Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2025
  6. Kontrolní činnost v oblasti ochrany osobních údajů za rok 2025
  7. Obchodní řetězec (UOOU-03118/21)

Obchodní řetězec (UOOU-03118/21)

Zpracování osobních údajů v rámci zákaznického věrnostního programu

Během roku 2025 Úřad u obchodního řetězce ukončil kontrolu, která byla zaměřená na provozování věrnostního programu. Kontrola byla provedena na základě kontrolního plánu na rok 2021.

Z kontroly vyvstalo porušení zásady minimalizace dle čl. 5 odst. 1 písm. c) GDPR, dle které musí být osobní údaje přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Konkrétně bylo porušení této zásady konstatováno ve vztahu k registračnímu formuláři, kde byl vyžadován údaj o pohlaví jakožto povinně vyplňovaný údaj. Zároveň však zájemce o vstup do věrnostního programu neměl možnost zvolit možnost „nechci uvádět“ a byl nucen k výběru mezi možnostmi „muž“ a „žena“.

Zároveň bylo konstatováno porušení ve vztahu k právnímu titulu zpracování, který kontrolovaná pro účely věrnostního programu postavila na souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) GDPR. Kontrolou však bylo zjištěno, že vztah založený členstvím ve věrnostním programu mezi kontrolovanou osobou a registrovanými zákazníky je smlouvou a zpracování osobních údajů tak spadá pod právní základ uvedený v čl. 6 odst. 1 písm. b) GDPR.

Kontrolovaná osoba se hájila tím, že údaj o pohlaví vyžaduje s ohledem na specifika českého jazyka. Údaj je z jejího pohledu nezbytný pro gramaticky správné oslovení subjektů údajů a formulaci komunikačních a marketingových materiálů kontrolované osoby, jelikož si zakládá na budování vztahu se zákazníky v rámci věrnostního programu.

Dle Úřadu není pro účel gramaticky správného oslovení osobní údaj o pohlaví zcela nezbytný. Jako vhodné se jeví nabídnout subjektu údajů možnost vlastní volby oslovení.

Vhodné nastavení registračního formuláře může v tomto kontextu vypadat buď tak, že údaj o pohlaví nebude vyžadován jako povinný, případně bude zákazníkům nabídnuta možnost „nechci uvádět“. Zároveň platí, že lze takový údaj zpracovávat na základě právního titulu souhlasu, avšak musí být zohledněn čl. 7 odst. 3 GDPR poslední věta, tedy že odvolat souhlas musí být stejně snadné jako jej poskytnout, a čl. 7 odst. 4 GDPR, který stanoví, že při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.