Souhlas zákazníka se zpracováním osobních údajů: Kdy je a kdy není potřeba?
Máte v objednávkovém formuláři na svém e-shopu nebo v aplikaci sdělení „souhlasím s obchodními podmínkami a zpracováním osobních údajů“? Možná netušíte, že tím porušujete GDPR. V tomto článku se dozvíte, proč obecný souhlas nepoužívat a jak si texty ve formuláři nastavit správně.
Zpracování osobních údajů je dle GDPR potřeba založit na jednom z těchto šesti důvodů:
- na souhlasu,
- nezbytnosti plnit smlouvu,
- nezbytnosti plnit právní povinnosti (většinou stanovené právními předpisy),
- nezbytnosti chránit životně důležité zájmy člověka,
- nezbytnosti splnit úkol prováděný ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, nebo
- nezbytnosti pro účely oprávněných zájmů správce či třetí osoby, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody člověka vyžadující ochranu osobních údajů.
U provozu e-shopu nebo webové aplikace budete zpravidla údaje zákazníka potřebovat proto, že potřebujete splnit smlouvu, kterou se zákazníkem uzavřete (ad 2), dodržet zákonné povinnosti (ad 3) a chránit své zájmy (ad 6).
Proč nepožadovat od zákazníků souhlas se zpracováním osobních údajů?
Pokud můžete konkrétní činnost, při které nakládáte s osobními údaji, založit na jiném důvodu zpracování než na souhlasu (ad 2 až 6), má tento jiný důvod vždy přednost. Ke zpracování osobních údajů v takovém případě nesmíte vyžadovat souhlas zákazníka. Zároveň vám výběr jiného vhodného důvodu zpracování může ušetřit práci.
Představte si objednávkový formulář na koupi vysavače. Zákazník v něm vyplní své základní údaje (jméno, adresu, kontakt). Tyto údaje potřebujete hlavně proto, abyste věděli, kdo vysavač kupuje a kam ho máte dodat, tedy abyste mohli se zákazníkem uzavřít kupní smlouvu a splnit ji. Nezbytnost pro uzavření a plnění smlouvy je důvodem zpracování vymezeným v GDPR, na kterém byste vyřízení objednávky měli založit namísto souhlasu.
Výběr jiného důvodu zpracování osobních údajů než souhlasu vám navíc ušetří práci, v čem?
- GDPR klade na souhlas se zpracováním osobních údajů poměrně přísné nároky. Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný. To ve zkratce znamená, že zákazník musí vědět, k čemu konkrétně souhlas dává, co budete s jeho údaji dělat, a hlavně k udělení souhlasu nesmí být nucen.
- Není proto možné od zákazníka vyžadovat obecný souhlas se zpracováním osobních údajů bez určení účelu, za kterým údaje používáte. Stejně tak nesmíte udělením souhlasu se zpracováním osobních údajů podmiňovat prodej zboží či poskytnutí služby. Navíc souhlas je kdykoliv odvolatelný. Takže pokud jej zákazník odvolá, musíte jeho údaje přestat zpracovávat.
- Kdybyste ve výše popsaném případě zákazníkovi prodali vysavač jen na základě jeho souhlasu se zpracováním osobních údajů, a zákazník souhlas před dodáním zboží odvolal, dostali byste se do patové situace. Zákazníkovy údaje byste totiž museli smazat, a tím pádem byste mu nemohli dodat zboží a ani byste nevěděli, komu vrátit kupní cenu.
Jak si upravit sdělení u objednávkového formuláře?
Předpokládejme, že osobní údaje, které vám zákazník vyplní v objednávce, potřebujete za následujícími účely:
- k vyřízení objednávky,
- k ochraně práv v případě sporů se zákazníkem a
- k vytvoření statistik o nákupech.
Zpracování osobních údajů za účelem vyřízení objednávky provedete proto, že takové zpracování je nezbytné pro uzavření a plnění kupní smlouvy. Za zbývajícími dvěma účely (k ochraně práv v případě sporů se zákazníkem a vytvoření statistik o nákupech) můžete osobní údaje zákazníka zpravidla použít na základě vašeho oprávněného zájmu. Pokud budete se zákazníkem řešit spor, budete mít zase oprávněný zájem na tom chránit svá práva a zájmy. Při vytváření statistik o nákupech může váš oprávněný zájem spočívat v tom, že chcete vaše služby zlepšovat a tím zpříjemnit zákazníkovi nakupování.
V objednávce vám proto stačí pouze správně informovat zákazníka o tom, jak nakládáte s jeho osobními údaji zadanými ve formuláři. To můžete udělat tak, že v rámci objednávky zákazníkovi řeknete, za jakými účely jeho údaje budete používat a ve zbytku ho odkážete na podrobnější dokument s informacemi o zpracování osobních údajů. Souhlas se zpracováním osobních údajů nepožadujte.
Sdělení u objednávkového formuláře tak může znít následně:
<img src=“/api/s3/file/media/uploaded-files/1708687025336.png” alt=“Obsah obrázku text, snímek obrazovky, Písmo
Popis byl vytvořen automaticky”>
Kdy byste od zákazníka měli souhlas naopak získat?
V některých případech se bez souhlasu zákazníka se zpracováním osobních údajů neobejdete. Typicky pokud chcete od zákazníka sbírat citlivé údaje (např. údaje o zdravotním stavu, náboženském vyznání nebo sexualitě). Někdy také proto, že mu chcete posílat obchodní sdělení (ale i při zasílání obchodních sdělení se můžete souhlasu zákazníka často vyhnout).
Pokud potřebujete osobní údaje zpracovávat na základě souhlasu, musí být takový souhlas svobodný, konkrétní, informovaný a jednoznačný, jak jsme si popsali výše. V případě sběru citlivých údajů vám zákazník souhlas musí dát výslovně (musí vám zaškrtnout pole se souhlasem). Zároveň musíte být schopni prokázat, že vám zákazník souhlas dal (např. uložením logu o udělení souhlasu).
Jestliže zákazník souhlas odvolá, musíte se zpracováním údajů za účelem, pro který jste souhlas získali, přestat. Někdy to může znamenat, že údaje musíte smazat, jindy bude potřeba jen zastavit činnosti, pro které jste souhlas získali (např. přidat si zákazníka do black listu, abyste mu neposílali nabídky produktů vašeho obchodního partnera).
Správně nastaveným textem v objednávkovém formuláři povinnosti nekončí
Nastavili jste si informační text u objednávkového formuláře? Skvělá práce! Pamatujte ale na to, že dle GDPR musíte plnit i další povinnosti. Doporučujeme si proto zejména ověřit, zda váš dokument s podrobnějšími informacemi o zpracování osobních údajů obsahuje vše, co má, zda máte se všemi svými dodavateli a spolupracovníky uzavřeny smlouvy o zpracování osobních údajů i zda jste si správně nastavili interní pravidla pro nakládání s osobními údaji.
Zajímá Vás téma umělé inteligence a práva? Na kongresu Právní prostor 2024 se budeme AI a jejímu vztahu k právu věnovat hned v několika příspěvcích. Program kongresu najdete na adrese https://kongrespravniprostor.cz/.
Další články
Digitální klon zemřelého člověka: Právní limity simulace identity po smrti
Představme si, že po smrti blízkého člověka přijde rodině zpráva z chatovací aplikace. Není to starý e-mail ani automatická vzpomínka ze sociální sítě.
Právní průšvihy při nasazování AI nástrojů – praktické zkušenosti, kdy se to nepovedlo (1. část)
Implementace nástrojů umělé inteligence už pro právníky není hudbou budoucnosti, ale každodenní realitou. Zapomeňte však na tradiční přístup „odškrtávání checklistů“. V éře AI totiž regulace přímo diktuje samotný technický design produktů. Jak se úspěšně zorientovat v džungli desítek evropských předpisů, na co si dát pozor při mapování datových toků a proč musí právníci při vývoji aplikací sedět u jednoho stolu s programátory a produktovými manažery?
Kdy musí zahraniční firma odvádět daně v tuzemsku? Někdy stačí i jediný zaměstnanec na home office
Práce na dálku z jiné země je čím dál častější. Přestože se podmínky prezence na pracovišti rozvolnily, žádná benevolence už neplatí v tom, kde a jak firmy, potažmo zaměstnanci musí odvádět daně. Systém přitom není nejpřehlednější, a tak svádí k chybám.
Prediktivní analytika při správě daní
Daňová kontrola byla dlouho vnímána především jako nástroj zpětného ověření. Správce daně posuzoval, zda daňový subjekt v minulosti správně přiznal daň, zda doložil rozhodné skutečnosti a zda jeho tvrzení odpovídá realitě. Tento model má své pevné místo i v budoucnu. U části daňových rizik však naráží na praktický limit: pokud správce daně reaguje až ve chvíli, kdy je škoda způsobena, může být její náprava obtížná, ne-li fakticky nemožná.
Rozhovor: Adam Felix - Advokacie nesmí podléhat státnímu finančnímu dozoru
Ministerstvo financí předložilo návrh zákona o ekonomické ochraně státu a související novely zákona o Finančním analytickém úřadu a zákona o advokacii, které mají ambici posílit nástroje státu v boji proti praní peněz a financování terorismu. Vedle deklarovaného cíle návrh vyvolává zásadní debatu o tom, kde končí legitimní regulace a začíná zásah do samotné podstaty nezávislé advokacie a pilířů právního státu.
