Nedávno vstúpilo do platnosti dlho očakávané nariadenie GDPR. Bolo okolo neho veľa otázok a v podstate stále aj je. Pre veľa ľudí, a najmä teda firiem, je strašiakom. Pre marketérov takmer nočnou morou. No nie je to až také zlé, ako sa zdá. V našom článku sa vám pokúsime priblížiť a objasniť to, aký má GDPR vplyv na online marketing, a na čo si treba dať pozor.

Čo je GDPR (alebo opakovanie je matkou múdrosti)

GDPR vo všeobecnosti definujeme ako Všeobecné nariadenie o ochrane osobných údajov. Nahrádza doteraz známy zákon o ochrane osobných údajov. Ochraňovať osobné údaje je potrebné preto, lebo to patrí k základným ľudským právam. Zahŕňa to, samozrejme, ochraňovanie citlivých súkromných a rodinných údajov.

Mnohí si možno kladú otázku, prečo vzniklo GDPR práve teraz? Ako sa píše v bode 6 v úvode Nariadenia Európskeho parlamentu a Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, tak “rýchly technologický rozvoj a globalizácia so sebou priniesli nové výzvy v oblasti ochrany osobných údajov. Technológia umožňuje spoločnostiam a orgánom verejnej moci pri výkone ich činností využívať osobné údaje v doteraz bezprecedentnom rozsahu. Fyzické osoby stále viac zverejňujú osobné údaje, a to aj v globálnom meradle”. V praxi to znamená to, že súčasné technológie zbierajú naše údaje v takom rozsahu a takým spôsobom, že o tom väčšina fyzických osôb ani nevie. Preto vzniklo nariadenie, ktorým sa ukladá spoločnostiam a verejným inštitúciám povinnosť informovať užívateľa pri každom zbere a prácou s údajmi.

Čo je osobný údaj?

Podľa vyššie spomenutého nariadenia sú osobné údaje akékoľvek informácie “týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, pričom táto osoba je identifikovateľná vtedy, ak ju možno identifikovať priamo alebo nepriamo najmä odkazom na identifikátor ako je meno, lokalizačné údaje, online identifikátor alebo prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby”.

Jednoducho zhrnuté a napísané, osobným údajom sú všetky informácie, ktoré sú nejakým spôsobom priraditeľné človeku a je ich legálnym spôsobom možné dohľadať.

Podľa tohto nariadenia spadajú pod osobné údaje aj technické identifikátory ako IP adresy či cookies. Ak je vaša IP adresa súčasťou siete alebo je maskovaná, vtedy sa za osobný údaj nepovažuje. Naopak, ak vás identifikuje, tak je osobným údajom ako statická, tak aj dynamická. O “cookieskách” píšeme nižšie.

Vedeli ste, že osobný údaj je aj…

 –   fotografia (aj tá z vašej firemnej akcie na Facebooku),

–   číslo na mobilný telefón,

–   číslo bankového účtu (len pri fyzických osobách),

–   firemný e-mail (ak je firemný e-mail v tvare [email protected], tak je za osobný údaj považovaný vtedy, ak z neho už písala fyzická osoba),

–   záznam v knihe jázd, ak je uvedená ulica (čo takmer vždy je),

–   špecifické tetovanie na ruke?

GDPR v online marketingu

Tak ako nás marketérov v RIESENIA.com, tak určite aj ostatných kolegov z brandže asi najviac zaujíma, čo sa zmenilo a zmení z pohľadu online marketingu. Nejedna agentúra určite stála pred otázkami ako “To budem musieť vypnúť všetky kampane? Zastaviť remarketing? A čo sociálne siete?” Samozrejme, že predčasná panika sa nezmenila na pravdu, ale všetci sme urobili základné opatrenia v súlade s GDPR.

Nie je sušienka ako sušienka

V súvislosti s GDPR sa často spomínajú cookies. Pod pojmom cookie je možné predstaviť si malé množstvo údajov, ktoré sú ako súbor odoslané do vášho počítača (tabletu, mobilu) z internetovej stránky, ktorú práve navštevujete. V počítači sa súbor údajov uloží a pri každej ďalšej návšteve rovnakej webovej stránky odošle počítač informáciu serveru stránky.

Prečo sa ale o tom hovorí teraz, keď cookies existujú už dlho? Preto, lebo nie je cookie ako cookie! Ako to teda je?

V zjednodušenej forme sa dá napísať, že existujú dva typy cookies:

1. tie, ktoré zabezpečujú technickú prevádzku vašej webstránky,
2. všetky ostatné, napr. tie, ktoré slúžia na marketingové, a iné účely.

Prvú skupinu cookies nemusíte riešiť. Druhú skupinu nemusíte tiež riešiť, pretože ak s nimi užívatelia nesúhlasia, tak si ich sledovanie nezapnú. ALE podľa GDPR je to tak len za predpokladu, že na svojom webe poskytujete informáciu o tom, ako s cookies nakladáte (vysvetlenie pochádza od Úradu pro ochranu osobních údajů v Českej republike).

A teraz príde to, v čom majú všetci zmätok. Na jednej strane si možno myslíte, že užívateľovi stačí udeliť súhlas v nastaveniach prehliadača a vám v podzáložke webu, ale nie je to úplne tak. Pokiaľ využívate na svojom webe napríklad Google AdWords a cookie lištu odstránite, berte do úvahy aj pravidlá Google. Tie by sa nemuseli stotožňovať s vyššie uvedeným vyjadrením Úradu, čo sa vlastne dá a čo sa nedá považovať za súhlas.

Takže, čo sa cookies týka, je to teraz vcelku zmätok. Podľa GDPR by to malo vyzerať takto. Sami uznáte, že je to trochu (alebo aj dosť) komplikované. My sme to na našom blogu vyriešili vytvorením podstránky, na ktorej sme uviedli všetky informácie, ktoré o užívateľoch zbierame. Užívatelia nám udelia súhlas prostredníctvom lišty, ktorá sa im zobrazí na spodnej strane stránky, potom majú možnosť súhlas prostredníctvom lišty odvolať.

Aké údaje zbierajú vybrané oblasti online marketingu?

Facebook

Pri Facebooku je z pohľadu GDPR dôležité uvedomiť si, kto je na strane správcu a kto na strane spracovateľa. Facebook je v pozícii správcu. Spracovateľom je v prípade, ak mu dáte údaje pre lepšie zacielenie vy. Je to v prípade vytvorenia vlastných okruhov užívateľov z dát vášho CRM, v prípade merania a analytiky a v prípade nástroja Workplace. Medzi najsilnejšie (a často používané) nástroje tejto sociálnej siete patrí vytváranie Custom Audiences (CA) a Lookalike Audiences (LA). V prípade CA nahrávate údaje o svojich zákazníkoch vy a Facebook je len spracovateľom. Čiže zákazníci by s tým mali súhlasiť a tento súhlas vám udeliť. V prípade LA je však situácia iná. Ide o súbor, ktorý je podobný vami vytvorenému publiku. Facebook vám pomáha zacieliť na ľudí, ktorí sú podobní vášmu publiku a v tomto prípade neviete získať súhlas, pretože toto publikum nepoznáte. Súhlas od užívateľov potrebujete aj v prípade tlačidla like/share a v prípade remarketingového pixelu.

Content marketing

Možno sa vám to nezdá, ale GDPR sa dotýka aj oblasti content marketingu. Ako prvé je dôležité si uvedomiť, kto je správca a kto spracovateľ údajov ako v prípade Facebooku. Keď tvoríte obsah na vlastnom blogu a sociálnych sieťach, tak musíte získať súhlas všetkých dotknutých osôb (či pri mene, fotke…).

Ak spravujete Facebook klientovi, tak správca je váš klient (zadávateľ). Vy ako agentúra ste však spracovateľom. Vaša povinnosť sa ale týmto nekončí. Mali by ste informovať klienta, ak sa vám zdá, že nenakladá s osobnými údajmi správne. Je tomu tak napríklad v prípade, ak do zadania vstúpia reálni ľudia – ak dostanete mená, fotky, tak si musíte overiť, že na ich použitie má váš klient súhlas. Preto naše odporúčanie znie: vypracujte si s klientmi spracovateľské zmluvy a všetko si v nich riadne ošetrite.

Google Analytics

V prípade Google Analytics viete svoj web ošetriť práve vyššie spomenutou cookie lištou, ktorá informuje o tom, ako a kde sa získané údaje používajú.

Zbierajú sa údaje:

• z trackovania,
• z e-commerce trackovania,
• z remarketingových publík.

Ak do Google Analytics importujeme dáta z iných nástrojov, musia byť uvedené a ošetrené súhlasom aj tieto nástroje.

V tomto prípade si takisto musíte uvedomiť, či ste správca alebo spracovateľ. Ako správca (vaše webové sídlo) sú vaše povinnosti uvedené vyššie v článku a potrebujete získať súhlas od užívateľov. Ako spracovateľ (ak ste reklamná agentúra/marketér/freelancer) je potrebné vyjasniť si tento vzťah s vaším klientom a spísať o tom zmluvu.

Google AdWords

Inak tomu nie je ani v prípade AdWords-u. Ak spravujete vlastný účet, tak zbierate údaje z:

• Google AdWords remarketingového tagu,
• Google AdWords konverzného pixelu,
• Google AdWords custom publík,
• Google AdWords custom remarketingových tagov.

Tieto údaje zaznamenávajú pohyb a interakciu návštevníkov na webových stránkach, zaznamenávajú hodnotu objednávky zákazníka, zbierajú e-mailové adresy a čísla, prípadne ďalšie informácie o tom, či je zákazník členom vernostného klubu atď. Čiže zas a znovu – v prípade webového sídla by ste mali mať od užívateľa súhlas o tom, aké údaje o ňom zbierate. A s klientom si toto opäť zazmluvniť.

E-mail marketing a newsletter

Nezabudnite ani na ošetrenie e-mailových adries. Podľa GDPR je potrebné nanovo získať oprávnené súhlasy k používaniu získaných e-mailových adries. Používateľ musí nanovo udeliť súhlas s používaním adresy, musí mať možnosť tento súhlas odvolať a upravovať nastavenia, ktoré schválil. Ak bola databáza overená/získaná v súlade s GDPR do 25.5. 2018, nie je potrebné žiadať nový súhlas.

Čo by ste teda mali urobiť ako agentúra alebo freelancer, ktorý je spracovateľom údajov svojich klientov?

–   mali by ste informovať klientov, že ste spracovateľom dát a on je správcom,

–   vypracovať dodatky k vašim zmluvám, kde ošetríte GDPR (alebo vytvoriť spracovateľskú zmluvu),

–   ak je to vo vašich silách, tak ponúknite klientovi riešenie ohľadom GDPR. 🙂

GDPR je naozaj veľmi široká téma. Niektorí sú k nej skeptickí, niektorí nerozumejú a iní z nej ťažia. GDPR ale nie je len strašiakom a byrokratickou záťažou. Je to len zmena, ktorej sa časom snáď prispôsobíme. Týmto článkom sme poukázali na to, čo nás najviac trápilo a ako sme k problému pristúpili my. Našim klientom sme vytvorili riešenie, ktoré GDPR ošetruje. A klientom, ktorí majú e-shopy postavené na našej e-commerce platforme RSHOP, sme uľahčili plnenie GDPR tak, ako píše kolega Tomáš v tomto článku.