Jste připraveni na začátek platnosti nařízení Evropské unie o ochraně osobních údajů (GDPR)? Víte, co to pro Vás znamená a jaký to má dopad na Vaše online marketingové kampaně? Jestliže jen trochu váháte, přečtěte si tento podrobný článek, zabývající se tímto tématem a nebojte se zeptat! Jsme tu pro Vás!

Historie vzniku GDPR.

Říkáte si, proč bychom se měli tímto tématem zabývat. Proč Evropská unie vymyslela další nařízení, které akorát komplikuje život? Nechte mě prosím na tyto otázky odpovědět v krátkém úvodu.

V dnešní době propojeného světa je sbíráno velké množství osobních údajů, chcete-li dat. Ať už se jedná o záznamy hovorů, pořízené fotografie, odeslané zprávy, vše zanechává stopu v počítačových systémech. V květnu roku 2017 magazín The Economist označil osobní data za cennější aktivum než ropu. A není se čemu divit. Když se podíváte na jedny z nejvíce hodnotných značek na světě, naleznete tam převážně mladé společnosti, zabývající se vytěžováním dat (i osobních). A jelikož se stala osobní data velmi cenná, je potřeba se zaměřit i na jejich ochranu proti krádeži a zneužití.

Velmi zajímavá je studie provedená v US společností TRUSTe/NCSA ohledně bezpečnosti dat z pohledu uživatelů – tedy nás, uživatelů internetu. Výsledkem ankety je zjištěním, že 92% uživatelů má obavy o bezpečnost svých dat a 89% uživatelů se vyhýbá společnostem, které nechrání jejich osobní data. To jsou velmi alarmující čísla!

Na začátku roku 2018 jsme se rozhodli oslovit marketingové společnosti v České republice s návazností na GDPR. Výsledek ankety nás opravdu překvapil! Zjistili jsme, že 41% marketingových společností přiznává, že plně nerozumí novému neřízení z právního hlediska o možnostech využití osobních údajů. Velmi znepokojivé zjištění, že? Proto je jasné, proč se Evropská unie rozhodla jednat a připravila GDPR, která mají pomoc sjednotit použití osobních údajů a zajistit jejich bezpečnost.

Co to tedy je GDPR?

GDPR (General Data Protection Regulation) je nové nařízení, které se zabývá osobními údaji z různých aspektů. V platnost vejde 25. května 2018 a bude povinné pro všechny společnosti, které zpracovávají osobní údaje. Jedná se tedy o jakési sjednocení práv a povinností společností a také obyvatel evropské unie.

Jednoduše řečeno, společnosti musí zapracovat změny do jejich systémů a webových stránek a mít je aktivované právě k tomuto datu. Zároveň společnosti také musí provádět prověrky bezpečnosti dat, změnit způsob, jakým žádají o použití osobních dat a jasně definovat jejich využití. Jelikož se jedná o nařízení a ne směrnici, není možné, že se společnosti rozhodnou tento fakt ignorovat. Při porušení nařízení jim hrozí vysoké pokuty, a to až do výše 20 mil € nebo 4% jejich celosvětového ročního obratu.

Proč implementovat GDPR právě teď?

Říkáte si, že je možná pozdě začít reagovat na GDPR 2 měsíce předtím, než vstoupí v platnost. To je chyba! Nikdy není pozdě a hrozba pokuty bude ve vzduchu do té doby, než se na celou problematiku zaměříte a uděláte v datech pořádek. Ale nebojte, není to až taková změna, jakou z toho média dělají a rozhodně to není nic náročného. Nejlepší formou je, zvolit si vhodného konzultanta, který s Vámi projde celé nařízení a zhodnotí Váš aktuální stav. Jestliže dodržujete zákon o ochraně osobních údajů, který je v ČR platný již delší dobu, máte minimálně z 80% vyhráno. Rozdíly mezi zákonem a GDPR jsou totiž minimální.

A proč Evropská unie přišla s GDPR nyní? Odpověď je prostá. Současná směrnice je totiž z roku 1980. A uznejte, v tomto roce internet ještě neexistoval, nebyla žádná chytrá zařízení, uměla inteligence nebo jiné vymoženosti, které nakládají s osobními údaji aniž si to uvědomujeme. A navíc, jedná se o směrnici, nikoli nařízení. Takže společnosti se mohou rozhodnout, zda směrnici z roku 1980 budu brát v potaz nebo ignorovat.

Jaký má dopad GDPR na marketing?

Na první pohled se může zdát, že se jedná o velmi obsáhlé téma, které je velmi složité implementovat, obzvláště pro malé společnosti nebo podnikatele. Ve skutečnosti se jedná o 3 oblasti. Celé nařízení nám říká, jak se k těmto oblastem máme chovat, nenařizuje žádné konkrétní řešení. Je tedy proto na nás, jaké kroky zvolíme a zajistíme „kompatibilitu“ s nařízením GDPR.

Oblast první: Data Permission

Měli bychom zajistit, že data, která máme, jsou důvěrná, nejsou veřejně dostupná a adekvátně zabezpečená. Zároveň musíme zajistit, že veškeré souhlasy, které máme k dispozici byly dány, jsou v souladu s pravidlem „svobodně daná, specifická, informovaná a jednoznačná“. Co to ale znamená?

V praxi to znamená, že osobní údaje jsou sdíleny aktivně – aktivním souhlasem. Aktivního souhlasu můžete docílit třeba rozšířením webového formuláře o možnost zaškrtnutí souhlasu. Na co si ale musíte dát pozor je to, že toto pole nesmí být předvyplněné, uživatel jej musí zakřížkovat sám. Nemělo by se tedy předpokládat, že vyplněním formuláře uživatel souhlasí se zasíláním emailových sdělení, ale uživatel by měl vybrat možnost, že chce zasílat emaily.

Zajímavým příkladem mohou být tzv. „doporučovací programy“. Jistě jste se s tím setkali, kdy Vám společnosti nabízí 1 měsíc provozu software zdarma, pokud vyplníte emailové adresy Vašich známých. Po vyplnění je většinou odeslán informativní email. Pokud je pouze odeslaná notifikace, vše je v pořádku a splňuje to podmínky GDPR. Problém však nastává, pokud byste chtěli využít tyto emaily pro obchodní komunikaci. V tomto případě Vám osoba nedala svobodný, specifický, informovaný a jednoznačný souhlas.

Oblast druhá: Data Access

Toto je jedno ze základních pravidel, které je potřeba respektovat. Zároveň se jedná o velmi těžké pravidlo a většina společnosti bude mít v této oblasti nejvíce problémů. Jedná se o tzv. „právo být zapomenut“. Tato oblast dává lidem právo na požadavek k smazání svých osobních údajů z databáze společnosti. Mělo by se jednat o smazání ze všech systémů, kde se osobní data vyskytují. A to, je pro většinu společností velký problém, jelikož nemají přesně zmapované systémy a osobní údaje.

Nejedná se pouze o smazání. Osoba má také právo požádat o výpis těchto dat. Jestliže takový požadavek obdržíte, měli byste být schopni do 30ti dnů poskytnout kompletní výpis využití všech osobních dat vč. všech informovaných souhlasů, které od dané osoby máte k dispozici. A teď si položte otázku, zvládli byste to ve Vaší současné situaci? A zvládli byste to, když obdržíte těchto požadavků 10 každý týden?

Oblast třetí: Data Focus

Zde se uplatňuje princip „minimalizace“. Znamená to, že byste si měli uchovávat osobní data pouze do takové míry, které jsou potřeba a ke kterým máte souhlas. Pozor na jednu věc. Nemůžete míchat dvě nebo více databází dohromady, pokud k tomu nemáte výslovný souhlas. V praxi to znamená, že informace z jedné kampaně např. ohledně nákupních preferencí nemůžete zpracovávat ve stejné databázi jako informace o výsledcích hledání v prohlížeči, protože data vám subjekt poskytl na základě dvou odlišných souhlasů.

Možná to zní děsivě, ale ve skutečnosti to není tak horké, jak to vypadá. Je potřeba stanovit rozsah informací, které ke své činnosti potřebujete a veškeré „nice-to-have“ informace zapomenout (smazat). Možná se nechcete vzdát těchto dat, ale cesta od dat k informacím je ještě dlouhá. Samotná data jsou k ničmu.Pokud tyto data opravdu nepotřebujete, tak Vám pouze zabírají místo v databázi, za které je potřeba platit.

Možné příklady pokut z minulosti

A jako poslední odstavec v dnešním článku bych rád uvedl jeden příklad z praxe.

V srpnu roku 2016 společnost Flybe odeslala email všem kontaktům v databázi s žádostí o aktualizaci jejich údajů. Databáze to byla veliká, přibližně 3.3 miliónu kontaktů. Společnost si slibovala, že lidé tuto databázi aktualizují a zároveň se pročistí od emailů, které již nejsou platné nebo jsou ve špatném formátu. Bohužel, v tomto velkém balíku byli obsaženi i lidé, kteří nechtěli být kontaktování a z emailové komunikace se odhlásili v minulosti. A výsledek tohoto problému? Pokuta 70.000 liber (cca 2,25 milionu korun). A jaké z toho plyne poučení? Pokud budete dodržovat druhou oblast – a to konkrétně právo být zapomenut, tyto kontakty v databázi mít nebudete a nebude tedy riziko pokuty.

V tomto článku jsem Vám krátce představil problematiku GDPR, provedl základní rozdělení a pokusil se Vám nastínit, jak implementace GDPR ovlivní společnost jako celek. Ve druhém díle bych se rád zaměřil přímo na oblast marketingu a emailové komunikace. Závěrem nabídnu 8 praktických tipů, jak na GDPR v marketingu.