Už zbývá jen pár týdnů, než vstoupí v účinnost Nařízení Evropské Unie o ochraně osobních údajů, kterému nikdo neřekne jinak než GDPR.
Období prvních vyplašených zpráv o konci marketingu je doufejme pryč.
Možná se vám ale v souvislosti s blížícím se termínem honí hlavou pár otázek ohledně toho, jak bude marketingový systém Clipsan připraven na GDPR.
Jaký dopad bude mít GDPR na uživatele Clipsanu?
Připravili jsme tedy tento článek jako zdroj informací k tomu, jak v Clipsanu řešíme přípravu na GDPR. Dozvíte se, jak vám Clipsan pomůže splnit podmínky, které GDPR zavádí. A hlavně jak díky Clipsanu můžete lépe chránit své zájemce a zákazníky, respektive jejich osobní údaje.
Předně…
Nejsme právníci, ani se na poradenství v oblasti GDPR nespecializujeme, takže článek vyjadřuje náš pohled na GDPR a nemusí řešit všechno, co se vás týká.
Každá firma je jiná. Každá firma má jinou strukturu a zpracovává jiné osobní údaje. Jestli potřebujete konkrétní informace přímo pro svoji firmu, obraťte se na svého právního zástupce nebo IT konzultanta.
Hned na úvod jenom ve zkratce pro ty, kteří zatím o GDPR neslyšeli nebo zatím váhají, zda se jich nové Nařízení od Evropské komise týká.
Co je GDPR a koho se týká?
GDPR je používaná zkratka pro Nařízení EU o ochraně osobních údajů (General Data Protection Reguliation). Bylo schváleno v dubnu 2016 a vstoupí v platnost 25. května 2018.
Nařízení upravuje jakým způsobem mohou firmy, podnikatelé, drobní živnostníci, nemocnice ale i státní instituce nakládat s osobními údaji občanů. Jaké mají povinnosti a jaká pravidla musí dodržovat.
Občanům dává GDPR do ruky větší pravomoc rozhodovat o tom, kdo jejich údaje bude zpracovávat a jaká data bude zpracovávat. Dostávají také lepší nástroje na ochranu proti zneužití svých osobních údajů.
A koho se GDPR týká? Ve zkratce každého.
Jestli máte ve své evidenci osobní údaje zákazníků, zájemců, dodavatelů, zaměstnanců nebo jen budujete svou databázi e-mailových kontaktů, tak se na vás GDPR vztahuje. Nezáleží na velikosti firmy, dokonce nemusíte být ani firma nebo živnostník, nezáleží na počtu zpracovávaných údajů, ani na tom, jestli podnikáte pro zisk nebo jako neziskovka.
Nařízení nahrazuje dříve platnou směrnici EU s číslem 95/46 ES a také náš český zákon č. 101/2000 Sb. o ochraně osobních údajů. Nahrazuje také jiné zákony týkající se ochrany osobních údajů v jednotlivých členských států EU.
Nařízení tedy sjednocuje způsob zpracování osobních údajů napříč celou Evropskou Unií a týká se i společností, které sice v EU nesídlí, ale přesto osobní údajů Evropanů zpracovávají (např. Facebook, Google, ad.). Týká se i amerických firem, které u sebe mají data lidí EU.
Detailně jsme všech 99 bodů směrnice zpracovali v obsáhlém článku GDPR hezky česky.
Nařízení tedy přináší řadu změn oproti současné právní úpravě a ty mají vliv i na uživatele marketingových systémů jako je Clipsan.
Zpracování osobních údajů
Osobní údaje, mezi které patří byť jen e-mailová adresa, budete zpracovávat nejčastěji na základě souhlasu. Ten musí být jednoduše prokazatelný, ničím nepodmíněný a jednoznačný.
Další právní tituly, na základě kterých můžete zpracovávat osobní údaje, jsou:
- zpracování je nezbytné pro splnění smlouvy (např. zákazník v e-shopu, platící zákazník nějaké služby)
- oprávněný zájem (např. ochrana majetku)
- zpracování je nezbytné pro splnění jiné právní normy (např. osobní údaje zaměstnanců)
- zpracování je nezbytné pro ochranu životně důležitých zájmů občanů
- zpracování ve veřejném zájmu, při výkonu veřejné moci (např. úřady)
Jelikož Clipsan pomáhá s marketingem a prodejem, tak v něm budete zpracovávat osobní údaje na základě smlouvy, oprávněného zájmu nebo právě souhlasu.
A aby byl souhlas získaný v souladu s GDPR, musíte být schopni prokázat:
- jak jste souhlas získali
- kdy jste ho získali
- s čím dotyčný člověk souhlasil
Lidé budou mít větší práva
Nařízení dává lidem větší právo kontroly nad tím, co se s jejich osobními údaji děje.
Kdo je zpracovává? Proč je zpracovává? Jak dlouho je zpracovává? Na všechny tyto otázky musíte s úsměvem na tváři odpovědět každému, kdo se zeptá.
Lidé dostávají také do ruky právo na to „být zapomenut“. Máte povinnost osobní údaje na vyžádání smazat, pokud je nepotřebujete kvůli nějaké jiné normě nebo zákonu (např. účetnictví).
Každý z nás má právo se obracet na firmy a instituce a ptát se: „Jaké údaje o mě zpracováváte?“ Na základě odpovědi pak můžeme žádat o opravu těchto údajů nebo jejich zpracování omezit jen pro nějaké účely.
Vy jste správce osobních údajů a Clipsan je zpracovatel
Správce je termín přímo ze směrnice GDPR. Je to fyzická nebo právnická osoba. Sám nebo společně s jinými zpracovává osobní údaje.
Zpracovatel je také terminus technicus z GDPR. Je to fyzická nebo právnická osoba, která zpracovává osobní údaje pro Správce.
Jednoduchý příklad: Správce je majitelem databáze kontaktů a používá ke komunikaci mailingový systém – jeho dodavatel je v roli Zpracovatele. Pokud máte osobní údaje uloženy na Google Disku, jejich Zpracovatelem je Google. Pokud používáte jiné cloudové služby (Gmail, Seznam Mail, Dropbox, Evernote apod.), každá z nich je vždy Zpracovatelem.
Mezi správcem a každým zpracovatelem musí být podepsaná smlouva (byť jen elektronicky), která určuje odpovědnost za splnění povinností souvisejících s GDPR.
Správci musí být schopni odpovědět na dotazy lidí, splnit jejich požadavky a dodržovat jejich práva.
My jako zpracovatel vám v tom chceme co nejvíc pomoci a ulehčit všechno, co s GDPR souvisí.
Co v Clipsanu připravujeme
V souvislosti s blížící se účinností GDPR se na něj připravujeme i v Clipsanu.
Finalizujeme úpravy obchodních podmínek. Připravujeme zpracovatelské smlouvy mezi klienty coby správci a námi coby zpracovatelem osobních údajů.
Zároveň připravujeme Prohlášení o zpracování osobních údajů, ve kterém uživatelé najdou informace o tom, kde jsou jejich data uložena, jak je chráníme a také kontakt na našeho Pověřence pro ochranu osobních údajů (DPO).
Na tento dokument se potom můžete jako klient Clipsanu odkazovat ve svých prohlášeních. Správce má totiž povinnost vyjmenovat všechny zpracovatele, kteří pro ně zpracovávají osobní údaje.
Nové funkce v Clipsanu
Směrnice GDPR vyžaduje nové funkce a my je postupně v Clipsanu zavádíme. Některé už jsou k dispozici teď a některé budou během následujících dní. Jejich konkrétní podobu najdete v přehledu novinek Clipsanu a v připravovaném webináři.
Konkrétně to jsou:
- Evidence souhlasů se zpracováním (Hotovo)
- Double opt-in – dvoufázové potvrzování přihlášení k odběru zpráv (Hotovo)
- Export všech dat evidovaných u kontaktů (Hotovo)
- Mazání dat (Hotovo)
- Postup pro reaktivační kampaň (Připravujeme)
Nemusíte řešit všechny. Každý klient Clipsanu bude v souladu se svou činností využívat pouze ty nástroje, které bude potřebovat.
1) Osobní údaje a souhlas se zpracováním
Ochrana dat a transparentnost není důležitá jen pro splnění zákonných povinností, ale posiluje také důvěru u vašich zákazníků.
Když budete pracovat jen s údaji lidí, kteří s tím souhlasili a chtějí dostávat vaše newslettery, budete mít u svých zákazníků lepší jméno.
Transparentnost začíná u formulářů na získávání nových kontaktů do databáze. Upravili jsme tedy formuláře pro sběr kontaktů tak, aby byl v souladu s GDPR.
Před samotným zpracováním, tj. odesláním formuláře, musíte lidem dát vědět:
- proč chcete jejich osobní údaje zpracovávat
- jaké údaje budete zpracovávat
- jak dlouho je budete zpracovávat
- jak vás mohou kontaktovat
Prakticky to znamená, že u každého formuláře by měl být odkaz na stránku nebo PDF soubor, kde si všechny tyto informace najdu.
Odesláním formuláře člověk aktivně vyjadřuje souhlas se zpracováním osobních údajů. Můžete se ještě pojistit double opt-inem, ale o tom za chvilku.
Když chcete po člověku v rámci jednoho formuláře víc souhlasů, tak musíte přidat zaškrtávací tlačítko pro každý z nich. Člověk si svobodně vybere, s čím souhlasí a s čím ne.
Příklad: Když máte formulář pro získání slevového kuponu zdarma, tak k němu přidáte zaškrtávací tlačítko pro souhlas se zasíláním obchodních sdělení. Klidně i další zaškrtávací tlačítko pro souhlas s předáním osobních údajů partnerské organizaci. Návštěvník stránek si může vybrat a vše je v pořádku.
Clipsan samozřejmě ukládá a eviduje, ze kterého formuláře dotyčný kontakt přišel, a s kterými akcemi dal souhlas. Všechny informace máte k dispozici pro případ, že se na vás dotyčný člověk obrátí s dotazem, nebo pro případnou kontrolu ze strany Úřadu na ochranu osobních údajů.
Oproti jiným systémům máte v Clipsanu nad evidencí souhlasů plnou kontrolu. Můžete si vytvářet vlastní a pracovat s nimi nezávisle na formulářích. To se hodí, když souhlasy sbíráte i jinou formou než přes web, např. telefonicky, osobně nebo na základě smlouvy.
2) Double opt-in = dvou-krokové potvrzení
Teoreticky může do formuláře kdokoliv zadat jakoukoliv e-mailovou adresu. Ale pouze její majitel ji může potvrdit.
Možná si chcete být jistí, že majitel e-mailové schránky opravdu souhlasí s tím, že mu budete posílat newslettery a další obchodní sdělení.
V tom případě necháte majitele e-mailové schránky kliknout na speciální e-mailovou zprávu a až poté budete brát jeho souhlas jako platný. Máte další důkaz toho, že souhlas jste získali opravdu od toho správného.
O double opt-in připravujeme kompletní samostatný článek, ale už teď vězte, že jeho použití není povinné, pouze doporučené.
3) Úprava, export a mazání dat
Lidé se na vás budou obracet se svými požadavky a vy na to musíte být připraveni.
Ať se jedná o úpravu dat, jednoduchý dotaz na to jaké údaje zpracováváte, žádost o vymazání údajů nebo jejich předání jinému správci, s Clipsanem je to hračka.
Vyhledávání a úprava dat už je v Clipsanu nějaký pátek.
Nově jsme přidali individuální export kompletních dat kontaktu. U libovolného kontaktu si tak můžete jedním kliknutím vyexportovat čitelný textový soubor, který předáte tazateli. Export obsahuje absolutně všechno, co ke kontaktu evidujeme.
V případě využití „práva na zapomenutí“, kontakt jednoduše smažete a všechna data nadobro zmizí.
Díky uživatelským účtům a právům v Clipsanu můžete omezit přístup k osobním údajům. Zajistíte tak, že se k údajům dostanou pouze ti lidé, kteří k nim opravdu přístup potřebují.
4) Reaktivační kampaň
U každého kontaktu byste měli prokázat, že od něj máte souhlas a jak jste ho získali.
Co s kontakty, u kterých ještě nemáte platný souhlas?
Nemusíte je hned mazat, ale naopak je o takový souhlas požádat. A to tak, že připravíte „reaktivační kampaň“.
Zní to složitě, ale v podstatě se jedná o „klasický“ newsletter s tlačítkem, na které příjemce klikne a vyjádří tak souhlas.
U většiny mailingových systémů můžete evidovat jen samotné kliknutí a to se dost špatně dohledává. S pomocí Clipsanu si vytvoříte trigger, automaticky uložíte souhlas ke kontaktu a máte ho ihned po ruce.
Kontakty, které na takový reaktivační newsletter nekliknou, pak raději smažte. Když nemají zájem, tak z nich stejně „nic nekápne“.
Další velmi efektivní forma reaktivace stávající databáze je zacílit na příjemce newsletterů Facebook reklamu.
(Malý hack: Když nahrajete celou databázi do Facebooku do 25. 5. 2018, nepotřebujete souhlas v rámci GDPR a nic neporušujete.)
Nezapomeňte na propojené nástroje
Jestli používáte další aplikace, systémy nebo nástroje, které máte propojeny s Clipsanem, a zpracovávate v nich osobní údaje, tak i u nich musíte prověřit, jestli je vše v souladu s GDPR. A když není, tak to postupně doplníte.
Kde čerpat informace
Problematika ochrany osobních údajů je poměrně rozsáhlá a pro každou firmu znamená něco jiného. Záleží na oboru, velikosti a struktuře každé firmy.
Co se týče marketingu, tak jestli už teď sbíráte kontakty se souhlasem a postupujete podle zákona, je GDPR v této oblastli jenom formalita.
Jestli je pro vás GDPR stále strašákem a máte obavu, aby si na vás kontroloři nesmlsli, tak si udělejte jasno. Stáhněte si a odškrtejte si naši brožuru GDPR hezky česky.
Věnujeme se v něm přehledně všem bodům GDPR, jednoduše vysvětlujeme obsah každého z nich a zároveň přidáváme přehled úkolů pro vás, které z něj vyplývají. Můžete si tak odškrtat jednotlivé části a zjistit, co už máte hotovo a kde je ještě potřeba zamakat.
S Clipsanem GDPR zvládnete
Clipsan od začátku stavíme tak, aby jeho užívání bylo přínosem pro naše klienty i pro kontakty, kteří díky němu dostávají hodnotné newslettery a kupují si díky němu úžasné produkty a služby.
Nemáme rádi spammery ani vykuky, kteří podnikají na hraně zákona a nemají úctu ke svým zákazníkům.
Nařízení GDPR chrání osobní údaje Evropanů a v podstatě jenom formalizuje praktiky, které se v posledních letech ukázaly jako zdravé. Když si nařízení přečtete, tak uvidíte, že dávají smysl.
GDPR sice zavádí nové pojmy a povinnosti, ale ty díky marketingovému systému Clipsan a jeho novým vylepšením lehce splníte.
7 nových vylepšení Clipsanu a jejich ukázky najdete v samostatném článku.
A na závěr…
Neberte GDPR jako „byrokratickou buzeraci“, ale berte ho jako příležitost udělat si pořádek a ozdravit svůj marketing i prodej.
Václav Krajňák
