Postrach menom GDPR Vivantina

Postrach menom GDPR

Kategória: Novinky, Tipy a návody

GDPR. Kto z nás sa s touto skratkou v poslednej dobe nestretol. Vidíme ju v novinách, v televízii, počujeme ju z rádia, vyškiera sa na nás zo zrkadla, vyskakuje spod postele… a, samozrejme, najviac je na očiach na internete.

GDPR. Kto z nás sa s touto skratkou v poslednej dobe nestretol. Vidíme ju v novinách, v televízii, počujeme ju z rádia, vyškiera sa na nás zo zrkadla, vyskakuje spod postele… a, samozrejme, najviac je na očiach na internete.

Ak chceme byť presní, ide o Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 a naň nadväzujúcu Smernicu Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016. Dnes je ten veľký deň, keď vstupuje do platnosti. Do slovenskej legislatívy je problematika GDPR implementovaná prostredníctvom zákona č. 18/2018 Z.z. o ochrane osobných údajov.

Akokoľvek by sme chceli, nemôžeme sa tváriť, že sa nás General Data Protection Regulation netýka. Tak sme sa pozreli, čo to pre nás v praxi znamená.

Čo je osobný údaj

V prvom rade samozrejme musíme vedieť, čo je osobný údaj. GDPR považuje za osobný údaj informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor.

Zjednodušene povedané, osobným údajom je každá informácia, ktorú je možné legálne priradiť ku konkrétnej osobe.

Okrem údajov, ktoré sú nám dobre známe (meno a priezvisko, rodné číslo, číslo OP atď.) sem patria aj citlivé údaje o zdravotnom stave, etnickej príslušnosti, politických názoroch, vierovyznaní atď., ale tiež online identifikátory ako IP adresy alebo cookies.

Prevádzkovateľ a sprostredkovateľ

Aktuálna legislatíva rozlišuje z pohľadu spracovania osobných údajov dva dôležité pojmy: prevádzkovateľ a sprostredkovateľ. V českých zdrojoch sa môžeme stretnúť s trochu výstižnejším pomenovaním správce a zpracovatel. Je to dôležité vedieť, keď si v špecifických prípadoch, ako je napríklad online marketing, potrebujeme pomôcť dostupnejšími materiálmi od našich západných susedov.

Prevádzkovateľ (česky správce) je fyzická alebo právnická osoba, ktorá primárne spracováva osobné údaje. Prevádzkovateľom je vo väčšej či menšej miere v princípe každá firma, vrátane nás.

Sprostredkovateľ (česky zpracovatel) je osoba, ktorá pre prevádzkovateľa spracováva osobné údaje na základe zmluvného vzťahu. Teda aj my ako agentúra.

Ako na GDPR informácie Vivantina

GDPR z pohľadu spoločnosti

Ako firme nám prináleží hrdý titul “prevádzkovateľ”, museli sme teda identifikovať všetky osobné údaje, s ktorými pracujeme. A následne vyhodnotiť:

  • účel spracovania osobných údajov,
  • ktoré údaje sú na tento účel nevyhnutné (aby sme zbytočne neuchovávali, čo nepotrebujeme),
  • či na ich spracovanie máme zákonný dôvod (ak áno, aký),
  • ak nie je zákonný dôvod, či na ich spracovanie máme súhlas dotknutej osoby,
  • ako dlho potrebujeme údaje spracovávať.

Aké povinnosti nám z toho všetkého vyplývajú vo vzťahu k majiteľom osobných údajov?

  • Máme informačnú povinnosť:
    • identifikácia nás ako prevádzkovateľa alebo sprostredkovateľa
    • aké osobné údaje spracovávame
    • prečo
    • ako dlho
    • na základe zákona alebo súhlasu
    • aké má užívateľ práva vo vzťahu k svojim osobným údajom
  • Musíme mať súhlas užívateľa na spracovanie údajov, keď na ich spracovanie nemáme povinnosť alebo právo zo zákona. Súhlas musí byť:
    • primeraný
    • aktívny (t.j. opt-in, nie opt-out)
    • dobrovoľný
  • Súhlas musíme evidovať:
    • kto nám súhlas udelil
    • kedy
    • akým spôsobom
    • v akom znení
    • či a kedy bol odvolaný
  • Údaje musíme zabezpečiť pred únikom a zneužitím. A áno, ich únik nahlásiť na ÚOOÚ do 72 hodín.
  • Musíme sa zaoberať požiadavkami dotknutých osôb, či už ide o informácie, alebo žiadosť o zmenu či výmaz osobných údajov.

Z toho všetkého nám okrem iného vyplynula potreba zaoberať sa aplikáciami, ktoré pri spracovaní osobných údajov používame - či spĺňajú zákonné požiadavky. Napríklad v prípade cloudovej služby G Suite si naštudujeme Google Cloud & the General Data Protection Regulation. K ďalšiemu používaniu cloudovej služby musíme odsúhlasiť nejakú formu sprostredkovaľskej zmluvy.

GDPR z pohľadu agentúry

GDPR dotknutú osobu musíme informovať Vivantina

Ako digitálna marketingová agentúra sa tiež nemôžeme vyhnúť práci s osobnými údajmi. V tomto prípade sme v pozícii “sprostredkovateľa”. Ale pozor, svoje povinnosti vo vzťahu k osobným údajom klienta musíme mať ošetrené zmluvou, ktorá určuje rozsah spracovania.

Takže primárnou úlohou agentúry je identifikovať, s akými osobnými údajmi pracujeme v rámci zákazky, a určiť, kde sa začína a kde končí naša zodpovednosť za nakladanie s týmito údajmi. Nevyhneme sa pri tom veľkej časti povinností, ktoré má aj prevádzkovateľ, ale aspoň primárna zodpovednosť za vzťah s dotknutými osobami je na jeho hlave.

Nesmieme však zabudnúť klienta upozorniť, keď zistíme, že pri spracovaní osobných údajov porušuje zákon, resp. keď jeho požiadavky na naše služby idú nad rámec zákona.

Akých služieb digitálnej marketingovej agentúry sa požiadavky na ochranu osobných údajov týkajú?

SEO

SEO som dal na prvé miesto, pretože je to najjednoduchší prípad. Stručne: v SEO nie je čo riešiť. Okrem databázy kontaktov pre linkbuilding, na ktorú sa vzťahuje oprávnený záujem, a prípadne náhľadu do serverových logov (zmluva o mlčanlivosti), s osobnými údajmi nepracujeme.

Obsahový marketing a copywriting

Tu sa už nezaobídeme bez sprostredkovaľskej zmluvy s klientom. Ak v obsahu pracujeme s konkrétnymi osobami, potrebujeme ich súhlas. Kým doteraz bol obsahový marketing často kombinovaný so zberom kontaktov na marketingové účely, ponovom je to trošku zložitejšie. Keďže súhlas na spracovanie osobných údajov musí byť dobrovoľný, nemôžeme poskytnutie obsahu užívateľovi podmieniť týmto súhlasom.

Riešenie? Užívateľ musí mať na výber: napríklad mu umožníme ako alternatívu k poskytnutiu osobných údajovza prémiový obsah zaplatiť. Podobne v prípade súťaží - užívateľ musí mať možnosť produkt získať aj inak (napr. si ho u nás kúpiť). Pozor si musíme dať na použitie fotografií, tagovanie ľudí, súťaže pre deti, sociálne pluginy na webe. V každom prípade sa stále držíme základnej zásady - informovať!

E-mail marketing

Už som to naznačil v predchádzajúcej kapitole - cowbojským metódam zberu e-mailov je koniec. Čokoľvek, čo užívateľovi ponúkate výmenou za je e-mailovú adresu, resp. súhlas na spracovanie osobných údajov, musí mať možnosť získať aj bez toho, aby vám tento súhlas dal.

Súhlas si od užívateľa musíte vyžiadať tak na samotné zasielanie marketingových správ, ako aj na spracovanie údajov pre potreby personalizácie e-mail marketingu. Musíte s ním hrať otvorenú hru - poskytnúť mu všetky potrebné informácie.

V prípade oslovenia aktuálnych zákazníkov je situácia o čosi jednoduchšia. Na marketingové správy (súvisiace s predmetom objednávky) máte súhlas automaticky (oprávnený záujem), zákazníkovi však musíte umožniť namietať spracovanie jeho osobných údajov.

Ochota informovaného užívateľa poskytnúť svoje osobné údaje bude logicky nižšia, ako tomu bývalo doteraz. Preto záleží na každom slovíčku, ako svoju požiadavku naformulujete.

Pre použitie externých nástrojov e-mail marketingu (napr. MailChimp) platí to, čo som hovoril vyššie o cloudových službách: preverte si, či spĺňajú podmienky GDPR a uzavrite s nimi sprostredkovaľskú zmluvu.

Cielená reklama

V prípade cielenia reklamy v reklamných systémoch ako sú Google Ads alebo Facebook Ads rozlišujeme medzi zacielením na základe údajov spracovávaných reklamným systémom (napr. cielenie podľa záujmov, demografických údajov a pod.) a cielením na naše vlastné publiká (remarketing).

V prvom prípade je zodpovednosť na pleciach prevádzkovateľa reklamného systému, našou úlohou je pristupovať k nemu ako k akejkoľvek inej cloudovej službe. Ako pristupuje k požiadavkám GDPR napríklad Facebook, si môžeme prečítať tu.

V druhom prípade sme už namočení aj my ako agentúra, resp. náš klient ako inzerent, čo nám dáva povinnosť informovať užívateľa, aké údaje spracovávame, na aký účel atď. (viď vyššie).

Zabúdať nesmieme ešte na jeden aspekt - aj keby sme nerobili remarketing, výkonnosť kampaní chceme merať a analyzovať. K tomu však - rovnako ako k remarketingu - potrebujeme súbory cookies, ktoré sú klasifikované ako osobný údaj. O nich však viac napíšem v ďalšej kapitole.

Webová analytika

Základným princípom webovej analytiky je použitie cookies alebo obdobných identifikátorov, ktoré nám umožňujú sledovať správanie užívateľa na webe. Pretože na jednej strane ide o osobné údaje, na druhej strane je dnes efektívny online marketing bez použitia cookies nemysliteľný, nariadenie GDPR nám marketérom naklonovalo vrásky na čelách.

Požiadavky GDPR sú naformulované veľmi zoširoka, čo znamená, že by sme na použitie cookies mali mať od užívateľov súhlas. Pýtajte si však súhlas na niečo, čomu 95% z nich nerozumie. Spomeňme si na známu “cookies lištu”. Ruku na srdce - koľkokrát sme sa reálne zaujímali, čo nám ňou chcel majiteľ webu povedať, a koľkokrát sme ju len odklikli ako najviac obťažujúci prvok na webe?

ePrivacy

Cieľom Europarlamentu však určite nebolo zabiť európsku ekonomiku. Preto mala súčasne s GDPR vstúpiť do platnosti smernica ePrivacy, ktorá bude okrem iného riešiť práve problematiku cookies, resp. sledovania správania užívateľov na webe, a ktorá nahradí zastaralú smernicu Európskeho parlamentu a Rady (EÚ) 2002/58/ES z 12. júla 2002. Je pravdepodobné, že smernica ePrivacy prinesie pre prácu s cookies kompromisné riešenie, dokonca upustí od požiadavky na používanie “cookies lišty”, ktorá sa v praxi neosvedčila.

Problém je, že ePrivacy ešte nemáme, kým GDPR už áno. A tak musíme riešiť dilemu, či sa držať doteraz platnej legislatívy (zákon č. 351/2011 Z. z. o elektronických komunikáciách), ktorá vychádza zo smernice 2002/58/ES, alebo nariadenia GDPR, ktoré je podstatne prísnejšie, ale nezohľadňuje špecifiká online marketingu. Ako sa vyrovnať s týmto rozporom, kým vyjde ePrivacy, bude ďalšou vecou, kvôli ktorej ešte nejaký čas nebudeme pokojne spávať.

Záver

Aj keď sa to na prvý pohľad nezdá, v tomto článku som sa problematiky GDPR a ochrany osobných údajov dotkol len veľmi zľahka. Každého z nás sa však týka v ďaleko väčšej miere, ako je tu napísané. GDPR ešte určite potrápi nejednu firmu či agentúru, no my vo Vivantine sa výziev nebojíme a radi sa s nimi popasujeme. 🙂

Ak som vám týmto blogom pripomenul, že ešte máte v oblasti ochrany osobných údajov nejasnosti, s dôverou sa na nás obráťte. Ako marketingoví špecialisti študujeme pravidlá a hľadáme riešenia, takže vám radi pomôžeme aj s vaším problémom. Kontakty nájdete na tejto stránke.

Ľubo Štulajter - marketingová agentúra Vivantina
Autor
Ľubomír Štulajter
Performance Marketing Manager

Zaujala vás naša práca?

Povedzte nám o svojom projekte.

Ako Google Partner vám vieme poskytnúť tú najlepšiu podporu.