Při loňských kontrolách se ÚOOÚ zaměřil mimo jiné na věrnostní programy obchodních řetězců. A rozhodně neklouzal jen po povrchu! Závěry odhalily extrémně zajímavé názory Úřadu na dobu uchovávání osobních údajů či informování o profilování zákazníků. Co byste si z kontrol měli odnést vy?
V jednom z předchozích čísel Zpravodaje jsme se věnovali otázce využívání e-mailů v rámci obchodní činnosti, konkrétně zasílání obchodních sdělení. Na toto téma navžeme dnešním článkem, v němž se podíváme na některé obchodní aktivity obchodních společností, a to optikou ÚOOÚ, který v této oblasti loni provedl celkem čtyři kontroly. Závěry některých z nich jsou extrémně důležité a závažné. ÚOOÚ například naboural právní názor, že uchování osobních údajů po dobu 3 let je v souladu se zásadami GDPR (pro některé případy) a nepřekračuje limity. Podíváme se však i na informování o profilování.
Věrnostní program hypermarketu
První z kontrol byla zahájena v únoru předchozího roku a jejím předmětem byla kontrola dodržování povinností v souvislosti se zpracováním osobních údajů subjektů údajů v rámci věrnostního programu obchodního řetězce. ÚOOÚ již nezveřejnil bližší informace o tom, kdo byl kontrolovanou osobou. Dlužno dodat, že kovářova kobyla často chodí bosa a sám ÚOOÚ někdy v rámci anonymizace kontrolních protokolů pochybí a na základě několika indicií lze poměrně jednoduše a rychle zjistit, kdo byl kontrolovanou osobou. Cílem tohoto článku však není hon na čarodějnice – informace o tom, kdo je skutečně kontrolovanou osobou, nepřináší žádný efekt.
ÚOOÚ se v rámci kontroly zaměřil na několik aspektů této specifické operace zpracování. Kromě kontroly obecných principů (tedy zda správce dodržuje zásady dle čl. 5 GDPR) se pustil i do několika poměrně konkrétních oblastí – jednou z nich je například informování o profilování.
Samotné zpracování v rámci věrnostního programu mělo probíhat na základě vícero právních titulů, nicméně klíčovým titulem byl souhlas se zpracováním osobních údajů v souvislosti s členstvím. Doba zpracování byla stanovena na dobu trvání souhlasu, respektive do jeho odvolání. Doslovná citace zněla: „Tento souhlas uděluji na dobu trvání mého členství ve věrnostním programu, nejdéle však do doby jeho odvolání, což mohu učinit kdykoliv.“ U samotných právních titulů kontrola pochybení nezjistila. V rámci kontroly zásad zpracování bylo odhaleno pochybení v případě obligatorního vyžadování informace o pohlaví zákazníka (rozpor se zásadou minimalizace), nicméně již v průběhu kontroly toto kontrolovaná osoba opravila, tudíž se této části ÚOOÚ blíže nevěnoval.
Vraťme se však k otázce doby zpracování. Jak bylo uvedeno výše, souhlas se uděloval na dobu neurčitou. Informace o samotném nákupu (včetně online nákupů) byla pak uchovávána po dobu 3 let od jejich provedení. To se nelíbilo ÚOOÚ, který k tomu uvedl následující: „Kontrolující mají za to, že takto určená doba zpracování prováděného v souvislosti s uskutečněnými nákupy členů VP (nákupní chování a online nákupy) je nepřiměřená, zejména pak s ohledem na to, že ve velkém množství případů se jedná o údaje o nákupu potravinářského zboží. Vzhledem k výše uvedenému by kontrolovaná osoba měla omezit dobu zpracování osobních údajů, a to podle účelu, pro který jsou osobní údaje zpracovávány, například v případě záznamů o zakoupeném zboží na dobu, kdy je možné u tohoto zboží uplatnit reklamaci, nebo na dobu kdy je potřeba tyto údaje zpracovávat pro marketingové účely.“
ÚOOÚ tak uvádí, že pro účely obhajoby právních nároků nemusí být zcela vhodné uchovávat informace o zboží, které podléhá rychlé zkáze, po dobu 3 let. V konečném důsledku toto ÚOOÚ označil za porušení zásady omezení uložení. V tomto případě však není zřejmé, jaká je představa ÚOOÚ o takovém procesu. To, že daný hypermarket prodává potraviny, ještě neznamená, že jejich doba trvanlivosti není delší než několik dnů nebo že neprodává i jiné produkty, jako například elektroniku či sezónní zboží, a to včetně nafukovacích bazénů. V tomto duchu se dle našeho názoru kontrolovaná osoba dostává na úroveň běžného e-shopu. Vzniká otázka, zda tuto skutečnost ÚOOÚ vzal v potaz, nebo zda odsoudil všechny e-shopy ke stejnému osudu.
Obecně totiž platí, že každá operace zpracování je pro subjekty údajů riziková, a vytloukání klínu klínem tak nemusí nutně dávat smysl. Pokud by osoba měla složitým profilováním zjišťovat, jaké zboží je či není trvanlivé a po jakou dobu dává smysl si pro účely reklamace ponechat údaje, mohlo by to vést k větším problémům než užitku. Je to však přinejmenším spekulativní a detailní způsoby zpracování skutečně neznáme.
Stejně tak se nabízí otázka, zda ÚOOÚ vadí zmíněná doba obecně, či jen ve vztahu k původnímu (nikoliv marketingovému) účelu. V běžné praxi to totiž není tak, že by správce pro každý účel vedl oddělené databáze (ačkoliv je to jedním z doporučení). Jeden set údajů z této databáze je běžně určen pro různé účely, včetně marketingu. Právě marketing ÚOOÚ zmiňuje jako účel, pro který je možno dané údaje uchovávat. Nicméně tato problematika by si zasloužila podrobnější rozbor.
ÚOOÚ dále vadila ještě jedna klíčová věc (kromě například nevyžadování souhlasu s ukládáním cookies). Úřad v rámci informování kritizoval pojem „nákupní chování“. Stejně tak se ÚOOÚ nelíbilo poskytnutí informací o automatizovaném individuálním rozhodování, jmenovitě tento text: „Dále uděluji souhlas s tím, že společnost může osobní údaje zpracovávat za použití výhradně automatizovaných postupů, které pro mne mohou mít právní účinky nebo se mne mohou obdobným způsobem významně dotýkat.“
V obou případech ÚOOÚ správci doporučil, aby definoval předmětné pojmy. ÚOOÚ tak postupuje v souladu s vodítky uvedenými v rámci Pokynů k transparentnosti, kde se akcentuje zjednodušený požadavek vysvětlovat věci tak, aby je pochopil úplně každý. Tak jako WP29 odmítá pojmy typu „personalizované sdělení“, ÚOOÚ odmítá pojem „nákupní chování“ – důvod je jednoduchý, subjekt údajů si nedokáže představit, co daná operace zpracování zahrnuje.
Zasílání nabídek k odkupu pohledávek
Druhá kontrola v této oblasti byla zahájena na základě stížností, které se týkaly nabídky odkoupení pohledávek vůči jiné společnosti. Ve zkratce šlo o to, že stěžovatelé dostávali od kontrolované osoby nabídky, aby odkoupili pohledávky za jinou společnost.
Kontrolovaná osoba argumentovala oprávněným zájmem, ale bez úspěchu. Dle ÚOOÚ byl problém v tom, že se nejednalo o vlastní klienty kontrolované společnosti. Nakonec ÚOOÚ přistoupil k tomu, že rovnou zkontroloval, jak kontrolovaná osoba zachází s osobními údaji a jakým způsobem plní povinnosti dle zákona o některých službách informační společnosti. Není překvapením, že zjistil několik porušení, a tím pádem zahájil s kontrolovanou osobou správní řízení.
Výkon práv subjektů údajů
Třetí z kontrol byla zahájena na základě stížnosti, která se týkala špatného postupu v rámci poskytnutí informací a taktéž výmazu. Tato stížnost byla ÚOOÚ postoupena ze strany Policie ČR a fakticky se týkala neoprávněného přihlášení pojištěnce k registraci u nejmenované zdravotní pojišťovny. ÚOOÚ k tomu napsal následující: „Kontrolující zjistili, že společnost porušovala obecné nařízení v oblasti práv subjektů údajů (oprava a výmaz), neboť delegovala své povinnosti vyplývající z obecného nařízení na samotné subjekty údajů a také vnitřní předpisy upravující plnění práv subjektů údajů byly v rozporu s obecným nařízením.“
Zjednodušeně řečeno tak pochybení spočívá ve špatně nastaveném interním procesu, který se týká GDPR, a to ať už v rovině kontroly zaměstnanců, respektive jejich možné chybovosti, nebo chybného postupu při výkonu práv subjektů údajů.
Věrnostní program podruhé
Poslední kontrola se opět týkala věrnostního programu, přičemž hned na úvod lze sdělit, že neodhalila žádné pochybení. Důvod, proč tuto kontrolu zmiňujeme, je právě formulace profilování či segmentace, v jejímž případě ÚOOÚ oproti první zmíněné kontrole vyhodnotil, že je vše v pořádku.
Správce informoval o segmentaci a profilování následovně: „Profilování probíhá tak, že na základě předchozích nákupů Vám zasíláme, dle našeho hodnocení vhodné informace pro další nákupy. Pokud budou podány námitky proti profilování, bude neprodleně ukončeno.“ U samotného formuláře (v tomto případě newsletteru) byla uvedena následující věta: „Zaškrtnutím tohoto políčka: Souhlasím (volitelně) se zasíláním personalizovaného newsletteru – vybraných informací o nabídkách a slevách pro členy XXXXX na mnou uvedené kontaktní údaje (zejména e-mail, sekundárně poštou či pomocí SMS). Souhlasím, že pro volbu zajímavých sdělení, která budu získávat, bude využito profilování, včetně segmentace dle Podmínek.“
Je zcela evidentní, že oproti předchozí kontrole byla zde kontrolovaná osoba o něco méně na slovo skoupá. Nejen že poskytla o něco více informací, ale zároveň profilování umístila jako volitelnou část souhlasu se zasíláním obchodních sdělení.
Podceňovat kontroly se nevyplatí
Věrnostní programy patří mezi jeden z nástrojů, jak zajistit retenci zákazníků a odměňovat je za to, že jsou vám věrni. Čím více dat o zákaznících máte, tím lépe dokážete odhadnout a uspokojit jejich potřeby. Stále však platí právní úprava GDPR. ÚOOÚ navíc rozhodně nejde po povrchu problému, ale pečlivě kontroluje každý aspekt zvolené operace a má poměrně přísné požadavky, co se předkládání dokumentace týče. Pokud bychom tedy měli z těchto závěrů vyvodit jednu radu, zněla by: Podívejte se na vaše marketingové aktivity a zkontrolujte, zda provádíte profilování, a pokud ano, jak o tom informujete ve vaší informační dokumentaci.
Článek byl publikován v Elektronickém zpravodaji pro pověřence.