Od 25. května vstoupí v platnost nové nařízení na ochranu osobních údajů, známé pod názvem GDPR neboli General Data Protection Regulation. To nahradí dosavadní Směrnici 94/95 EC i český zákon č. 101/2000 Sb., o ochraně osobních údajů. S novým nařízením si budou muset firmy udělat ve svých datech pořádek, podívat se, kde všude je mají uložené, kdo k nim má přístup a zda mají ode všech lidí jejich dobrovolný souhlas. GDPR zdaleka nezaměstná jen IT a právnické oddělení, ale dolehne i na marketing. Dosavadní způsoby získávání kontaktů i nakládání s osobními údaji budou muset být revidovány. Na co si dát pozor, ukázala celodenní konference GDPR v marketingu, kterou pořádala advokátní kancelář eLegal ve spolupráci s Pavlem Ungrem.
Úvodem stojí za připomenutí, co přesně osobní údaj znamená. Je to nejen jméno, e-mail, telefon, ale i cookies, IP adresa a také fotografie či video. Vyfotit si jen tak někoho na eventu a vložit bez jeho vědomí a souhlasu fotografii na Twitter, neodpovídá GDPR. I to totiž spadá do zpracování osobních údajů.
O sběru osobních údajů je třeba informovat všude tam, kde k němu dochází, tedy na webu, ve smlouvách i třeba na Facebooku. „Při sběru osobních údajů je potřeba postupovat minimalisticky, tedy sbírat opravdu jen, co je nutné,“ zdůraznila advokátka Petra Dolejšová z kanceláře eLegal. Pro rozesílání newsletterů tak stačí e-mailová adresa, e-shop bude pro doručení zásilky potřebovat ještě adresu, bez data narození se však už obejde.
Ke zpracování osobních údajů je potřeba mít nějaký „důvod“. Zde je nutné umět posoudit, kde je vyžadován souhlas a kde se osobní údaje mohou nebo musí sbírat na základě zákona. „Pokud budete souhlasy dávat ,preventivně' všude, nezpracováváte osobní údaje správně,“ upozorňuje eLegal ve své infografice. Souhlas musí být aktivní, vyčleněný ze všech obchodních podmínek, jasně formulovaný, tedy bez těžkých právních textů, evidovaný tak, aby byl v případě kontroly jednoduše doložitelný, a plný informací o tom, komu se uděluje, proč, na jak dlouho a s jakými výsostnými právy.
V jistých případech je možné zpracování osobních údajů obhájit tzv. oprávněným zájmem, například při zasílání newsletteru na stávající zákazníky, či zasláním slevy na další nákup. I v tomto případě je však nutné lidi o zpracování jejich osobních údajů informovat a umožnit jim vznést námitku, a to velmi viditelně. Pokud daný zákazník námitku vznese, nelze jeho údaje zpracovávat.
Marketing v éře GDPR
Z výše uvedených informací je jasné, že se GDPR dotýká i různých oblastí marketingu. U content marketingu bude potřeba si dát pozor na situace, kdy do obsahu vstupují reální lidé, jedná se tedy o rozhovory, medailonky či fotografie a videa z eventů. Ve všech těchto případech je potřeba mít od daných osob zaznamenaný souhlas. „Souhlas musí být také dobrovolný, což bývá problém většinou u zaměstnanců. Ostatně nejčastěji se u firem kontroly dějí právě z důvodu jejich udání,“ řekla Petra Dolejšová a dodala: „V loňském roce vzrostl počet podnětů na kontroly marketingových agentur. Lze tak očekávat, že marketingové praktiky budou letos v hledáčku.“
Dále na sociálních sítích je dobré se vyhnout tagování fanoušků. Ti sice na daný profil přišli, případně mu dali i lajk, ale výslovný souhlas pro spojování se značkou nikoliv. Ve spolupráci s influencery by firma měla myslet na smlouvu společných správců, kterou je ošetřena nejen samotná spolupráce, ale i další sdílení obsahu na sociálních sítích. Pro tvorbu person je možné pracovat s anonymizovanými daty. Pro jejich profilování souhlas potřeba není.
Sběr e-mailů se zkomplikuje
S GDPR také končí možnost poskytovat určitý obsah oproti kontaktním údajům. Typickým příkladem je nabídka e-booku za e-mail. „Cokoliv, co nabízíte za e-mailový kontakt, musí mít uživatel možnost získat i jinak, aniž by vám souhlas dal,“ vysvětil specialista na e-mail marketing Jakub Čižmař s tím, že to ale neznamená, že vše je ztraceno. Obsah je možné zpoplatnit a zdarma nabídnout jen výměnou za souhlas se zasíláním newsletterů. U sledování videa je pak možné pracovat s nabídkou dalšího obsahu do e-mailu.
Podobná situace je i posílání výsledků testů, kvízů, cenové kalkulace či analýz do e-mailu, na který bude firma následně posílat i newslettery. Podle eLegal lze tuto situaci vyřešit dvěma na sobě nezávislými souhlasy: jedním se zpracováním osobních údajů, druhým (nepovinným) kvůli zasílání newsletterů. I když druhý souhlas uživatel nedá, výsledek musí dostat.
Rovněž se zpřísňují pravidla pro zasílání newsletterů lidem, kteří poskytli svůj e-mail kvůli soutěži. Opět lze tuto situaci vyřešit dvěma na sobě nezávislými souhlasy: jedním kvůli informování o případné výhře nebo jiným údajům, které jsou nezbytně potřeba přímo pro účast v soutěži, druhým kvůli zasílání newsletterů.
GDPR v marketingové praxi: klient vs. agentura
Ve vztahu klient – agentury je nutné sjednat tzv. zpracovatelskou smlouvu a v ní si ujasnit, jakou roli kdo ze zapojených subjektů ve zpracování osobních údajů zastává. V nejlepším případě by měl být klient správcem, který určuje účel a způsob zpracování osobních údajů a uvolňuje k tomu finance. Agentura by měla mít roli zpracovatele, zpracovávající osobní data na základě pověření správce. Občas se však stává, že si agentura sama určuje, co se bude s osobními údaji pro klienta dít. „V tomto případě se však agentura stává správcem, a dostává se tak do komplikovanější právní situace a její zodpovědnost se zvyšuje. Vždy je lepší, když sběr a správu osobních údajů má na starosti klient,“ podotkla Anna Sálová z agentury Content Wizards s tím, že pokud agentura spolupracuje s externisty, měla by k tomu získat souhlas od klienta alias správce.
V rámci zpracovatelské smlouvy je potřeba specifikovat, jaké osobní údaje se budou sbírat, jakým způsobem a za jakým účelem, jak dlouho se budou uchovávat a co se bude dít po ukončení spolupráce.
V každém případě, nejen v tom marketingovém, je potřeba získané osobní údaje chránit, ať už šifrováním, nebo v případě fyzických dokumentů v uzamčené skříni. V případě, že někdo požádá o výmaz svých údajů, je nutné je odstranit odevšad. Pokud přijde kontrola, je nutné mít připravené veškeré souhlasy, zpracovatelské smlouvy, záznamy o zpracování, dokumentaci o školení týmu o nakládání s osobními údaji i o interních procesech ke zpracování osobních údajů.