Podle stanoviska Úřadu pro ochranu osobních údajů je princip opt-out v souladu s GDPR

Rádi bychom s vámi sdíleli stanovisko Úřadu pro ochranu osobních údajů které shledává, že princip opt-out je v souladu s nařízením GDPR.
 
„Informaci o stanovisku ÚOOU budeme rozesílat také na všechny naše partnery. V tuto chvíli se snažíme především informovat a proškolovat e-shopy o tom, že je tento postup zcela správný a v souladu s evropským nařízením. V první fázi kontroly budeme e-shopy upozorňovat, komunikovat s nimi a celý proces jim vysvětlovat,“ říká Jan Kriegel, ředitel zákaznického centra a podpory pro e-shopy nákupního rádce Heureka.

Naší snahou, stejně jako všech e-shopů zapojených do služby Ověřeno zákazníky, je zachovat co možná největší návratnost dotazníků. Hodnocení a recenze zákazníků prostřednictvím nezávislé služby Ověřeno zákazníky jsou zdrojem důležité zpětné vazby pro e-shopy, na základě které mohou zlepšovat své služby. Cílem sběru hodnocení je zároveň umožnit zákazníkům rozhodnout se o nákupu na základě zkušeností, které sdílejí ostatní nakupující. Právě názor ostatních je pro zákazníky při výběru e-shopu důležitý.

Celé znění stanoviska Úřadu pro ochranu osobních údajů naleznete na tomto odkazu a pokud máte jakýkoliv dotaz, neváhejte nám napsat.

11 komentářů: „Podle stanoviska Úřadu pro ochranu osobních údajů je princip opt-out v souladu s GDPR“

  1. Dobrý den,

    vámi odkazované stanovisko ÚOOÚ se zjednodušeně řečeno týče pouze zajištění rozesílky newletterů – marketingových kampaní přímo obchodem. ÚOOÚ však vadí to, že se v rámci služby Heureka Ověřeno zákazníky odesílají data jinému zpracovateli/správci.

    ÚOOÚ na přímý dotaz uvádí tuto reakci:
    „Předání osobních údajů heuréka.cz je založeno na souhlasu subjektu údajů, tedy zákazníka. Souhlas je definovaný dle čl. 6 GDPR jako svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Po obsahové stránce musí souhlas splňovat určitá kritéria, jako: – totožnost správce, případně správců, nebo společných správců,
    – účel zpracování,
    – rozsah zpracovaných údajů,
    – informace o právu subjektu odvolat souhlas
    Správný postup je že, souhlas se uděluje aktivním jednáním subjektu údajů, tedy subjekt údajů za účelem předání ohodnocení e-shopu má mít možnost vyjádřit souhlas zaškrtnutím políčka pro předání osobních údajů. To vše bez omezení možnosti objednat zboží.“

    1. plně sdílíme názor na to, že postup heureky je v tomto případě nesprávný a nefér vůči eshopům, hlavně v případě, že jakékoliv riziko nese eshop, nikoliv heureka. Samotný postup heureky jde podle nás proti smyslu GDPR, a proto jsme se rozhodli o plně informovanou verzi opt-in souhlasu v případě našeho e-shopu. Pokud nás bude heureka za toto penalizovat, jsme ochotni to nést, protože férové chování vůči našim zákazníkům a dodržování nařízení o GDPR mají přednost. Máme 100 % hodnocení a naši zákazníci to rádi sdělí, ale pokud nás heureka odpojí, tak si naši zákazníci najdou jiné cesty.

      Nejlepší je, že pokud má e-shop nastaveno více hodnotících systémů a každý s jiným systémem (opt-in, opt-out), tak zákazník buď nezaškrtne nic, nebo všechny, protože nečte a nerozumí tomu. Penalizováni jsou všichni. Cílem by mělo být, aby byl jednotný a transparentní postup v rámci ČR, který nenutí e-shopy do něčeho, co je na hraně nařízení gdpr a za rok se výkladem může změnit. Měli bychom se všichni soustředit a zákazníky vzdělat jednotně, od začátku. A né si nacházet obezličky a české cestičky, jak všechno očůrat. Stejně se to nevyplatí.

      Snad se najde v heurece dost zdravého rozumu, aby své postoje přehodnotila.

    2. Dobrý den, Jarmile,
      s tvrzením, že ÚOOÚ vadí předávání osobních údajů Heurece v rámci programu ověřeno zákazníky nelze souhlasit. Na základě protokolu o kontrole ze dne 21. března 2018, č. j. UOOU-03160/17-41 Úřad pro ochranu osobních údajů výslovně uvádí, že:
      „provozovatelé jednotlivých e-shopů (jsou) v postavení správců osobních údajů, jelikož určili účel a prostředky zpracování osobních údajů. Účelem zpracování je hodnocení kvality služeb poskytovaných správcem. Pro naplnění tohoto účelu stanovil správce prostředky zpracování, kterými je služba „Ověřeno zákazníky“. Tuto službu poskytuje pro jednotlivé e-shopy kontrolovaný. Mezi e-shopy a společností Heureka Shopping, s.r.o. (provozovatelem portálu Heureka) jsou uzavírány smlouvy o spolupráci při poskytování služby „Ověřeno zákazníky“. Kontrolovaný je tak v souvislosti s poskytováním služby „Ověřeno zákazníky“ v postavení zpracovatele osobních údajů.“

      Děkuji za pochopení,
      Jan Kriegel

      1. Pane Kriegel uvědomujete si že se jedná o protokol o kontrole z 21.03.2018

        Tedy před platností GDPR?

        Tedy ano 21.03.2018 byl postup Heureky v souladu se zákonem o zpracování osobních údajů a prošel kontrolou ÚOOÚ.

        Ale od 25.05.2018 kdy platí GDPR již ne

        Upřímně se děsím toho že takto argumentující společnost zpracovává data

      2. Dobrý den, Karle,
        tento protokol je platný i nadále, protože principy postavení správce a zpracovatele se s GDPR neměnily.
        Přibyly určité povinnosti, ale skutečnost, že pro předání osobních údajů zpracovateli ze strany správce není třeba souhlas subjektů údajů, platí stále.

        Děkuji za pochopení,
        Jan Kriegel

  2. Výše uvedený odkaz na vyjádření UOOU se týká pouze newsletterů, nikoliv služby ověřeno zákazníky. Na to upozorňoval pan Jarmil. Pane Kriegele, vy sám zde potvrzujete, že jste zpracovatelem. Dle citátu z kontrolního hlášení vůbec nevyplývá, že ověřeno zákazníky může mít opt-out souhlas, tedy aspoň z citátu, který zde zmiňujete. A stejně odkaz výše. Jedná se pouze o informaci, že jste zpracovatel údajů, o čemž není pochyb a asi nikdo ho nikdy nezpochybnil. Dle Vašeho citátu jste ve stejné dikci jako ostatní zpracovatelé, tedy zákazník musí aktivně potvrdit, že správce může os. údaje předat. Nikoliv obráceně v rámci oprávněného zájmu.

    1. Dobrý den,

      dovolím si nesouhlasit s Vaším tvrzením, že o pozici Heureky v problematice předávání údajů nikdo nezpochybnil její názor, že jest pouze „Zpracovatelem“.

      Náš právní výklad v rámci společnosti je takový, že Heureka jedná z pozice správce údajů. Pokud by byla jen „Zpracovatelem“, bylo by přeci jen na nás určit, jak s předaným osobním údajem zákazníka může naložit.

      Pokud bude stanovisko ÚOOÚ k této otázce (zatím nebylo publikováno) takové, že společnost Heureka je skutečně pouhým „Zpracovatelem“ a tudíž lze aplikovat oprávněný zájem nebo jiný právní titul (např. stejný, jako pro transakční e-maily), bude logickým krokem každého e-shopu určit si, jak s předaným údajem může Heureka zacházet.

      Když to převedu do absurdna, e-shop by si mohl určit na koho bude Heureka dotazníky zasílat, jak budou dotazníky vypadat, co budou obsahovat, co se má stát s předaným údajem po odeslání dotazníku (např. požadavek ihned smazat), jak to bude s publikováním hodnocení (např. e-shop určí nezobrazovat na Heurece komentáře zákazníků, ale jen vypočtené „skóre“).

      Tak či onak to ovšem nic nemění na tom, že jsme přesvědčeni, že odesílání dotazníků Heureka je možné pouze na základě aktivního souhlasu zákazníka prostřednictvím ne-před-zaškrtnutého checboxu.

      Přeji příjemný den.

      Vašek

  3. Dobrý den,

    konzultoval jsem tuto problematiku přímo s ÚOOÚ a bylo mi potvrzeno, že stanovisko z 1.6. se netýká Heureky a programu OZ, ale pouze vztahu eshop-zákazník. Ptal jsem se specificky na Heureku – pro ujasnění.

    Tzn. pokud by eshop zasílal svým zákazníkům dotazník spokojenosti, stačí opt-out. Pokud ale eshop předává email třetí straně (Heureka) a ta zasílá daný dotazník, stanovisko se na to nevztahuje.

    Budete tedy eshopy tlačit do pozice, kdy jim budou hrozit likvidační pokuty?

  4. Dobrý den,
    také jsem toto konzultoval přímo s ÚOOÚ po telefonu.

    Pán na přímé lince pro rychlé konzultace k GDPR mi řekl, že předání mailu Heurece za účelem odeslání dotazníku je oprávněným zájmem obchodníka – musí o tom ale uživatele řádně informovat a umožnit mu, aby proti tomuto předání mohl vznést námitku. Tím tedy potvrdil to, co říká Heureka.

    Hovor jsem si samozřejmě nenahrával a písemně to také nemám, takže kdyby došlo na lámání chleba, nemám se o co opřít. Ale toto řešení mi připadá jako rozumné pro vyhovění GDPR a zároveň pro udržení služby Ověřeno zákazníky, a proto se ho budu držet.

    Samozřejmě, kdyby ÚOOÚ vydal oficiální stanovisko přímo k těmto specifickým případům, všem by nám to ušetřilo čas strávený hledáním informací, které jsou často polovičaté a s různou mírou důvěryhodnosti. Nevím ale, zda je toto v silách úřadu.

  5. Dobrý den,

    máme implementován právně „save mód“ na zasílání e-mailů srovnávačům formou opt-in. Chtěl bych se podělit o číslo, že zhruba 40% zákazníků si nechá zaslat dotazník a navíc na tuto službu aktivně upozorníte => je větší konverze vyplnění.

    Pokud to tedy uděláte z pohledu UX dobře (určitě i my máme rezervy) není důvod se bát o množství vyplněných dotazníků

    1. Dobrý den, Jirko,

      děkujeme za Vaši zkušenost.
      Můžete mi prozradit, jaké jsou vaše stránky, abychom se podívali na vaše UX provedení?
      Naše A/B testování opt-in vs opt-out dopadlo dost jinak. Můžete mi poslat více informací na jan.kriegel@heureka.cz?

      Předem děkuji za spolupráci
      Jan Kriegel

Zanechat Odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

w

Připojování k %s