Máte v objednávkovém formuláři na svém e-shopu nebo v aplikaci sdělení „souhlasím s obchodními podmínkami a zpracováním osobních údajů“? Možná netušíte, že tím porušujete GDPR. V tomto článku se dozvíte, proč obecný souhlas nepoužívat a jak si texty ve formuláři nastavit správně.
Zpracování osobních údajů je dle GDPR potřeba založit na jednom z těchto šesti důvodů:
- na souhlasu,
- nezbytnosti plnit smlouvu,
- nezbytnosti plnit právní povinnosti (většinou stanovené právními předpisy),
- nezbytnosti chránit životně důležité zájmy člověka,
- nezbytnosti splnit úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, nebo
- nezbytnosti pro účely oprávněných zájmů správce či třetí osoby, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody člověka vyžadující ochranu osobních údajů.
U provozu e-shopu nebo webové aplikace budete zpravidla údaje zákazníka potřebovat proto, že potřebujete splnit smlouvu, kterou se zákazníkem uzavřete (ad 2), dodržet zákonné povinnosti (ad 3) a chránit své zájmy (ad 6).
Proč nepožadovat od zákazníků souhlas se zpracováním osobních údajů?
Pokud můžete konkrétní činnost, při které nakládáte s osobními údaji, založit na jiném důvodu zpracování než na souhlasu (ad 2 až 6), má tento jiný důvod vždy přednost. Ke zpracování osobních údajů v takovém případě nesmíte vyžadovat souhlas zákazníka. Zároveň vám výběr jiného vhodného důvodu zpracování může ušetřit práci.
Představte si objednávkový formulář na koupi vysavače. Zákazník v něm vyplní své základní údaje (jméno, adresu, kontakt). Tyto údaje potřebujete hlavně proto, abyste věděli, kdo vysavač kupuje a kam ho máte dodat, tedy abyste mohli se zákazníkem uzavřít kupní smlouvu a splnit ji. Nezbytnost pro uzavření a plnění smlouvy je důvodem zpracování vymezeným v GDPR, na kterém byste vyřízení objednávky měli založit namísto souhlasu.
Výběr jiného důvodu zpracování osobních údajů než souhlasu vám navíc ušetří práci, v čem?
- GDPR klade na souhlas se zpracováním osobních údajů poměrně přísné nároky. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. To ve zkratce znamená, že zákazník musí vědět, k čemu konkrétně souhlas dává, co budete s jeho údaji dělat, a hlavně k udělení souhlasu nesmí být nucen.
- Není proto možné od zákazníka vyžadovat obecný souhlas se zpracováním osobních údajů bez určení účelu, za kterým údaje používáte. Stejně tak nesmíte udělením souhlasu se zpracováním osobních údajů podmiňovat prodej zboží či poskytnutí služby. Navíc souhlas je kdykoliv odvolatelný. Takže pokud jej zákazník odvolá, musíte jeho údaje přestat zpracovávat.
- Kdybyste ve výše popsaném případě zákazníkovi prodali vysavač jen na základě jeho souhlasu se zpracováním osobních údajů, a zákazník souhlas před dodáním zboží odvolal, dostali byste se do patové situace. Zákazníkovy údaje byste totiž museli smazat, a tím pádem byste mu nemohli dodat zboží a ani byste nevěděli, komu vrátit kupní cenu.
Jak si upravit sdělení u objednávkového formuláře?
Předpokládejme, že osobní údaje, které vám zákazník vyplní v objednávce, potřebujete za následujícími účely:
- k vyřízení objednávky,
- k ochraně práv v případě sporů se zákazníkem a
- k vytvoření statistik o nákupech.
Zpracování osobních údajů za účelem vyřízení objednávky provedete proto, že takové zpracování je nezbytné pro uzavření a plnění kupní smlouvy. Za zbývajícími dvěma účely (k ochraně práv v případě sporů se zákazníkem a vytvoření statistik o nákupech) můžete osobní údaje zákazníka zpravidla použít na základě vašeho oprávněného zájmu. Pokud budete se zákazníkem řešit spor, budete mít zase oprávněný zájem na tom chránit svá práva a zájmy. Při vytváření statistik o nákupech může váš oprávněný zájem spočívat v tom, že chcete vaše služby zlepšovat a tím zpříjemnit zákazníkovi nakupování.
V objednávce vám proto stačí pouze správně informovat zákazníka o tom, jak nakládáte s jeho osobními údaji zadanými ve formuláři. To můžete udělat tak, že v rámci objednávky zákazníkovi řeknete, za jakými účely jeho údaje budete používat a ve zbytku ho odkážete na podrobnější dokument s informacemi o zpracování osobních údajů. Souhlas se zpracováním osobních údajů nepožadujte.
Sdělení u objednávkového formuláře tak může znít následně:
Kdy byste od zákazníka měli souhlas naopak získat?
V některých případech se bez souhlasu zákazníka se zpracováním osobních údajů neobejdete. Typicky pokud chcete od zákazníka sbírat citlivé údaje (např. údaje o zdravotním stavu, náboženském vyznání nebo sexualitě). Někdy také proto, že mu chcete posílat obchodní sdělení (ale i při zasílání obchodních sdělení se můžete souhlasu zákazníka často vyhnout).
Pokud potřebujete osobní údaje zpracovávat na základě souhlasu, musí být takový souhlas svobodný, konkrétní, informovaný a jednoznačný, jak jsme si popsali výše. V případě sběru citlivých údajů vám zákazník souhlas musí dát výslovně (musí vám zaškrtnout pole se souhlasem). Zároveň musíte být schopni prokázat, že vám zákazník souhlas dal (např. uložením logu o udělení souhlasu).
Jestliže zákazník souhlas odvolá, musíte se zpracováním údajů za účelem, pro který jste souhlas získali, přestat. Někdy to může znamenat, že údaje musíte smazat, jindy bude potřeba jen zastavit činnosti, pro které jste souhlas získali (např. přidat si zákazníka do black listu, abyste mu neposílali nabídky produktů vašeho obchodního partnera).
SPRÁVNĚ NASTAVENÝM TEXTEM V OBJEDNÁVKOVÉM FORMULÁŘI POVINNOSTI NEKONČÍ
Nastavili jste si informační text u objednávkového formuláře? Skvělá práce! Pamatujte ale na to, že dle GDPR musíte plnit i další povinnosti. Doporučujeme si proto zejména ověřit, zda váš dokument s podrobnějšími informacemi o zpracování osobních údajů obsahuje vše, co má, zda máte se všemi svými dodavateli a spolupracovníky uzavřeny smlouvy o zpracování osobních údajů i zda jste si správně nastavili interní pravidla pro nakládání s osobními údaji. Pokud chcete s kontrolou, přípravou GDPR dokumentace či zasíláním obchodních sdělení pomoci, kontaktujte Kristýnu Gembalovou, naši odbornici na ochranu osobních údajů a autorku tohoto článku.
Autorka: Mgr. Kristýna Gembalová