19°C
Obchodníci „bombardují“ lidi kvůli věrnostním kartičkám. Je za tím GDPR
Obchodníci musí žádat zákazníky, kteří jsou členy jejich věrnostního programu, o nový souhlas se zpracováním osobních údajů. Často se tak děje na pokladnách, důvodem je implementace evropského nařízení o ochraně osobních údajů (GDPR). Alespoň jednu věrnostní kartu mají přitom podle průzkumů tři čtvrtiny Čechů. Nařízení začne platit od 25. května. Případným provinilcům hrozí sankce, ty ale podle Úřadu pro ochranu osobních údajů (ÚOOÚ) nemají být likvidační.
Například Billa provedla audit procesů, týkajících se zpracování osobních údajů zákazníků či zaměstnanců. „Stávající členové Billa Bonus Clubu jsou již kontaktováni na prodejnách, aby poskytli nový souhlas se zpracováním osobních údajů. Tento je možné udělit přímo na prodejně pomocí tištěného formuláře nebo přes webové stránky gdpr.billa.cz,“ uvedla mluvčí Dana Bratánková. Náklady na implementaci vyčíslila v řádu milionů korun.
Také Globus několik týdnů zákazníky registrované ve věrnostním programu Globus Bonus informuje, jaká data o nich shromažďuje, jak s nimi pracuje a žádá je o povolení, že tyto informace můžeme využívat i nadále. „V hypermarketech máme nyní nové registrační formuláře, které GDPR vyhovují, upravujeme také webové stránky programu a kiosky a proškolujeme kolegy na zákaznické lince,“ uvedla Pavla Hobíková z Globusu.
Kaufland ve věrnostním programu údaje o zákaznících nemá. „Co se týká našeho věrnostního programu, ten není založen na poskytování osobních údajů zákazníků. Zákazníci pouze sbírají body za každý svůj nákup a při uplatnění slevy na věrnostní program odevzdávají u pokladny pouze kartu s nalepenými body bez osobních údajů,“ řekla mluvčí Renata Maierl.
„Při implementaci požadavků GDPR z naší strany nepředpokládáme žádné neočekávané překážky nebo zásadnější komplikace,“ dodala mluvčí Lidlu Zuzana Holá.
Souhlas budou žádat i e-shopy
Provozovatel e-shopu by měl směrem k zákazníkům v první řadě upravit informační povinnosti, jejichž splnění by mělo odpovídat požadavkům GDPR. „U zpracování osobních údajů pro účely splnění kupní smlouvy stačí nakupujícího řádně informovat. Pro marketingové účely mimo komunikaci s vlastními zákazníky je nutné získat aktivní souhlas spotřebitele,“ uvedl výkonný ředitel Asociace pro elektronickou komerci Jan Vetyška.
„Co se týká praxe - domníváme se, že se nakupování v e-shopech a mailový marketing změní, bohužel v neprospěch zákazníka. Ten bude totiž muset odklikávat souhlasy se zpracováním osobních dat, jinak bude hrozit, že nebude moci využít funkcionality e-shopů v celé šíři, na jaké je doposud zvyklý,“ řekla Patricie Šedivá z e-shopu Alza.cz. Mailový marketing se podle ní již nyní využívá jedině se souhlasem zákazníka, v této oblasti tedy změna nebude.
Zhruba třetina zákazníků e-shopů odebírá od obchodníků newslettery. Zařazeni do rozesílání byli často jen na základě jednoho nákupu. Reklamní sdělení posílaná e-mailem tvoří v průměru až 25 procent obratu on-line obchodů. Přestože GDPR zpřísňuje práci s osobními údaji, množství newsletterů v české e-commerce to podle společnosti Shoptet neovlivní.
„Přestože nová směrnice upravuje zacházení s osobními údaji, což se částečně týká právě rozesílání reklamních sdělení, tak i přes různé obavy o dopadech kolem implementace tohoto nařízení nelze očekávat, že by lidem chodilo méně těchto e-mailů,“ uvedl Miroslav Uďan, ředitel společnosti Shoptet, na jejíž platformě běží v tuzemsku 13 tisíc e-shopů.
Sankce nemají obchodníky zruinovat
Sankce za porušení povinností budou podle ÚOOÚ udělovány tak jako dosud v přiměřené výši i po účinnosti unijního nařízení o ochraně osobních údajů (GDPR). Nemohou znamenat zruinování pokutované instituce. Úřad to uvedl na svém webu, kde odmítl strašení mnohamilionovými sankcemi jako přehnané.
„Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační,“ uvedl ÚOOÚ. Pokuty mají být podle něj v každém jednotlivém případě účinné, přiměřené a odrazující.
Úřad připomenul, že nyní maximální pokuta činí deset milionů korun a jím dosud uložená nejvyšší pokuta nedosáhla ani poloviny této sazby. Například společnosti T-Mobile úřad udělil pokutu 3,6 milionu korun za únik osobních údajů jejích zákazníků. Obcím za provinění naopak uděloval pokutu v řádech desetitisíců korun.
Maximální částka se podle unijního nařízení, které nabude účinnosti 25. května, může vyšplhat až na 20 milionů eur (zhruba 500 milionů korun). Podle ÚOOÚ by byla nejspíš udělena za „flagrantní porušení“ nařízením stanovených povinností zpravidla velkými nadnárodními společnostmi.
„Strašit takovými sankcemi menší firmu nebo školu je nesmysl, stejně jako vydávání horentních částek, podstatně převyšujících výši pokut Úřadem pro ochranu osobních údajů ukládaných, za externí audity soulad s nařízením nezaručujícími,“ uvádí úřad.
GDPR míří podle ÚOOÚ primárně na nadnárodní správce osobních údajů, jako příklad uvedl zneužití dat sociální sítě Facebook. Společnosti typu Amazon, Google, Facebook nebo Twitter budou podle úřadu i plátci chystané 'digitální' daně, která činí tři procenta z obratu, neboť mají roční celosvětové příjmy nad 20 miliard korun.
Úřad také uvedl, že podle nových pravidel bude mít každý možnost souhlasit se zpracováním svých osobních údajů. Neplatný by byl souhlas podmíněný získáním služby nebo výrobku. Například provozovatelé e-shopů, kteří by jej potřebovali a získali jej dříve rámci obchodních podmínek, by o něj museli požádat znovu.
Pro běžný provoz e-shopů není nutné mít pověřence pro ochranu osobních údajů. Nebudou ho muset mít ani krajské kulturní a příspěvkové organizace, tedy muzea či divadla, neziskové organizace provozující domov pro seniory nebo společenství vlastníků bytových jednotek.
Evropská unie - aktuální zpravodajství z Bruselu najdete na Blesk.cz zde >>>
Více o nařízení EU GDPR čtěte zde
Témata:
Související
Tak konečně vím, co je to GDPR. Ztratil jsem kartu Penny, tak jí konečně vhodně obnovím.