Jestliže v rámci svého podnikání využíváte možnosti e-mailového marketingu nebo jiné formy online marketingu, s nástupem GDPR v platnost budete muset pravděpodobně i vy změnit způsob, jakým získáváte od svých kontaktů souhlas se zpracováním osobních údajů, i to jak s nimi dále nakládáte.
GDPR (General Data Protection Regulation, do češtiny překládáno jako Obecné nařízení o ochraně osobních údajů) je nařízení Evropské unie, které zásadním způsobem upravuje a zpřísňuje způsob, jakým budou získávány, ukládány a zpracovávány osobní údaje. Prakticky ve všech zemích EU, kde má toto nařízení vstoupit v platnost 25. května 2018, vyvolává nekonečné řady odborných diskusí i oprávněných obav, a to zdaleka nejen mezi provozovateli e-mailového marketingu, nýbrž online marketingu obecně. Týkat se bude všech společností, jejichž zákazníky jsou někteří ze 750 milionů občanů EU z 28 členských zemí.
Není překvapením, že příjemci obchodních sdělení tuto nadcházející změnu z pochopitelných důvodů vítají, protože s jejich citlivými daty už obchodníci nebudou moci nakládat tak volným způsobem jako doposud. V praxi by to mělo znamenat, že příjemce bude mít značně posílené právo se rozhodovat, jak smí ta která firma nakládat s jeho osobními údaji. Při nesouladu s GDPR hrozí přitom pokuta až do výše 4 % ročního obratu odesílatele obchodního sdělení či 20 milionů EUR, což může být v mnoha případech až likvidační.
Obecně bude GDPR klást na organizace následující nároky:
- Veškeré osobní údaje musí být zpracovány transparentně.
- Struktura zpracovávání údajů musí být jasně definována.
- V určitých vymezených případech bude nutné jmenovat pověřence pro ochranu osobních údajů neboli tzv. DPO (Data Protection Officer).
- Subjekt má právo na výmaz osobních údajů na vyžádání, organizace má povinnost mu na požádání vyhovět.
- Povinnost evidovat účely zpracování osobních údajů.
- Povinnost ohlašovat incidenty týkající se zpracovávaných osobních údajů.
- Povinnost posuzovat vliv okolností na ochranu osobních údajů (například po implementaci nového IT systému).
Co to tedy znamená pro e-mailové marketéry?
V prvé řadě je třeba uvést, že GDPR nijak nenahrazuje ani nemění existující platný Zákon o informační společnosti, který již dnes poměrně jasně vymezuje pravidla, jakým způsobem mohou být obchodní sdělení zasílána. GDPR stávající legislativu pouze rozšiřuje a zavádí nové podmínky, které musí obchodní sdělení splňovat. Konkrétně musí být založené na některém z definovaných právních základů, z nichž pro podnikatele a marketéry jsou nejdůležitější tyto dva: souhlas a oprávněný zájem.
To znamená, že obchodní sdělení musí splňovat přinejmenším jednu z těchto podmínek. Možným řešením je tedy jak samotné získání souhlasu, tak i pouhé naplnění podmínky oprávněného zájmu. I pokud se vám nepodaří získat souhlas se zasíláním obchodního sdělení, podle GDPR můžete stále nabízet vlastní výrobky nebo služby, o které má příjemce oprávněný zájem. Tím tedy odpadá často diskutovaná povinnost zpětného získávání souhlasů se zasíláním. Získání souhlasu je ale obecně považováno za jistější volbu například proto, že oprávněný zájem si může každý vyložit po svém.
Vlastní trackovací certifikát
Jak podle GDPR získat souhlas se zpracováním osobních údajů?
V této otázce zavádí GDPR celou řadu podmínek, které je nutno bez výjimky splnit, chcete-li takový souhlas právoplatně získat. V prvé řadě musí být souhlas udělen jasnou a především aktivní akcí – zakázány jsou zejména praktiky jako předem zaškrtnutá pole. Aktivní akcí se rozumí naplnění pravidla double opt-in, kdy zákazník na webu nejprve odsouhlasí zpracování svých osobních údajů, načež obdrží na e-mail potvrzovací odkaz. Teprve až kliknutím na tento odkaz dojde k vědomému potvrzení souhlasu spolu s ověřením, že se skutečně jedná o e-mailovou adresu dané osoby, čímž se minimalizuje riziko toho, že by docházelo ke zneužívání údajů cizí osobou.
Další podmínkou je, že nesmí nastat situace označovaná jako „take it or leave it“, kdy by při odmítnutí zpracování údajů byl zákazníkovi odmítnut nárok na jakoukoli službu či produkt z nabídky. Souhlas musí být udělen na samostatném formuláři, odděleně od obchodních podmínek a další dokumentace. V neposlední řadě musí být souhlas informovaný – zákazník musí vědět, za jakým účelem ke zpracování osobních údajů dochází spolu s tím, komu budou tyto údaje sloužit.
Chybět by nikdy neměl ani odkaz na privacy policy (zásady ochrany osobních údajů) – tyto by měly obsahovat například informace o tom, jakým způsobem budou využívány cookies, které se tvoří automaticky při prokliknutí na odkaz v e-mailu. V patičkách e-mailů nesmí chybět kontaktní údaje spolu s dalšími informacemi o společnosti, a to i na úkor celkového designu e-mailu. Závěrem je vhodné zdůraznit pravděpodobně jeden z nejdůležitějších bodů GDPR, který říká, že osobní údaje nikdy nesmí být použity za jiným účelem, než za kterým byly získány.
Více informací pro vás připravujeme.
V případě, že byste měli nějakou konkrétní otázku neváhejte nás kontaktovat!