Novinky z Úřadu pro ochranu osobních údajů v kostce

Od zavedení GDPR uběhlo už čtvrt roku, a tak vám přinášíme krátkou aktualizaci. Během této doby provedl Úřad pro ochranu osobních údajů několik kontrol a vydal několik prohlášení. Potvrdil mimo jiné to, že při využití programu Ověřeno zákazníky jsou e-shopy  v postavení správců osobních údajů a Heureka je jejich zpracovatelem a že princip opt-out je zcela v souladu s nařízením GDPR. Více podrobností a detailů najdete v našem nejnovějším článku.

V průběhu srpna zveřejnil ÚOOU přehled uzavřených kontrol v prvním pololetí letošního roku. Jedna z uskutečněných kontrol se zabývala také tím, jak v rámci programu Ověřeno zákazníky nakládáme s osobními údaji a jestli nám osobní údaje ze strany e-shopu mohou být předány. Výsledkem kontroly je potvrzení, že e-shopy jsou v postavení správců osobních údajů. Samy e-shopy si totiž určily účel zpracování těchto údajů. Daným účelem je hodnocení kvality služeb. ÚOOU nezjistil porušení zákona a potvrdil soulad nastavení programu Ověřeno zákazníky se Zákonem o ochraně osobních údajů.  Podrobné výsledky všech kontrol jsou dostupné na stránkách UOOU.

Další informace zveřejněná Úřadem pro ochranu osobních údajů v uplynulém čtvrtletí se týkala přímého elektronického marketingu. Jedná se o vyjádření k zasílání obchodních sdělení e-shopů, do čehož spadají dotazníky spokojenosti. E-shop může osobní údaje zákazníka zpracovávat a na jejich základě dotazník spokojenosti i obchodní sdělení zasílat. Je potřeba mít informaci o předávání emailových adres uvedenou ve svých obchodních podmínkách. Podmínkou je zasílat sdělení zákazníkovi, který v e-shopu opravdu objednal. Další podmínkou je možnost zaslání obchodního sdělení odmítnout před jeho odesláním a také kdykoliv přímo v obchodním sdělení. Obě tyto podmínky princip opt-out splňuje. Celé znění tohoto vyjádření se dočtete zde.

V neposlední řadě zpracoval úřad také obsáhlejší materiál s návodem a základními informacemi pro e-shopy. Mimo jiného se zde uvádí, že e-shopy nepotřebují souhlas se zpracováním osobních údajů svých zákazníků, pokud osobní údaje zpracovává pro účely vyřízení objednávky a pro účely přímého marketingu. Je však důležité dodržet veškerá pravidla pro zpracování těchto údajů. Dočtete se zde o správném nakládání s osobními údaji nebo o vysvětlení zasílání obchodních sdělení ze strany e-shopů. Celý dokument si můžete prostudovat zde.

18 komentářů: „Novinky z Úřadu pro ochranu osobních údajů v kostce“

  1. Dobrý den,

    prošel jsem si všechny Vámi uvedené odkazy na web ÚOOÚ a nikde jsem nenarazil na vyjádření, že OPT-OUT je v souvislosti se zasíláním dotazníku služby Ověřeno zákazníky v souladu s GDPR. Na stránce je uvedeno pouze, že bylo prošetřeno zasílání těchto dotazníků, ale o způsobu získání souhlasu se tam nepíše. Prosím tedy o odkaz na takové vyjádření.

    Shodou náhod jsme zrovna dnes upravovali znění souhlasu se zasíláním v našem košíku na „atraktivnější“ verzi, jelikož máme aplikován princip OPT-IN a tento týden jsme po letech spadli ze zlatého do modrého odznaku vlivem nedostatku hodnocení za poslední 3 měsíce, tedy od zavedení OPT-IN kvůli GDPR.

    Variantu OPT-OUT uvítáme, ale naše právní podpora (v rámci řešení GDPR, několik nezávislých právních agentur) považovala tento princip v souvislosti se zasíláním dotazníků spokojenosti za nepřijatelný. Stejně tak se k tomu vyjádřila i podpora Seznamu, v rámci zasílání dotazníků pro portál Zboží.

    Zatím jsem informaci, že OPT-OUT je souvislosti se zasíláním dotazníků v souladu s GDPR četl pouze na Heuréce a nikdy jsem k tomuto tvrzení nenašel podklady.

      1. Dobrý den, Radku,

        zde se jasně o principu OPT-OUT v souvislosti s přímým eletronickým marketingem několikrát píše:
        https://www.uoou.cz/gdpr-a-nbsp-primy-elektronicky-marketing/d-30715
        …Zájem obchodníka převažující v tomto případě nad zájmem zákazníka je přitom korigován dalšími povinnostmi obchodníka jako správce osobních údajů. Správce musí splnit informační povinnost stanovenou v článku 13 obecného nařízení, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 obecného nařízení proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů tuto námitku vznese, nesmějí již být osobní údaje pro tento účel zpracovány (jde tedy o tzv. princip opt-out).

        Na zasílání obchodních sdělení vůči zákazníkům se uplatní § 7 odst. 3 zákona č. 480/2004 Sb., kdy obchodní sdělení lze zákazníkům zaslat bez jejich předchozího souhlasu (princip opt-out), ovšem zákazník musí mít možnost toto zasílání odmítnout před odesláním takového obchodního sdělení (např. obchodník umožní zákazníkovi v rámci obchodních podmínek či při finálním potvrzení objednávky, aby zaškrtl políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána). Pokud zákazník toto dopředu neodmítne, tak tato možnost musí být dána v každém dalším odeslaném obchodním sdělení.

        Děkuji za pochopení,
        JK

      1. Dobrý den,

        UOOU ani v jednom z uvedených případů neříká, že jediné správné z pohledu GDPR je OPT-IN.
        Naopak jasně uvádí případy (přímý elektronický marketing), kdy je naprosto dostačující a správné, dát zákazníkovi možnost sdělení dopředu odmítnout, což je přesně princip OPT-OUT a služba Ověřeno zákazníky. Nejde o to, co „tvrdí Heureka“, ale co je z pohledu zákona v pořádku. Stačí si výroky UOOU přečíst.

        Děkuji za pochopení,
        Jan Kriegel

  2. Dobrý den, Radku,

    zde se jasně o principu OPT-OUT v souvislosti s přímým eletronickým marketingem několikrát píše:
    https://www.uoou.cz/gdpr-a-nbsp-primy-elektronicky-marketing/d-30715
    …Zájem obchodníka převažující v tomto případě nad zájmem zákazníka je přitom korigován dalšími povinnostmi obchodníka jako správce osobních údajů. Správce musí splnit informační povinnost stanovenou v článku 13 obecného nařízení, jejíž součástí musí být též informace o právu subjektu údajů vznést námitku dle čl. 21 odst. 2 obecného nařízení proti zpracování osobních údajů pro účely přímého marketingu. Pokud subjekt údajů tuto námitku vznese, nesmějí již být osobní údaje pro tento účel zpracovány (jde tedy o tzv. princip opt-out).

    Na zasílání obchodních sdělení vůči zákazníkům se uplatní § 7 odst. 3 zákona č. 480/2004 Sb., kdy obchodní sdělení lze zákazníkům zaslat bez jejich předchozího souhlasu (princip opt-out), ovšem zákazník musí mít možnost toto zasílání odmítnout před odesláním takového obchodního sdělení (např. obchodník umožní zákazníkovi v rámci obchodních podmínek či při finálním potvrzení objednávky, aby zaškrtl políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána). Pokud zákazník toto dopředu neodmítne, tak tato možnost musí být dána v každém dalším odeslaném obchodním sdělení.

    Děkuji za pochopení,
    JK

    1. Nevím proč, ale na žádný další Váš příspěvek nelze odpovědět. Každopádně mi připadá, že srovnáváte jablka a hrušky.

      1. Pane Řeháku,

        nevím, proč vám přijde, že srovnáváme jablka a hrušky.

        Velmi zjednodušeně a ve zkratce, UOOU jasně potvrzuje, že v případě přímého elektronického marketingu (zasílání obchodních sdělení, dotazníky na zpětnou vazbu, …) není potřeba sbírat souhlasy, ale na základě oprávněného zájmu a v případě splnění uvedených požadavků (opt-out a možnost odmítnout zaslání, informování zákazníka v OP) je v pořádku taková sdělení zasílat. Není potřeba, aby se zákazník musel aktivně k zaslání přihlásit (opt-in).

        V další uvedené správě úřad potvrzuje, že na základě nového přezkoumání nezjistil v případě služby Ověřeno zákazníky porušení zákona. Tedy nastavení fungování služby je v pořádku.

        Jestli vám nejde reagovat, můžete napsat přímo na jan.kriegel@heureka.cz.

        Děkuji

      2. Obchodní sdělení eshopu nemá nic společného s předáním osobních údajů třetí straně, proto jablka a hrušky.

        Citace ÚOOÚ:
        „e-shop předává e-mailovou adresu subjektu, který za ně dotazníky spokojenosti rozešle – zde tedy dochází kromě rozeslání těch dotazníků také ke zpracování e-mailové adresy nějakým rozesílacím subjektem. S tím však musí zákazník e-shopu souhlasit při tom nákupu. Tzn. zde musí být jednoznačný projev vůle založený na principu opt-in, tedy udělení souhlasu k předání e-mailové adresy za účelem rozeslání dotazníku spokojenosti.“

        zdroj: https://www.podnikatel.cz/clanky/heureka-se-podle-odborniku-snazi-obejit-gdpr-e-shopum-navic-dala-nuz-na-krk/

  3. Dobrý den,
    takže do OP dám Váš text „Vaši spokojenost s nákupem zjišťujeme prostřednictvím e-mailových dotazníků v rámci programu Ověřeno zákazníky, do něhož je náš e-shop zapojen. Ty vám zasíláme pokaždé, když u nás nakoupíte, pokud ve smyslu § 7 odst. 3 zákona č. 480/2004 Sb. o některých službách informační společnosti jejich zasílání neodmítnete. Zpracování osobních údajů pro účely zaslání dotazníků v rámci programu Ověřeno zákazníky provádíme na základě našeho oprávněného zájmu, který spočívá ve zjišťování vaší spokojenosti s nákupem u nás. Pro zasílání dotazníků, vyhodnocování vaší zpětné vazby a analýz našeho tržního postavení využíváme zpracovatele, kterým je provozovatel portálu Heureka.cz; tomu pro tyto účely můžeme předávat informace o zakoupeném zboží a vaši e-mailovou adresu. Vaše osobní údaje nejsou při zasílání e-mailových dotazníků předány žádné třetí straně pro její vlastní účely. Proti zasílání e-mailových dotazníků v rámci programu Ověřeno zákazníky můžete kdykoli vyjádřit námitku odmítnutím dalších dotazníků pomocí odkazu v e-mailu s dotazníkem. V případě vaší námitky vám dotazník nebudeme dále zasílat.“.

    A k tomu ještě opt-out před odeslání objednávky?

    Tomáš

    1. Dobrý den, Tomáši,

      ano, je to tak.
      Co se týká přesné formy a znění checkboxu, to jsme již komunikovali na předchozích blozích, ale budeme velmi brzy vydávat updatované doporučení. Na základě aktuální sesbírané zpětné vazby víme, jaká forma (umístění a vzhled) a textace, má nejlepší vliv na návratnost dotazníků.

      Děkuji za pochopení.

  4. Pane Kriegel, pochopte už konečně, že vy nejste tím obchodníkem, kdo za určitých podmínek smí svému přímému zákazníkovi pomocí OPT-OUTu vnutit informaci o nové verzi již zakoupeného produktu apod., jak zde citujete z přímého marketingu. Vy jste vzhledem k mému e-shopu třetí strana, které mohu předat údaje (e-mail zákazníka apod.) pouze a výhradně přes OPT-IN souhlas. Jiná cesta předání osobníh údajů třetí straně prostě NENÍ!

    1. * oprava „osobních“.
      A dodatek: Kdyby si ty maily přímo rozesílal provozovatel e-shopu, to by byla jiná a tam bychom mohli diskutovat o OPT-IN/OPT-OUT. Ale jakmile je na scéně třetí subjekt, přes to vlak prostě nejede.

    2. Dobrý den,

      ještě tedy jednou. Předání e-mailové adresy se děje právě v rámci vztahu správce zpracovatel. Správce pro předání osobního údaje zpracovateli nepotřebuje souhlas subjektu údajů. Skutečnost, že Heureka je zpracovatel, potvrdil UOOU v závěrech z provedené kontroly, na kterou zde odkazujeme. Váš soukromý výklad je tedy zcela špatný. Na to již není co jiného napsat.

      ÚOOU provedl kompletní šetření souladu programu Ověřeno zákazníky s právními předpisy. Problematiku opt-in a opt-out při zasílání obchodních sdělení řeší zákon o některých službách informační společnosti, který výslovně uvádí možnost zasílat obchodní sdělení všem uživatelům, kteří na daném e-shopu provedli objednávku aniž by byl vyžadován předchozí souhlas (opt-in) se zasláním ze strany tohoto uživatele. Uživatel však musí mít možnost vždy před dokončením objednávky odmítnout zaslání obchodního sdělení (opt-out) Toto stanovisko zastává také UOOU https://www.uoou.cz/gdpr-a-nbsp-primy-elektronicky-marketing/d-30715

      1. 1) nedává mi moc smysl, proč se ÚOOÚ odkazuje na zákon 101/2000 Sb. v platném znění, když ho nadřazené nařízení GDPR novelizuje. O GDPR ovšem není v článku o kontrole ani slovo.
        2) zpracovatel osobních údajů je někdo, kdo dodává službu správci osobních údajů nad předem definovanými osobními údaji na základě smlouvy, ALE! Sám nesmí osobní údaje jakkoli zpracovávat, využívat, monetizovat pro své vlastní účely. Tím se rozumí „zpracuj, odevzdej a zapomeň“! Pokud ovšem jakkoli těžíte názory zákazníků na e-shopy pro svůj vlastní projekt Heureka, nejste zpracovatel, a správce. I když si nakrásně anonymizujete všechna data, už to neděláte pro zákazníka jako zpracovatel, ale jako správce pro svůj server Heureka.

        Kdo má nebo nemá špatný výklad, to nechávám na právnících. Názor většiny, co mi za poslední rok prošel rukama, je jasný – pouze OPT-IN, protože Heureka JE správce. Ti opatrnější navíc OPT-OUT zavrhují všeobecně jako v rozporu s filozofií GDPR, ale to je už právnická chiméra, se kterou tu polemizovat nehodlám.

  5. Presne jak pise Rike,
    Heureka je spravce a nevykeca se z toho.
    Z toho co pise Rike mam pocit, jak kdyby ta kontrola mela uz dopredu jasny vysledek.
    Je potreba se divat na nadrazeny celek a z ceho vznikla pravidla – tedy EU,
    at si Heureka necha zpracovat analyzu od EU, ne od UOOU.
    Myslim, ze by to melo vsechny zajimat, protoze vetsina e-shoparu se tlaci s prodejem do EU a neomezuje se pouze na cesky trh.

    EU chce vzdy OPT-IN a to je smysl cele legislativy GDPR.

    Matej

  6. Dobrý den,
    stále nechápu, jaký úkol i kdyby v „přímém marketingu“ vašeho dotazníku má za cíl hodnotit kvalitu dopravy, tedy i průzkum kterých dopravců eshop využívá. Je to hodnocení 3 stran … Kdy to konečně z dotazníku vyloučíte, eshopům to není přínosem.
    Děkuji
    Roman

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s