Konec povinných účtů: Co mění doporučení EDPB?

Už se vám to určitě někdy stalo. Máte v košíku tenisky, chcete zaplatit, ale e-shop vás zastaví: "Založte si účet, jinak u nás nenakoupíte." Zákazníka to od nákupu většinou odradí. Podle Evropského sboru pro ochranu osobních údajů (dále EDPB) je to ale navíc často protiprávní. Pokud provozujete e-shop, zbystřete. Dny, kdy jste mohli osobní údaje sbírat pod záminkou "nutnosti vytvoření účtu", právě skončily.

Proč už "povinný účet" neprojde?

Kdy je povinná registrace v pořádku a kdy už ne?

• Jednorázový nákup: Pokud prodáváte oblečení, doplňky nebo jednorázové služby, musíte vždy zákazníkům nabídnout možnost nákupu bez registrace (tzv. Guest mode).
• Předplatné: Pokud zákazník platí za pravidelný přísun zboží nebo digitálního obsahu a plnění smlouvy vyžaduje opakovanou identifikaci a správu stavu služby v čase, dává povinný účet smysl.
• Exkluzivní nabídky: Nejde o běžné slevy pro každého, kdo si založí účet. Musí jít o skutečně uzavřenou komunitu. EDPB mluví o případech, kdy je přístup k nabídce omezen na základě zvláštního pozvání, výběru mezi členy komunity nebo doporučení. Pokud tedy umožníte věrným zákazníkům, kteří s vámi mají dlouhodobé obchodní vztahy, přednostní přístup k sortimentu skrze zvláštní platformu, je vyžadování založení účtu nezbytné.
• Podmíněný nákup: To je případ, kdy je nutné ověření specifického statusu nebo charakteristiky zákazníka. Tím může být třeba profesní licence nebo status studenta. Pokud tedy prodáváte laboratorní techniku pouze pro lékaře, k ověření postačí zabezpečený jednorázový formulář pro nahrání dokladů. Ten po ověření a splnění účelu smažete.

Rizikové aktivity e-shopů

Vynucování registrací na e-shopech vede k hromadění zapomenutých dat a využívání klamavých praktik, které často odporují pravidlům GDPR. Tyto postupy umožňují neoprávněné profilování zákazníků a v případě úniku dat přímo ohrožují i jejich další on-line účty a finance. E-shopy tak namísto reálného užitku vytvářejí zbytečnou digitální stopu a zvyšují bezpečnostní hrozby pro obě strany.

S čím se setkáváme u našich klientů

V Legitas se často setkáváme s nebezpečnou praxí: e-shop po dokončení objednávky zákazníkovi automaticky vytvoří uživatelský účet, nebo jen do košíku přidá políčko "nechci vytvořit účet", které je navíc často předzaškrtlé (to je tzv. opt-out). Takový postup je z našeho pohledu velmi rizikový!

Doporučení EDPB mluví jasně: zákazníkovi musíte nabídnout 2 možnosti:

1. Guest mode – procházet e-shop a nakupovat bez přihlášení k uživatelskému účtu
2. Možnost založit účet – zásadní je vždy vycházet z mechanismu opt-in. To znamená, že zákazník musí vždy projevit aktivní volbu – zaškrtnutím prázdného políčka "chci vytvořit účet"

A má to vůbec smysl?

Na první pohled to může působit jako další administrativní klacek pod nohy e-shopařů. Z dlouhodobého hlediska je to ale férové. Proč by měl mít obchod zákazníkovo jméno, adresu a historii nákupů uloženou v databázi dalších 5 let jen proto, že si u něj jednou koupil ponožky? 

Guest mode vám umožní splnit smlouvu, vyfakturovat zboží a zbytek dat včas smazat, což je nejlepší prevence proti "datovému smogu" i kontrolám z Úřadu na ochranu osobních údajů (ÚOOÚ).

4 body, na které se zaměřit

1. Zaveďte Guest mode: Nabídněte uživatelům možnost dokončit objednávku bez nutnosti vytvářet trvalý účet s heslem. Tento režim je z pohledu ochrany osobních údajů nejbezpečnější a naplňuje zásadu záměrné ochrany dat (Privacy by Design).

2. Registrace jako benefit: Pokud nabízíte slevy za registraci, musí být vytvoření účtu výsledkem svobodné volby zákazníka. Pokud se rozhodne neregistrovat, nesmí být znevýhodněn v samotné možnosti nákup dokončit.

3. Ověřujte status bez trvalého účtu: Pokud podmiňujete prodej určitou vlastností (např. nákup jen pro lékaře nebo studenty), nevyžadujte kvůli tomu registraci. Nahraďte ji zabezpečeným jednorázovým formulářem pro nahrání dokladů, který po ověření a splnění účelu smažete.

4. Čistka databáze: Nastavte automatické mazání neaktivních účtů, které jen zvyšují riziko postihu kontrolních úřadů za porušení principu omezení uložení.

Férový e-shop se obejde bez pastí

Nutit zákazníky do registrace není jen právní přešlap, ale hlavně zbytečná byznysová brzda. To, co EDPB nově požaduje, dává smysl. Zákazník má více soukromí a vy se zbavíte zbytečného datového smogu. Přichází tak konec éry hromadění údajů, které v databázích jen leží ladem a zbytečně zvyšují riziko, že vás dožene únik dat nebo kontrola z úřadu.

Když lidem nákup přestanete komplikovat, budou u vás nakupovat mnohem raději. Navíc budete mít klid, že neskladujete data, která by se při první kontrole nebo úniku mohla otočit proti vám.

Chcete vědět, jak nejnovější doporučení EDPB ovlivní právě váš e-shop? Neváhejte se nám ozvat, rádi vám pomůžeme!

Autoři: Liliana Kuželková a Hubert Hais, právníci z advokátní kanceláře Legitas.