Věrnostní programy: Platíme za zboží soukromím?

Obchodní řetězce a další velké obchody nabízejí zákazníkům účast ve svých věrnostních programech. Obchodníci tímto způsobem získávají nejen pravidelné zákazníky, ale i cenné informace o jejich nákupním chování. To jim umožňuje lépe cílit reklamu, předvídat nákupní trendy a optimalizovat obchodní strategii.

A co zákazníci? Ti mohou ušetřit, ale za cenu sdílení svého soukromí.

Jak obchody v rámci věrnostních programů nakládají s osobními údaji zákazníků? A postupují v souladu s právními předpisy na ochranu soukromí a spotřebitele? To si nyní ověříme na vzorku několika obchodních řetězců působících v České republice, konkrétně na řetězci Albert, Billa, Globus, Kaufland, Lidl, Penny Market a Tesco. Zjištěné informace vychází z jejich webů a aplikací k věrnostním programům, podmínek užití a informací o zpracování osobních údajů účinných k 15. října. 2024.

Jaké údaje obchody sbírají

Při registraci do věrnostního programu obchod obvykle požaduje osobní údaje jako jsou jméno, příjmení, pohlaví, datum narození, adresa, e-mail a telefonní číslo. Zatímco pro některé zákazníky jsou tyto informace běžnou součástí jejich online života na sociálních sítích, jiní mohou vnímat tento požadavek jako zásah do svého soukromí.

Shromažďováním identifikačních a popisných údajů však zásah do soukromí nekončí. Obchody sledují také způsob, jakým zákazníci věrnostní program využívají – kde, kdy a jak často nakupují, jaké produkty si vybírají, jak za zboží platí a kolik utrácejí. Na základě těchto informací mohou získat představu o počtu členů domácnosti zákazníků, jejich stravovacích a nákupních návycích nebo o tom, jestli zákazníci mají děti či domácí mazlíčky.

Na základě několika informací z registračního formuláře a následného monitoringu spotřebitelského chování tak obchod může získat detaily o našem soukromém životě.

Jak obchody dodržují zásady zpracování osobních údajů

Obchodníci musí při zpracování osobních údajů zákazníků věrnostního programu dodržovat základní zásady stanovené v čl. 5 obecného nařízení o ochraně osobních údajů (GDPR). Musí být také schopni dodržování těchto zásad kdykoliv prokázat.

Jednotlivé zásady ochrany osobních údajů si dále popíšeme a podíváme se i na to, jak je podle dostupných informací na svých webech a v aplikacích dodržují nejznámější obchodní řetězce působící v České republice. Konkrétně jde o obchody Albert, Billa, Globus, Kaufland, Lidl, Penny Market a Tesco.

1. Zákonnost a korektnost zpracování osobních údajů

Osobní údaje musí být v rámci věrnostních programů zpracovány za legitimními a jasně stanovenými účely, pro které daný obchodník má dostatečný právní důvod podle čl. 6 GDPR.

Obchody zpracovávají osobní údaje zákazníků zejména za těmito účely:

• účast ve věrnostním programu a správa účtu v aplikaci, kdy je zpracování osobních údajů dle čl. 6 odst. 1 písm. b) GDPR nezbytné pro splnění smlouvy se zákazníkem;

• analýza údajů o chování zákazníků při nakupování (např. pro zlepšování služeb), kdy obchod může zpracování údajů založit na svém oprávněném zájmu na zlepšování svých služeb dle čl. 6 odst. 1 písm. f) GDPR; to platí pouze v případě, že zájmy obchodu převáží právo na soukromí zákazníka;

• zasílání nabídek produktů a služeb personalizovaných na míru zákazníkovi podle analýzy jeho nákupního chování a profilování, k čemuž by obchodním měl předem získat výslovný, svobodný, jednoznačný a informovaný souhlas zákazníka.

Jak jsou na tom řetězce?

Všechny řetězce v základu zpracovávají osobní údaje zákazníků za uvedenými účely. Zpracování osobních údajů správně zakládají právě na výše zmíněných zákonných důvodech. Při zpracování údajů na základě souhlasu (například pro zasílání personalizovaných nabídek) stojí za pozornost přístup řetězce Albert. V aplikaci totiž zákazníkům umožňuje snadno měnit nastavení udělených souhlasů, a mít tak lepší kontrolu nad svými údaji.

Určité pochybnosti o oprávněnosti zpracování osobních údajů vyvolává použití údajů za účelem zlepšování služeb řetězců. Toto zpracování obchodníci zakládají na svém oprávněném zájmu. Nicméně je otázkou, zda jejich zájem skutečně vždy a v kontextu daného zpracování převáží nad právem zákazníků na ochranu soukromí.

Opravdu je nezbytné, aby řetězce pro analýzu nákupního chování identifikovaly jednotlivé zákazníky? Nestačily by jim jen anonymizované údaje?

Pozitivním příkladem je v tomto směru Billa, která analýzy ke zlepšování služeb staví na anonymizovaných údajích, ze kterých není možné identifikovat konkrétní zákazníky.

2. Transparentnost

Předtím, než zákazník obchodu své údaje v registračním formuláři poskytne, má obchod povinnost zákazníka jasně a srozumitelně informovat o hlavních kritériích zpracování dat, tzn.: 

• Jaké osobní údaje bude zpracovávat 

• Za jakými účely a na základě jakého právního důvodu 

• Po jakou dobu budou údaje uchovávány 

• Které subjekty k těmto osobním údajům můžou mít přístup 

• Jak je zajištěna ochranu práv zákazníků při předávání údajů mimo Evropskou unii nebo Evropský hospodářský prostor 

• Jaká mají zákazníci ve vztahu ke svým osobním údajům práva.

Pokud obchodník zákazníky profiluje a na základě profilování rozhoduje o tom, jestli např. zákazník dostane slevu, měl by zákazníkovi také vysvětlit, jak profilování funguje a jaký význam a důsledky pro něj má.

Jak jsou na tom řetězce?

Všechny zmíněné řetězce mají na svém webu informační stránku, kde popisují, jak věrnostní programy fungují a jak při tom zpracovávají osobní údaje uživatelů. Informace o zpracování osobních údajů si můžete rozkliknout už z formulářů k registraci do věrnostního programu. Řetězce mají informace sepsány celkem přehledně a srozumitelně (např. Tesco nebo Albert navíc usnadňují orientaci v textu rozevíracími nadpisy).

Řetězce by měly zajistit, aby byly informace o zpracování osobních údajů pro zákazníky snadno dostupné i v jejich aplikacích. Například v aplikaci Můj Globus tyto informace chybí, což může zákazníkům ztížit orientaci v jejich právech a povinnostech. Pokračování článku naleznete na doméně GDPR.cz.