„Úřadu pro ochranu osobních údajů byla doručena stížnost na rozesílání obchodních sdělení. K odeslání obchodních sdělení došlo dne 5. 8. 2023, a to z e-mailové adresy XYZ na e-mailovou adresu ABC. Technickou analýzou datového souboru v hlavičce zprávy bylo zjištěno, že odesílatelem je společnost XYZ. Stěžovatel ve svém podání uvádí, že odesílateli neposkytl souhlas se zasíláním obchodních sdělení, není zákazníkem, ani jeho registrovaným uživatelem.“
Takhle může znít dokument, který vám přistane do datové schránky od Úřadu pro ochranu osobních údajů. Součástí dokumentu také bývá výzva k vymazání e-mailové adresy z databáze a výzva k vysvětlení o tom, jak v praxi zajišťujete dodržování pravidel pro zasílání obchodních sdělení podle zákona o některých službách informační společnosti.
V článku nabízíme praktické shrnutí pro e-shopy, na co se v nastavování pravidel pro obchodní sdělení zaměřit.
Kde dochází k nejčastějším chybám a jak v reálu probíhá kontrola Úřadu?
Základní pravidla pro online marketing
Největší problém, se kterým se e-shop může setkat, je spojen s příkladem v úvodním odstavci. E-shopy jsou totiž ukázkovým příkladem jakýchkoliv výukových materiálů věnujících se obchodním sdělením. Bohužel často i odstrašujícím.
Příklad z praxe: E-shop prodává elektroniku. Při dokončení registrace zadá zákazník také svou e-mailovou adresu pro účely zaslání shrnutí objednávky, faktury a informací o stavu doručení zboží. Týden po doručení zboží přijde zákazníkovi e-mail s nabídkou dalších produktů, které e-shop prodává. Zákazník se rozhořčeně obrací na Úřad pro ochranu osobních údajů a podává stížnost na nevyžádané obchodní sdělení.
A jak takový příklad dopadne?
Pokud šlo o první porušení a e-shop poskytne Úřadu součinnost, pravděpodobně nebude ani zahájena kontrola. Úřad se spokojí s vysvětlením a slibem, že příště už se to nestane. O porušení právních předpisů však jednoznačně šlo. A Úřad nezapomíná. Pokud se bude podobná chyba opakovat, tak to hříšníkovi příště sečte.
V čem e-shop chyboval?
Marketingové e-maily je možné v souladu s § 7 zákona o některých službách informační společnosti zasílat za splnění některé z těchto podmínek:
Jedná se o zákazníka e-shopu, který si na e-shopu nakoupil zboží. V takovém případě je možné zasílat obchodní sdělení o vlastních obdobných výrobcích a službách. Důležité ale je, aby uživatel měl možnost odmítnout obchodní sdělení ještě před zasláním toho prvního. Při dokončení objednávkového procesu by tak měl mít zákazník možnost zakliknout okénko „Nechci dostávat newslettery“ či obdobný check-box. Pokud jej zaklikne, do databáze by se dostat rozhodně neměl (opt-out).
Jedná se o jakéhokoliv uživatele, který udělil souhlas se zasíláním obchodních sdělení. V takovém případě je možné zasílat jakékoliv nabídky, které nemusí souviset s provozem e-shopu. V praxi by tak na konci objednávkového procesu byl umístěn check-box „Chci dostávat obchodní sdělení“ či obdobný. Pokud jej uživatel zaklikne, do databáze se zařadí (opt-in). Rozdíl je v tom, že uživateli je možné poslat obchodní sdělení o čemkoliv, třeba i nabídku partnerských společností.
Co v marketingu nedělat?
Bohužel se stále setkáváme s případy, kdy si e-shop koupil databázi „ověřených“ kontaktů z různých pochybných zdrojů. Následně na tyto kontakty zaslal nabídku svých služeb. Taková činnost však není v souladu se zákonem, protože se nejedná ani o zákazníka, ani nebyl udělen souhlas.
A pokud se ptáte, zda by stačilo na tato získané e-maily zaslat žádost o udělení souhlasu, také vás zklamu. I tato samotná žádost je Úřadem pro ochranu osobních údajů považována za obchodní sdělení.
Jiným příkladem je dotazník spokojenosti. Provozovatelé e-shopů si mnohdy neuvědomují definici toho, co je považováno za obchodní sdělení. Tím se totiž rozumí i jakékoliv sdělení k podpoře image a brandu podnikatele. A právě tím dotazník spokojenosti je. Takže i pro zaslání takového dotazníku je potřeba vybrat jednu z možností opt-in nebo opt-out.
Posledním příkladem z oblasti obchodních sdělení je „přilepení“ nabídky do shrnutí objednávky. E-shop nemůže (legálně) přiložit do shrnutí objednávky nabídku slev a voucherů třetích stran, aniž by k tomu měl souhlas adresáta. Za podobnou věc ÚOOÚ v minulosti uložil pokutu ve výši téměř 8 milionů korun.
Pozor na cookies
Druhým nejčastějším příkladem, kde mají e-shopy nedostatky a kde jsme se již setkali s kontrolami a pokutami od ÚOOÚ, je využívání cookies. Pravidla pro cookies na webech jsou dnes velmi striktní. U e-shopů nastává problém většinou ve chvíli, kdy v různých částech e-shopu jsou uloženy různé cookies. Například před dokončením objednávky je spuštěno více nástrojů, které vyhodnocují, zda zákazník nákup dokončil nebo ne. Pokud e-shop některé cookies nastaví nesprávně nebo na jejich soulad s regulací vůbec nemyslí, hrozí mu, že si toho někdo jiný všimne.
Jak cookies správně nastavit?
Poučka je velmi jednoduchá. Na e-shopu mohou být bez souhlasu spuštěny pouze cookies, které jsou nezbytné pro správné fungování e-shopu a zajištění jeho funkcionalit (tzv. technické cookies). V této oblasti jsou nejhezčím příkladem cookies, které uloží po nezbytně nutnou dobu informace o nákupu do virtuálního nákupního košíku.
Vše ostatní už musí být pod souhlasem. Ať už jde o Google Analytics, HotJar, Google Ads apod. Pak do hry vstupuje všem notoricky známá cookies lišta. Ta by měla splňovat základní požadavky, aby se uživatel mohl svobodně rozhodnout, zda souhlas udělí nebo ne. Případně aby si vybral, pro jaké účely souhlas udělí.
ÚOOÚ se moc netváří ani na to, když je tlačítko pro „Přijmout vše“ výrazně barevně odlišné od „Odmítnout vše“. Je to jeden z tzv. dark patterns, které se v oblasti cookies často vyskytují a které mají uživatele tak trochu manipulovat k tomu, aby souhlas s cookies udělil.
Kdo chce moc, nemá nic
Poslední oblastí, kde se může e-shop velmi rychle spálit, je nadužívání osobních údajů. V rámci objednávkového formuláře jsou například vyžadovány osobní údaje, které vůbec nejsou potřeba pro dodání zboží. Ani pro žádný konkrétní účel, který si e-shop nadefinoval.
Uživatelé pak musí vyplňovat informace, u kterých provozovatel e-shopu není schopen odůvodnit, proč je sbírá a ukládá. S tím souvisí také nadměrné užívání nástrojů třetích stran, kdy na e-shopu je mnohdy nasazeno pět různých nástrojů, do kterých data tečou. Následně se s nimi však nijak nepracuje a takové nadbytečné sdílení osobních údajů je neodůvodněné.
To jde ruku v ruce s tím, jak vypadají privacy policy e-shopů. Ty často nijak specificky nepopisují, jak e-shopy s osobními údaji pracují, s kým jsou data sdílena, jaká jsou pravidla pro uložení osobních údajů atd. A v tu chvíli může přijít nepříjemná kontrola ÚOOÚ.
Jak probíhá kontrola ÚOOÚ?
Kontrola ÚOOÚ obvykle nepřichází jako blesk z čistého nebe. Aby vůbec kontrola proběhla, předchází jí poměrně dlouhá cesta. Nejprve je potřeba říct, že Úřad u e-shopu s velkou pravděpodobností nezahájí kontrolu ze své vlastní iniciativy. I když tak může učinit, při plánovaných kontrolách se primárně zaměřuje na jiné segmenty. Proto bude kontrola s největší pravděpodobností spojená se stížností konkrétního, často z jiných důvodů nespokojeného, klienta.
Může se jednat o zákazníka, který nebyl spokojen s nákupem, uživatele, který dostal nevyžádaný e-mail, návštěvníka webu, který si prostě jen všiml nesrovnalostí. A pošle stížnost na Úřad.
Kontrola nezačíná automaticky. Úřad e-shop většinou vyzve, ať se k dané věci vyjádří. A pokud je e-shop kontaktní a s Úřadem komunikuje, může celá záležitost skončit už ve fázi „vysvětlování“. Pokud by odůvodnění e-shopu nebylo dostatečné, nebo pokud stížnost svědčí o větším, systémovém pochybení, Úřad může následně zahájit kontrolu. V rámci ní si Úřad vyžádá relevantní dokumenty, např. záznamy o zpracování, interní předpisy, smlouvy s dodavateli atd., a často provede i kontrolu na místě. Drtivá většina komunikace však probíhá prostřednictvím datové schránky a spočívá ve „výměně dopisů“.
Výsledkem je kontrolní protokol, proti kterému se může e-shop bránit námitkami. Pokud je na základě kontroly shledáno porušení GDPR či jiného právního předpisu, může být s e-shopem zahájeno správní řízení pro uložení sankce.
Určitě nelze doporučit v průběhu kontroly informace zatajovat, neposkytovat dostatečnou součinnost nebo dokonce úplně ignorovat výzvy Úřadu. Za neposkytnutí součinnosti Úřadu může být také udělena pokuta, přičemž z rozhodovací praxe je vidět, že tato pokuta může být nakonec vyšší, než samotná sankce za porušení GDPR nebo zákona o některých službách informační společnosti.
Nezapomeňte na Českou obchodní inspekci
Provozovatelé e-shopů by měli myslet také na to, že Úřad pro ochranu osobních údajů není jediným orgánem, který je může kontrolovat. Při svém podnikání se spíše potkají s Českou obchodní inspekcí (ČOI), která řeší prohřešky například v oblasti porušení pravidel pro spotřebitele. Typicky se jedná o transparentní zobrazení ceny, možnost odstoupení od smlouvy, přijímání a vyřizování reklamací, poskytování informací o právech spotřebitele na webu atd.
V minulosti jsme zastupovali také e-shop, u kterého byla zahájena kontrola právě ze strany ČOI. Ta během kontroly zjistila možné porušení GDPR a dala podnět na Úřad pro ochranu osobních údajů.
Stížnost k jednomu úřadu může odstartovat lavinu dalších kontrol a řízení.
Ani červená čísla nejsou důvodem k posílání spamu
Oblast e-commerce v současné době z obchodního hlediska spíše stagnuje. Některé e-shopy tak pro přilákání nových klientů zvažují i praktiky, které nejsou zcela v souladu s právem. Ať už se nakonec rozhodnou vydat jakoukoliv cestou, tento článek by jim mohl sloužit jako návod k vyvarování se těch nejčastějších chyb.