Sankce za porušení GDPR nebudou likvidační, slibuje úřad. Řetězce žádají nový souhlas u věrnostních karet

"Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační," uvedl ÚOOÚ. Pokuty mají být podle něj v každém jednotlivém případě účinné, přiměřené a odrazující.

Úřad připomenul, že nyní maximální pokuta činí deset milionů korun a jím dosud uložená nejvyšší pokuta nedosáhla ani poloviny této sazby. Například společnosti T-Mobile úřad udělil pokutu 3,6 miliónu korun za únik osobních údajů jejích zákazníků. Obcím za provinění naopak uděloval pokutu v řádech desetitisíců korun.

Maximální částka se podle unijního nařízení, které nabude účinnosti 25. května, může vyšplhat až na 20 miliónů eur (zhruba 500 miliónů korun). Podle ÚOOÚ by byla nejspíš udělena za "flagrantní porušení" nařízením stanovených povinností zpravidla velkými nadnárodními společnosti.

"Strašit takovými sankcemi menší firmu nebo školu je nesmysl, stejně jako vydávání horentních částek, podstatně převyšujících výši pokut Úřadem pro ochranu osobních údajů ukládaných, za externí audity soulad s nařízením nezaručujícími," uvádí úřad.

GDPR míří podle ÚOOÚ primárně na nadnárodní správce osobních údajů, jako příklad uvedl zneužití dat sociální sítě Facebook. Společnosti typu Amazon, Google, Facebook nebo Twitter budou podle úřadu i plátci chystané 'digitální' daně, která činí tři procenta z obratu, neboť mají roční celosvětové příjmy nad 20 miliard korun.

Úřad také uvedl, že podle nových pravidel bude mít každý možnost souhlasit se zpracováním svých osobních údajů. Neplatný by byl souhlas podmíněný získáním služby nebo výrobku. Například provozovatelé e-shopů, kteří by jej potřebovali a získali jej dříve rámci obchodních podmínek, by o něj museli požádat znovu.

Pro běžný provoz e-shopů není nutné mít pověřence pro ochranu osobních údajů. Nebudou ho muset mít ani krajské kulturní a příspěvkové organizace, tedy muzea či divadla, neziskové organizace provozující domov pro seniory nebo společenství vlastníků bytových jednotek.

Například Billa provedla audit procesů, týkajících se zpracování osobních údajů zákazníků či zaměstnanců. "Stávající členové Billa Bonus Clubu jsou již kontaktováni na prodejnách, aby poskytli nový souhlas se zpracováním osobních údajů. Tento je možné udělit přímo na prodejně pomocí tištěného formuláře nebo přes webové stránky gdpr.billa.cz," uvedla mluvčí Dana Bratánková. Náklady na implementaci vyčíslila v řádu milionů korun.

Také Globus několik týdnů zákazníky registrované ve věrnostním programu Globus Bonus informovuje, jaká data o nich shromažďuje, jak s nimi pracuje a žádá je o povolení, že tyto informace můžeme využívat i nadále. "V hypermarketech máme nyní nové registrační formuláře, které GDPR vyhovují, upravujeme také webové stránky programu a kiosky a proškolujeme kolegy na zákaznické lince," uvedla Pavla Hobíková z Globusu.

Kaufland ve věrnostním programu údaje o zákaznících nemá. "Co se týká našeho věrnostního programu, ten není založen na poskytování osobních údajů zákazníků. Zákazníci pouze sbírají body za každý svůj nákup a při uplatnění slevy na věrnostní program odevzdávají u pokladny pouze kartu s nalepenými body bez osobních údajů," řekla mluvčí Renata Maierl.

"Při implementaci požadavků GDPR z naší strany nepředpokládáme žádné neočekávané překážky nebo zásadnější komplikace," dodala mluvčí Lidlu Zuzana Holá.

Provozovatel e-shopu by měl směrem k zákazníkům v první řadě upravit informační povinnosti, jejichž splnění by mělo odpovídat požadavkům GDPR. "U zpracování osobních údajů pro účely splnění kupní smlouvy stačí nakupujícího řádně informovat. Pro marketingové účely mimo komunikaci s vlastními zákazníky je nutné získat aktivní souhlas spotřebitele," uvedl výkonný ředitel Asociace pro elektronickou komerci Jan Vetyška.

"Co se týká praxe - domníváme se, že se nakupování v e-shopech a mailový marketing změní, bohužel v neprospěch zákazníka. Ten bude totiž muset odklikávat souhlasy se zpracováním osobních dat, jinak bude hrozit, že nebude moci využít funkcionality e-shopů v celé šíři, na jaké je doposud zvyklý," řekla Patricie Šedivá z e-shopu Alza.cz. Mailový marketing se podle ní již nyní využívá jedině se souhlasem zákazníka, v této oblasti tedy změna nebude.

Zhruba třetina zákazníků e-shopů odebírá od obchodníků newslettery. Zařazeni do rozesílání byli často jen na základě jednoho nákupu. Reklamní sdělení posílaná e-mailem tvoří v průměru až 25 procent obratu on-line obchodů. Přestože GDPR zpřísňuje práci s osobními údaji, množství newsletterů v české e-commerce to podle společnosti Shoptet neovlivní.