Postřehy z (ne)prokletého GDPR aneb Je to opravdu takový strašák?

Když někdo vysloví GDPR, leckomu naskočí husí kůže nebo rovnou pomýšlí na panáka. Je to ale skutečně takový strašák? Obzvlášť, když u nás už osmnáct let platí zákon č. 101/2000 Sb., o ochraně osobních údajů.

Tak proč je teď kolem toho takové halo? Co se změnilo? V první řadě GDPR má celosvětový dopad a musí ho aktivně řešit giganti, jako jsou Google nebo Facebook. Za druhé případné sankce za ignorování GDPR jsou likvidační. Proto více než kdy dříve má stěžejní roli důkazní břemeno, že jste v rámci ochrany osobních údajů udělali maximum. Jednotlivými případy se budou zabývat lidé, kteří nejsou odborníci na úplně vše, a tudíž lze předpokládat, že primárně je bude zajímat, zda jste udělali vše proto, abyste chránili osobní údaje, které zpracováváte. Navíc v určitých oblastech nyní ani právníci nevědí, co se bude dít, jak s GDPR vyložit atd. Prevence je tím nejlepším, co můžete udělat.

Fresh Services se účastnil březnové konference „GDPR v marketingu“. Jak GDPR ovlivní život marketérů si přišlo poslechnout okolo tří set osob. Mluvilo se o obsahové strategii, PPC, Facebooku, Affiliate a zákaznické péči, e-mailingu, analytice aj.

Na začátku je nutné si ujasnit, co všechno jsou osobní údaje: specifikované jméno (samotné jméno a příjmení je v pohodě), tel. čísla, emailové adresy, IP adresa (číslo, které jednoznačně identifikuje síťové rozhraní v počítačové síti, která používá IP protokol), cookies, fotky, IČO – zkrátka vše, co je přiřaditelné k určité osobě. Dokonce i ruka na fotce s hodinkami, na kterých je vidět škrábanec na sklíčku, už je osobní údaj. K jejich zpracování dochází manuálně, systémově nebo zcela automatizovaně. Někdy si vlastně ani nemusíme uvědomovat, že osobní údaje zpracováváme.

Inzerce

Je nezbytné si i ujasnit, kdo je správce a kdo zpracovatel. Správce má odpovědnost za vše, zatímco zpracovatel „jen“ nesmí porušovat GDPR, případně musí upozornit, že k jeho porušení může skrze určité zadání dojít. Proto je potřeba zapracovat písemnou zpracovatelskou smlouvu (pokud jste o ni ještě nikdy neslyšeli, tak její absence je to už nyní přestupek), kterou lze naleznout v nastavení účtu nástroje, který používáte.

Pojďme se podívat na nejožehavější témata. Začneme obsahovou strategii (content, copywriting), kterou by šlo shrnout pod „Zajistěte si souhlas, souhlas, souhlas a zase souhlas“. Zásadní je rozdělení rolí. Správce jste vy a agentura či copywriter jsou jen zpracovateli, takže odpovědnost jde vždy za vámi. To správce určí, co se bude sbírat a k čemu… Stěžejní je nastavení spolupráce, znalost GDPR a povinnost zpracovatelů upozornit na případné nelegální jednání. Vzájemné vztahy je také potřeba ošetřit zpracovatelskou smlouvou.

„Big brother“ prožije tedy radikální zmenšení. Je důležité si pamatovat, že jakmile v obsahu „pracujeme“ s reálnými lidmi, musíme si opatřit jejich souhlas, a to obzvlášť, pokud tito lidí jsou dohledatelní. Může se jednat o vítěze soutěže, známou osobnost, současného nebo bývalého zaměstnance. Souhlas může být nejen písemný, ale také ústní (video, nahrávka). Může tak nastat trochu absurdní situace, kdy na firemní akci budete vyžadovat podpis od kolegů, že souhlasí s pořízením fotografií a jejich následným použitím například na webu. Modelová situace: „Kubo, budeme se fotit. Chceš se přidat?“ (…) „Super a ještě potřebuji souhlas, že…“

Co se tiskových zpráv týče, zde předpokládáme, že zaslání je oprávněný zájem – klient posílá informaci, kterou novinář může redakčně zpracovat. Jen v případě, že by si to novinář nepřál, je nutné ho okamžitě smazat z medialistu a nikdo ho již „neobtěžovat“.

U průzkumu opět narazíme na nutnost opatřit si souhlas se zpracováním osobních údajů. Ke všemu ale budeme potřebovat ještě souhlas, že údaje předáte třetí osobě a dále souhlas ke zveřejnění výstupů z průzkumu. Pokud se nejedná jen průzkum obecných trendů.

Ošemetnou záležitostí jsou tolik oblíbené soutěže na Facebooku, obzvlášť pak fotosoutěže. Vždy potřebujeme souhlas, že soutěžící jasně chápou pravidla. U dětí si se srozumitelným popisem pravidel dejte extra záležet. Není už ani snad nutné zdůrazňovat, že ke všemu samozřejmě opět potřebujete souhlas se zpracováním osobních údajů (foto, jméno).

A na závěr nesmíme opomenout reference. I zde platí souhlas, souhlas, souhlas…

Co PPC a Facebook? Vzhledem k tomu, že FB je správce, dost se snaží všechny mezery napravit sám. Popravdě u nás už to mělo být dávno podle zákona o ochraně osobních důvodů připravené, ale pro FB Česko nebylo zásadní a pokutu by si dovolit mohl. Jenže nyní je GDPR plošné, pokuty tučné a média aktivní. To ale neznamená, že z toho vyjdeme jen tak. Kromě výše zvedených informací musíme být stále ve střehu, zda opravdu Facebook zajistil vše. Pokud se zodpovídáme klientovi, neznalost by nás neomluvila, kdyby nastal jakýkoliv problém.

SEO – tady je vše v pořádku, i když… SEO by nám starosti dělat nemělo. Kdo by hrotil klíčová slova, technické analýzy, odkazy, analýzy konkurence, když to nejsou osobní údaje? Jen bacha! Do analytics se nám nesmí žádné osobní údaje dostat ani nedopatřením. Stát by se to nemělo, ale co kdyby… Takže to je nutné hlídat. A co přístupy ke statistikám? Tady stačí jen smlouva o mlčenlivosti. Pokud si data stahujeme (například reporting), už je potřeba mít zpracovatelskou smlouvu. Linkbuilding je v pořádku, protože je to oprávněný zájem. Nástroje Collabim a Marketing Miner jsou „prý v pohodě“. Tak snad si zde můžeme ušetřit nějaké síly pro jiné kanály.

A teď jdeme na koláčky. Všichni víme, jak cookies pracují. Díky nim identifikujeme uživatele, a proto je nutné správně sepsat podmínky k souhlasu s cookies vč. možnosti to odmítnout i zpětně při další návštěvě webu. Souhlas musí být obecně snadno zrušitelný (i na FB, u newsletterů apod.). Uživatel musí mít možnost si cookies sám zakázat – pokud to udělá, ihned ho musíme smazat z okruhu. Aby souhlasil, musíme ho motivovat třeba dárkem, slevou, dopravou zdarma, konzultací zdarma. Fantazii se meze nekladou a fajn je, že budete pracovat s uživatelem, který má o dané služby opravdu zájem.

Co když chceme rovnou email? Nějaká výhoda či dárek za email vypadá jako rozumný kompromis „něco za něco“. Ale pozor – vše musí být získatelné i jinou cestou bez udání souhlasu nebo emailové adresy.

Nezvoní hrana newsletterům, emailingu a zákaznické péči? Neplašme. Dokonce, i když se to nezdá, GDPR v rámci e-mailingu můžete pojmout jako příležitost! Budete si muset udělat generální „úklid“ v databázích, vyfiltrovat staré adresy a vymyslet strategie, jak motivovat lidi, aby vám své e-mailové adresy poskytli.

Emaily v databázi, které jsme například získali v rámci objednávky, mohou být maximálně tři roky staré, takže bude potřeba získat znovu souhlas. Zní to sice jako otrava, ale na druhou stranu pak v databázi budete mít jen ty lidi, kteří si skutečně něco od vás koupí a které vaše produkty či služby zajímají. Vždy musíte udat důvod, proč potřebujete znovu souhlas (jako by to byl nový kontakt). Díky tomu pak můžete navazovat vztah skrze personalizaci emailu. Důležité je také za emailovou adresu nabídnout něco „na oplátku“, co má přidanou hodnotu. Jen opět platí, že to může daná osoba získat i jinou cestou, např. si to koupit. A také i zde platí, že sbíráme jen ty údaje, které opravdu potřebujeme. Do databáze mohou mít přístup jen relevantní osoby. Potřeba je také pravidelná aktualizace kontaktů a kontrola.

Samozřejmě se posílání emailů nesmí přehánět. Relevantní je to tak 1x za měsíc. A možná vás to pobaví – pokud jste to nevěděli – předmět newslettery má začínat „obchodní sdělení_text“. Pokud to neděláte, tak je to nelegální. Ale ruku na srdce, kdo se s tímhle předmětem reálně setkal?

Jednoduše je nutné pamatovat na to, aby měly pro adresáta přidanou hodnotu, abychom si dokázali obhájit důvod, proč je vůbec rozesíláme. Například soutěž, akce, sleva, něco zdarma. Samozřejmě musí existovat snadný způsob, jak se odhlásit. Všechny souhlasy náležitě evidujte, nezapomínejte na smlouvy a důslednou práci s daty a kontakty. Na škodu rozhodně není double opt-in, kdy se ověří souhlas „potvrzením přihlášení“.

Souhlasy můžete získat i bez nákupů, kdy si daná osoba stránku jen prohlíží. Vždy je potřeba uvést, proč chceme kontakt, proč by nám ho měli dát, jak často budeme zasílat newslettery, jaký bude obsah. Nesmí chybět odkaz na zpracování OÚ.

U cookies zákazník musí mít možnost vznést námitku. To znamená, že u pop-up okna je potřeba uvést důvod, proč je fajn mít cookies, zároveň zákazník musí mít možnost, pokud cookies nechce, „odkliknout se“ (=nic nechci a mé osobní údaje nezpracovávejte). Nesmí také chybět odkaz na stránku s obchodními podmínkami. No a jak přesvědčit zákazníka, aby o cookies zájem měl? Pokud dá souhlas s personalizací, web se mu přizpůsobí na míru, bude komfortnější a může mu pomoc s výběrem produkt/služeb. Musíme ukázat, co chceme dělat (na rovinu), dát zákazníkovi dostatek informací (kdo jsme, co, proč, práva) a přesvědčit ho, že mít cookies je vlastně hrozně super. Nezapomeňte mu ukázat, že i když nám nedá email, neodklikne cookies, tak může web dál používat (my máme alespoň data k analytice).

Během konference jsem chvilkama upadala v paniku a chvilkama si říkala, že o nic hrozného nejde. Ve skutečnosti zde platí zlatá střední cesta. Pokud si uděláme ve všem pořádek, správně si nastavíme procesy a nepodceníme informování a zaučení pracovníků, tak by to mělo být ok. Budeme muset více zapojit fantazii k tomu, jak zaujmout a jak si zákazníky získat. Na druhou stranu, i když je to hodně práce, tak budeme oslovovat jen ty, kteří nás budou chtít. A to rozhodně není na škodu.