Zpracování osobních údajů prostřednictvím zákaznických karet

Aniž si to možná lidé uvědomují, tak vlastně obchodují, resp. za slevu velmi často vymění část svého soukromí tím, že poskytnou obchodníkovi minimálně některé ze svých osobních údajů, vesměs identifikačních. Členství v takovém zákaznickém klubu je sice zdarma v tom smyslu, že se tam neplatí žádné přímé členské příspěvky nebo poplatky, ale členové „zaplatili“ tím, že poskytli obchodníkovi minimálně svoje kontaktní údaje, aby získali slevovou anebo jinou benefitní kartu. Kartu proto, že dnes již obchodníci vydávají všelijaké kartičky, které prokazují členství v „zákaznickém klubu“ či nárok na nějakou slevu, určenou vlastníkovi takové karty a sleva je mu pak odúčtována při dalším nákupu.

Je třeba si uvědomit, že v případě věrnostních karet se vždy jedná o zpracování osobních údajů a tedy aplikaci zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“). Jedním z jeho základních atributů je, že osobní údaje je možno zpracovávat jen se souhlasem subjektu údajů, fyzické osoby, pokud tedy neexistuje výjimka, a zpracování se děje bez takového souhlasu. Většina spotřebního zboží se nekupuje „na jméno“, a tak obchodníci mají zájem získat osobní údaje zákazníka, aby jej mohli dále oslovovat s nabídkou svých služeb a případně také poskytnout slevy a nabídnou mu tak zákaznickou kartu, „výměnou“ za jeho osobní údaje. Jejich rozsah bývá různý.

Protože poskytovat slevové nebo zákaznické karty žádný zákon neukládá, může obchodník osobní údaje svých klientů získat a dále je zpracovávat jen s jejich souhlasem. ZoOU definuje ve svém § 4 písm. n) souhlas subjektu údajů jako svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Aby bylo možné udělený souhlas skutečně považovat za vědomý, je nutné, aby byl také tzv. informovaný. Tuto informovanost vyžaduje ustanovení § 5 odst. 4 ZoOU, podle něhož musí být subjekt údajů při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období, a dále § 11 odst. 1 a odst. 2 ZoOU, které vyžadují, aby správce při shromažďování osobních údajů subjekt údajů informoval o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21 ZoOU. V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Podle již zmíněného § 5 odst. 4 souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Tedy musí si jej uchovat. Z praktických důvodů pak obchodníci „vyrábějí“ jakýsi formulář, který více či méně naplňuje požadavky ZoOU.

V tom nejjednodušším případě, kdy je zákazníkovi vydávána nabízená karta přímo na obchodním místě, nebývá na ní ani uvedeno jméno a příjmení zákazníka, ale taková karta mívá číslo, které ve spojení s podepsaným „formulářem“ souhlasu poskytuje obchodníkovi například při každém uplatnění slevy sejmout obyčejnou čtečkou čárových kódů číslo karty a tedy evidovat využití karty. Formulář se souhlasem ke zpracování osobních údajů by mohl vypadat třeba takto:

„Zákazník svým podpisem uděluje v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů, souhlas se zpracováním všech poskytnutých osobních údajů (jméno, příjmení, adresa bydliště e-mail, mobil) společnosti XYZ, zapsaná v obchodním rejstříku vedeném Městským soudem v A oddíl C, vložka 11111, která je správcem, a s jejich následným zpracováním (případně i prostřednictvím zpracovatele), a dále souhlasí se zpracováním zákazníkem uvedených osobních údajů pro marketingové účely správce, tj. nabízení služeb, včetně zasílání informací o pořádaných akcích, službách a jiných aktivitách, jakož i zasílání obchodních sdělení prostřednictvím elektronických prostředků dle zákona č. 480/2004 Sb., s tím, že k těmto údajům mohou být přiřazeny i další údaje.“

Tento souhlas je udělován dobrovolně na dobu platnosti zákaznické karty, avšak může být kdykoliv ze strany zákazníka písemně odvolán na adrese správce. Zákazník svým podpisem potvrzuje, že byl upozorněn na svá práva související se správou a zpracováním osobních údajů správcem, zejména na to, že má práva dle § 11, 21 zákona č. 101/2000 Sb., tj. zejména, že poskytnutí údajů je dobrovolné, že svůj souhlas může bezplatně kdykoliv na adrese správce odvolat, že má právo přístupu k osobním údajům a právo na opravu těchto osobních údajů, blokování nesprávných osobních údajů, jejich likvidaci atd., i o právu obrátit se v případě domnělého porušení svých práv na Úřad pro ochranu osobních údajů“¹.

Dlužno poznamenat, že text je v zásadě odpovídající požadavkům ZoOU (tedy zejména § 5 odst. 5²), ale také zákonu o některých službách informační společnosti. Pozornost u uvedeného textu si však zaslouží větička „k těmto údajům mohou být přiřazeny i další údaje“. Jen málokterý zákazník si pod tímto textem něco konkrétního představí. V případě zmíněné jednoduché slevové karty se nabízí snad jen evidence četnosti využití karty a tedy v konečném důsledku celková výše poskytnutých slev. Pokud je platnost karty omezena na nějaké kratší časové období, řekněme 1 rok, nebude těch informací ani příliš mnoho, i když informace, o jaké že další údaje, které mohou být přiřazovány k těm základním identifikačním, by si určitě upřesnění zasloužila. Problematické může být i to, že zákazník třeba vůbec nedostane nějakou kopii souhlasu (formuláře), kterým souhlas udělil. Nedá se příliš očekávat, pokud pojme úmysl svůj souhlas například odvolat, že si bude pamatovat firmu správce, resp. jeho kontaktní adresu, pokud by chtěl svůj souhlas odvolat. Pravdou ovšem je, že ZoOU žádnou takovou povinnost, tedy vydat subjektu údajů kopii souhlasu, nestanoví. Naopak, jak výše uvedeno, stanoví povinnost správci souhlas po celou dobu, kdy platí, uchovávat.

Existují však obchodníci, kteří k problematice věrnostních karet přistupují daleko „komplexněji“, mají propracovaný systém slev, například evidují u něj majitelem karty utracené peníze v jejich celkovém objemu a poskytují pak hromadně nárok na slevy, odpovídající utraceným penězům. A i jejich zájem o informace o zákazníkovi, kterému slevy poskytují, budou asi komplexnější. Ale z hlediska zákazníka také rizikovější. Jak jsme si ukázali výše, takový souhlas může být poměrně jednoduchý dokument, pokud tedy bude obsahovat a zákony požadované informace. Do zákazníkovi předkládaného textu souhlasu však může být vloženo i něco, co sice na první pohled, zejména z pohledu člověka, který vnímá především fakt, že může, resp. bude moci získat slevy, nic moc neznamená, resp. si pod obecnými větami nic pro něj závadného nepředstaví, zvláště když je mu předkládaný text doplněn třeba komentářem, „slevovou kartu vám rádi dáme, ale nějaký nesmyslný zákon nám ukládá, že musíme mít váš souhlas k nakládání s údaji, které nám dáváte“. Při jen průměrné znalosti lidské psychiky, tedy zejména české, si každý marketingový specialista vyhodnotí, že jen minimum lidi si předkládaný text skutečně pečlivě přečte, a pokud už tak učiní, že by snad odmítl slevovou kartu (klubovou nebo jakoukoliv kartu přinášející nějaké zákaznické výhody). A tak směle vloží do textu souhlasu například že „účelem zpracování je také zasílání nabídek zboží a služeb poskytovaných dodavatelskou společností nebo jejími obchodními partnery, provádění marketingu, nebo že zákazník souhlasí s tím, aby jeho osobní údaje byly poskytovány třetím stranám, tj. subjektům spolupracujícím třeba na věrnostním programu, i když změní sídlo a začnou působit mimo území České republiky, a tedy údaje budou předávány do zahraničí, reklamním agenturám a podobně. Lze však zajít ještě dále. Tedy že například zákazník souhlasí také s tím, že budou zpracovávány i údaje o jeho nákupních zvyklostech během trvání “jeho členství ve věrnostním klubu„ nebo po dobu platnosti slevové karty a podobně.

Pokud tedy zákazník vysloví a podepíše podobně naformulovaný souhlas, může být časem nemile překvapen. Jednoduchá úvaha, tedy obchodník ví, kdo jsem, a eviduje si pro účely slevy, za kolik nakoupím, je, nebo může být v praxi výrazně jiná. Úsloví „nákupní zvyklosti“ totiž neznamená, za kolik jsem nakoupil, ale především, co jsem koupil a kdy. Pojem „zpracování osobních údajů“ je totiž značně široký. Je definován v § 4 písm. e) ZoOU jako „jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Připomeňme si, že zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace“. A jaký je možný důsledek takto uděleného souhlasu a co můžete tedy případně čekat? Časem bude obchodník vědět, jak často nakupujete a za kolik (a poskytne vám slevu), ale hlavně bude běžnou analýzou nákupů v časové řadě skutečně znát nákupní zvyklosti. A pak na základě analýzy takto (dlužno říci že po právu) získaných informací si učiní docela slušnou představu o sociálním statusu nakupujícího (kupuje spíše dražší a kvalitní zboží a patří tedy k majetnější vrstvě obyvatelstva), ale také třeba jak je asi rodina nakupujícího velká, kolik asi má dětí a jak starých (například kupuje 2x týdně velké balení dětských přesnídávek a jednou za 3 týdny velké balení dětských plen). To už jsou informace, nad nimiž by se lidé měli zamyslet. A to ani nezmiňujeme skutečnost, že tyto údaje mohou být předány prakticky komukoliv, kdo podle výše uvedeného příkladu „spolupracuje“ s poskytovatelem slev, a že i tyto informace se mohou ocitnout v zahraničí u subjektu, o němž nemá zákazník ani ponětí. To vše jsou důsledky několika vět, inkorporovaných do souhlasu se zpracováním údajů o nákupních zvyklostech šťastného majitele slevové karty. Samozřejmě se obchodník zavazuje, že údaje nezneužije, že je použije v souladu s účelem, tedy primárně marketingem anebo nabízením obchodu a služeb. Použití slova ³ v souhlasu je důležité z hlediska ZoOU i z jiných důvodů Tento zákon pojem „marketing“ vůbec nezná a používá jen slovní spojení „nabízení obchodu a služeb (§ 5 odst. 5). Z hlediska účelu zpracování je však rozlišování obou pojmů (nabízení obchodu a služeb x ) velmi důležité. Pojem je pojmem výrazně širším, zahrnujícím zřejmě i zpracování osobních údajů pro účely výzkumu a ovlivňování trhu či stanovování koncepcí podnikatelské politiky, která vychází z potřeb a požadavku trhu a reaguje na ně opatřeními, kterými trh ovlivňuje. Pro takový účel zpracování by pak bez souhlasu vůbec nepřicházela v úvahu aplikace ustanovení § 5 odst. 6 a násl. ZoOU.

Tedy shrnuto, zákazník na sebe podpisem souhlasu za takových výše zmíněných podmínek prozradí opravdu mnoho. A pokud souhlasí i s tím, že jeho údaje, tedy vlastně všechny, které je poskytovatel slevové karty oprávněn zpracovávat v širokém významu tohoto slova, aby mohly údaje být i předávány do zahraničí, může se dočkat mnohých překvapení. Může být zasypáván nabídkami zboží anebo služeb od firem, o nichž v životě neslyšel, a nejen to, tato nabídka může být i tak velmi přesně cílená, až je zákazník překvapen, jak se „ta reklama nebo nabídka“ trefila. S odstupem času už totiž dávno zapomněl, k čemu všemu dal vlastně souhlas a kdo všechno se k údajům o jeho osobě může dostat, a to jen díky tomu, že nosí v peněžence „slevovou kartu“.

Pokud je souhlas se zpracováním osobních údajů předložen zákazníkovi v papírové formě při návštěvě obchodního místa poskytovatele služeb, není udělení souhlasu věc nijak složitá. Prostě formulář podepíše. A protože kopii vesměs vůbec nedostane, časem zapomene, jak jsme již výše zmínili, co vlastně podepsal. Poněkud jiná bude situace při v případě, že je možno se přihlásit „do klubu“ a dále získávat slevy pomocí prostředků elektronické komunikace, tedy zejména internetu na webových stránkách obchodníka nebo poskytovatele služeb. V takovém případě však nebude k dispozici podpis, ale musí být postupováno tak, aby souhlas byl . Ani ZoOU neklade meze tomuto způsobu komunikace a většinu povinností stanovených tímto zákonem lze plnit i elektronickou formou⁴. Pro tuto činnost je především důležité, aby jednotlivci (subjekty údajů) byli lépe informováni nejen o svých právech, ale i o tom, jak se jich domáhat, včetně možností volby při vlastním rozhodování, a jaké jsou náležitosti právně relevantního rozhodnutí o poskytnutí souhlasu se zpracováním osobních údajů, které se subjektu údajů týkají. Jak jsme již výše uvedli, rozsah údajů, které může získat poskytovatel slevové karty, je potencionálně značný. Lze jen velmi doporučit, aby si , zákazník, pozorně přečetl podmínky, za nichž souhlas se zpracováním poskytuje. Nebývá totiž zvykem, že by získal kopii jím uděleného souhlasu. Může se pokusit najít podmínky například na webových stránkách poskytovatele, který, pokud se jedná o větší firmu, by tam podmínky označené například „členství v zákaznickém klubu“ mohl mít zveřejněny. by si měl zejména pamatovat, že každý takový souhlas je odvolatelný. Pokud již člověka přestane bavit být obtěžován neustálou reklamou, maily s reklamní nabídkou a slevy vlastně ani moc nevyužívá, má právo svůj souhlas se zpracováním odvolat. Měl by dodržet formu, pokud je v podmínkách uvedena, jinak by měl postačit stejný informační kanál, kterým souhlas udělil. Pokud je v podmínkách uvedeno, že souhlas může být odvolán, a není uveden způsob, lze jen doporučit, aby se tak stalo písemně na adresu poskytovatele slev. Písemně proto, že ZoOU v § 5 odst. 5 mimo jiné uvádí, že „správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně“. Aniž bychom zabíhali do podrobností, právní řád za podání písemné považuje v řadě případů i podání učiněné elektronickými prostředky za stanovených podmínek. Tedy zejména podepsané „zaručeným elektronickým podpisem“. Tím však, alespoň zatím, lidé běžně nedisponují. Odvolání souhlasu má pak ten důsledek, že poskytovatel slev by měl přestat například zasílat adresnou písemnou reklamu, měly by přestat docházet elektronické reklamní nabídky a informace o službách a podobně.

Zřejmým důsledkem však bude, že pozbude práva získávat slevy. Důvod není jen v tom, že přestane být pro obchodníka zajímavým, ale existuje i důvod právní, opírající se o ZoOU. Odvoláním souhlasu totiž odpadl důvod zpracování a údaje, které obchodník při poskytování slev případně získal, musí být zlikvidovány. Plyne tak z § 5 odst. 1 písm. e), který mimo jiné stanoví, že uchovávat osobní údaje je možné jen po dobu, která je nezbytná k účelu jejich zpracování. Současně pak, že pokud například souhlas obsahoval i možnost předávat osobní údaje jiným firmám, poskytovatel musí fakt odvolání souhlasu sdělit i jim, a i tyto další firmy pak musí odvolaný souhlas respektovat a získané údaje také zlikvidovat. Tedy všechny, mimo jména a adresy, minimálně, pokud byl souhlas udělen také k nabízení obchodu a služeb. Plyne tak z § 5 odst. 9 ZoOU který stanoví, že za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas.

Bylo by tedy více než žádoucí, aby si zákazníci (tedy subjekty údajů) uvědomili, že i využívání všelijakých slevových karet má svá úskalí, že v drtivé většině případů za poskytované slevy zaplatí obětováním části svého soukromí a že se případně může i stát, že podpisem „rafinovaně“ formulovaného souhlasu, se osobní údaje ocitnou i mimo českou jurisdikci a snaha o nápravu, tedy zejména o likvidaci předaných dat, bude nereálná. Údaje se mohou časem vyskytnout prakticky kdekoliv a mohou být i lehce zneužitelné, neboť vesměs obsahují základní identifikátory fyzické osoby včetně elektronických kontaktů.