Heureka se podle odborníků snaží obejít GDPR, e-shopům navíc dala nůž na krk

E-shopy mají dle Heureky jen nabídnout odmítnutí dotazníků hodnocení (tzv. opt-out). Pokud tak e-shop neučiní, půjde o porušení podmínek Heureky a obchodníkům bude hrozit odebrání loga "Ověřeno zákazníky“. Zda princip opt-out postačuje GDPR, by měl v příštím týdnu rozhodnout Úřad pro ochranu osobních údajů. Ani stanovisko úřadu však nemusí být definitivní a je dost možné, že o všem budou muset rozhodnout až soudy.

Heureka a Zboží mají odlišný pohled na GDPR

Řada e-shopů se nyní potýká v souvislosti s GDPR se srovnávačem Heureka. Heureka totiž po online obchodech chce, aby po uživatelích nevyžadovaly souhlas se zpracováním osobních údajů pro účely sběru hodnocení (opt-in), nýbrž jen zákazníkům nabídly odmítnutí dotazníků hodnocení (opt-out). Podle Heureky je e-shop povinen zákazníky jen informovat o předání jejich údajů Heurece jako zpracovateli osobních údajů.

Zcela jiný pohled na věc má ovšem srovnávač Zboží, podle kterého e-shopy potřebují výslovný souhlas se zpracováním osobních údajů pro účely sběru hodnocení. To se dělá typicky zaškrtávacím políčkem, které musí být implicitně neaktivní a nepovinné. Pokud posíláte osobní údaje kvůli hodnocení více službám, můžete je sdružit do jednoho souhlasu, píše firma Seznam, která Zboží.cz provozuje, na svém blogu.

Čtěte více: GDPR, e-shopy a srovnávače? Heureka.cz a Zboží.cz se neshodnou na postupu

Pracujeme na jiném principu, hájí se Heureka

Heureka svůj postup hájí tím, že funguje jinak než Zboží a díky tomu se lze opřít o rozdílné výklady/přístupy ke sběru souhlasů a režimu opt-in/opt-out. Zboží odesílá svůj dotazník spokojenosti a zákazník je při hodnocení přesměrován a hodnotí na stránkách Zboží, kde také může následně provádět další akce. Dotazník v systému Ověřeno zákazníky je zasílán e-shopem, zákazník pak není přesměrováván na stránky Heureky, ale vyplňuje hodnocení na samostatné URL. Nejedná se o propagaci Heureky jako takové, ale o nezávislou službu na hodnocení kvality e-shopů, kterou také e-shopy pro tento účel využívají, napsal na blogu Heureky Jan Kriegel, ředitel zákaznické podpory Heureky.

Heureka jinými slovy tedy argumentuje tím, že jménem e-shopu zašle dotazník na hodnocení spokojenosti. Pro e-shop (správce) je toto v pořádku, protože se jedná o „obchodní sdělení“ zaslané v oprávněném zájmu a Heureka se pro toto použije jako „sluha e-shopu“, tedy zpracovatel. Pro takový krok podle Heureky není potřeba samostatný souhlas. Pokud v rámci tohoto e-mailu jako zákazník svolíte, aby si Heureka recenzi sama použila, stává se z ní rázem správce vašeho hodnocení a souhlas vyjadřujete tímto svolením.

Heureku podporuje Asociace pro elektronickou komerci (APEK), podle které je rozhodující, na jakém právním základě bude obchodník dotazník zákazníkům rozesílat. Z našeho pohledu se přikláníme k názoru, že hodnocení nákupu v e-shopu lze považovat za tzv. oprávněný zájem. V případě existence zpracovatelské smlouvy s dalšími subjekty se tak nyní domníváme, že aktivní souhlas zákazníka formou opt-in není nutný, uvedl serveru Podnikatel.cz Jan Vetyška, výkonný ředitel APEK.

Je potřeba opt-in, myslí si odborníci

Co se ale týče právníků a specialistů na GDPR, ti s postupem Heureky příliš nesouhlasí. Podle mého názoru je řešení Heureky taková princezna Koloběžka – oblečená, neoblečená, učesaná, neučesaná a je otázka, jestli to Úřad pro ochranu osobních údajů a soudy budou tolerovat, sdělila serveru Podnikatel.cz Petra Dolejšová, advokátka společnosti eLegal.cz.

Kámen úrazu tkví podle Dolejšové v tom, že pro zaslání obchodního sdělení potřebuje e-shop souhlas s použitím e-mailu nebo to, aby se jednalo o zákazníka e-shopu. Heureka tak zasílá „žádost o souhlas pro použití recenze na Heureku“ na e-mail, ke kterému nemá oprávněný přístup (nemá souhlas to zaslat, ani se nejedná o jejího zákazníka). Striktně právně – toto je za mě obcházení GDPR. Striktně marketingově – přijde mi to geniální řešení ze strany Heureky, doplnila Dolejšová.

S tím, že jde z hlediska práva o obcházení GDPR, souhlasí i Kamil Beránek, odborník na GDPR. Nařízení GDPR posunuje komunikaci se zákazníkem k tomu, že pokud zákazník něco schvaluje apod., tak musí jít, cituji, o „aktivní projev souhlasu“. Není tedy možné se odhlásit, jak tomu bylo u našeho zákona o ochraně osobních údajů. Tuto otázku jsme osobně řešili i s paní ředitelkou Úřadu pro ochranu osobních údajů (ÚOOÚ) a oni se na to dívají stejně, upřesnil Kamil Beránek.

Úřad se k Heurece vyjádří příští týden

Samotný ÚOOÚ serveru Podnikatel.cz potvrdil, že se postupem Heureky zabývá, ale že oficiální stanovisko vydá až příští týden. Aktuálně úřad popsal princip jen v obecné rovině:

1. e-shop si rozesílá dotazníky spokojenosti sám, tedy používá kontakty, které má v databázi – zde by mohl být nastaven princip opt-out (a to s ohledem na § 7 odst. 3 zákona č. 480/2004 Sb.) – tedy v rámci nákupu by zákazník zaškrtl políčko „nesouhlasím se zasíláním OS“ (tedy i toho dotazníku).
2. e-shop předává e-mailovou adresu subjektu, který za ně dotazníky spokojenosti rozešle – zde tedy dochází kromě rozeslání těch dotazníků také ke zpracování e-mailové adresy nějakým rozesílacím subjektem. S tím však musí zákazník e-shopu souhlasit při tom nákupu. Tzn. zde musí být jednoznačný projev vůle založený na principu opt-in, tedy udělení souhlasu k předání e-mailové adresy za účelem rozeslání dotazníku spokojenosti.

Zvolíte opt-in? Heureka hrozí odebráním loga Ověřeno zákazníky

Zda je správné použít princip opt-in nebo opt-out, však není hlavní problém, se kterými se e-shopy potýkají. Průšvih je v tom, že Heureka nutí e-shopy použít princip opt-out s tím, že pokud tak neučiní, půjde o porušení jejích podmínek. Pokud e-shop svůj postup nezmění, hrozí, že mu Heureka odebere logo „Ověřeno zákazníky“. Pokud bude mít e-shop opt-in, budeme to považovat za porušení podmínek. Ale protože je GDPR pro všechny velmi čerstvé a všichni i na poslední chvíli pracují na tom, aby měli všechny procesy v souladu, budeme v první fázi e-shopy především upozorňovat, komunikovat s nimi a vysvětlovat, k případným blokacím přistoupíme až v druhé fázi, upřesnil serveru Podnikatel.cz Jan Kriegel, ředitel zákaznického centra Heureky.

Heureka tak chce paradoxně e-shopy sankcionovat za to, že se snaží být v souladu s GDPR. E-shopy se tak dostávají do nelehké situace. V tomto případě jdou totiž proti sobě dvě roviny práva: soukromé (podnikatelské ujednání v rámci všeobecných obchodních podmínek Heureky a e-shopaře) a veřejné (GDPR). Samotný občanský zákoník říká, že jsou na sobě tyto dvě oblasti nezávislé a tak e-shopařům asi nezbude nic jiného, než si vybrat, jestli budou v souladu s GDPR, nebo obchodními podmínkami Heureky, a to do doby, než třeba soudy rozhodnou, jestli je přístup Heureky v souladu s GDPR, nebo ne. Do té doby jde riziko ohledně nakládání s e-mailovými adresami zákazníků jak za e-shopy, tak za Heurekou, vysvětlila advokátka Petra Dolejšová. Příští týden by už ale aspoň mělo být jasno, jak se k celé věci staví Úřad pro ochranu osobních údajů.

Heureka svůj postup obhajuje tím, že má s e-shopy společný zájem zachovat co možná největší návratnost dotazníků. Je jasné a námi otestované, že v případě režimu opt-in, tedy sbírání aktivních souhlasů, je odpad zákazníků více než 80%. Případný dramatický pokles návratnosti dotazníků, pokud budeme zákazníky aktivně nutit k přihlášení jejich odběru, může pro velké množství obchodníků znamenat ztrátu ocenění Ověřeno zákazníky a všech výhod s tím spojených. Z těchto důvodů je režim checkboxů formou opt-outu výhodnější nejen pro Heureku, ale především pro všechny zapojené e-shopy, uzavřel Jan Kriegel.