Email marketing patří mezi nejúčinnější nástroje přímého marketingu, zároveň je ale i velmi citlivou oblastí. Nestačí mít vymazlený obsah newsletteru, napsat poutavý předmět nebo sledovat míru prokliků. Každé obchodní sdělení s sebou nese i právní odpovědnost.
Pravidla upravující zpracování osobních údajů a elektronickou komunikaci se neustále vyvíjejí, jejich neznalost může vést k chybám, které ohrozí nejen důvěru zákazníků, ale i reputaci celé firmy.
Připravili jsme proto přehled deseti klíčových bodů, které by měl znát každý, kdo ve firmě zodpovídá za email marketing. Ať už pracujete v marketingu, HR nebo správě databází, tahle desítka vám pomůže nastavit vše správně, bez stresu a hlavně v souladu se zákonem.
1. Dodržujte právní rámec a určete odpovědnost
Zasílání obchodních sdělení se v České republice řídí dvěma klíčovými předpisy, které mimo jiné upravují zpracování osobních údajů a podmínky šíření obchodních sdělení elektronickými prostředky. Jsou to:
- Nařízení EU 2016/679 známé jako GDPR
- Zákon č. 480/2004 Sb. – Zákon o některých službách informační společnosti
Každý správce nebo zpracovatel je odpovědný za soulad s těmito předpisy, včetně prokazatelnosti a dokumentace.
Doporučení:
Zjistěte, kdo je ve firmě formálně správcem údajů a kdo odpovídá za marketing. Ověřte, že tyto osoby znají příslušnou legislativu. Nezapomeňte vytvořit a sepsat interní směrnici, která uvede správce a další osoby s odpovědností za získávání a zpracování osobních údajů.
2. Získávejte kontakty řádně dle platné legislativy
Pro zpracování e‑mailových adres za účelem zasílání obchodních sdělení je potřeba:
a) výslovný souhlas subjektu údajů podle čl. 6 odst. 1 písm. a) GDPR,
b) nebo oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR – v případě, že se jedná o stávající zákazníky a sdělení se týká obdobného zboží nebo služeb (§ 7 odst. 3 zákona č. 480/2004 Sb.).
Souhlas musí být vždy:
-
dobrovolný, konkrétní, informovaný a jednoznačný,
-
udělen aktivním úkonem (například nezaškrtnutým checkboxem),
-
prokazatelný – doporučuje se uchovávat logy s časem, IP adresou a zněním souhlasu.
Doporučení:
Zaveďte systém double opt-in pro ověření, že kontakt skutečně patří danému uživateli a logujte všechny souhlasy. U každého kontaktu uchovávejte informace o tom, kdy, jak a s jakým zněním byl souhlas udělen. Pokud si nejste jisti, jak na to, v Emailkampane.cz to vyřešíme za vás.
3. Věnujte pozornost tomu, co je obchodní sdělení
Obchodní sdělení není jen přímá reklama. Za obchodní sdělení se považuje jakákoli forma komunikace, která podporuje prodej, poskytování služeb nebo image podnikatele.
Může jít například o:
- dotazníky typu „Byli jste spokojeni?“,
- pozvánky na webináře, i když to není hlavní činnost firmy,
- žádosti o udělení souhlasu se zasíláním sdělení od společnosti nabízející například stavební materiál.
Doporučení:
Vytvořte si interní seznam typů sdělení, která běžně rozesíláte (např. newsletter, pozvánka, upomínka faktury, informace o zásilce). U každého vyhodnoťte, zda se jedná o obchodní sdělení, a přidejte poznámku, zda vyžaduje či nevyžaduje souhlas.
4. Pohlídejte si povinné náležitosti obchodního sdělení
Každé obchodní sdělení musí obsahovat:
-
jasnou identifikaci odesílatele,
-
informaci o účelu sdělení,
-
možnost odmítnutí dalších sdělení (odhlašovací odkaz).
Doporučení:
Zkontrolujte si své šablony kampaní. Odhlašovací odkaz musí být dobře viditelný, čitelný a plně funkční, a to bez nutnosti přihlašování. Zahrňte tuto kontrolu do interní směrnice a zaveďte pravidlo jejího opakování při tvorbě každé nové šablony. V Emailkampane.cz navíc kontrolujeme přítomnost odkazu automaticky a v případě potřeby jej doplníme za vás.
5. Dbejte na zabezpečení dat a správný výběr dodavatelů
Podle čl. 32 GDPR je správce povinen přijmout technická a organizační opatření, která zajistí bezpečnost zpracovávaných údajů.
Týká se to především:
- řízení přístupových práv,
- šifrování databází,
- vedení auditních logů,
- pravidelného testování zranitelností.
Doporučení:
Zeptejte se vašeho IT oddělení, kde jsou data uložena, kdo k nim má přístup a jak jsou chráněna. Nastavte dvoufázové ověřování, pravidelně zálohujte a všechny procesy zaznamenejte ve směrnici. Tuto kontrolu opakujte vždy při zavedení nové aplikace nebo systému.
6. Ověřte smluvní vztahy s dodavateli a zpracovateli dat
Pokud využíváte externí službu pro e‑mail marketing, například Emailkampane.cz, máte jako správce následující povinnosti:
- uzavřít s dodavatelem zpracovatelskou smlouvu dle čl. 28 GDPR,
- ověřit, že zpracovatel splňuje bezpečnostní standardy,
- v případě přenosu dat mimo EU zajistit tzv. standardní smluvní doložky (SCC).
Doporučení:
Zkontrolujte, zda máte s dodavatelem/zpracovatelem uzavřenou smlouvu o zpracování osobních údajů. Pokud ne, vyžádejte si ji. Zajímejte se o zabezpečení, umístění serverů a případnou certifikaci (např. ISO 27001). V případě pochybností se ptejte na možnost auditu.
7. Vytvořte dokumentaci a interní procesy
Jako správce osobních údajů jste povinni vést:
a) záznamy o činnostech zpracování (čl. 30 GDPR),
b) dokumentaci o udělených souhlasech,
c) interní směrnice pro e‑mail marketing,
d) záznamy o školení zaměstnanců.
Doporučení:
Vytvořte si přehledný dokument popisující přístupová práva, způsob získávání souhlasů a zpracování odhlášení. Zaměstnance školte a archivujte záznamy o školeních. Pokud používáte externí nástroj, ověřte, zda automaticky zas vás ukládá čas a zdroj kontaktu.
8. Připravte se na kontrolu ÚOOÚ
Při stížnosti subjektu údajů může Úřad pro ochranu osobních údajů požadovat, abyste:
-
doložili právní základ pro zasílání sdělení,
-
popsali nastavení procesů a zabezpečení,
-
provedli výmaz konkrétní adresy.
Ujistěte se, že:
- máte zdokumentované souhlasy,
- používáte double opt-in,
- máte interní směrnice a jasně stanovené odpovědnosti,
- zaměstnanci jsou proškoleni,
- odhlašovací odkazy jsou funkční,
- máte uzavřené smlouvy s dodavateli,
- pravidelně vyzvedáváte datovou schránku.
Doporučení:
ÚOOÚ běžně komunikuje přes datovou schránku. Pokud ji neotevřete, po 10 dnech se zpráva považuje za doručenou a začíná běžet lhůta na odpověď. V případě nečinnosti hrozí pokuta až 200 000 Kč.
9. Uvědomte si dopady při porušení povinností
Reputační škoda
Ztráta důvěry klientů, negativní publicita a nižší šance na získání nových zákazníků.
Pokuta za neposkytnutí součinnosti
Až 200 000 Kč (nad rámec pokuty za porušení Zákona).
Porušení zákona č. 480/2004 Sb.:
Až 10 000 000 Kč za porušení pravidel pro šíření obchodních sdělení elektronickými prostředky.
Porušení GDPR: Až 20 000 000 EUR nebo 4 % celosvětového ročního obratu.
Nejčastější přestupky:
-
zpracování údajů bez právního základu,
-
nedostatečné zabezpečení databáze,
-
neposkytnutí informací subjektu údajů,
-
neochota spolupracovat s úřadem.
Doplnění:
Úřad zpravidla nejprve zasílá výzvu k nápravě nebo vysvětlení. Sankce následuje až při nečinnosti nebo opakovaném porušení a její výše odpovídá závažnosti a jsou často jen zlomkem výše uvedených částek.
10. Prevence je vždy levnější než pokuta
Provádějte pravidelné compliance audity email marketingu a mějte připravené všechny potřebné dokumenty z bodu 8., včetně vzoru odpovědi na případnou výzvu ÚOOÚ, která vám ušetří drahocenný čas.
Doporučení:
Z jednotlivých kroků si vytvořte přehledný interní checklist. Pomůže vám rychle se zorientovat v tom, kde máte vše v pořádku a kde je třeba doplnit dokumentaci. Pokud si něčím nejste jistí, obraťte se na odborníka v oblasti ochrany osobních údajů.
Chcete se dozvědět více nebo potřebujete další informace?
Hledáte pomoc s konkrétní kampaní nebo celým email marketingem?
Kontaktujte nás! Rádi s vámi probereme všechny možnosti.
