Heureka a GDPR

S účinností od 25. května 2018 vstoupí v platnost evropské nařízení GDPR (General Data Protection Regulation). Cílem GDPR je co nejvíce hájit práva občanů EU proti neoprávněnému zacházení s jejich daty včetně jejich osobních údajů. GDPR se týká všech firem, institucí, jednotlivců a samozřejmě také online služeb. Více o GDPR si můžete přečíst zde: https://www.gdpr.cz/gdpr/. A jaký bude mít GDPR dopad na Heureku?

Ověřeno zákazníky

Na principu služby Ověřeno zákazníky se nic nemění ani po zavedení GDPR. Tak jako doposud není potřeba souhlas zákazníka ke zpracování osobních údajů. Heureka i nadále zůstává jejich zpracovatelem a e-shop je správcem.

Změnou bude nově zanesení podmínek ze smlouvy o zpracování osobních údajů přímo do Obchodních podmínek programu Ověřeno zákazníky.

Druhou změnou bude nutná úprava formulace obchodních podmínek e-shopu v sekci Ověřeno zákazníky. Umístění formulace v obchodních podmínkách e-shopu bude Heureka aktivně kontrolovat z důvodu dodržování GDPR. Celé znění najdete na konci článku.

Heureka Košík

Také v Heureka Košíku budou všechny GDPR náležitosti upraveny pomocí upřesnění textů v Obchodních podmínkách Heureky. I nadále platí, že je Heureka v roli zprostředkovatele a kupní smlouva je uzavřena mezi obchodníkem a zákazníkem. Obchodník je oprávněn nakládat s osobními údaji pouze za účelem vyřízení objednávky.

Důležité

V návaznosti na GDPR budeme měnit znění dokumentu Ochrana osobních údajů na portálu Heureka.cz, na který budeme na všech důležitých místech odkazovat.

Novou verzi obchodních podmínek všech našich služeb s GDPR změnami vám zašleme 14 dní před zahájením účinnosti GDPR.

Pokud máte k GDPR jakékoliv otázky, napište nám na info@heureka.cz

Heureka dodržuje zákon  č. 101/2000 Sb., o ochraně osobních údajů v platném znění a plní všechny stanovené povinnosti. Plnění všech povinností stanovených tímto zákonem ve vztahu k OZ kontroloval v Heurece Úřad pro ochranu osobních údajů (ÚOOU). Tato kontrola správnost všech procesů v Heurece potvrdila. Nad rámec této kontroly jsme zažádali o audit programu OZ a nakládání s osobními údaji. Ten provedla nezávislá auditorská společnosti PwC, který výsledek UOOU potvrdil. O auditu jsme na našem blogu psali zde.

Nová formulace obchodních podmínek e-shopu:

Vaši spokojenost s nákupem zjišťujeme prostřednictvím e-mailových dotazníků v rámci programu Ověřeno zákazníky, do něhož je náš e-shop zapojen. Ty vám zasíláme pokaždé, když u nás nakoupíte, pokud ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti neodmítnete zasílání našich obchodních sdělení nebo neodvoláte svůj dříve udělený souhlas. Pro zasílání dotazníků, vyhodnocování vaší zpětné vazby a analýz našeho tržního postavení využíváme zpracovatele, kterým je provozovatel portálu Heureka.cz; tomu pro tyto účely můžeme předávat informace o zakoupeném zboží a vaši e-mailovou adresu.

35 komentářů: „Heureka a GDPR“

  1. Dobrý den,

    z pohledů internetových lékáren, kde se jedná o citlivé nákupní údaje není výklad gdpr správný. V oblasti léčiv nebude možné bez explicitního souhlasu zaslat výzvu k hodnocení produktů ani zasílat nákupní historii.

    Prosím o vyjádření,jak budete postupovat v oblasti lékárenských eshopů.

    S pozdravem / Best regards

    Michal Macourek

    1. Dobrý den,

      služba Ověřeno zákazníky funguje primárně na základě předání kontaktu na zákazníka spolu s informací, že nakoupil na konkrétním e-shopu. Předání informace o zakoupeném zboží je volitelnou funkcí. Samozřejmě respektujeme, že informace o konkrétních nákupech v online lékárně jsou citlivými údaji a není možné je zpracovávat na základě oprávněného zájmu. Sama skutečnost, že zákazník v lékárně nakoupil, nevypovídá jeho zdravotním stavu, proto ji za citlivý údaj nepovažujeme. Využití kontakt zákazníka pro zjištění zpětné vazby na online lékárnu (bez specifikace konkrétních zakoupených produktů) je tedy podle nás možné stále na základě oprávněného zájmu.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

  2. Je sice hezké, že podle vás stačí jen vložit nějaký blábol do podmínek, ale v případě průseru, odpovědnost nenesete.
    Podle GDPR by se měl vytvořit minimálně checkbox, který má uživatel zaškrtnout(souhlasit) v případě, že chce dostat dotazník…

    Prosím o vyjádření

    1. Dobrý den,

      právní východiska programu Ověřeno zákazníky jsou následující:
      § 7 odst. 3 zákona o některých službách informační společnosti (dále jen „Zákon“), ze kterého vyplývá že pokud fyzická nebo právnická osoba (obchodník) získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu při sběru údajů i při zasílání každé jednotlivé zprávy.
      S účinností obecného nařízení EU 2016/679 ze dne 27. dubna 2016, o ochraně osobních (dále jen „GDPR“) se tato možnost nijak nemění – takové zpracování bude v souladu s recitálem 47 a čl. 6 odst. 1 písm. f) oprávněným zájmem obchodníka a není pro něj dle GDPR potřeba souhlas.
      Z tohoto důvodu stačí mít jasnou informaci v OP obchodníka, kterou Heureka doporučuje a dát zákazníkovi možnost odmítnou zaslání dotazníku při každém nákupu.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

    2. Tady to je trefné, a také se nepíše to, že souhlas musí být evidován pro případ doložení, že s osobním údajem mohlo byt nakládáno a to, že je předán Heurece. A to musí vést obchod. Navíc primárně je checkbox nezaškrtnut. Takže zákazník nemusí nesouhlasit tak jak uvádíte ve větě „neodmítnete zasílání našich obchodních“
      Jde vidět, že Heureka si řeší jen své.

    1. Dobrý den,

      stávající znění doporučujícího textu pro Slovenské e-shopy naleznete zde: https://sluzby.heureka.sk/napoveda/najcastejsie-otazky/
      Text však bude brzy aktualizován, aby byl v souladu s GDPR. Tuto informaci, včetně nových znění obchodních podmínek všech služeb Heureky (VOP, Košík, Ověřeno zákazníky) budeme posílat na všechny e-shopy s dostatečným předstihem.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

  3. No bohužel na workshopu Heureka.cz a APEK sice zaznělo, že heureka.cz nebude penalizovat eshopy, které nebudou zasílat Ověřeno zákazníky, pokud se pro to klient rozhodne, ale také zaznělo, že klient musí projevit aktivně nesouhlas…

    Je to pochopitelné – jen málo lidí by dalo aktivně souhlas a to by Heureka.cz hodně bolelo.

    1. Dobrý den,
      hlavně je potřeba říci, že služba Ověřeno zákazníky je pro každý e-shop naprosto dobrovolná, Heureka nikoho nenutí ji využívat. Tím pádem je samozřejmě i v zájmu každého e-shopu, který je do služby zapojený, aby byla návratnost dotazníků zachována co největší a nebyla nijak negativně omezena checkboxem.
      Naopak se setkáváme s dotazy e-shopů, jak zvýšit návratnost dotazníků, aby bylo zpětné vazby co nejvíce.

      Děkuji za pochopení
      Jan Kriegel
      Ředitel zákaznické podpory Heureka

      1. Dobrý den, je opravdu dobrovolná a bez podmínek? Mohu bidovat na svoje produkty a přitom nemít funkci „Ověřeno zákazníky“. To nemohu, že? Tak lidem nelžete.

      2. Presne tak – pokud nema e-shop Overeno zakazniky, pak nebiduje, coz je aktivni diskriminace shopu. Bohuzel nas UOHS toto nechape, vypada to, ze UOOU take ne. Treba v poradu ADOST se brzy na tento problem podivame 🙂

      3. Dobrý den, Honzo,
        služba Ověřeno zákazníky je dobrovolná, a dobrovolná je také účast každého e-shopu na Heurece. Viz předchozí odpověď, o aktivní disktriminaci se rozhodně nejedná. Je to základní podmínka služby, kterou si jako soukromý subjekt můžeme určit. Stejně jako je to běžné u operátorů, bank, …když chcete zvýhodněný telefon, musíte si k tomu přikoupit tarif apod. Na tom nevidíme nic diskriminačního a také, jak jste sám uvedl, ani UOOU, který podrobně naši službu Ověřeno zákazníky prověřoval, nic závadného neshledal.
        V případě zájmu o podrobnější vysvětlení mě neváhejte kontaktovat, případně se můžeme domluvitna osobní schůzce.
        Děkuji za pochopení

        Jan Kriegel
        Ředitel zákaznické podpory Heureka

  4. Vypadá to, že radší opustím heureku, jelikož lidi zatrhávát checkbox nebudou a dělat jak to je napsáno tady a v případě průšvihu dostat pokutu nehodlám.

    PS: Heureka se asi vyjadřovát nehodlá…

    1. Ale zaškrtávají. Já to mám 4 roky. I když je ten podíl volby z 10 objednávek ANO/NE je 2/8.
      Jen si musíte uvědomit, že třeba takové bidování položek je pouhým výstřelem do tmy, protože nemáte žádná relevantní data.

  5. Dle eLegal (http://www.e-legal.cz) je e-mailova adresa osobni udaj a v pripade, ze ji predavate dal, musite informovat predem zakaznika – viz. reseni checkbox a Seznam.cz. Heureka jede v tomto delsi dobu na hranu zakona. GDPR to ted zacina penalizovat a to ne pro Heureku, ale pro e-shopy, tak bacha na to. Pokutu dostane e-shop, ne Heureka.

    1. Dobrý den,

      e-mail je osobním údajem a jeho předání je možné bez souhlasu subjektu údajů pouze z důvodů stanovených zákonem a nařízením GDPR a právě na těchto důvodech je postaven program OZ. Viz právní východisko programu OZ, které jsem již komunikovali:
      § 7 odst. 3 zákona o některých službách informační společnosti (dále jen „Zákon“), ze kterého vyplývá že pokud fyzická nebo právnická osoba (obchodník) získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu při sběru údajů i při zasílání každé jednotlivé zprávy.
      S účinností obecného nařízení EU 2016/679 ze dne 27. dubna 2016, o ochraně osobních (dále jen „GDPR“) se tato možnost nijak nemění – takové zpracování bude v souladu s recitálem 47 a čl. 6 odst. 1 písm. f) oprávněným zájmem obchodníka a není pro něj dle GDPR potřeba souhlas.
      Z tohoto důvodu stačí mít jasnou informaci v OP obchodníka, kterou Heureka doporučuje a dát zákazníkovi možnost odmítnou zaslání dotazníku při každém nákupu.

      Jan Kriegel
      Ředitel zákaznické podpory Heureka

      1. Dobrý den,
        zdali jsem pochopil správně informace o GDPR, pak mi není jasná Vaše argumentace a k tomu bych rád přidal body navíc.

        1. Neustále zde citujete informaci: „…získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu…“.

        Z mémo pohledu se ale nejedná o správný výklad. Tento odstavec chápu tak, že mu mohu odeslat zpravodaj, nebo tištěný leták na produkty související se zakoupeným zbožím (e-legal vysvětlovat – klient si koupí hrníček a já mu tedy nemohu poslat zpravodaj na lyže), ale nemohu předat informace třetí straně a ta mu nemůže poslat jakékoli emaily.

        2. Předání osobních údajů (email, zakoupený produkt, datum a čas uskutečněné objednávky, a bůhví co ještě si heureka schraňuje a používá aniž bychom to věděli – viz facebook) formou strojového zápisu je „zpracování osobních údajů“ a tím spadá do GDPR nikoli jako oprávněný zájem, ale formou souhlasu.

        3. Z Vašeho textu vyplývá, že se chcete alibisticky vyhnout (tak jako seznam.cz, google, apod.) sepisování alespoň zpracovatelských smluv (je otázkou, zda by neměly být smlouvy společných správců) a nahradit pouze všeobecnými podmínkami.

        4. Kde se dočteme informace, jakým způsobem data zpracováváte, jak jsou chráněna proti zneužití apod.? Což dle školení e-legal bychom měli a při výběru partnerů my zodpovídáme za to, že data nebudou zneužita.

      2. Dobrý den,

        ad 1) Posouzení programu OZ a jeho soulad s příslušnými právními předpisy, a to vč. příslušných ustanovení zákona o některých službách informační společnosti bylo předmětem kontroly ze strany ÚOOÚ, který nenašel na tomto postupu žádná pochybení. Náš výklad tedy považujeme za správný. Dotazník OZ je formálně zasílán příslušným prodávajícím, Heureka pouze tuto službu zajišťuje. Z hlediska GDPR je právem každého správce zvolit si zpracovatele.

        ad2) Předání e-mailové adresy za účelem zapojení do programu OZ je dáno oprávněným zájmem prodávajícího na zpětné vazbě týkající se kvality poskytnutých služeb od kupujícího.

        ad3) Zakomponování zpracovatelských doložek do OP není v rozporu s žádnou právní regulací, nikde není dána povinnost upravit oblast zpracování osobních údajů zvláštní smlouvou, jejímž předmětem bude výlučně úprava oblasti zpracování osobních údajů.

        ad4) Toto se dočtete v podmínkách ochrany osobních údajů na portálu Heureka, které budou účinné od 25.5.2018. Aktuálně platný dokument je dostupný zde https://www.heureka.cz/direct/dokumenty/ochrana-soukromi-na-portalu-heureka-cz.pdf
        https://www.heurekashopping.cz/pro-obchodni-partnery/podminky-pouzivani

        Jan Kriegel
        Ředitel zákaznické podpory Heureka

    2. Pokud vám heureka.cz potvrdí, že osobní údaje zpracovává v souladu s GDPR a vy dostanete pokutu z důvodu jejího pochybění, tak můžete tuto pokutu vymáhat po Heurece a měl by jste tento spor vyhrát.

      1. To bych opravdu riskovat nechtěl – riskovat jak peníze, tak čas a tahanice po soudech…Nevím jestli to někomu stojí za to.

  6. Pokud budu mít při dokončení objednávky povinnost aby zákazník musel označit ANO/NE pro dotazník je to v rozporu nebo je to v pořádku s pravidly Heureka.cz?

  7. Pane Kriegele, po přečtení celé diskuze je moje otázka jednoduchá: v případě, že se e-shop bude držet vašeho výkladu (tedy nebude pro předání e-mailu pro OZ vyžadovat aktivní souhlas zákazníka, ale bude o tom jen informovat někde v OP), garantujete zaplacení veškerých případných pokut pro e-shopy ze strany kontrolních orgánů v souvislosti s tímo vaším výkladem, a to až do výše 20 000 000 EUR, resp. do výše 4 % celosvětového obratu e-shopu, pokud za to bude sankcionován? Těším se na vaši odpověď. Děkuji.

  8. Dobrý den,

    jak se bude Heureka stavět k eshopům, které budou před odesláním objednávky vyžadovat od zákazníka souhlas s předáním osobních údajů Heurece?

    Děkuji

  9. Dobrý den, pane Kriegele, výklad našeho právního zástupce je shodný jako jeden z výše uvedených příspěvků. Pokud budete odesílat dotazník spokojenosti, tak je nutné předem zaškrtnout checkbox. Není možné toto zahrnout do jednoho checkboxu obsahujícího odkaz na Obchodní podmínky. Mimo jiné by to také znamenalo ztrátu zákazníka, který sice souhlasí se zpracováním údajů nutných pro uzavření kupní smlouvy, ale nesouhlasí s předáváním dat třetí straně, která přímo nesouvisí s kupní smlouvu (není například přepravní firmou). A můj dotaz tedy zní: Pokud bude obchod respektovat právní výklad s checkboxem, tak ztratí Ověřeno zákazníky ? Děkuji

    1. Pokud by tady existovala nutnost zaškrtávání checkboxu pro předání dat Heurece, musel by existovat i checkbox pro předání dat Zbozi.cz, PPL, ČP, Zásilkovna, …..
      A zákazník by si mohl zvolit, jaký checkbox zaškrtne a jaký ne 🙂

      1. Předaní oú přepravci není nutný souhlas nebo je zapotřebí k vyřízení objednávky nebo smlouvy, kterou si zákazník sám přeje.

  10. Dobrý den.

    Pokud se na to podívám z čistě laického pohledu, tak GDPR je přece o tom, že nemůžu po zákazníkovi požadovat něco, co není nutně potřeba pro vyřízení jeho objednávky. Např. v obchodních podmínkách nemohu mít zakomponováno, že při odeslání objednávky automaticky zákazník souhlasí se zasíláním newsletterů.

    Protože k vyřízení objednávky není nutně potřeba služba od Heureky, tak je dle mého názoru nutný výslovný souhlas od zákazníka., tj. speciální checkbox v objednávkovém procesu, který zákazník může (ale taky nemusí) zaškrtnout.

    Ivan

  11. Dobrý den,

    Vynechám neplodnou diskuzi o předání a spíše mě zajímají následné kroky.
    1) Bude někde vysvětleno v jaké podobě a kde udaje zpracováváte.
    2) Co se s nimi děje po několika letech.
    3) Zda umožníte výmaz/anonymizaci v případě požadavku na právo být zapomenut.
    4) Pak ještě zákazník může požadovat report o tom co jsme o něm zpracovali. Budete mít nějaký report pro tento případ?

  12. „OCHRANA SOUKROMÍ NA PORTÁLU HEUREKA.CZ
    3. Zasílání obchodních sdělení
    3.2. Nad rámec zasílání obchodních sdělení dle výše uvedeného odstavce berou Uživatelé na
    vědomí, že Obchodníci zařazení do programu Ověřeno zákazníky jsou ve smyslu § 7 odst. 3
    zák. o některých službách informační společnosti oprávněni Uživatelům po provedení
    nákupu zasílat dotazníky spokojenosti s provedeným nákupem, vygenerované pro
    Obchodníky Provozovatelem. Odesílatelem těchto e-mailů je vždy Obchodník. “

    Ještě jednou: „Odesílatelem těchto e-mailů je vždy Obchodník.“ Chápete to se všemi důsledky, milí obchodníci?

    1. Správná poznámka – z pohledu zákazníka je odesilatelem vždy obchodník (e-shop). Pak by tedy check box pro udělení souhlasu se zasláním dotazníku měl být na stránce e-shopu (pro každou podobnou službu?). Jak se bude Heureka stavět k e-shopům, které z důvodu neudělení souhlasu ze strany zákazníka nebudou mít hodnocení od zákazníků?

  13. Jestli se toto dořeší do důsledku, tak to Heuréka může zabalit. Už teď se lidem nechce vyplňovat dotazníky. Když jim ještě dám k zatržení checkbox, můžu se s certifikátem Ověřeno zákazníky rozloučit.
    Je smutné, že papaláši v Bruselu vždycky vymyslí něco, co je jen dalším klackem pod nohy. Ochrana soukromí je v tomto případě těžce předimenzovaná, zatímco možnost zjistit, jak je na tom se slušností a poctivostí obchod u kterého nakupuju, půjde do háje. Takže sice budeme všichni krásně anonymní, ale taky třeba nakoupíme od eshopu, který nám místo zboží pošle cihlu, ale co už…
    Ať žije Brusel!
    PS: A kdo bude řešit, že PC s WIN 10 odesílají všechny údaje co naťukám do klávesnice, všechny soubory, fotky a další na americké servery? To už asi EU nezajímá 😀

  14. Jakékoli předání osobního údaje (= též e-mail i nákup samotný) třetí straně MUSÍ být odsouhlaseno zákazníkem e-shopu jednotlivě, informovaně, a evidováno na straně e-shopu (dal souhlas tohoto znění tehdy a tehdy). Jakýkoli výklad smrdí průšvihem, ale pro samotný e-shop, ne Heureku.

Zanechat Odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

w

Připojování k %s