Co přinesly loňské kontroly ÚOOÚ v oblasti poskytování služeb? Úřad připustil možnost zpracovávat údaje za účelem registrace na e-shopu na základě jiného právního titulu, než je souhlas. Posvítil si také na benefitní programy a cookies lištu.
Úřad pro ochranu osobních údajů se loni v rámci kontrolního plánu zaměřil mimo jiné na zákaznické, respektive věrnostní programy. Tím však rozsah kontroly v oblasti služeb neskončil. ÚOOÚ se věnoval taktéž kopírování průkazů totožnosti a cookies. Jak tyto kontroly dopadly?
Věrnostní program poprvé
V souladu s kontrolním plánem pro rok 2021 zahájil ÚOOÚ v únoru kontrolu (čj. UOOU-00893/21-14) jisté právnické osoby. Cílem bylo prověření zákonnosti zpracování v rámci věrnostního programu. Předmětem kontroly bylo rovněž obecné posouzení užívání benefitních programů, věrnostních karet a rodinných karet zákazníků kontrolované osoby. V rámci benefitního programu se zpracovávaly osobní údaje jako pohlaví, oslovení, jméno a příjmení, titul (pokud ho subjekt údajů sdělil), datum narození (s ohledem na ověření věkových podmínek), heslo, adresa a podobně. Kontrolovaná osoba taktéž zasílala subjektům údajů marketingové SMS a e-maily, k čemuž získávala svolení prostřednictvím metody double opt-in. Mimo to bylo součástí věrnostního programu i zpracování osobních údajů jako historie objednávek a podobně.
Z protokolu o kontrole vyplývá, že věrnostní program sloužil pro vytvoření vazby se zákazníky prostřednictvím digitálních věrnostních bodů za provedené nákupy (i v rámci maloobchodního prodeje), zlepšení péče o zákazníky a zasílání obchodních sdělení. Co se týče právních titulů, kontrolovaná osoba zpracovávala předmětné údaje na základě nezbytnosti pro plnění smlouvy. Oprávněný zájem pak byl využíván pro analytické účely a souhlas pro účely marketingové (respektive zasílání reklamních sdělení).
ÚOOÚ v tomto postupu neshledal žádné pochybení. Ověřil přitom i zpracovatelské smlouvy s poskytovatelem systému. Vedle toho si vyžádal také další dokumentaci zejména s ohledem na zabezpečení osobních údajů. ÚOOÚ tak byla předložena metodika „Standardní opatření v oblasti ochrany osobních údajů“ (standardní technická a organizační opatření). Věrnostní program podruhé
I druhá kontrola ÚOOÚ v této oblasti (čj. UOOU-00864/21) se týkala zákaznického, slevového a věrnostního programu. V jejím rámci se Úřad podíval také na aspekty provozování e-shopu a využívání cookies.
Zde ÚOOÚ nezveřejnil protokol o proběhlé kontrole, tudíž máme k dispozici velmi omezené informace. Co si rozhodně zaslouží pozornost, je kratší kontrolní zjištění:
„… na základě souhlasu se zpracováním osobních údajů podle čl. 6 odst. 1 písm. a) obecného nařízení (reklama a průzkum trhu, kontaktní údaje);
z důvodu uzavření a plnění smluvního vztahu v rámci zákaznického programu a z důvodu smluvního vztahu vyplývajícího z internetového obchodu, včetně vedení zákaznického konta, tedy podle čl. 6 odst. 1 písm. b) obecného nařízení;
z důvodu zajištění ochrany práv a právem chráněných zájmů kontrolované osoby spočívajících zejména v nutnosti stanovení, výkonu nebo ochrany právních nároků v soudním či jiném řízení v rámci mimosoudního jednání podle čl. 6 odst. 1 písm. f) obecného nařízení.“
Předpokládáme, že kontaktní údaje, které jsou zpracovávány na základě souhlasu, měly spadat pod marketingové účely. Zajímavé by však bylo, pokud by druhá odrážka znamenala, že prodej v internetovém obchodu (tedy smluvní vztah) sdílí svůj účel s vedením zákaznického konta – tedy že by se jednalo o jeden účel. V takovém případě by šlo o poměrně zajímavé sloučení účelů. Pravdou totiž je, ÚOOÚ se v minulosti stavěl odmítavě k tomu, aby registrace do e-shopu probíhala na základě jiného právního titulu, než je souhlas. V případě registrace do e-shopu se tak často využívá právě souhlas, neboť žádný jiný právní titul nepřipadal v úvahu. Internetoví prodejci přitom nebyli dvakrát nadšení z toho, že musí sbírat souhlas s registrací, souhlas s podmínkami vedení účtu a až poté marketingový souhlas.
Výklad, že registrací profilu (byť k tomu „nabalíme“ zákaznické konto) dochází k uzavření smlouvy, a tudíž toto zpracování probíhá na základě nezbytnosti pro splnění smlouvy, otevírá cestu k možné změně výkladu. Doporučujeme však toto brát jako první vlaštovku a stále postupovat obezřetně.
Stížnost na cookies
Ačkoliv nás rozsáhlejší kontroly cookies teprve čekají (ÚOOÚ si to předsevzal pro rok 2022), kontrolu cookies provedl taktéž v roce 2021 (čj. UOOU-02688/20-34). Kontrolovanou osobou byl e-shop a kontrola byla zahájena na základě stížnosti, která se vztahovala ke způsobu získávání souhlasu s ukládáním cookies.
ÚOOÚ k tomu uvedl následující: „Úřad konstatoval, že společnost porušila povinnost stanovenou v čl. 6 odst. 1 písm. a) obecného nařízení, neboť po přesněji nezjištěnou dobu nebyla splněna podmínka vyjádření informovaného souhlasu. Porušení se dopustila tím, že pokud se uživatel rozhodl před udělením souhlasu získat více informací o zpracování osobních údajů a klikl na odkaz ‚Osobní údaje‘, současně tím udělil neinformovaný souhlas se zpracováním osobních údajů prostřednictvím cookies.“
V rámci protokolu se o příčinách problémů dozvídáme více: „Z podnětu stěžovatele vyplývá, že ačkoliv neposkytl řádný souhlas dle nařízení (EU) 2016/679, zpracovává společnost jeho osobní údaje. Dle jeho vyjádření se mu při návštěvě webových stránek společnosti zobrazila lišta, na které bylo uvedeno, že pokud klikne kamkoliv na stránku, souhlasí se zpracováním osobních údajů prostřednictvím cookies. Na této liště byla dále možnost kliknout na tlačítko ‚Rozumím‘, nebo tlačítko ‚Upravit nastavení‘. Podatel tedy klikl na tlačítko ‚Upravit nastavení‘, ale následující stránka se mu zobrazila neúplná, jelikož neměl ve svém prohlížeči povolení spuštění JavaScriptu (jak později sám zjistil). Vzhledem k faktu, že se mu již při dalším prohlížení webových stránek společnosti lišta neobjevila, dovodil, že došlo k udělení nesouhlasu.“
Souhlas pak měl být dle kontrolované osoby sbírán tak, že návštěvník buď klikne na tlačítko „Rozumím“, nebo kamkoliv na stránku (což už dnes neplatí). Jak se s tím však ÚOOÚ vypořádal, je poměrně zajímavé. V úvodu protokolu o kontrole totiž shrnuje informace, které se týkají nesprávné implementace směrnice ePrivacy (neboť přímo závazný zákon pro kontrolovanou osobu v té době stanovoval opt-out).
ÚOOÚ však ještě před účinností aktuální právní úpravy uvedl následující: „Kontrolující vyhodnotili zjištěný stav tak, že kontrolovaná osoba porušila povinnost stanovenou v čl. 6 odst. 1 písm. a) nařízení (EU) 2016//679, neboť po nezjištěnou dobu nebyla splněna podmínka vyjádření informovaného souhlasu. Porušení se dopustila tím, že pokud se uživatel rozhodl před udělením souhlasu získat více informací o zpracování osobních údajů a klikl na odkaz ‚Osobní údaje‘, současně tím udělil neinformovaný souhlas se zpracováním osobních údajů prostřednictvím cookies.“
ÚOOÚ však pravděpodobně žádnou sankci kontrolované osobě neuložil, neboť uvedl: „V současné době již není možné udělit souhlas se zpracováním osobních údajů prostřednictvím cookies pouhým kliknutím na jakýkoliv odkaz na stránce, došlo tedy k nápravě závadného stavu (podklad č. 14).“
Výše uvedené naráží na jednu zajímavou věc. Cookies lišta se stěžovateli nezobrazila správně pravděpodobně z toho důvodu, že měl zakázáno spouštět JavaScript. Bylo by tedy vhodné zkontrolovat, zda vaše lišta funguje správně. Nicméně v případě režimu opt-in by pravděpodobně k žádnému nezákonnému zpracování nemělo dojít, neboť pokud se lišta nezobrazí, uživatel nemá možnost dát souhlas.
Kopie občanských průkazů
Poslední kontrola skončila pokutou. Kontrola (čj. UOOU-03541/20) byla zahájena na základě stížnosti polského občana prostřednictvím systému pro výměnu informací o vnitřním trhu (IMI). Polskému občanovi se nelíbilo to, že hotel kopíroval jeho průkazy totožnosti.
Totéž se následně nelíbilo ani ÚOOÚ. Ačkoliv v rámci své metodiky „Prokazování totožnosti a zpracování osobních údajů“ připomíná, že dle zákona č. 565/1990 Sb., o místních poplatcích, je ubytovatelům uložena povinnost v rámci evidence ubytovaných zapisovat mimo jiné číslo občanského průkazu nebo cestovního pasu osoby, které poskytl ubytování, v tomto případě se nespokojil s argumentací, že kopie průkazu totožnosti probíhá na základě souhlasu. Když ÚOOÚ navíc vyzval hotel k předložení daných souhlasů, dle jeho slov je kontrolovaná osoba nebyla schopna doložit.
ÚOOÚ se taktéž nelíbil stav předložených záznamů o činnostech zpracování, v nichž chyběla informace o kompletním účelu zpracování v případě vedení evidenční knihy a taktéž o předávání osobních údajů cizinecké policii. Samotné informování mělo probíhat ústně a správce nebyl schopen splnění této povinnosti doložit. Za to vše ÚOOÚ zahájil s hotelem navazující řízení a udělil mu sankci.
Nové možnosti interpretace
Kontroly v této oblasti otevřely nové možnosti intepretace zásady zákonnosti ve vztahu k právním titulům. Během příchodu GDPR se právě benefitní programy často zmiňovaly jako oblasti, které spolu s magnet marketingem nebudou smět fungovat. ÚOOÚ potvrdil, že i tyto oblasti zpracování lze bezpečně provozovat v souladu s GDPR.
Článek byl publikován v Elektronickém zpravodaji pro pověřence