GDPR je v poslední době velmi aktuální a diskutované téma. Většina odborných článků, seminářů a konferencí se však tohoto tématu dotýká pouze v obecné rovině a o tom, jak ovlivní digitální marketing, se většinou nedozvíte. A proto jsme se rozhodli, že připravíme sérii dvou článků, ve kterých vás s požadavky GDPR na online marketing seznámíme. Rovněž na dubnový termín připravujeme byznys snídani pro naše klienty, kde se tomuto tématu budeme věnovat podrobněji.
25. května 2018 je magické datum pro všechny firmy v Evropské unii a v některých případech i mimo ní. K tomuto dni vstoupí v platnost nové nařízení Evropské unie o ochraně osobní údajů. Předpokládám, že stejně jako u nás v agentuře MarketUP, i ve vašich organizacích jsou již přípravy v plném proudu. Protože se toto nařízení se vztahuje i na oblast digitálního marketingu, rádi bychom vás v tomto článku i v jeho připravovaném pokračování „novým světem po GDPR“ provedli.
Nové evropské nařízení o ochraně osobních údajů se neliší ve velké míře od naší aktuálně platné legislativy. Nicméně český zákon ani výklady, které by upravovaly jeho použití v ČR, zatím neexistují. To bohužel způsobuje nejasnosti v aplikaci GDPR na rychle se rozvíjející digitální marketing, protože v původních výkladech ani v novém zákoně nejsou popsány požadavky na některé digitální taktiky a názory na podmínky pro jejich využívání se různí.
V tomto článku se budeme zabývat především dopadem GDPR na digitální marketing. Působnost tohoto nařízení o ochraně osobních údajů je však mnohem širší. Doporučuji vám si důkladně zmapovat, jaké osobní údaje v celé své organizaci zpracováváte a k jakým účelům. Následně je třeba rozhodnout, zda a na jakém základě jste oprávněni tato osobní data získávat, zpracovávat a uchovávat a jak nastavit procesy pro legalizaci zpracování osobních údajů. Na internetu se nachází velké množství návodů a schémat, jak k takovému auditu přistoupit a jak soulad s novým GDPR nařízením zajistit.
Ale teď už k digitálnímu marketingu a dopadu GDPR na jeho jednotlivé oblasti.
Email marketing
V této oblasti je třeba rozlišovat, zda posíláte emailové informace na vaše zákazníky, kteří již od vás něco nakoupili anebo na uživatele, kteří vám předali kontakt jiným způsobem. V případě, že jde o vaše zákazníky, je situace trochu jednodušší, protože pokud jim nabízíte prostřednictvím emailingu relevantní informace k produktům nebo službám, které od vás nakupují, pak nepotřebujete jejich souhlas. Jestliže ale chcete emailem komunikovat s uživateli, kteří si od vás nic nekoupili (nemají s vámi žádnou smlouvu), pak to je možné též, ale pouze v případě, že získáte jejich souhlas se zpracováním osobních údajů. Nejedná se o nic složitého. Stačí pouze, když upravíte např. aktuální registraci k vašemu Newsletteru. V registraci musíte dodržet následující zásady:
- sdělit uživateli název organizace, která bude zpracovávat jeho osobní údaje
- vyjmenovat jaké osobní údaje chcete získat, resp. zpracovávat
- definovat k jakým účelům budou konkrétní osobní údaje využity
- určit dobu uchování osobních údajů a po jejím uplynutí je smazat
- vyjmenovat další subjekty, kteří budou osobní údaje zpracovávat
- informovat uživatele o jeho právech na změnu, výmaz, přenositelnost, právo informovat se o zpracování osobních údajů a právo na stížnost/námitku v případě pochybností o zpracování v souladu se zákonem
- souhlas musí klient odsouhlasit aktivně např. zaškrtnutím prázdného checkboxu
Souhlasy se zpracováním osobních údajů je třeba uchovávat i s informací o datu a čase udělení souhlasu. V rámci procesu udělení souhlasu je třeba provést i ověření totožnosti uživatele. V případě registrace k Newsletteru se takové ověření provádí zasláním ověřujícího emailu na adresu uživatele a teprve po prokliku z tohoto emailu je souhlas dokončen. Tomuto procesu se říká „double opt-in“ a u mnoha eshopů a webů již funguje.
V žádném případě nepoužívejte cizí databáze pro emailové kampaně, pokud si nejste 100 % jistí, že kontakty jsou získány v souladu s výše uvedenými pravidly.
A co s kontakty, které máte z minulosti? Bohužel nové nařízení pro ochranu osobních údajů platí i zpětně. Pokud jste tedy osobní údaje získali v rozporu s výše uvedenými pravidly, není možné je po datu 25.5.2018 používat. Do této doby je ale možné tyto databáze obeslat a požádat je o poskytnutí nového souhlasu.
Digitální kampaně
Všichni významní provozovatelé reklamních systémů (Google, Seznam, Facebook, Adform, …) deklarují, že do 25.5.2018 budou všechny jejich reklamní systémy plně v souladu s novým nařízením GDPR pro ochranu osobních údajů. Prakticky pro všechny typy kampaní je třeba mít na webu minimálně „cookies lištu“, prostřednictvím které budete informovat uživatele o tom, že využíváte jejich osobní údaje (v tomto případě cookies) pro vyhodnocování reklamy.
Různé právní výklady zatím panují pro oblast remarketingu a cílení reklam na základě chování jednotlivých uživatelů na internetu. Jedny tvrdí, že uživatele stačí pouze informovat o tom, že při návštěvě webu je vyhodnocováno jeho chování, které je následně využíváno pro cílení reklamy. Jiné uvádí, že je třeba získat jeho aktivní souhlas, bez kterého není možné takové taktiky použít. O posunu v této oblasti vás budeme informovat v dalším pokračování článku. Se všemi hlavními provozovateli digitální reklamy uvedenými výše o této problematice intenzivně komunikujeme.
GDPR ještě zasahuje do digitálních kampaní, které využívají data o jednotlivých uživatelích (emaily, telefonní čísla, adresy a další identifikátory) pro cílení prostřednictvím tzv. „Customer match“ mechanismu. Zjednodušeně se jedná o taktiku, v rámci které do reklamního systému (Google Adwords, Facebook, ..) importujeme databázi s identifikátory jednotlivých uživatelů, systém tuto databázi porovná s informacemi, které má k dispozici a uživatelům, které dokáže spárovat, zobrazuje reklamu. Pro tento typ využití osobních údajů je nezbytné mít souhlas podobně jako pro email marketing.
Analytika - sledování provozu na webech
Pro běžnou analýzu chování uživatelů na webech prostřednictvím např. Google Analytics postačuje informovat uživatele prostřednictvím tzv. cookies lišty, že je jeho pohyb na webu monitorován např. za účelem zlepšování uživatelského komfortu.
V případě, že propojujete ve vašem analytickém nástroji (Google Analytics, Omniture, …) data o chování uživatelů na webu s osobními údaji z vašich systémů (eshopy, CRM systémy, …), pak je třeba vždy identifikovat zda potřebujete a máte souhlas uživatelů se zpracováním těchto údajů. V některých případech můžete data o chování uživatelů použít např. na základě smlouvy či tzv. oprávněného zájmu.
Sociální sítě a spotřebitelské soutěže
U správy a monitoringu sociálních sítí se nic zásadně nemění. Určitě je třeba si dávat pozor na zveřejňování fotografií osob, protože ty jsou rovněž považovány za osobní údaj. Pro tento účel vždy potřebujete mít souhlas osoby, která je na fotkách zobrazena. Stejně tak souhlas potřebujete, pokud uvádíte v příspěvcích jakýkoli jiný osobní údaj (jméno, adresu, emailovou adresu, telefon apod.).
Souhlas se zpracováním osobních údajů je zpravidla třeba i u spotřebitelských soutěží – lidé poskytují osobní údaje typu: jméno, adresa, telefon, email, fotografie, videa apod. Při vstupu do spotřebitelské soutěže musí uživatel vždy odsouhlasit zpracování osobních údajů způsobem uvedeným výše v sekci Email marketing.
Weby
U běžných firemních webů (nikoli eshopů), se vyskytují osobní údaje často v sekci kontakty, kde jsou například jména, telefony, emaily a fotografie zaměstnanců. Pokud se jedná o vysoce postavené manažery, souhlasy pravděpodobně nejsou nutné, neboť oficiálně zastupují organizaci. U ostatních zaměstnanců je třeba disponovat jejich souhlasem s uveřejněním osobních údajů na webu. Souhlas je třeba i v případě že se fotografie či jiné osobní údaje budou prezentovat v článcích na webu nebo firemních stránkách sociálních sítí (Facebook, Instagram, Twitter, …). Souhlas se zpracováním osobních údajů potřebujete i v případě, že na webu budete zveřejňovat články s uvedením osobních údajů a fotografií vašich zákazníků.
Vlastní kapitola je práce s osobními údaji na eshopech, které se budeme věnovat v dalším pokračování tohoto článku.
A jak řešíme GDPR v MarketUP?
Od září 2017 jsme navštívili více než desítku konferencí a seminářů na toto téma. Jmenovali jsme Pověřence pro ochranu osobních údajů a zajistili jeho certifikaci od společnosti Tayllorcox. Jsme v pravidelném kontaktu se všemi hlavními hráči v digitálním marketingu - Googlem, Facebookem, Seznamem, Adformem - ale i s dalšími dodavateli, které pro digitální marketing našich klientů využíváme.
V listopadu loňského roku jsme provedli vnitrofiremní audit, jehož cílem bylo zmapovat, jaké osobní údaje v naší firmě zpracováváme. Zajímavé bylo, že největší množství osobních údajů zpracováváme v našem personálním oddělení a ne v rámci spolupráce s našimi klienty a partnery. Pro jednotlivé oblasti jsme následně navrhli a nyní finalizujeme změny, tak abychom zpracovávali veškeré osobní údaje v souladu s novým nařízením pro ochranu osobních údajů.
Pokud jde o ukládání a zabezpečení dat, velkou naší výhodou je, že používáme výhradně cloudové služby renomovaných dodavatelů (Google, Basecamp, Microsoft, …), kteří mají zabezpečení a šifrování dat na vysoké úrovni, data mají uložena v Evropě nebo jsou na tzv. seznamu Privacy Shield a tudíž splňují podmínky Evropské Unie pro bezpečné zpracování osobních dat. V MarketUP nevyužíváme pro ukládání dat lokální servery.
Nyní ve spolupráci s našimi právníky dokončujeme dodatky ke smlouvám s našimi klienty a obchodními partnery, ve kterých budeme deklarovat jakým způsobem s osobními daty nakládáme a jaké povinnosti v této oblasti musíme my i naši klienti a obchodní partneři dodržovat.