Umělá inteligence neustále mění pravidla hry a přináší nové výzvy, jiná témata jsou naopak nadčasová…
GDPR nekouše: 3 pádné důvody, proč se z ochrany osobních údajů nezblázníte
GDPR: kombinace čtyř souhlásek, která by v jiné dimenzi možná byla slušným jazykolamem. V roce 2018 ale budí naprosto neuvěřitelné množství negativních emocí. Mezi nimi se jasně formují dvě nejvýraznější: vztek a panika.
Když se začaly objevovat první zprávy o tom, co GDPR bude znamenat, byli jsme na tom dost podobně. Všechny novinky v nás vyvolaly pocit, že obsahový marketing v podobě, v jaké jej známe, květnem 2018 zkrátka končí. Jakmile jsme ale nové nařízení EU začali studovat, zjistili jsme, že to nebude tak zlé. Pojďme se tedy na ochranu osobních údajů podívat zblízka a ve vztahu ke content marketingu.
To nejzákladnější, co už jste možná zaslechli
General Data Protection Regulation platí od jara 2016, v účinnost ale vstoupí až v kritické datum 25. 5. 2018. Jak již název napovídá, hlavním předmětem nařízení je zpracování osobních údajů, nakládání s nimi a jejich ochrana. Pro všechny členské státy EU je závazné, na jeho dodržování ale budou dohlížet příslušné úřady jednotlivých zemí. Na úrovni firem a jednotlivců se týká všech, kdo nějakým způsobem nakládají s osobními údaji fyzických osob – e-shopařů, marketérů, freelancerů…
Evropská unie chce zavedením GDPR zabránit různým nekalým praktikám a také sjednotit nakládání s osobními daty mezi členskými státy. Ačkoli původně nebylo namířeno proti obsahovému marketingu ani e-mailingu, přesto už stihlo marketérům vyhloubit nejednu vrásku na čele.
Nepanikařte. GDPR neznamená konec světa
Zkrátka a dobře, v marketingovém světě se rozhostila panika. Facebookové skupiny a zděšené dotazy se vyrojily jako houby po dešti. Na poptávku zareagovala také nabídka a objevilo se množství odborníků i „odborníků“, kteří vám dají GDPR do latě. Možná. Anebo jen shrábnou vaše peníze.
GDPR vs. stojednička
Samotné nařízení EU toho ale zase tolik nemění a ochrana osobních údajů není žádnou novinkou. V našem právním řádu je momentálně zakotvena ve „stojedničce“ – zákonu č. 101/2000 Sb., o ochraně osobních údajů. Ten platí už osmnáct let a objevují se v něm ty stejné pojmy jako v GDPR – správce, zpracovatel, citlivé osobní údaje, souhlas, rozsah, zabezpečení, dokonce i oznamovací povinnost. Ve zkratce – pokud stávající zákon bezpodmínečně dodržujete, máte téměř vyřešeno.
Nová výše pokut děsí
Stojedničku ale většina marketérů zvládla poklidně ignorovat a Úřad pro ochranu osobních údajů na jejím dodržování nijak zvlášť netrval, pokud jste ji neporušovali moc okatě. Hrozba stotisícové pokuty nebyla děsivá ani v plné výši (ač byste se na ni museli hodně snažit). A na desetimilionový strop neměl běžný smrtelník šanci dosáhnout.
Rok 2018 pokuty ujednotí tak, aby byly nepříjemné i pro „velké ryby“ v celé eurozóně – 20 milionů euro nebo 4 % z obratu (udělí se vyšší částka) už tak snadno odmávnout nejde. Bublinu ale není třeba nafukovat ještě více. Rozhodně vás nechceme nabádat k porušování nařízení, nezapomínejte ale, že jde o maximum. Nápravný prostředek, který ÚOOÚ může využít, je i napomenutí – a to je zadarmo.
Za dodržování nařízení bude odpovídat tzv. správce – ten určuje účel a způsoby zpracování a provádí je. Správce pak může samotnou manipulací s daty pověřit zpracovatele. Správce je ten, kdo rozhoduje, zpracovatel pouze plní jeho pokyny. Odpovědnost a mlčenlivost mezi sebou ošetřují zpracovatelskou smlouvou.
Tisíckrát skloňovaný souhlas – potřebujete jej vůbec?
Druhá zásadní změna, kterou je důležité si uvědomit, je posun v právních titulech. Dosud jich existovalo pět a souhlas byl preferovaným důvodem zpracování. Teď se souhlas přesouvá na poslední místo a v popředí jej nahradil nový oprávněný zájem.
Co to znamená v praxi? Vždy byste si měli najít (v zákoně – rozhodně ne vymyslet) jiný důvod, proč osobní údaje můžete zpracovávat. O souhlas žádáte až v případě, že jiný důvod neexistuje. Pro odeslání transakčních údajů nebo žádost u vyplnění dodací adresy si vystačíte s plněním smlouvy, newslettery zákazníkovi můžete zasílat na základě oprávněného zájmu (souvisí-li s tím, co zákazník zakoupil). Souhlas si musíte vyptat až od nezákazníků.
Jak je to s transparentností?
Třetí zásadní novinkou je zpřísněná informační povinnost a transparentnost. Každý, kdo vám dá osobní údaje, musí být informován o zásadách zpracování osobních údajů, které musí být jasně vymezené (to znamená konec elegantnímu vnoření do pátého odstavce osmého bodu všeobecných obchodních podmínek). Z nich by se měl dozvědět, kdo všechno se k osobním údajům dostane, kterými nástroji projdou a jak dlouho je budete zpracovávat („na dobu neurčitou“ se úředníkům líbit nebude).
Rozšířeny jsou i pravomoci toho, jehož osobní údaje zpracováváte. Mimo běžného výmazu má právo na snadné odvolání souhlasu, právo být zcela zapomenut, právo na přenos údajů k jinému správci či právo na přístup k informacím, které jste o něm shromáždili.
O něco přísněji jsou v nařízení definována též práva a povinnosti správce. Na paměti mějte několik zásad: mimo zákonnost, korektnost a transparentnost, které už jsme si vysvětlili, je to ještě přesnost a minimalizace (neříkejte si o více informací, než nutně potřebujete).
Právník je váš nejlepší kamarád
Než si pod návalem emocí zaplatíte desítky konzultací, několikrát se nadechněte a vydechněte. Pak si sepište, jak získáváte data svých návštěvníků a zákazníků, jak s nimi nakládáte, kdo k nim má přístup a kterými kanály a nástroji prochází. S tímto seznamem se obraťte na právníka, který se problematikou osobních údajů zabývá.
Vylaďte si zásady zpracování osobních údajů a uzavřete příslušné smlouvy. Bez nich se totiž z místa nepohnete. Pokud už více kroků nestihnete, databázi e-mailů nebo špatně nastavený formulář můžete smazat během sekundy – smlouvy si ale před kontrolou z prstu nevycucáte.
Do karet vám hrají různé výklady
Také si uvědomte, že GDPR na osmaosmdesáti stranách jednoduše nezvládne pojmout každou jednotlivou situaci. Ochranu osobních údajů tak upravuje rámcově. Přesně definuje, podle kterých pravidel se nově bude hrát, v některých případech i co nedělat – nepopisuje ale, jak. Díky tomu se setkáte s mnoha různými výklady, a i když byste je měli brát kriticky, rozhodně neexistuje jen jeden jediný správný.
Pokud si tedy v případě kontroly dokážete své praktiky obhájit a opřít o zákon, nemusíte se bát. Úřad nebude od konce května systematicky likvidovat české podnikatele astronomickými pokutami. Jestliže prokážete snahu, uvědomělost a budete při kontrole spolupracovat, na miliony nedojde. Ani v jedné z měn.
Na co se budeme muset připravit?
Co nás od května čeká, jsme shrnuli. Abyste se k seznamu ale mohli kdykoli vrátit, uvádíme to nejzásadnější přehledně v bodech.
- Vytvořte si přehled, jak se ve vaší firmě nakládá s daty.
- Zamyslete se, zda věříte svým zaměstnancům a nástrojům a zda splňují legislativní podmínky. (Zde si vypůjčíme radu Karla Dytrycha: „Používejte jen takové nástroje, do kterých zadáte údaje o své kreditce, a budete v klidu.“) Pokud ne, situaci napravte. Jste odpovědní i za výběr zpracovatelů.
- Nechte si zpracovat zásady zpracování osobních údajů a nezapomeňte je zveřejnit.
- Uzavřete zpracovatelské smlouvy s klienty, společnostmi stojícími za používanými nástroji a nezapomeňte ani na začlenění ZZOÚ do zaměstnaneckých smluv a proškolení týmu.
- Informujte své současné a minulé zákazníky o zásadách zpracování (souhlas od nich nechtějte, nepotřebujete jej) a začleňte je i do nákupního/poptávkového procesu.
- Pokud zpracováváte i údaje nezákazníků, doptejte si od nich doložitelné souhlasy. Ty, kdo vám je nedají, smažte.
- Projděte si veškeré formuláře na webu. Splňují zásadu minimalizace?
- Ujistěte se, že jste schopni jakýkoli současný i budoucí souhlas doložit (legislativně vyhovující varianta je double opt-in).
- Zkontrolujte, že lze udělený souhlas snadno odvolat.
Kompletní postup se bude u různých odvětví a situací lišit, na výše uvedené se ale musíme připravit všichni.
GDPR a obsah: dejte prostor kreativitě
Pro content marketéry tím ale komplikace nekončí. Oblíbená zásada „nejdřív pomáhat, potom prodávat“ se totiž už nebude vyplácet tak moc jako dřív. Za pomoc nebudete moci automaticky získat e-mail a na prodej tedy v mnoha případech už nedojde. Návštěvníka totiž za to, že vám nedá své osobní údaje, nemůžete trestat. Pokud něco poskytujete zdarma, musí to jít i bez údajů (respektive bez souhlasu – e-mail si můžete vyptat a využít k zaslání např. e-booku. Pokud ale nemáte souhlas, musíte jej hned poté smazat). Oproti tomu něco navíc (např. slevu) za souhlas stále nabízet můžete.
Výše popsané příklady se liší pouze v drobných nuancích. Na slevu nevzniká automaticky nárok, na to, co nabízíte jako „zdarma“, již ano. Řešení je tedy nasnadě: nepřehánět to s tím pomáháním a e-booky a bonusové materiály zpoplatnit – a zdarma leda za e-mail se souhlasem. Další, uživatelsky vstřícnější možností, je návštěvníka jednoduše zlákat, aby měl sám pocit, že bez vašeho newsletteru nemůže žít, a checkbox se souhlasem vám odklikl sám od sebe.
Obdobně na tom budou například soutěže. Nikdo ale neříká, že výměnou za souhlas s přijímáním e-mailů nesmíte nabídnout ještě něco navíc: benefit, více možností (hodnotného obsahu či soutěžních cen) nebo jinou výhodu. Pozitivně motivovat můžete – stačí přijít na způsob, který pro vás bude nejvhodnější.
GDPR v obsahovém marketingu bude zejména o kreativitě, definici vlastní hodnoty a prezentování výhod. Vždy ale mějte na paměti, že pokud budete tvořit opravdu skvělý obsah, návštěvníci jej budou chtít i bez kličkování a donucení. A pokud váš obsah nebude stát za nic, nezachrání vás sebelepší trik.
Výborný článek, uklidnil mě. Sám se z důvodu neustále zužujících zákonů snažím minimalizovat veškerou práci s osobními údaji. Emailovou databázi vůbec nevedu a přesto se ke mě lidé vracejí. Mám odběratele na Youtube, což je hlavní kanál. Emaily používám jen abych mohl reagovat na dotazy z kontaktních formulářů. Platební metody jsou vedené PayPalem. IP adresy neukládám celé a cookies vůbec nepoužívám. A funguje to 🙂 tak snad se mě to GDPR tolik nedotkne. Stejně jde především o to, abych nespamoval lidem e-maily nějakým otravným způsobem…
Nechci nijak strašit, GDPR beru jen jako něco, co by solidní správce databáze měl podporat již dáno, ale ve vašem komentáři vidím několik možná mystifikací, nad kterými bych se minimálně zamyslel 🙂
1) IP adresy neukládáte celé – jste si jist? Zákon o informační bezpečnosti naopak přikazuje majitelům webů, aby tyto údaje schraňovali. Výhodou je, že je to splněno již přístupovými logy k webovému serveru 🙂 Nicméně při styku s UOOU je IP adresa nutným parametrem pro prokázání „totožnosti“ přistoupivšího. Problematika je složitá, často diskutabilní, ale jsou zde minimálně zdva zákony, které je prima mít v tomto načtené (101/2000 a 480/2004).
2) Cookies nepoužíváte – a GA používáte? Pokud jo, tak i sušenky máte 🙂
Nechci nijak rýpat, jen jsem si zde všiml dvou bodů, u kterých se lidé většinou domnívají, že se je netýkají, ale opak je pravdou. Samozřejmě, neznám váš web, takže to, co píšete, může být 100% pravda 🙂
Chodí mi veľa spamovych mailov, da sa to niekde nahlasiť? Nemyslim, ze tieto stranky budú rešpektovať GDPR. Odosielatelia maju velmi divne mailove adresy.
Renato, prozatím je nahlášení možné prostřednictvím formuláře na stránkách ÚOOÚ: https://www.uoou.cz/formular-stiznosti-jak-podat-stiznost-na-nevyzadana-obchodni-sdeleni/ds-1501/p1=1501. Po 25. květnu se možná forma změní (nevím, co úřad v tomto ohledu plánuje), ale dohled nad dodržováním bude mít stále stejná instituce.
Krom UOOU (což jistě doporučuji) je ještě fajn i přímo ve svém poštovním klientovi (nebo na webu) kliknout na tlačítko “Mark as SPAM”. Důvod? Krom toho, že se ta pošta zařadí do jiné složky, tak se současně i nahlásí vašemu poskytovateli e-mailů a ten automaticky tuto poštu (na základě většinou Bayes filtru) začne penalizovat, takže vám už chodit nebude. A současně se to nahlásí i protistraně, že “někomu” (nebojte se, nebonzuje se, kdo přesně…) se to nelíbí.