E-shopy budou muset nově poskytnout daleko přesnější informace o tom, na co osobní data svých zákazníků využívají.
E-shopy budou muset nově poskytnout daleko přesnější informace o tom, na co osobní data svých zákazníků využívají.
autor: archiv M&M

Objednáváte si třeba televizi a na stránce e-shopu rychle naklikáte souhlas se zpracováním svých osobních údajů, většinou zcela mechanicky, bez přemýšlení. O tom, co se dál děje s vašimi osobními daty, už většinou nemáte ani ponětí. A stejně tak nejspíš nevíte, kdo všechno může na vaši e-mailovou adresu, kterou jste prodejci poskytli, zasílat nevyžádané reklamy.

Podle nových pravidel evropského nařízení GDPR, které začne být účinné v květnu příštího roku, by měli mít Češi větší povědomí o tom, jak úřady či firmy s jejich osobními údaji nakládají. Změnu lidé pocítí hlavně při nakupování na internetu. Prodejci jim tam budou muset poskytnout daleko přesnější informace o tom, na co jejich data využívají.

"E-shopy už si nevystačí s obecnou formulací, podle níž budou osobní údaje jejich klientů zpracovány k marketingovým účelům. V souhlasu s jejich zpracováním musí konkrétně uvést, že budou třeba zákazníkovo chování sledovat na svých stránkách a že mu podle toho budou vytvářet individuální nabídku zboží či služeb," vysvětluje právník Michal Nulíček z advokátní kanceláře Rowan Legal. Podle něj nesmí být takový souhlas ničím podmíněný. Řada internetových obchodů souhlasem se zpracováním údajů podmiňuje zákazníkovu koupi. Takový souhlas ovšem musí e-shopy od uzavírání kupní smlouvy nově oddělit.

Co je GDPR?

General Data Protection Regulation je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat.

Větší internetové obchody jako Datart či Mall.cz HN potvrdily, že se na novou podobu souhlasů podle požadavků GDPR už chystají. Většina firem z trhu e-commerce je ovšem podle Nulíčka v přípravách pozadu, čímž se od května příštího roku vystavují hrozbě vysokých pokut. Ty mohou dosáhnout až 20 milionů eur (520 milionů korun). Právníci se ovšem shodují na tom, že v případě dílčích zanedbání, jako jsou právě nedokonalé souhlasy se zpracováním údajů, se bude výše sankcí nejspíš pohybovat maximálně v jednotkách milionů korun. I tak by ale e-shopy neměly přípravu na evropské nařízení podceňovat.

Pokuty za spam půjdou nejspíš nahoru

Pro internetové obchody jsou klíčové databáze osobních údajů lidí, které pak většinou po e-mailu oslovují se svými reklamními nabídkami. Spousta e-shopů si ale nevystačí s daty o vlastních klientech a zmíněné seznamy si kupuje od marketingových agentur zaměřených na e-mailovou reklamu. Většina z nich ale nemá od lidí souhlas, aby s jejich adresami a e-maily takto nakládaly.

Seriál HN k ochraně dat GDPR

25. 10.

GDPR a fintech

1. 11.

Únik dat

8. 11.

GDPR a zaměstnanci

"Původní vlastník databáze může mít od svých zákazníků souhlasy se zpracováním jejich údajů. Pokud ale databázi přeprodává dál, musí s tím jeho zákazníci rovněž souhlasit. Jinak není možné s takto získanými údaji dále nakládat," vysvětluje právník Nulíček.

Podle něj většina tuzemských firem, které s přeprodanými údaji pracují, porušuje současné české zákony, které předávání osobních dat bez souhlasu konkrétního člověka zakazují. Podniky mnohdy vyžádání souhlasu opomíjejí ze strachu, že se zákazník z jejich databáze odhlásí a ony mu nebudou moci zasílat svá obchodní sdělení. Už nyní ovšem za obtěžující zasílání stovek nevyžádaných reklamních e-mailů (spamů) čelí hrozbě milionových sankcí.

Exemplárním případem je kauza společnosti Eurydikapol. Mostecká firma podle Úřadu pro ochranu osobních údajů (ÚOOÚ) každého člověka ze své e-mailové databáze bombardovala desítkami nevyžádaných reklamních zpráv, s jejichž zasíláním nepřestávala ani během kontroly ze strany úřadu. Proto jí ÚOOÚ po obdržení téměř 700 stížností naštvaných lidí letos v květnu uložil pokutu za spam ve výši 4,25 milionu korun.

Šlo o rekordní postih, podle oslovených právníků by se ale sankce za obtěžující spam měly se startem GDPR podstatně zvýšit. "Zmiňovaný případ byl mimořádný. Dosud úřad za takové přečiny dával pokuty zhruba za 50 tisíc korun. Nově by ale mohly dosahovat až částky kolem pěti milionů," míní právnička advokátní kanceláře eLegal Petra Dolejšová, s níž souhlasí i její kolega Nulíček.

Podle něj se pravidla pro přeprodávání e-mailových databází klientů a zasílání nevyžádané reklamy se zavedením nového evropského nařízení až na výše pokut zásadně nezmění. "Spousta firem si díky GDPR najednou uvědomila, že jim chybí souhlasy se zpracováním údajů. Když jim ale řeknete, že své databáze osobních údajů bez souhlasu lidí používat nesmějí, dívají se na vás kysele," říká Nulíček.

Pravidla pro povolené zasílání e-mailové reklamy jsou přitom jasná. "Pokud jako e-shop pracujete s databází lidí, od nichž máte souhlas se zpracováním údajů a kteří u vás nakoupili, pak už nic dalšího řešit nemusíte. To samé platí v případě, když za vás reklamní e-maily zasílá marketingová agentura jako zpracovatel údajů," vysvětluje Nulíček z Rowan Legal. Jiné je to ale u přeprodaných databází. "Původní vlastník musí své klienty požádat o souhlas s předáním údajů ze své databáze vám jako další firmě, která s nimi chce nakládat," dodává právník.

Nelegálně získané údaje smažte, radí experti

Oslovení zástupci společností, které se e-mailovým marketingem zabývají, doporučují, aby e-shopy o chybějící souhlasy žádaly u lidí dodatečně. A to platí i pro internetové obchody, jejichž podoba souhlasů nevyhovuje požadavkům GDPR. "Jediné technické řešení tohoto problému je potvrzovací e-mail nebo potvrzovací SMS pro mobilní telefonní čísla," říká šéf společnosti Mailkit Jakub Olexa.

Internetové obchody podle něj zákonitě o část osobních údajů přijdou, protože jim někteří lidé odmítnou svůj souhlas udělit. "Ze zkušenosti ale víme, že pokud má odesílatel obchodní nabídky dobrý vztah s příjemcem, získá potvrzený souhlas až v 80 procentech případů," míní Olexa.

Vladan Hejnic z konkurenční marketingové společnosti VIVmail pak firmám radí, aby databáze údajů, k nimž přišly ilegálně, raději smazaly. "Jejich používání jednak podkopává jejich důvěryhodnost a pak také kvůli němu čelí hrozbě vysokých postihů ze strany ÚOOÚ," uvádí Hejnic.

Po startu GDPR v květnu 2018 podle něj pravděpodobně klesne objem neoprávněně odesílaných e-mailů napříč celým českým trhem. "Mimo jiné očekáváme, že se zvýší i bezpečnost v oblasti nakládání s daty o zákaznících," dodává šéf VIVmail.

Autoři: Jan Úšela