Plně vyhovět GDPR není žádná procházka růžovým sadem. Ochránit data zákazníků, dodavatelů i zaměstnanců, informovat je a k tomu sepsat spoustu interních směrnic.
Kompletní seznam úkolů najdete v článku GDPR srozumitelně a hezky česky.
Výhodu mají ti, kteří podnikají pouze přes internet – blogeři, marketéři a tvůrci digitálních produktů.
Všechna data o svých zákaznících mají uložena v jedné nebo ve dvou databázích. Dodavatele znají osobně. Zaměstnanci žádní.
Nenechte se zmást titulkem. Tento článek není jenom pro ně.
Tento článek je pro vás
Je pro každého, kdo dělá e-mail marketing.
Pro každého kdo na svých stránkách sbírá kontakty do své databáze a zasílá newslettery.
5 kroků, které během chvíle projdete, vás připraví na GDPR v té nejdůležitější oblasti – v datech zákazníků a e-mailových kontaktů.
Je jasné, že velké firmy, státní instituce, nemocnice, banky potřebují tým specialistů, aby všechno uvedly do souladu. Zvlášť když do teď interně ochranu osobních údajů třeba moc neřešili. Ale hlavně mají hodně klientů a zákazníků. Takže pro ty je to velký zásah a vyžádá si nemalé investice.
Pro podnikatele a menší firmy, které si samy řeší marketing a doteď ho dělali v souladu s platnými zákony, GDPR není žádná likvidační hrozba.
Takže přestaňte číst články typu „GDPR zlikviduje marketing“ a pojďte se podívat na to, jak ho zvládnout prakticky a co nejjednodušeji.
1. Podívejte se pod pokličku
Každé podnikání je jiné. Má jinou velikost, organizační strukturu, zpracovává jiná data. I z toho důvodu je GDPR obecné a přináší pouze rámcové principy a povinnosti. A je na firmách samotných, aby si vše přizpůsobily svým potřebám.
Jako první je potřeba udělat si interní audit. Tedy přehled toho:
- jaké osobní údaje zpracováváte (např. jméno, e-mail)
- odkud je získáváte (např. webové stránky X, Y, Z)
- proč je zpracováváte (např. obchodní sdělení)
- kde jsou uloženy (např. počítač, telefon, Seznam Email, Google Drive, Dropbox apod.)
- jestli je předáváte dál třetím stranám (např. asistentce ke kontrole)
- jak jsou zabezpečena proti zneužití (např. šifrování, SSL certifikáty na webu)
- kdo všechno s nimi pracuje (např. já, asistentka, copywritter)
- na základě jakého právního titulu je zpracováváte (např. účetnictví, souhlas s odběrem newsletteru)
K tomu velmi dobře poslouží jednoduchá tabulka v Excelu, kde si vše podrobně rozepíšete.
A na základě takového auditu budete mít přehled o tom, co z toho je v souladu s GDPR a kde ještě máte rezervy.
Například:
- uzavřít Zpracovatelskou smlouvu s dodavatelem mailingového nástroje
- získat dodatečně souhlas se zpracováním u těch kontaktů, kde ho nemám
- zabezpečit osobní složky zaměstnanců
- nastavit práva na Google Drivu
- ad.
2. Smažte, co nepotřebujete
Sepište si všechny osobních údaje, které máte ve své databázi. U každého produktu nebo služby zvlášť.
Zamyslete se nad tím, jestli pro tu danou službu nebo produkt všechny údaje potřebujete.
Všechny nepotřebné údaje smažte. Jedním z principů GDPR je minimalizace.
Jestli posíláte zájemcům e-mailem každý týden jedno video s tipem, tak k tomu nepotřebujete telefonní číslo a rozhodně ne rodné číslo. Stačí e-mailová adresa, případně jméno. Telefonní čísla tedy smažte.
Minimalizace se netýká jen osobních údajů.
Zhodnoťte, kam všude mají lidé okolo vás přístup. Opravdu potřebuje každý plný přístup do databáze zákazníků?
Tím, že k datům bude mít přístup pouze ten, kdo to potřebuje, chráníte i sebe. Snižujete riziko toho, že když někomu dáte padáka, nepomstí se vám tím, že odejde s databází zákazníků.
3. Zahrajte si na byrokrata
Teď když víte, kde všude a jaká data zpracováváte, nastal čas na trochu byrokracie.
Připravte si dokumenty, které budou informovat zákazníky a zájemce o tom
- co po nich chcete
- proč to po nich chcete
- co s tím děláte
- a jaká mají práva
a) Souhlas se zpracováním osobních údajů
Abyste mohli posílat newslettery, potřebujete od příjemce souhlas. Prokazatelný a jednoznačný.
Vyhněme se filozofické diskuzi a hledání kliček (co když…, co kdyby…, ale…) a prostě to přijměte.
Doteď jste možná měli souhlas ukrytý někde v obchodních podmínkách. To už teď není možné. Souhlas musí být oddělený a nepodmíněný.
Připravte si tedy text souhlasu, který potom připíchnete ke každému formuláři, kde sbíráte kontakty. Například přihlášení k newsletteru, stažení e-booku, pop-up okna ad.
Aby to neovlivnilo konverze, je důležité, aby tento text byl jednoduchý, krátký, srozumitelný. I GDPR doporučuje vyhnout se právním obratům a psát vše co nejjednodušším způsobem.
Co takový souhlas má obsahovat?
- kdo jste (jste Správce a máte někde sídlo)
- k čemu dává člověk souhlas (zasílání obchodních sdělení)
- jaké údaje o něm budete zpracovávat (jméno, e-mail)
- proč je budete zpracovávat (abyste mohli nabízet své produkty, služby)
- jak dlouho je souhlas platný (klidně 10 let, ale stejně to tam musí být)
- kde jsou data uložena (přidáte seznam Zpracovatelů)
- jaká má jedinec práva (právo na opravu, právo vzít souhlas zpět, právo na zapomenutí…)
- kontaktní údaje, kam se může obrátit s dotazem (jméno a telefon je lepší, ale stačí e-mailová adresa)
b) Prohlášení o zpracování osobních údajů
V podstatě každý, kdo přijde na váš web, má právo na informace, jaké údaje zpracováváte.
Jako příklad vezmeme návštěvníky e-shopu. V okamžiku, kdy vyplňují své osobní údaje do objednávky, by měli vědět, komu je poskytují. Kdo je bude spravovat a jak s nimi bude nakládat.
Prohlášení je podobný dokument, jaký máte pro souhlas, jen vynechte tu pasáž se souhlasem. Ostatní informace jsou více méně stejné.
Opět byste měli informovat o tom, jaké osobní údaje zpracováváte, proč, jak dlouho, jak jsou zabezpečeny, vyjmenovat své Zpracovatele. Přidáte práva a kam se mohou obrátit s případnými dotazy.
c) Smlouvy se zpracovateli
Vy jste Správce osobních údajů. Každý dodavatel, který s těmito daty pracuje nebo přijde do kontaktu, je Zpracovatel.
Sem patří různá úložiště (Dropbox, Google Drive), e-maily (Seznam, GMail), mailingové nástroje, účetní systémy a často i web hosting.
S každým Zpracovatelem musíte mít uzavřenou Zpracovatelskou smlouvu.
Ve Zpracovatelské smlouvě musí být definovány vzájemná práva a povinnosti, odpovědnost a mlčenlivost Správce a Zpracovatele.
Smlouvu nemusíte většinou připravovat, protože většina Zpracovatelů ji bude mít včas připravenou a před úderem půlnoci 24. 5. vám ji pošle.
Smlouva může být jen elektronická. Není potřeba ji tisknout a ověřovat podpisy.
V jednodušším případě ji najdete přímo v nástroji, který používáte. U nás v Clipsanu ji každý uživatel najde ve svém účtu, může do ní kdykoliv nahlédnout a vidí, kdy ji podepsal.
d) Interní směrnice
V závislosti na velikosti a struktuře svého podnikání, byste také měli přijmout interní směrnice. Nemusíte mít žádnou, anebo na ně pořídit novou kartotéku.
Směrnice je v podstatě scénář, který
- popisuje situaci, která může nastat
- říká, kdo ji bude řešit
- říká, jak ji bude řešit
Zjednodušeně: Napíše nám člověk, co o něm víme. Bude to řešit Maruš nebo Franta, když tu Maruš nebude. A pak pár bodů, co udělá.
V zásadě byste měli mít připravené scénáře pro:
- situaci, kdy člověk požádá o informace, jaké údaje o něm zpracováváte
- situaci, kdy člověk požádá o smazání nebo předání vlastních dat
- případ, že dojde k úniku dat – kdo, kdy, jak to bude hlásit dozorovému úřadu a lidem, kterých se to týká
e) Záznamy o činnostech zpracování
Záznamy o činnostech zpracování de facto nahrazují registraci firmy u Úřadu pro ochranu osobních údajů.
Místo toho, abyste vyplňovali formulář na úřadu, tak si zapíšete stejné informace k sobě.
Záznamy o činnostech zpracování musí obsahovat
- jméno a kontaktní informace Správce
- účel zpracování osobních údajů
- kategorie osobních údajů
- informace o předání osobních údajů do třetích zemí
- lhůty pro výmaz
- technická a organizační bezpečnostní opatření
Jestli vás zajímá, proč a jak tohle musíte mít, čtěte dál. Jinak přeskočte na další krok.
Záznamy o činnostech zpracování najdete v GDPR v článku 30, případně doplněné recitálem č. 82.
Tam se také dočtete, že existuje výjimka vést tyto záznamy pro firmy, které zaměstnávají méně než 250 zaměstnanců. To zní celkem fajn. Kdyby tato výjimka nepokračovala dál. Ale ona pokračuje, a tak se dozvíte, že tato výjimka platí ledaže:
- zpracování, které podnik provádí, představuje riziko pro práva a svobody občanů
- nejsou zpracovávány zvláštní kategorie citlivých osobních údajů
- zpracování není příležitostné
A to je právě ono.
Těžko lze říct, jestli je správa databáze kontaktů příležitostnou a nárazovou akcí. Asi ne. A tak tato výjimka postrádá smysl a záznamy o činnostech zpracování musí vést prakticky všichni.
4. Opravte si formuláře na sběr kontaktů
O efektivních formulářích jsem psal v minulosti, teď budeme jejich účinnost trochu snižovat.
Musíte informovat každého zájemce o tom, s čím souhlasí. Máte v podstatě tři možnosti, jak vyhovět GDPR.
a) Doplňte informace o zpracování ke stávajícím formulářům
Ke každému formuláři (případně do patičky webových stránek) přidejte odkaz na informace o zpracování osobních údajů. To je ten text, který jste si připravili v předchozím kroku.
Ale je to hodně úprav, takže je tu jiná možnost…
b) Přidejte double opt-in
Druhou možností je nechat formuláře být a informovat kontakty o souhlasu v druhém kroku přihlášení.
Zapojením dvoukrokového přihlášení navíc získáte větší jistotu, že ten, kdo formulář vyplnil, je i majitelem e-mailové adresy. Teprve v okamžiku, kdy odklikne potvrzovací e-mail, je zařazen na seznam příjemců newsletteru.
Použití double opt-in není z hlediska GDPR povinné, ale je doporučené i ze strany Úřadu pro ochranu osobních údajů.
c) Přidejte double opt-in a vyšperkujte formulář
A když chcete mít maximální jistotu, tak zvolte kombinaci předchozích řešení. Upravte formuláře a nastavte dvoukrokové přihlášení.
5. Udělejte revizi současné databáze
Po 4. kroku máte vyřešený sběr nových kontaktů.
Ale co kontakty, které už v databázi máte?
Rozhodně není pravda, že musíte celou databázi kvůli GDPR smazat a začít znovu.
Mluvím samozřejmě o databázi, kterou jste postupně získali svým marketingem. Například prostřednictvím brožury, magnetu, pop-up okna.
Naopak koupenou databázi smazat musíte.
U nás už několik let platí o ochraně osobních údajů 101/2000. Ten sice s příchodem GDPR přestává platit, ale i v něm se mluví o souhlasu.
V závislosti na tom, jak dokážete takový předchozí souhlas prokázat, je potřeba udělat revizi.
Rozdělte si databázi na několik skupin.
Platící zákazníci
První skupinou jsou platící zákazníci. U těch nemusíte řešit nic, ani souhlas. Jejich osobní údaje zpracováváte na základě smlouvy.
Zákazníkům můžete posílat newsletter i další obchodní sdělení. Za předpokladu, že se vztahuje k produktu, který si koupili.
Zájemci se souhlasem
Druhou skupinou jsou zájemci se souhlasem. Tedy ti, kteří se registrovali přímo k odběru newsletteru. Tady je většinou také všechno v pořádku. Pamatujte, že souhlas má být jednoznačný, doložitelný a ničím nepodmíněný.
Zájemci s pochybností
Třetí skupinou jsou zájemci s pochybností. Takový člověk si stáhl magnet, e-book, registroval se na webinář nebo využil další ze způsobů budování databáze. Poté se tak nějak vaším přičiněním dostal k odběru všech dalších newsletterů.
U třetí skupiny bude potřeba získat souhlas znovu. A to pomocí reaktivační kampaně.
Jednoduše připravte hromadnou zprávu, kde o souhlas se zpracováním osobních údajů požádáte.
Chcete vědět víc o tom, jak pořešit současnou databázi? Přečtete si speciální článek o připravě databáze na GDPR.
Co musíte udělat a dodržovat, abyste byli v pohodě
Jakých 5 kroků je potřeba udělat?
Tohle udělejte do 25. 5. 2018
- Udělejte si přehled o tom, s jakými osobními údaji pracujete. Písemně, abyste to mohli v případě kontroly doložit.
- Nepotřebné údaje jednoduše smažte.
- Zveřejněte na webu souhlas, prohlášení o zpracování osobních údajů a údaje o Zpracovatelích. A uzavřete s nimi smlouvy.
- Upravte si formuláře na stránkách pro sběr nových kontaktů.
- Aktivujte a pročistěte stávající databázi kontaktů.
Tohle dodržujte pořád
- Zpracovávejte jen údaje, které opravdu potřebujete.
- Informujte zájemce a zákazníky, jakým způsobem zpracováváte osobní údaje, jaké to jsou, proč a jak dlouho a tak dále.
- Když člověk požádá o smazání svých údajů, tak je prostě smažte. Samozřejmě když je nepotřebujete pro účetnictví.
- Dbejte na bezpečnost. Dávejte k osobním údajům přístup jen těm, kteří ho potřebují.
- Neposílejte spamy. Newslettery patří jenom těm, kteří o ně stojí.
- Nekupujte každou nejnovější marketigovou vychytávku, která není z EU.
- Využívejte systémy, které jsou na GDPR připraveny. Třeba Clipsan.
S chutí do toho a půl je hotovo
Je mi jasné, že jakákoliv povinnost ze strany státu nebo dokonce velké EU je jemně řečeno nepříjemná.
Podnikáte proto, abyste si mohli dělat to, co chcete. Ne proto, abyste řešili každý výmysl nějakého byrokrata.
Využijte tuhle „nutnost“ jako příležitost udělat si pořádek v marketingu.
Třeba v průběhu přípravy objevíte skryté zdroje příjmů…
Zatím mažu. Taky jsem si pořídil do počítače ,,trezor“ na heslo a dal do ní laickou (nekomerční) databázi + nějaké cenosti co by se neměli volně povalovat na disku. K úpravě webu se teprve chystám.
Skvělý krok Ondřeji. Je vidět, že u Vás jsou data klientů v bezpečí.
Výborně napsaný, srozumitelný článek s jasnými pokyny co a jak 🙂 Děkuji za Váš blog, vždycky tu najdu zajímavé tipy, rady, návody 🙂
U nás zatím přípravy na GDPR nemáme úplně hotové, zatím jsme vyřešeli to co je vidět ( mailing, weby, eshop) a pokračujeme dál s interními věcmi.
Děkuji Michalo, velmi si vážím Vašich slov. Z toho, co píšete, je vidět, že na to jdete od správného konce 🙂
Dekuji za poslany článek. Je jednoduchý a srozumitelný. Fanta
Děkuji za komentář 🙂
Děkuji,pěkně napsané
Václave, děkuji za super článek 🙂
Při čtení mne napadlo, jestli potřebuji zpracovatelskou smlouvu s Googlem kvůli Google Analytics a Facebookem kvůlu Facebook pixelu? Pokud ano, tak jaký postup doporučuješ?
Dalším otazníkem je Facebook, Facebook pixel a GDPR. Slyšel jsem, že je to sporné téma a třeba i u tlačítka s lajkem by měl být aktivní souhlas.
Děkuji za otázky Michale.
Google Analytics má nové podmínky zohledňující GDPR (délku platnosti a právo na zapomenutí), ale i tak většinou nesbírá osobní údaje – nedokáže se podle toho identifikovat konkrétní člověk. Téma cookies nepatří pod GDPR, ale pod samostatnou legislativu.
A Facebooku je to jednodušší. Je správcem dat, takže to není třeba řešit a pouze dodržovat jejich pravidla.
Dobrý den,
posílám zákazníkům newslettery. Mám dva druhy zákazníků – neziskové organizace a obce. Neziskové organizace se mi na webu registrují samy. Zde nemám problém s tím umístit do double opt-inu souhlas se zpracováním údajů.
Ale kontakty na obce ručně vyhledávám na jejich webových stránkách a následně jim zasílám newslettery. Potřebuji i od obcí souhlas se zpracováním osobních údajů? Většina obcí totiž nemá email ve tvaru info@obec.cz, ale spíše novak@obec.cz. Přesto, když píšu obci nabídku na spolupráci a mail posílám konkrétní osobě na mail novak@obec.cz, tak email nikdy není adresován fyzické osobě Novákovi, ale je adresován právnické osobě – obci. Akorát ji musím kontaktovat prostřednictvím Nováka, protože je to jediný email, který zveřejňují.
Podle mého názoru nemusím získat od Nováka, přestože se jedná o fyzickou osobu, souhlas se zasílám newsletterů, protože cílem mailů není Novák, ale obec. Jediné co musím řešit je interní nákládání s osobními údaji v mé organizaci. Je to tak, nebo se pletu?
Díky.
Máte pravdu Jakube, ale vždy je nějaké ale… info@obec.cz není osobní údaj, jan.novak@obec.cz osobní údaj je a musíte k němu tak přistupovat. nova@obec.cz je diskutovatelne, ale spíš to osobní údaj je.
Základní princip je posílat e-maily, protože to lidé chtějí a ne proto, že si je najdete a Vy se rozhodnete jim posílat. To už ale několik let řeší zákon 101.
Pěkný den, Václave. Lze tedy ke GDPR přistoupit i tak, že pokud vymažu z databáze veškeré další údaje (jméno, příjmení atd.) které defacto nepotřebuji a nechám si pouze e-mail, tak se nejedná o osobní údaj a pak mohu tyto lidi, od kterých jsem získala souhlas k zasílání obchodních sdělení na cestovatelské přednášce oslovovat nadále? Díky za odpověď a za super článek, který mi poskytl základní přehled.
Samotný e-mail může a nemusí být osobní údaj, takže by teoreticky bylo nutné projít všechny záznamy a ty osobní smazat. Jestli ale máte souhlas, jak píšete, tak nemusíte mazat ani jméno ani příjmení.
Konečně jsme našli dobře a srozumitelně napsaný článek s jasnými pokyny o GDPR! Děkujeme za Vaše rady a návody.
Pracuji /dobrovolně/ pro neziskovou organizaci a pořád jsou změny v databázi, úpravy s interními dokumenty atd. Na řadě je i nový web a vaše rady nám moc pomohli. Moc Vám děkujeme, pane Krajňák.
Děkuji za přečtení a hlavně za zavádění věcí z GDPR 🙂