Založil si u vás klientskou kartu? Obratem mu oznamte, jaká data o něm sbíráte

Nařízení o ochraně osobních údajů, které je platné pro celou Evropskou unii od 25 května, pojednává o právu subjektu údajů na informace o zpracování osobních údajů. 

Jeden z příkladů, který je běžný v podnikatelské praxi, popisuje Příručka pro přípravu malých a středních firem na GDPR, kterou zpracovalo Ministerstvo průmyslu a obchodu ČR společně s Asociací malých a středních podniků a živnostníků ČR. 

Věrnostní programy pro zákazníky

Sběr osobních údajů a jejich následné zpracování si žádají tzv. věrnostní programy, které poslední dobou stále častěji obchodníci svým zákazníkům nabízejí. Co je však povinností obchodníka poté, co si zákazník v rámci věrnostního programu zřídí klientskou kartičku? 

Okamžitě po získání osobních údajů od zákazníka, který si založil klientskou kartu, mu musí obchodník v písemné podobě poskytnout nebo na kontaktní e-mail zaslat informace o tom, které osobní údaje o něm v rámci věrnostního programu, který se zákazník rozhodl využít, začal shromažďovat. Nejedná se totiž pouze o vstupní informace, ale také o sběr informací o jeho nákupech. 

Dále musí obchodník zákazníka obeznámit a tím, co je účelem zpracování těchto údajů (nabídnout lépe na míru padnoucí služby a nabídky) a jaký je právní podklad pro tuto činnost (oprávněný zájem obchodního řetězce spočívající v marketingové strategii). Subjekt údajů je současně upozorněn na to, že proti sběru svých osobních údajů má právo podat námitku anebo podat stížnost k Úřadu pro ochranu osobních údajů.

Právo na informaci o zpracování osobních údajů

Toto právo má  každý subjekt údajů, jehož osobní údaje přebírá správce ke zpracování od subjektu údajů přímo nebo zprostředkovaně od jiného správce. Automaticky pak musí správce subjekt údajů informovat o veškerých podstatných náležitostech tohoto získání a zpracování údajů, jako jsou kontaktní údaje správce, jeho případného pověřence pro ochranu osobních údajů, rozsah získaných údajů, účel, ke kterému budou zpracovávány, důvod pro legitimitu zpracování i dobu, po kterou budou zpracovávány či u správce uloženy. Není nutné informovat o tom, co subjekt údajů ví. 

Pokud zákazník, který se zapojil do věrnostního programu, vyplňuje např. formulář, není nutné jej informovat o údajích, které právě vyplnil, ale jen o účelech zpracování, totožnosti správce a dalších náležitostech. 

Další příklady z praxe, kde je nutné dodržet GDPR:

• Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR? 
• Po výběrovém řízení si ponechali životopisy neúspěšných uchazečů. Co na to GDPR? 
• Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR? 
• Nechce být obtěžován telefonáty pro průzkum trhu. Firma musí námitku akceptovat
• Ukončil ve firmě pracovní poměr. Které údaje o něm může zaměstnavatel uchovat?