Úřad chce zjistit, zda souhlas zákazníků se zpracováním osobních údajů ve věrnostních programech splňuje požadavky GDPR, konkrétně požadavky článku 4 odst. 11. Pro obchodníky je souhlas totiž nejčastějším titulem pro zpracování osobních údajů v rámci věrnostních či obdobných zákaznických programů.
Toto téma pro Úřad není nové, zabýval se jím už v roce 2021. Tenkrát se ale věnoval nejen udělení souhlasu, ale i dodržování zásad zpracování osobních údajů, nebo např. technickému zabezpečení zákaznických databází. Kontrola se zaměřila na prodejce, u kterých byl předpoklad zpracování údajů stovek tisíců zákazníků.
Letos se Úřad zaměří dle svých slov na "vybrané obchodní řetězce".
Jak má správně vypadat souhlas?
Problémem dle Úřadu může být, že podmiňování slev účastí ve věrnostním programu může na zákazníky vytvářet ekonomický tlak.
Zákazník si totiž musí vytvořit zákaznický účet, a přitom souhlasit se zpracováním svých osobních údajů. Typicky je nutné vyplnit alespoň jméno, adresu a kontaktní údaje. Bez poskytnutí souhlasu se zpracováním osobních údajů nelze účet založit, a tím pádem ani poskytnout zákazníkovi slevu nebo jinou výhodu.
Dle GDPR má být ale souhlas svobodný, konkrétní, informovaný a jednoznačný. Kritérium svobodného udělení se projevuje např. tak, že pokud je zákazník nucen k souhlasu nebo čelí negativním důsledkům při jeho neudělení, je neplatný. Dle nás by se právě na toto mohl Úřad zaměřovat.
V praxi se setkáváme s názorem, že čím větší je cenový rozdíl mezi běžnou cenou a cenou pro členy věrnostních programů, tím více mají zákazníci pocit, že se bez “klubové kartičky” prostě neobejdou. Do jaké míry lze toto vnímat jako motivaci, nebo už právě jako nepříjemný nátlak, je samozřejmě hodně individuální.
Proč je nutné se registrovat ve věrnostním programu?
Data o zákaznících jsou pro obchodníky velmi cenná.
A právě díky věrnostním programům mohou kromě kontaktních a identifikačních údajů získat ještě mnohem více informací. Jaké je vaše pohlaví, co jste kdy nakoupili, jaké platební metody využíváte, do jaké prodejny nejčastěji chodíte, jestli nakupujete dětský sortiment, a máte tak pravděpodobně děti, apod. Tato data jsou pak zpravidla využívána pro personalizaci reklamy.
Rozsah zpracovávaných osobních údajů se může samozřejmě vždy lišit. Roli může hrát i to, jestli používáte např. mobilní aplikaci obchodníka nebo se při nákupu prokazujete pouze fyzickou kartičku.
Úřad v roce 2021 uvedl, že osobní údaje o nákupním chování umožňují profilování zákazníků pro zvýšení zisku, a i proto se na tuto oblasti při kontrolách zaměřuje.
Co když souhlas neobstojí?
V případě, že by Úřad zjistil, že souhlas v konkrétním případě neobstojí, znamená to, že zpracování osobních údajů v rámci věrnostních programů porušuje GDPR. Obchodník by totiž zpracovával osobní údaje bez právního titulu. A to je samozřejmě zakázané.
Sankce se v takovém případě mohou vyšplhat až k 20 mil EUR, nebo k 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
Pokud si tedy nejste jistí, jak máte věrnostní program nastavený a jestli souhlas splňuje veškeré nároky GDPR, doporučujeme vše co nejrychleji zkontrolovat.
Zdroje
- Kontrolní plán Úřadu pro ochranu osobních údajů pro rok 2025
- Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2021
- Pokyny č. 05/2020 k souhlasu podle nařízení 2016/679 EDPB
Diskuze k článku ()