Jak fungují věrnostní programy obchodů? Jsou při nich dodržovány právní předpisy na ochranu soukromí a spotřebitele?
Obchodní řetězce a další velké obchody nabízejí zákazníkům účast ve svých věrnostních programech. Chcete ušetřit na nákupech? Stačí se přihlásit do programu a slevy i další výhody budou vaše.
Obchodníci tímto způsobem získávají nejen pravidelné zákazníky, ale i cenné informace o jejich nákupním chování. To jim umožňuje lépe cílit reklamu, předvídat nákupní trendy a optimalizovat obchodní strategii.
A co zákazníci? Ti mohou ušetřit, ale za cenu sdílení svého soukromí.
Jak obchody v rámci věrnostních programů nakládají s osobními údaji zákazníků? A postupují v souladu s právními předpisy na ochranu soukromí a spotřebitele? To si nyní ověříme na vzorku několika obchodních řetězců působících v České republice, konkrétně na řetězci Albert, Billa, Globus, Kaufland, Lidl, Penny Market a Tesco. Zjištěné informace vychází z jejich webů a aplikací k věrnostním programům, podmínek užití a informací o zpracování osobních údajů účinných k 15. 10. 2024.
Při registraci do věrnostního programu obchod obvykle požaduje osobní údaje, jako jsou jméno, příjmení, pohlaví, datum narození, adresa, e-mail a telefonní číslo. Zatímco pro některé zákazníky jsou tyto informace běžnou součástí jejich online života na sociálních sítích, jiní mohou vnímat tento požadavek jako zásah do svého soukromí.
Shromažďováním identifikačních a popisných údajů však zásah do soukromí nekončí. Obchody sledují také způsob, jakým zákazníci věrnostní program využívají – kde, kdy a jak často nakupují, jaké produkty si vybírají, jak za zboží platí a kolik utrácejí. Na základě těchto informací mohou získat představu o počtu členů domácnosti zákazníků, jejich stravovacích a nákupních návycích nebo o tom, jestli zákazníci mají děti či domácí mazlíčky.
Na základě několika informací, které zákazníci poskytnou v registračním formuláři, a následného monitoringu jejich chování, tak obchod může získat detaily o jejich soukromém životě.
Obchodníci musí při zpracování osobních údajů zákazníků věrnostního programu dodržovat základní zásady stanovené v čl. 5 GDPR. Musí být také schopni dodržování těchto zásad kdykoliv prokázat.
Jednotlivé zásady ochrany osobních údajů si dále popíšeme a podíváme se i na to, jak zásady dle dostupných informací na svých webech a v aplikacích dodržují nejznámější obchodní řetězce působící v České republice, konkrétně Albert, Billa, Globus, Kaufland, Lidl, Penny Market a Tesco.
Osobní údaje musí být v rámci věrnostních programů zpracovány za legitimními a jasně stanovenými účely, pro které daný obchodník má dostatečný zákonný důvod podle čl. 6 GDPR.
Obchody zpracovávají osobní údaje zákazníků zejména za těmito účely:
Všechny řetězce v základu zpracovávají osobní údaje zákazníků za výše zmíněnými účely, a přitom zpracování osobních údajů správně zakládají na výše zmíněných zákonných důvodech. V případě zpracování údajů na základě souhlasu (například pro zasílání personalizovaných nabídek) stojí za pozornost přístup řetězce Albert. V aplikaci totiž zákazníkům umožňuje snadno měnit nastavení udělených souhlasů, a mít tak lepší kontrolu nad svými údaji.
Určité pochybnosti o oprávněnosti zpracování osobních údajů vyvolává použití údajů za účelem zlepšování služeb řetězců. Toto zpracování řetězce zakládají na svém oprávněném zájmu. Nicméně je otázkou, zda jejich zájem skutečně vždy a v kontextu daného zpracování převáží nad právem zákazníků na ochranu soukromí. Opravdu je nezbytné, aby řetězce pro analýzu nákupního chování identifikovaly jednotlivé zákazníky? Nestačily by jim jen anonymizované údaje?
Pozitivním příkladem je Billa, která analýzy ke zlepšování služeb staví na anonymizovaných údajích, ze kterých není možné identifikovat konkrétní zákazníky.
Předtím, než zákazník obchodu své údaje v registračním formuláři poskytne, má obchod povinnost zákazníka jasně a srozumitelně informovat o tom, jaké osobní údaje bude zpracovávat, za jakými účely, na základě jakého právního důvodu a po jakou dobu, jaké subjekty k těmto osobním údajům můžou mít přístup, jak zajistil ochranu osobních údajů při předávání údajů mimo Evropskou unii nebo Evropský hospodářský prostor, a jaká mají zákazníci ve vztahu ke svým osobním údajům práva.
Pokud obchodník zákazníky profiluje a na základě profilování rozhoduje o tom, jestli např. zákazník dostane slevu, měl by zákazníkovi také vysvětlit, jak profilování funguje a jaký význam a důsledky pro něj má.
Všechny zmíněné řetězce mají na svém webu informační stránku, kde popisují, jak věrnostní programy fungují a jak při tom zpracovávají osobní údaje uživatelů. Informace o zpracování osobních údajů si můžete rozkliknout už z formulářů k registraci do věrnostního programu. Řetězce mají informace sepsány celkem přehledně a srozumitelně (např. Tesco nebo Albert navíc usnadňují orientaci v textu rozevíracími nadpisy).
Řetězce by měly zajistit, aby byly informace o zpracování osobních údajů pro zákazníky snadno dostupné i v jejich aplikacích. Například v aplikaci Můj Globus tyto informace chybí, což může zákazníkům ztížit orientaci v jejich právech a povinnostech.
Údaje, které obchod v rámci věrnostního programu sbírá, by měl používat jen k jasně stanoveným účelům, o kterých zákazníka předem informoval. Obchod by měl zákazníka informovat i o tom, že chce osobní údaje zákazníka začít využívat k dalším účelům a případně k tomu získat jeho souhlas. To se týká zejména zpracování údajů za marketingovými účely, včetně sdílení údajů s provozovateli sociálních sítí a s dalšími třetími stranami.
O účelech zpracování údajů všechny uvedené řetězce informují v informačních dokumentech. Zda svá prohlášení aktuálně dodržují, není možné bez dalšího ověřit.
Obchody by měly shromažďovat a zpracovávat pouze ty osobní údaje, které pro účel věrnostních programů doopravdy potřebují. Údaje, které k definovaným účelům nepotřebují, shromažďovat nemohou.
Některé řetězce mohou podle mého názoru překračovat zásadu minimalizace údajů tím, že po zákaznících vyžadují datum narození nebo adresu bydliště s odůvodněním, že tyto údaje potřebují pro identifikaci zákazníka. Opravdu nelze zákazníka v rámci věrnostního programu identifikovat například jen přihlašovacím jménem a e-mailem? Cesta určitě existuje, Albert nebo Globus se bez povinného data narození i adresy bydliště obejdou.
Zásada minimalizace může být překročena i v případě analýzy nákupního chování zákazníků pro zlepšování služeb s využitím identifikačních údajů. Tyto analýzy by mohlo být možné provést i bez identifikace zákazníků, jako to například dělá Billa.
Údaje, které obchody zpracovávají, musí být přesné a aktuální. Obchody by měly proto umožnit zákazníkům své údaje kdykoliv opravit nebo aktualizovat.
Osobní údaje si zákazníci můžou jednoduše změnit v aplikacích věrnostních programů (zpravidla v sekci typu „Můj profil“ nebo „Osobní údaje“).
Obchody by měly uchovávat osobní údaje zpracovávané v rámci věrnostních programů pouze po nezbytnou dobu. Jakmile údaje přestanou být potřebné pro účel, pro který byly shromážděny (například zákazník se z věrnostního programu odhlásí), měl by obchod údaje zákazníků smazat, případně je anonymizovat.
Řetězce zpravidla tvrdí, že osobní údaje zákazníků zpracovávají do zrušení věrnostní karty nebo účtu v aplikaci. Výjimkou je například archivace údajů vyžadovaná zákonem (např. uchování účtenek). Takto nastavená doba zpracování osobních údajů se jeví jako přiměřená.
Obchody musí dále zajistit, aby osobní údaje zákazníků byly dostatečně chráněny. Proto musí přijmout odpovídající a přiměřená technická a organizační opatření, která zabrání neoprávněnému přístupu k těmto údajům, jejich ztrátě nebo zneužití.
Obchody musí být dále schopny dodržení svých povinností doložit.
Některé řetězce v informačním dokumentu pouze prohlašují, že přijaly dostatečná technická a organizační opatření k zabezpečení osobních údajů. Z těchto spíše obecných prohlášení není ale jasné, jak jsou údaje zákazníků věrnostního programu skutečně zabezpečeny. Na druhé straně, v České republice nejsou známy žádné případy úniku či zneužití dat z věrnostních programů uvedených řetězců.
Některé obchody, jako například Tesco, nabízejí členům věrnostního programu zboží za cenu až o polovinu nižší než pro ostatní zákazníky.
Skutečně si obchody váží členů svého věrnostního programu natolik, že jim poskytují nadprůměrné slevy? Nebo spíše nepřiměřeně navyšují běžné ceny zboží?
Tyto praktiky se v některých případech pohybují na hranici zákona. Na mnoho zákazníků je totiž vyvíjen nepřímý tlak, aby se stali členy věrnostního programu a za zboží denní potřeby zčásti platili svými osobními údaji. Navíc bývá rozdíl mezi běžnou cenou a cenou pro členy často málo výrazně označen, a zákazníci bez členství si tohoto rozdílu bohužel mnohdy všimnou až u pokladny.
Takové jednání některých řetězců by mohlo naplňovat znaky nekalé obchodní praktiky, zejména pokud nejsou ceny pro členy věrnostního programu a běžné ceny zboží jasně a srozumitelně rozlišeny. Česká obchodní inspekce však zatím neshledala v tomto nastavení „dvojích cen“ pochybení.
Chystáte svůj věrnostní program a chcete si ověřit, jestli s osobními údaji zákazníků budete zacházet správně? Pak nás neváhejte kontaktovat na
e-mailu kancelar@kroupalide.cz.
KROUPALIDÉ advokátní kancelář s.r.o.
IČO: 29310571, DIČ: CZ29310571
Společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn.
C 73338
Subjektem mimosoudního řešení sporu
se spotřebiteli je Česká advokátní komora
