékárně nakoupil, nevypovídá jeho zdravotním stavu, proto ji za citlivý údaj nepovažujeme. Využití kontakt zákazníka pro zjištění zpětné vazby na online lékárnu (bez specifikace konkrétních zakoupených produktů) je tedy podle nás možné stále na základě oprávněného zájmu.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

  2. Je sice hezké, že podle vás stačí jen vložit nějaký blábol do podmínek, ale v případě průseru, odpovědnost nenesete.
    Podle GDPR by se měl vytvořit minimálně checkbox, který má uživatel zaškrtnout(souhlasit) v případě, že chce dostat dotazník…

    Prosím o vyjádření

    1. Dobrý den,

      právní východiska programu Ověřeno zákazníky jsou následující:
      § 7 odst. 3 zákona o některých službách informační společnosti (dále jen „Zákon“), ze kterého vyplývá že pokud fyzická nebo právnická osoba (obchodník) získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu při sběru údajů i při zasílání každé jednotlivé zprávy.
      S účinností obecného nařízení EU 2016/679 ze dne 27. dubna 2016, o ochraně osobních (dále jen „GDPR“) se tato možnost nijak nemění – takové zpracování bude v souladu s recitálem 47 a čl. 6 odst. 1 písm. f) oprávněným zájmem obchodníka a není pro něj dle GDPR potřeba souhlas.
      Z tohoto důvodu stačí mít jasnou informaci v OP obchodníka, kterou Heureka doporučuje a dát zákazníkovi možnost odmítnou zaslání dotazníku při každém nákupu.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

    2. Tady to je trefné, a také se nepíše to, že souhlas musí být evidován pro případ doložení, že s osobním údajem mohlo byt nakládáno a to, že je předán Heurece. A to musí vést obchod. Navíc primárně je checkbox nezaškrtnut. Takže zákazník nemusí nesouhlasit tak jak uvádíte ve větě „neodmítnete zasílání našich obchodních“
      Jde vidět, že Heureka si řeší jen své.

    1. Dobrý den,

      stávající znění doporučujícího textu pro Slovenské e-shopy naleznete zde: https://sluzby.heureka.sk/napoveda/najcastejsie-otazky/
      Text však bude brzy aktualizován, aby byl v souladu s GDPR. Tuto informaci, včetně nových znění obchodních podmínek všech služeb Heureky (VOP, Košík, Ověřeno zákazníky) budeme posílat na všechny e-shopy s dostatečným předstihem.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

  3. No bohužel na workshopu Heureka.cz a APEK sice zaznělo, že heureka.cz nebude penalizovat eshopy, které nebudou zasílat Ověřeno zákazníky, pokud se pro to klient rozhodne, ale také zaznělo, že klient musí projevit aktivně nesouhlas…

    Je to pochopitelné – jen málo lidí by dalo aktivně souhlas a to by Heureka.cz hodně bolelo.

    1. Dobrý den,
      hlavně je potřeba říci, že služba Ověřeno zákazníky je pro každý e-shop naprosto dobrovolná, Heureka nikoho nenutí ji využívat. Tím pádem je samozřejmě i v zájmu každého e-shopu, který je do služby zapojený, aby byla návratnost dotazníků zachována co největší a nebyla nijak negativně omezena checkboxem.
      Naopak se setkáváme s dotazy e-shopů, jak zvýšit návratnost dotazníků, aby bylo zpětné vazby co nejvíce.

      Děkuji za pochopení
      Jan Kriegel
      Ředitel zákaznické podpory Heureka

      1. Dobrý den, je opravdu dobrovolná a bez podmínek? Mohu bidovat na svoje produkty a přitom nemít funkci „Ověřeno zákazníky“. To nemohu, že? Tak lidem nelžete.

      2. Presne tak – pokud nema e-shop Overeno zakazniky, pak nebiduje, coz je aktivni diskriminace shopu. Bohuzel nas UOHS toto nechape, vypada to, ze UOOU take ne. Treba v poradu ADOST se brzy na tento problem podivame 🙂

      3. Dobrý den, Honzo,
        služba Ověřeno zákazníky je dobrovolná, a dobrovolná je také účast každého e-shopu na Heurece. Viz předchozí odpověď, o aktivní disktriminaci se rozhodně nejedná. Je to základní podmínka služby, kterou si jako soukromý subjekt můžeme určit. Stejně jako je to běžné u operátorů, bank, …když chcete zvýhodněný telefon, musíte si k tomu přikoupit tarif apod. Na tom nevidíme nic diskriminačního a také, jak jste sám uvedl, ani UOOU, který podrobně naši službu Ověřeno zákazníky prověřoval, nic závadného neshledal.
        V případě zájmu o podrobnější vysvětlení mě neváhejte kontaktovat, případně se můžeme domluvitna osobní schůzce.
        Děkuji za pochopení

        Jan Kriegel
        Ředitel zákaznické podpory Heureka

      4. To všechno je fajn, ale jestli zákazník v našem košíku nedá souhlas se zasláním obchodního sdělení, nemůžeme mu zaslat Váš dotazník. Tedy alespoň dle textu který doporučujete uvést do našich OP.

  4. Vypadá to, že radší opustím heureku, jelikož lidi zatrhávát checkbox nebudou a dělat jak to je napsáno tady a v případě průšvihu dostat pokutu nehodlám.

    PS: Heureka se asi vyjadřovát nehodlá…

    1. Ale zaškrtávají. Já to mám 4 roky. I když je ten podíl volby z 10 objednávek ANO/NE je 2/8.
      Jen si musíte uvědomit, že třeba takové bidování položek je pouhým výstřelem do tmy, protože nemáte žádná relevantní data.

  5. Dle eLegal (http://www.e-legal.cz) je e-mailova adresa osobni udaj a v pripade, ze ji predavate dal, musite informovat predem zakaznika – viz. reseni checkbox a Seznam.cz. Heureka jede v tomto delsi dobu na hranu zakona. GDPR to ted zacina penalizovat a to ne pro Heureku, ale pro e-shopy, tak bacha na to. Pokutu dostane e-shop, ne Heureka.

    1. Dobrý den,

      e-mail je osobním údajem a jeho předání je možné bez souhlasu subjektu údajů pouze z důvodů stanovených zákonem a nařízením GDPR a právě na těchto důvodech je postaven program OZ. Viz právní východisko programu OZ, které jsem již komunikovali:
      § 7 odst. 3 zákona o některých službách informační společnosti (dále jen „Zákon“), ze kterého vyplývá že pokud fyzická nebo právnická osoba (obchodník) získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu při sběru údajů i při zasílání každé jednotlivé zprávy.
      S účinností obecného nařízení EU 2016/679 ze dne 27. dubna 2016, o ochraně osobních (dále jen „GDPR“) se tato možnost nijak nemění – takové zpracování bude v souladu s recitálem 47 a čl. 6 odst. 1 písm. f) oprávněným zájmem obchodníka a není pro něj dle GDPR potřeba souhlas.
      Z tohoto důvodu stačí mít jasnou informaci v OP obchodníka, kterou Heureka doporučuje a dát zákazníkovi možnost odmítnou zaslání dotazníku při každém nákupu.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

      1. Dobrý den,
        zdali jsem pochopil správně informace o GDPR, pak mi není jasná Vaše argumentace a k tomu bych rád přidal body navíc.

        1. Neustále zde citujete informaci: „…získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu…“.

        Z mémo pohledu se ale nejedná o správný výklad. Tento odstavec chápu tak, že mu mohu odeslat zpravodaj, nebo tištěný leták na produkty související se zakoupeným zbožím (e-legal vysvětlovat – klient si koupí hrníček a já mu tedy nemohu poslat zpravodaj na lyže), ale nemohu předat informace třetí straně a ta mu nemůže poslat jakékoli emaily.

        2. Předání osobních údajů (email, zakoupený produkt, datum a čas uskutečněné objednávky, a bůhví co ještě si heureka schraňuje a používá aniž bychom to věděli – viz facebook) formou strojového zápisu je „zpracování osobních údajů“ a tím spadá do GDPR nikoli jako oprávněný zájem, ale formou souhlasu.

        3. Z Vašeho textu vyplývá, že se chcete alibisticky vyhnout (tak jako seznam.cz, google, apod.) sepisování alespoň zpracovatelských smluv (je otázkou, zda by neměly být smlouvy společných správců) a nahradit pouze všeobecnými podmínkami.

        4. Kde se dočteme informace, jakým způsobem data zpracováváte, jak jsou chráněna proti zneužití apod.? Což dle školení e-legal bychom měli a při výběru partnerů my zodpovídáme za to, že data nebudou zneužita.

      2. Dobrý den,

        ad 1) Posouzení programu OZ a jeho soulad s příslušnými právními předpisy, a to vč. příslušných ustanovení zákona o některých službách informační společnosti bylo předmětem kontroly ze strany ÚOOÚ, který nenašel na tomto postupu žádná pochybení. Náš výklad tedy považujeme za správný. Dotazník OZ je formálně zasílán příslušným prodávajícím, Heureka pouze tuto službu zajišťuje. Z hlediska GDPR je právem každého správce zvolit si zpracovatele.

        ad2) Předání e-mailové adresy za účelem zapojení do programu OZ je dáno oprávněným zájmem prodávajícího na zpětné vazbě týkající se kvality poskytnutých služeb od kupujícího.

        ad3) Zakomponování zpracovatelských doložek do OP není v rozporu s žádnou právní regulací, nikde není dána povinnost upravit oblast zpracování osobních údajů zvláštní smlouvou, jejímž předmětem bude výlučně úprava oblasti zpracování osobních údajů.

        ad4) Toto se dočtete v podmínkách ochrany osobních údajů na portálu Heureka, které budou účinné od 25.5.2018. Aktuálně platný dokument je dostupný zde https://www.heureka.cz/direct/dokumenty/ochrana-soukromi-na-portalu-heureka-cz.pdf
        https://www.heurekashopping.cz/pro-obchodni-partnery/podminky-pouzivani

        Jan Kriegel
        Ředitel zákaznické podpory Heureka

    2. Pokud vám heureka.cz potvrdí, že osobní údaje zpracovává v souladu s GDPR a vy dostanete pokutu z důvodu jejího pochybění, tak můžete tuto pokutu vymáhat po Heurece a měl by jste tento spor vyhrát.

      1. To bych opravdu riskovat nechtěl – riskovat jak peníze, tak čas a tahanice po soudech…Nevím jestli to někomu stojí za to.

  6. Pokud budu mít při dokončení objednávky povinnost aby zákazník musel označit ANO/NE pro dotazník je to v rozporu nebo je to v pořádku s pravidly Heureka.cz?

    1. Dobrý den,

      jak jsme již uváděli, zákazník musí mít možnost odmítnout zaslání dotazníku v nákupním procesu e-shopu.
      V případě, že to bude formou opt-out checkboxu, tedy nezašrtnutý chcekbox s možností aktivně odmítnout zaslání, bude to v souladu s našimi pravidly.
      Naše doporučená textace checkboxu je „Nesouhlasím se zasláním dotazníku spokojenosti v rámci programu Ověřeno zákazníky, který pomáhá zlepšovat vaše služby.“

      Děkuji za pochopení,

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

      1. Dobrý den, dovolím si zopakovat otázku pokud budu mít na eshopu dva nevyplněné opt-out checkbox a zákazník bude muset aktivně zaškrtnout ANO nebo NE k dotazníku jinak nebude moci odeslat objednávku je to v rozporu z pravidly ?

  7. Pane Kriegele, po přečtení celé diskuze je moje otázka jednoduchá: v případě, že se e-shop bude držet vašeho výkladu (tedy nebude pro předání e-mailu pro OZ vyžadovat aktivní souhlas zákazníka, ale bude o tom jen informovat někde v OP), garantujete zaplacení veškerých případných pokut pro e-shopy ze strany kontrolních orgánů v souvislosti s tímo vaším výkladem, a to až do výše 20 000 000 EUR, resp. do výše 4 % celosvětového obratu e-shopu, pokud za to bude sankcionován? Těším se na vaši odpověď. Děkuji.

  8. Dobrý den,

    jak se bude Heureka stavět k eshopům, které budou před odesláním objednávky vyžadovat od zákazníka souhlas s předáním osobních údajů Heurece?

    Děkuji

  9. Dobrý den, pane Kriegele, výklad našeho právního zástupce je shodný jako jeden z výše uvedených příspěvků. Pokud budete odesílat dotazník spokojenosti, tak je nutné předem zaškrtnout checkbox. Není možné toto zahrnout do jednoho checkboxu obsahujícího odkaz na Obchodní podmínky. Mimo jiné by to také znamenalo ztrátu zákazníka, který sice souhlasí se zpracováním údajů nutných pro uzavření kupní smlouvy, ale nesouhlasí s předáváním dat třetí straně, která přímo nesouvisí s kupní smlouvu (není například přepravní firmou). A můj dotaz tedy zní: Pokud bude obchod respektovat právní výklad s checkboxem, tak ztratí Ověřeno zákazníky ? Děkuji

    1. Pokud by tady existovala nutnost zaškrtávání checkboxu pro předání dat Heurece, musel by existovat i checkbox pro předání dat Zbozi.cz, PPL, ČP, Zásilkovna, …..
      A zákazník by si mohl zvolit, jaký checkbox zaškrtne a jaký ne 🙂

      1. Předaní oú přepravci není nutný souhlas nebo je zapotřebí k vyřízení objednávky nebo smlouvy, kterou si zákazník sám přeje.

  10. Dobrý den.

    Pokud se na to podívám z čistě laického pohledu, tak GDPR je přece o tom, že nemůžu po zákazníkovi požadovat něco, co není nutně potřeba pro vyřízení jeho objednávky. Např. v obchodních podmínkách nemohu mít zakomponováno, že při odeslání objednávky automaticky zákazník souhlasí se zasíláním newsletterů.

    Protože k vyřízení objednávky není nutně potřeba služba od Heureky, tak je dle mého názoru nutný výslovný souhlas od zákazníka., tj. speciální checkbox v objednávkovém procesu, který zákazník může (ale taky nemusí) zaškrtnout.

    Ivan

  11. Dobrý den,

    Vynechám neplodnou diskuzi o předání a spíše mě zajímají následné kroky.
    1) Bude někde vysvětleno v jaké podobě a kde udaje zpracováváte.
    2) Co se s nimi děje po několika letech.
    3) Zda umožníte výmaz/anonymizaci v případě požadavku na právo být zapomenut.
    4) Pak ještě zákazník může požadovat report o tom co jsme o něm zpracovali. Budete mít nějaký report pro tento případ?

    1. Dobrý den,

      Heureka samozřejmě počítá s výkonem práv subjektů, tzn. možnosti na smazání, přenos dat..
      Aktuálně pracujeme na tom, aby toto bylo v rámci všech našich služeb podchyceno a umožněno od 25.5.

      Aktuální kodex používání dat na Heurece máme zde: https://www.heurekashopping.cz/pro-obchodni-partnery/overeno-zakazniky/kodex-pouzivani-dat-v-heurece
      Tyto dokumenty jsou přepracovávány a budou doplněny o požadavky GDPR.

      Děkuji za pochopení
      Jan Kriegel
      Ředitel zákaznické podpory Heureka

  12. „OCHRANA SOUKROMÍ NA PORTÁLU HEUREKA.CZ
    3. Zasílání obchodních sdělení
    3.2. Nad rámec zasílání obchodních sdělení dle výše uvedeného odstavce berou Uživatelé na
    vědomí, že Obchodníci zařazení do programu Ověřeno zákazníky jsou ve smyslu § 7 odst. 3
    zák. o některých službách informační společnosti oprávněni Uživatelům po provedení
    nákupu zasílat dotazníky spokojenosti s provedeným nákupem, vygenerované pro
    Obchodníky Provozovatelem. Odesílatelem těchto e-mailů je vždy Obchodník. “

    Ještě jednou: „Odesílatelem těchto e-mailů je vždy Obchodník.“ Chápete to se všemi důsledky, milí obchodníci?

    1. Správná poznámka – z pohledu zákazníka je odesilatelem vždy obchodník (e-shop). Pak by tedy check box pro udělení souhlasu se zasláním dotazníku měl být na stránce e-shopu (pro každou podobnou službu?). Jak se bude Heureka stavět k e-shopům, které z důvodu neudělení souhlasu ze strany zákazníka nebudou mít hodnocení od zákazníků?

      1. Dobrý den,

        ano, je to přesně jak uvádíte, každý e-shop by měl mít na svých stránkách v nákupním procesu možnost odhlášení z dotazníku OZ. Když tento checkbox zákazník využije a odmítne zaslání dotazníku (opt-out), objednávka se nepošle do systému OZ a tím pádem mu nebude odeslán. Toto je naprosto v pořádku a Heureka nebude samozřejmě nijak e-shop penalizovat. Toto je naopak správný postup.

        Jan Kriegel
        Ředitel zákaznické podpory Heureka

  13. Jestli se toto dořeší do důsledku, tak to Heuréka může zabalit. Už teď se lidem nechce vyplňovat dotazníky. Když jim ještě dám k zatržení checkbox, můžu se s certifikátem Ověřeno zákazníky rozloučit.
    Je smutné, že papaláši v Bruselu vždycky vymyslí něco, co je jen dalším klackem pod nohy. Ochrana soukromí je v tomto případě těžce předimenzovaná, zatímco možnost zjistit, jak je na tom se slušností a poctivostí obchod u kterého nakupuju, půjde do háje. Takže sice budeme všichni krásně anonymní, ale taky třeba nakoupíme od eshopu, který nám místo zboží pošle cihlu, ale co už…
    Ať žije Brusel!
    PS: A kdo bude řešit, že PC s WIN 10 odesílají všechny údaje co naťukám do klávesnice, všechny soubory, fotky a další na americké servery? To už asi EU nezajímá 😀

  14. Jakékoli předání osobního údaje (= též e-mail i nákup samotný) třetí straně MUSÍ být odsouhlaseno zákazníkem e-shopu jednotlivě, informovaně, a evidováno na straně e-shopu (dal souhlas tohoto znění tehdy a tehdy). Jakýkoli výklad smrdí průšvihem, ale pro samotný e-shop, ne Heureku.

  15. Dobrý den,
    po pečlivém (a stále probíhajícím) studiu problematiky GDPR pro oblasti e-shopu nemůžu bohužel s uchopením legislativy ze strany Heureky souhlasit a bez obav se ke službám Heureka vrátit.
    Řešením je nalézt nějakou cestu v souladu s legislativou (a s ohledem na legislativu budoucí, určitě nikoliv mírnější).
    Jako jedna z možných (jediná správná?) je anonymizace předaných dat.
    V jednom komentáři uvádíte „…Dotazník OZ je formálně zasílán příslušným prodávajícím,…“ což není úplně pravda (nastavení mail header From: asi nestačí), ale přivedením k realitě je to asi jediná cesta.

    Každá uzavřená objednávka může být odeslána spolu s jedinečným unikátním klíčem (příp. patřičně podepsaným hashem neveřejného klíče) a data zákazníka budou takto anonymizována.
    Dotazník (předdefinovaný Heurekou) bude opravdu odesílat e-shop, spolu s dřívějším unikátním identifikátorem objednávky, aniž by osobní údaj zákazníka opustil databázi e-shopu, a výsledky hodnocení Heureka zpracuje bez ohrožení e-shopů ve smyslu předání osobních dat třetí straně.

    Zvažujete implementovat toto či obdobné řešení ?

    Děkuji za odpověď.

    1. Dobrý den,

      jak jsme již uváděli, fungování služby OZ je naprosto v souladu s legislativou, což potvrdil i UOOU.
      Není tedy třeba hledat „nějakou cestu v souladu s legislativou“, jak uvádíte.
      Výsledek auditu od renomované společnosti PWC potvrzuje, že data jsou naprosto zabezpečená a bez rizika.
      K anonymizace dat již dochází, je využita dostatečná hashovací funkce SHA1 + salt. Výsledky auditu jsou veřejně dostupné zde: https://www.heurekashopping.cz/resources/attachments/p0/60/pwcheureka-shopping-report-2018final.pdf
      Kodex používání dat dostupný zde: https://www.heurekashopping.cz/pro-obchodni-partnery/overeno-zakazniky/kodex-pouzivani-dat-v-heurece

      Děkuji za pochopení
      Jan Kriegel
      Ředitel zákaznické podpory Heureka

      1. Proč teda v Heureka košíků máte tohle na konci objednávky, když je to vše ok a žádne zašketávátko není potřeba?

        „Nesouhlasím se zasláním dotazníku spokojenosti v rámci programu Ověřeno zákazníky. Váš názor pomůže zlepšovat naše služby.“

      2. Dobrý den,
        děkuji za reakci a odkazy na podklady.
        Audit, byť nikoliv komplexní, ale jen v zadavatelem předem definovaném rozsahu, sice dává nahlédnout do interních procesů a ty jsou ve svém kontextu, až na úvodní výhradu v Příloze 1, v pořádku, nicméně Vaše odpověď bohužel neřeší tu základní nadnesenou otázku.

        Otázku proč se vůbec vystavovat nenulovému riziku např. úniku dat, zneužití odcházejícím zaměstnancem, aj., proč je vlastně zákaznická e-mailová adresa poskytována třetí straně, když to není nezbytně nutné?
        Když existuje potenciální řešení, viz. předchozí kom., které umožní objednávky na straně Heureka.cz unikátně identifikovat, dotazník s objednávkou spojit, hodnocení umožnit a evidovat, ale osobní údaj v čitelné podobě neopustí databázi obchodníka, e-shopu.

        E-mailové adresy jsou do doby odeslání dotazníku uložený v čitelném formátu, a i např. audit upozorňuje na statický salt při hashování e-mailové adresy, existuje tedy možnost, že ze zpracovávaných dat lze odvodit vazby zákaznických adres. A na jejich základě hypoteticky např. profilovat chování a nakupovaný sortiment, apod. Čistě hypoteticky.

        Vynecháním e-mailové adresy zákazníka při odeslání dat do Heureka.cz po uzavření objednávky, použitím unikátního klíče pro identifikaci objednávky, odesláním e-mailové výzvy k ohodnocení po 10 dnech přímo z databáze obchodníka, spolu s prvně odeslaným unikátním identifikátorem objednávky, je nejen dle mého, technického úhlu pohledu, ale také z pohledu našich právních konzultantů jediné bezpečné a smysluplné řešení.
        Nezanedbatelný fakt bude určitě i marketingový rozměr, nejen naši zákazníci zcela jistě ocení, že s jejich osobními údaji nakládáme s největší obezřetností.

        Jsem si vědom, že pro malé a garážové e-shopy, bez vlastního vývojového oddělení, může toto řešení vyžadovat jisté vícenáklady na externí implementaci, ty nechť třeba využívají stávající řešení, třeba je pro ně riziko postihu irelevantní, nicméně věřím, že i ostatní etablované a zodpovědné e-shopy by tuto možnost zcela jistě uvítaly.

        S pozdravem

        Martin Špaček
        http://www.Naplne.com

  16. Dobrý den, sleduji zdejší diskuzi. Možná by Heuréko nebylo od věci rozptýlit pochybnosti o legálnosti vašeho pojetí systému „Ověřeno zákazníky“ tím, že si od ÚOOÚ necháte vypracovat závazné stanovisko k vašemu postupu a to zde publikujete (např. ve formě PDF) tak, aby v případě sporu eshopu s úřadem mohl eshop toto stanovisko vzít a říci: tady je závazné stanovisko, kterým jste potvrdili Heureka.cz jejich správný výklad zákona. Nyní eshop může těžko argumentovat tím, že „psali to napsáno na Blogu Heureka.cz, tak to musí být správně“. Uděláte to pro eshopy, které vám přinášejí peníze? Díky

  17. PWC je hlavně poradenská firma v oblastni auditu a účetnictví. V oblasti osobních údajů z pravidla nepůsobí.
    Dále je ve vyjádření uvedeno „Naše ověření výroků je platné k 19.1.2018, neposkytujeme žádnou záruku týkající
    se změn po tomto datu. “ Situace ohledně zpracování se může měnit ze sekundy na sekundu.

    Správce osobních údajů je vždy e-shop, zpracovatel z hlediska GDPR je Heureka.
    Z hlediska GDPR nese veškerou odpovědnost e-shop.

    Dodala by Heureka např. vyjádření od e-Legal.cz, kteří jsou v tomto asi nejvíce kovaní?
    A také záruky, které v případě kontroly na e-shopy přijdou.
    Je totiž z podivem, že Seznam, Google a všichni další respektují GDPR – tj. transparentně doporučují zašktrnout checkbox v případě předání dat zpracovateli a Heureka si „vyjednala“ výjímku u ÚOOÚ.

    1. Heureka již má (1.5.) v Heureka košíku checkbox, Nesouhlasím se zasíláním dotazníku spokojenosti v programu Ověřeno zákazníky od Heureka.cz.

      Zlehčovat situaci kolem GDPR nechci, ale starý vtip na toto sedí.

      Ptají se matematika, fyzika a právníka, kolik je dva plus dva.
      Matematik odpovídá, že je to přesně čtyři.
      To fyzik se zeptá na přesnost, s jakou to má spočítat a odpoví 4,00000.
      A právník? Ten se bez váhání zeptá: „Kolik potřebujete aby to vyšlo?“.

  18. (pravděpodobně ale ještě dojde k její úpravě):

    „Vaši spokojenost s nákupem zjišťujeme prostřednictvím e-mailových dotazníků v rámci programu Ověřeno zákazníky, do něhož je náš e-shop zapojen. Ty vám zasíláme pokaždé, když u nás nakoupíte, pokud ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti neodmítnete zasílání našich obchodních sdělení nebo neodvoláte svůj dříve udělený souhlas. Pro zasílání dotazníků, vyhodnocování vaší zpětné vazby a analýz našeho tržního postavení využíváme zpracovatele, kterým je provozovatel portálu Heureka.cz; tomu pro tyto účely můžeme předávat informace o zakoupeném zboží a vaši e-mailovou adresu.“

    E-shopy musí kromě výše uvedené formulace zanesené do svých obchodních podmínek zajistit, aby zákazník měl možnost odmítnout zaslání dotazníku spokojenosti v rámci programu Ověřeno zákazníky (např. na konci objednávky vložit zaškrtávací pole „Nepřeji si zaslat dotazník Ověřeno zákazníky“ – je možno nechat předem nezaškrtnuté).

    Jak to bude vypadat v praxi? Pokud zákazník ponechá checkbox prázdný, tedy nevyjádří aktivně svůj nesouhlas se zasláním dotazníku Ověřeno zákazníky, předáte kontakt Heurece a ta následně zasílá zákazníkovi dotazník spokojenosti. Pokud ale zákazník pole zaškrtne, dává jasně najevo, že dotazník nechce. V tom případě kontakt Heurece jednoduše nepředáváte a ta ho zákazníkovi nepošle.

    Může Heureka váš e-shop penalizovat, pokud jí v rámci programu Ověřeno zákazníky nepošlete některé kontakty zákazníků? Nemůže a nebude e-shopy za toto penalizovat. I nadále ale budou probíhat kontroly, aby Heureka zajistila, že e-shopaři neupravují vzorek zákazníků, který jim pošlou. Výjimkou pro nezaslání kontaktu Heurece jsou tedy pouze kontakty zákazníků, kteří vyjádřili nesouhlas se zasláním dotazníku.

    Zákazník má i nadále možnost odhlásit se ze služby Ověřeno zákazníky přímo v e-mailu, ve kterém mu dotazník dorazil. Pakliže se zákazník odhlásí, Heureka jej umístí na svůj blacklist. Zřízení blacklistu zajistí to, že ani při opakovaných nákupech nebudou těmto zákazníkům už dotazníky chodit.

    Blacklist bude fungovat asi takto: Klient v e-shopu v budoucnu znovu nakoupí a nevyjádří svůj nesouhlas se zasláním dotazníku >>> e-shop sice automaticky předá Heurece kontakt >>> Heureka ale zjistí, že má kontakt na blacklistu >>> tudíž dotazník neodešle.

    Netvrdím, že to nemá Heureka vymyšleno chytře. Nutno ale podotknout, že neodesíláme pouze e-mailovou adresu, ale hlavně seznam zakoupených produktů.
    Jsem přesvědčený, že pokud se zákazník odhlásí, Heureka by měla být pod sankcí povinná tuto informaci e-shopu neprodleně předat, aby dále od takového zákazníka Heuréce neodesílal jeho e-mail a ani seznam zakoupených produktů.
    Souhlasíte???

    1. Nebylo by jednodušší situaci otočit a udělat checkbox nezašktrlý: „Chci předat svá data k hodnoceni OZ „, pak máš souhlas a nemusíš nic řešit

      1. Uděluje se souhlas, ne nesouhlas.
        Proto checkbox musí být nezaškrtnutý s textem typu souhlasím s předním mé e-mailové adresy pro zaslaní dotazníku Ověřeno Zákazníky, který provozuje společnost Heureka

      2. Jedná se mi o jinou věc. Zákazník, který v našem košíku dal souhlas, později v dotazníku klikne na: již nechci dostávat další dotazníky. Heuréha dá zákazníka na svůj blacklist a dotazník mu již zasílat nebude. Požaduje ale, abychom ji informace o dalších nákupech takového to zákazníka zasílali i nadále. V tom je ten háček a to se nám nelíbí. Už tak jejich skupině zasíláme víc než nás těší.

      3. To je špatně, vy jako e-shop nejlépe vždy požádejte o souhlas, jinak budete muset vést zbytečnou administraci. A tak nemusíte mít žádnou databázi se souhlasem OZ. Dělejte to pro zákazníky a pro sebe. Heureka nemůže požadovat e-maily klientu, kteří nedají souhlas. Takže zákazník si sám vždy při objednávce vybere zda chce nebo nechce dotazník zaslat.

        Heureka řeší jen své blacklisty na obchodní sdělení.

  19. Schvalne jsem volal na UOOS ohledne tedy explicitniho souhlasu s predavanim dat heurece za ucelem poslani dotazniku.

    Bylo mi sdeleno, ze takovy souhlas nutny neni, staci jen upozorneni, treba text na konci objednavky.
    Toto je tedy v naproste shode s heurekou (je to opravneny zajem) a zbozi.cz se zrejme myli.

    1. Dle Petry Dolejší (e-legal – konference GDPR) je Heureka správce osobních údajů a e-shop je také spravce. Mezi nimi musí smlouva dvou správců a OPT-IN souhlas. Tzn. nevyplněný checkbox a žádost o explicitni souhlas.

      1. My dáme možnost svým zákazníkům, si vybrat zda chtějí dostat dotazník OZ. Minimálně je to pro ně férové. Jsou to jejich OÚ a mají mít možnost omezit jen na nutné zpracování a nakládaní s nimi pro vyřízeni objednávky.

      2. E-legal jsou „profesionálove“ po GDPR a už jen jejíh Cookie consent notice není v souladu s GDPR…

      3. se podělte co tam mají špatně … nebo raději ne a řešte jen OZ, pro který jen tento blog určen.

  20. Dobrý den,
    zákazník nevyužije na konci objednávky možnost zaškrtnout políčko Nesouhlasím se zasíláním dotazníku OZ. Musím mu v každém informačním emailu (zpracováno, expedováno atd.) dát možnost zaškrtávacím políčkem Nesouhlasím se zasíláním dotazníku OZ? Nebo tato možnost je jen když mu přijde emailem dotazník s hodnocením e-shopu?
    Díky.

    1. Chápete jak funguje heureka(ověřeno zákazníky)? V případě, že na konci objednývky zákazník nezaškrtné „Nesouhlasím se zasíláním dotazníku“, Vy heurece hned po objednání zašlete email, popř. č objednávky.(toto už nejde nijak změnit, tedy nemáte možnost smazat email z heureka databáze). Takže nevím proč by jste něco takového nabízel v emailu, když to už nijak neovlivníte.

  21. Prosím pana Kriegela o jednoznačnou odpověď:
    1) Zaplatí Heureka za e-shop pokutu, kterou případně e-shop dostane, když bude postupovat v OZ podle doporučení Heureky?
    2) Zveřejní Heureka závěry kontroly UOOU?

  22. Google má opt-in, zboží je taky pro opt-in.
    To je 2:1 proti Heurece.

    V košíku je další opt-in pro podmínky, pro souhlas, pro sms.
    Dělat opt-out je dobré jen proto, že zákazníci nečtou a nezaškrtnou ho.
    To už se mi z principu nelíbí.
    Dopadá to pak „Nedoporučuji obchod“ s textem „Otravný dotazník“, který navíc Heureka nevymaže, protože dotazníky prostě nemaže.

    Hodnocení je stejně necelá 1/10 na všech eshopech, přitom Google, který tam celou dobu má opt-in z vlastní vůle, tak má cca 2/10 hodnocení.
    Již minule mě vytočil postoj k „Nedoporučuji obchod“ bez textového vyjádření.

    Nebudu tam dávat zvlášť „další“ checkbox, jen kvůli tomuhle. Bude to prostě opt-in dohromady a pokud přijde nějaká stížnost, že je to proti jejich podmínkám, tak raději z Heureky odejdeme.
    Udělám to takto na necelých 30 e-shopech. A to už je nemalej peníz pro Heureku.
    Uvidíme, myslím, že je každá kačka dobrá.

  23. My máme na eshopu tuto variantu:

    Odesláním objednávky souhlasím s obchodními podmínkami a beru na vědomí zpracování osobních údajů.
    [ ] Souhlasím s předáním e-mailu za účelem nezávislého hodnocení nákupu na Heureka.cz

    [ ODESLAT OBJEDNÁVKU ]

    Opt-in, které nám vzhledem k zákazníkům přijde férovější a hlavně přesně dle právního výkladu.

    1. my jsme zvolili ten to text, kde přímo uvedeno komu se e-mail poskytuje

      Souhlasím s poskytnutím své e-mailové adresy společnosti Heureka Shopping s.r.o. v rámci programu „Ověřeno zákazníky“ pro zlepšování Vašich služeb.

  24. A co když to milá heureko dám výzvu až an děkovačku a nebudu tím otravovat lidi v nákupním procesu? Co ty na to?

      1. Dobrý den,

        vzhledem k tomu, že skript Ověřeno zákazníky odesílá informaci o objednávce při odeslání/vytvoření objednávky, tak to nelze řešit „výzvou“ po nákupu, to už je proces dokončený a data jsou odeslána do systému OZ. Tím checkboxem by právě mělo dojít k tomu, že když zákazník odmítne zaslat dotazník, nespustí se skript OZ a tím pádem nedojde k odeslání informace o objednávce po jejím vytvoření. Takže díky nastavení celého systému nelze nějakou informační povinnost/checkbox řešit až po uskutečnění nákupu.

        Děkuji za pochopení,

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s