Když si zákazník na internetu kupuje knihu nebo třeba mobilní telefon, e-shop si od něj ještě zpravidla vyžádá souhlas se zpracováním osobních údajů. Mnoho internetových obchodů takovým souhlasem podmiňuje provedení nákupu nebo registraci ve svém systému, a to nejen proto, aby věděly, kam mají objednané zboží poslat. Jména, adresy a e-maily klientů jim slouží také pro další cílení reklamy.

Většina lidí bere souhlasy jako nutné zlo. E-shopy je při jejich vyplňování nechtějí příliš zdržovat, a tak jim mnohdy nabízený formulář samy předvyplní − pak už stačí takový požadavek pouze potvrdit jediným klikem.

Souhlas musí být jasný

Od května příštího roku, kdy začne platit nové evropské nařízení na ochranu osobních údajů, známé pod zkratkou GDPR, se ale taková praxe změní. "Každý souhlas bude muset být adresný a svobodný. Pro klienta musí být srozumitelný," říká právník Jiří Matzner z advokátní kanceláře Matzner et al.

Seriál HN k ochraně dat GDPR

◼ 29. 11. - GDPR a zahraniční firmy
◼ 6. 12. - Konference: Osobní údaje 2018
◼ 13. 12. - GDPR a zastaralé systémy

E-shopy, ale i banky či mobilní operátoři tak musí nově pokaždé jasně říci, na co osobní údaje použijí a souhlasem už nesmí podmiňovat nákup nebo využívání svých služeb. Souhlasy už také nesmí ukrývat do výčtu všeobecných obchodních podmínek ani je předem vyplnit, aby to klienta navedlo k jejich rychlému potvrzení.

Existují ovšem výjimky, které podniky takových povinností zbavují. Bez uvedení jména a adresy pochopitelně nelze zboží objednané po internetu doručit. Výjimka přitom platí i pro takzvaný přímý marketing. Tedy reklamní sdělení, jež internetoví prodejci nebo banky zasílají lidem, kteří už jejich klienty jsou. "Pokud ale člověk uvede, že si takové zasílání nabídek dále nepřeje, tak ho musí obchodník okamžitě ukončit. To ale platí už nyní, takže se v této věci s nařízením GDPR nic nemění," vysvětluje právník Michal Nulíček z advokátní kanceláře Rowan Legal.

U bank je situace odlišná a sběr údajů tam bude v některých případech probíhat i nadále. Finanční domy podle zákona proti praní špinavých peněz získávají například jména, adresy nebo rodná čísla svých klientů bez nutnosti jejich souhlasu. Taková data musí archivovat v průběhu 10 let po ukončení obchodního vztahu. Žádat o vymazání údajů, jak to jinak nová pravidla ochrany soukromí umožňují, tedy nebude možné.

Podle Nulíčka se přísnější pravidla na získávání souhlasů se zpracováním dat týkají především případů, kdy e-shopy nebo banky údaje využívají k vytváření profilů o chování svých zákazníků. "Další příklad představuje přeprodávání údajů pro účely marketingu třetích stran," říká právník, který dodává, že o přeprodeji osobních dat dalším společnostem musí lidé, jichž se to týká, vědět a souhlasit s ním.

Pokuty se zvýší

Takové pravidlo platí již nyní, spousta menších internetových obchodů ho ale nedodržuje. To by se však mohlo se startem GDPR změnit. Nové nařízení slibuje firmám, které ho poruší, pokutu až ve výši 200 milionů eur (5,2 miliardy korun) nebo čtyř procent jejího globálního obratu. Právníci se shodují, že v případě neoprávněného nakládání s údaji takové pokuty nehrozí.

"Dosud se za podobné přečiny udělovaly pokuty zhruba za 50 tisíc korun. Nově by ale mohly dosahovat částky kolem pěti milionů," míní právnička advokátní kanceláře eLegal Petra Dolejšová. Správné nakládání s osobními daty by tak podniky podceňovat neměly.

Pro banky nebo e-shopy představují osobní údaje klíč k tomu, jak dalšími nabídkami oslovovat své zákazníky. Řada z nich se proto obává, že s tvrdšími podmínkami pro získávání souhlasů pro zpracování dat se možnosti jejich marketingu sníží. Velké společnosti, které HN oslovily, ale uvádějí, že jsou na změnu připraveny.

Třeba Česká spořitelna prý na svých pobočkách každý den sbírá tisíce nových typů souhlasů, které odpovídají pravidlům GDPR. "Datart již začal s úpravou svých systémů. Navenek budou první změny patrné na přelomu března a dubna 2018," říká mluvčí e-shopu Iva Pavlousková.

Také největší český internetový obchod Alza hlásí připravenost. Nová pravidla ovšem podle e-shopu sníží komfort zákazníků. "Ti budou muset odklikávat souhlasy se zpracováním osobních dat, jinak bude hrozit, že nebude možné využít funkcionality e-shopu v celé šíři, na jakou jsou doposud zvyklí," uvádí mluvčí Alzy Patricie Šedivá. Na mysli má nutnost odsouhlasit i využití údajů, které se zpracovávají k lepšímu cílení nabídek na konkrétní klienty.

Firmám reálně hrozí, že se počet osobních údajů, které dosud využívaly k marketingu, sníží. Proto již řada z nich začala se získáváním nových druhů souhlasů od stávajících klientů. "Jediné technické řešení tohoto problému je potvrzovací e-mail nebo potvrzovací SMS pro mobilní telefonní čísla," říká šéf společnosti Mailkit Jakub Olexa, jehož firma se vedením marketingových kampaní zabývá.

E-shopy podle něj nejspíš o část osobních dat přijdou, protože jim lidé souhlas neudělí. "Ze zkušenosti ovšem víme, že pokud má odesílatel obchodní nabídky dobrý vztah s příjemcem, získá potvrzený souhlas až v 80 procentech případů," míní Olexa.

Podle Nulíčka by se firmy mohly na nová pravidla připravit také tak, že by své zákazníky k udělení souhlasu více motivovaly. "Dokážu si představit, že lze využít poskytnutí drobné slevy nebo dárku za to, když klient zváží udělení souhlasu," navrhuje právník.

Související