Porušení pravidel ochrany osobních údajů na webu se trestá: Společnost Brico Privé zaplatí pokutu 500 000 eur
12. 7. 2021
Provozovatel prodejního webu pro kutily Brico Privé porušil podle francouzského úřadu pro ochranu osobních údajů (CNIL) hned několik povinností plynoucích z GDPR.
CNIL zdůraznil, že společnost Brico Privé zasílala obchodní e-maily osobám, které si vytvořily účet na jejích internetových stránkách, ale neuskutečnily nákup, a činila tak bez předchozího souhlasu těchto osob, což je v rozporu s pravidly marketingových zpráv. CNIL tak potvrdil, že pouhá registrace bez provedení nákupu, eventuálně jednoznačného souhlasu, nebude stačit k tomu, aby mohly podniky zasílat takovým uživatelům svá obchodní sdělení (marketingové zprávy). Jinými slovy, v tomto případě nelze spoléhat na tzv. soft opt-in. Ten se týká výlučně vlastních zákazníků, jimž je možné zasílat nabídky vlastního zboží nebo služeb, pokud to již neodmítli. Jde o obrácený princip, kdy u zákazníků není nutný předchozí aktivní souhlas, ale stačí jim dát možnost se z takových zpráv odhlásit.
Český Úřad pro ochranu osobních údajů vykládá pojem zákazníka poněkud mírněji: „Za zákazníka je považována osoba, která s obchodníkem vstoupila v závazkový vztah, uzavřela smlouvu. Není přitom rozhodující, zda je tento vztah úplatný nebo bezplatný.“ Z této definice lze dovozovat, že nákup sám o sobě nutný není a stačí jakýkoli smluvní vztah.
Podrobnosti o regulaci marketingových zpráv naleznete v našem článku Přímý marketing a osobní údaje.
Dalším nedostatkem bylo neplnění povinnosti zcela vyhovět obdrženým žádostem o výmaz. Brico Privé nevymazala osobní údaje zákazníků, kteří o výmaz žádali, ale jen deaktivovala přístup k jejich účtu a údaje jako jméno a e-mailovou adresu si ponechala ve svých systémech.
Tím výčet pochybení společnosti nekončí. Podle CNIL umisťovala reklamní soubory cookie bez předchozího aktivního a jednoznačného souhlasu uživatelů.
Jak nastavit cookies se dočtete v našem článku Poslední vývoj v otázce cookies.
CNIL také shledal nedodržení zákonem stanovené doby uchovávání osobních údajů, a to u 146 000 zákazníků. Konkrétně společnost Brico Privé nedodržela vlastní stanovenou dobu uchovávání údajů. Uchovávala tak údaje více než 16 000 zákazníků, kteří v posledních pěti letech neprovedli žádnou objednávku. Totéž platilo pro více než 130 000 osob, které se po dobu pěti let nepřihlásily ke svému zákaznickému účtu.
„Například pro praxi e-shopů to znamená povinnost kontrolovat neaktivní účty a nastavit si dobu, po jejímž uplynutí je nutné neaktivní účty smazat,“ upozorňuje Jakub Hruška ze společnosti Ochránce údajů s.r.o.
CNIL oznámil své rozhodnutí uložit společnosti pokutu 500 000 eur a příkaz k nápravě uvedených nedostatků dne 17. června 2021. Tisková zpráva a celý text rozhodnutí jsou dostupné pouze ve francouzštině.
Mohlo by vás také zajímat:
Novela zákona o elektronických komunikacích: Zásadní změny pro cookies a telemarketing
Bez osobních údajů zákazníků se nehnete? Dejte jim najevo, že se o ně nemusejí bát
