3 časté chyby českých e-shopů z pohledu ÚOOÚ

„Úřadu pro ochranu osobních údajů byla doručena stížnost na rozesílání obchodních sdělení. K odeslání obchodních sdělení došlo dne 5. 8. 2023, a to z e-mailové adresy XYZ na e-mailovou adresu ABC. Technickou analýzou datového souboru v hlavičce zprávy bylo zjištěno, že odesílatelem je společnost XYZ. Stěžovatel ve svém podání uvádí, že odesílateli neposkytl souhlas se zasíláním obchodních sdělení, není zákazníkem, ani jeho registrovaným uživatelem.“

Takhle může znít dokument, který vám přistane do datové schránky od Úřadu pro ochranu osobních údajů. Součástí dokumentu také bývá výzva k vymazání e-mailové adresy z databáze a výzva k vysvětlení o tom, jak v praxi zajišťujete dodržování pravidel pro zasílání obchodních sdělení podle zákona o některých službách informační společnosti.

V článku nabízíme praktické shrnutí pro e-shopy, na co se v nastavování pravidel pro obchodní sdělení zaměřit.

Základní pravidla pro online marketing

Největší problém, se kterým se e-shop může setkat, je spojen s příkladem v úvodním odstavci. E-shopy jsou totiž ukázkovým příkladem jakýchkoliv výukových materiálů věnujících se obchodním sdělením. Bohužel často i odstrašujícím.

Příklad z praxe: E-shop prodává elektroniku. Při dokončení registrace zadá zákazník také svou e-mailovou adresu pro účely zaslání shrnutí objednávky, faktury a informací o stavu doručení zboží. Týden po doručení zboží přijde zákazníkovi e-mail s nabídkou dalších produktů, které e-shop prodává. Zákazník se rozhořčeně obrací na Úřad pro ochranu osobních údajů a podává stížnost na nevyžádané obchodní sdělení.

A jak takový příklad dopadne?

Pokud šlo o první porušení a e-shop poskytne Úřadu součinnost, pravděpodobně nebude ani zahájena kontrola. Úřad se spokojí s vysvětlením a slibem, že příště už se to nestane. O porušení právních předpisů však jednoznačně šlo. A Úřad nezapomíná. Pokud se bude podobná chyba opakovat, tak to hříšníkovi příště sečte.

V čem e-shop chyboval?

Marketingové e-maily je možné v souladu s § 7 zákona o některých službách informační společnosti zasílat za splnění některé z těchto podmínek:

• Jedná se o zákazníka e-shopu, který si na e-shopu nakoupil zboží. V takovém případě je možné zasílat obchodní sdělení o vlastních obdobných výrobcích a službách. Důležité ale je, aby uživatel měl možnost odmítnout obchodní sdělení ještě před zasláním toho prvního. Při dokončení objednávkového procesu by tak měl mít zákazník možnost zakliknout okénko „Nechci dostávat newslettery“ či obdobný check-box. Pokud jej zaklikne, do databáze by se dostat rozhodně neměl (opt-out).

• Jedná se o jakéhokoliv uživatele, který udělil souhlas se zasíláním obchodních sdělení. V takovém případě je možné zasílat jakékoliv nabídky, které nemusí souviset s provozem e-shopu. V praxi by tak na konci objednávkového procesu byl umístěn check-box „Chci dostávat obchodní sdělení“ či obdobný. Pokud jej uživatel zaklikne, do databáze se zařadí (opt-in). Rozdíl je v tom, že uživateli je možné poslat obchodní sdělení o čemkoliv, třeba i nabídku partnerských společností.

Co v marketingu nedělat?

Bohužel se stále setkáváme s případy, kdy si e-shop koupil databázi „ověřených“ kontaktů z různých pochybných zdrojů. Následně na tyto kontakty zaslal nabídku svých služeb. Taková činnost však není v souladu se zákonem, protože se nejedná ani o zákazníka, ani nebyl udělen souhlas. 

A pokud se ptáte, zda by stačilo na tato získané e-maily zaslat žádost o udělení souhlasu, také vás zklamu. I tato samotná žádost je Úřadem pro ochranu osobních údajů považována za obchodní sdělení.

Jiným příkladem je dotazník spokojenosti. Provozovatelé e-shopů si mnohdy neuvědomují definici toho, co je považováno za obchodní sdělení. Tím se totiž rozumí i jakékoliv sdělení k podpoře image a brandu podnikatele. A právě tím dotazník spokojenosti je. Takže i pro zaslání takového dotazníku je potřeba vybrat jednu z možností opt-in nebo opt-out.

Posledním příkladem z oblasti obchodních sdělení je „přilepení“ nabídky do shrnutí objednávky. E-shop nemůže (legálně) přiložit do shrnutí objednávky nabídku slev a voucherů třetích stran, aniž by k tomu měl souhlas adresáta. Za podobnou věc ÚOOÚ v minulosti uložil pokutu ve výši téměř 8 milionů korun.

Pozor na cookies

Druhým nejčastějším příkladem, kde mají e-shopy nedostatky a kde jsme se již setkali s kontrolami a pokutami od ÚOOÚ, je využívání cookies. Pravidla pro cookies na webech jsou dnes velmi striktní. U e-shopů nastává problém většinou ve chvíli, kdy v různých částech e-shopu jsou uloženy různé cookies. Například před dokončením objednávky je spuštěno více nástrojů, které vyhodnocují, zda zákazník nákup dokončil nebo ne. Pokud e-shop některé cookies nastaví nesprávně nebo na jejich soulad s regulací vůbec nemyslí, hrozí mu, že si toho někdo jiný všimne.

Jak cookies správně nastavit?

Poučka je velmi jednoduchá. Na e-shopu mohou být bez souhlasu spuštěny pouze cookies, které jsou nezbytné pro správné fungování e-shopu a zajištění jeho funkcionalit (tzv. technické cookies). V této oblasti jsou nejhezčím příkladem cookies, které uloží po nezbytně nutnou dobu informace o nákupu do virtuálního nákupního košíku.

Vše ostatní už musí být pod souhlasem. Ať už jde o Google Analytics, HotJar, Google Ads apod. Pak do hry vstupuje všem notoricky známá cookies lišta. Ta by měla splňovat základní požadavky, aby se uživatel mohl svobodně rozhodnout, zda souhlas udělí nebo ne. Případně aby si vybral, pro jaké účely souhlas udělí. 

ÚOOÚ se moc netváří ani na to, když je tlačítko pro „Přijmout vše“ výrazně barevně odlišné od „Odmítnout vše“. Je to jeden z tzv. dark patterns, které se v oblasti cookies často vyskytují a které mají uživatele tak trochu manipulovat k tomu, aby souhlas s cookies udělil.

Jak probíhá kontrola ÚOOÚ?

Kontrola ÚOOÚ obvykle nepřichází jako blesk z čistého nebe. Aby vůbec kontrola proběhla, předchází jí poměrně dlouhá cesta. Nejprve je potřeba říct, že Úřad u e-shopu s velkou pravděpodobností nezahájí kontrolu ze své vlastní iniciativy. I když tak může učinit, při plánovaných kontrolách se primárně zaměřuje na jiné segmenty. Proto bude kontrola s největší pravděpodobností spojená se stížností konkrétního, často z jiných důvodů nespokojeného, klienta.

Může se jednat o zákazníka, který nebyl spokojen s nákupem, uživatele, který dostal nevyžádaný e-mail, návštěvníka webu, který si prostě jen všiml nesrovnalostí. A pošle stížnost na Úřad.

Průběh kontroly a další naleznete na gdpr.cz