Praxe internetových obchodů v souvislosti s GDPR a svobodou souhlasu
GDPR klade velký důraz na to, aby byl souhlas udělen svobodně a aby byl konkrétní, informovaný a jednoznačný.
Zpracování osobních údajů na základě souhlasu zákazníků se vztahuje např. k souhlasu ke zpracování osobních údajů k marketingovým účelům (např. souhlas s poskytnutím osobních údajů třetím osobám za účelem zasílání nevyžádaných obchodních sdělení).
Karin Pomaizlová, partnerka advokátní kanceláře Taylor Wessing Praha upoznornila na jednotlivá úskalí: „Prvním úskalím v praxi je svoboda souhlasu. Tento požadavek obsahuje i dnes platný zákon o ochraně osobních údajů a tento požadavek mnohé e-shopy možná i nevědomky porušují, a to i přes to, že nejde o požadavek nijak nový. Úřad na ochranu osobních údajů uvádí ve svém stanovisku, že souhlas nelze považovat za dobrovolný, resp. svobodný, pokud je součástí smlouvy a není možno o něm jednat. To znamená, že smlouvu, např. všeobecné obchodní podmínky, musí zákazník přijmout a nemá možnost vyjádřit nesouhlas s textem zpracování osobních údajů, např. k marketingovým účelům.“ Pomaizlová navíc dodala: „GDPR vysloveně zakazuje, aby plnění podle smlouvy bylo podmíněno souhlasem se zpracováním osobních údajů.”
E-shopy často neakceptují objednávku zákazníka, pokud nezaškrtne, že souhlasí se všeobecnými obchodními podmínkami a zpracováním osobních údajů. Takový souhlas však nelze považovat za svobodný. Provozovatel e-shopu však může své zákazníky motivovat jinak k tomu, aby od nich získal svobodný souhlas ke zpracování jejich osobních údajů k marketingovým účelům, např. jim nabídnout slevu či malý dárek k objednanému zboží.
Dalším praktickým příkladem je vyžadování souhlasu ve spojení s vyžadováním osobních údajů, které nejsou nezbytné pro vyřízení objednávky. Pokud chce zákazník v nejmenovaném e-shopu se sportovním vybavením, oblečením a obuví objednat zboží, nelze to jinak než úplnou registrací a poskytnutím nejen adresných údajů, ale i pohlaví a přesného data narození. Součástí registrace je i nutný souhlas se zpracováním osobních údajů k marketingovým účelům a jejich předání obchodním partnerům provozovatele e-shopu. V poslední době se objevují diskuse i o tom, že e-shopy chtějí sdílet údaje o svých zákaznících, kteří si opakovaně nevyzvedávají objednané zboží. Pokud si chce e-shop vést takovou evidenci pro své vlastní účely, tj. pro ochranu svých oprávněných zájmů, sice nebude k tomu potřebovat souhlas svých zákazníků, ale musí je o tom transparentně informovat dříve, než mu tito poskytnou své osobní údaje či s ním uzavřou smlouvu.
„Podle GDPR již nebude možné, aby souhlas se zpracováním osobních údajů byl součástí všeobecných obchodních podmínek. Jakmile vstoupí GDPR v účinnost, bude takový postup protiprávní,” varovala Pomaizlová. A upozornila, že dalším požadavkem na kvalitu souhlasu je, aby byl souhlas informovaný a jednoznačný. Tento požadavek se vztahuje nejen na správce osobních údajů, ale i na totožnost třetích osob, kterým hodlá správce osobní údaje poskytnout za účelem dalšího využití (například marketingová sdělení zákazníkům e-shopu).
Po vstupu GDPR v účinnost bude zejména třeba striktně odlišovat případy, kdy souhlas není ke zpracování osobních údajů třeba, a případy zpracování k účelům, kdy souhlas třeba je. V takovém případě bude nutno text souhlasu a projev vůle zákazníka oddělit od ostatních obchodních podmínek a zákazník musí mít volnost v tom, zda souhlas udělí a v jakém rozsahu. Pomaizlová doplnila: „Pokud tedy např. bude provozovatel e-shopu požadovat souhlas za účelem profilování a zobrazování cílené reklamy a dále souhlas se zasílám obchodních sdělení nad rámec, který povoluje zákon, doporučuji, aby každý účel byl v souhlase oddělen a opatřen samostatným políčkem, kdy zákazník může vyjádřit svůj souhlas. Rozhodně nelze zobrazovat předvyplněné souhlasy, souhlas musí být udělen aktivním výběrem, např. zakliknutím příslušného políčka. Zároveň musí být zákazník vždy poučen o tom, že může svůj souhlas kdykoliv odvolat.”