Z top SEO firmy na kompletné riešenie vo výkonnostnom marketingu
rebranding logo
Menu

(Aktualizované 14.5.2018 – spresnenie, že pri využívaní AdWords remarketingu postačuje aktuálne používateľa informovať, netreba získať súhlas.)

Nariadenie GDPR na ochranu osobných údajov v platnosti od 25. 5. 2018 prináša zásadnú zmenu paradigmy ochrany súkromia. Spotrebiteľom poskytne práva na informácie o tom, ako spoločnosti (weby) používajú ich osobné údaje, ako aj možnosť meniť ich, prenášať či právo na kompletný výmaz údajov. Ako ovplyvní GDPR vašu webovú analytiku, reklamy či ďalšie nastavenia webu? Na čo presne musíte návštevníkov webu upozorniť a kedy získať ich súhlas? Tento článok prináša odpovede a možné technické riešenia pre váš web.

Čo pokrýva GDPR?

Akékoľvek osobné údaje spadajú pod GDPR. Patrí sem napr. meno, priezvisko, email, jedinečný, aj pseudonymizovaný online identifikátor (niektoré cookies), lokalizačné, demografické, kultúrne a iné údaje, potenciálne aj IP adresa. Takisto sem patrí komplexné spracovanie osobných údajov či akýkoľvek profiling (pokročilá segmentácia) návštevníkov.

Čo nespadá pod GDPR?

Ak niektoré údaje vyžaduje zhromažďovať iný zákon (napr. v prípade objednávky, fakturácie a pod.), nevyžaduje sa informácia či súhlas v rámci GDPR na ďalšie spracovanie.

Spracováva pre vás osobné údaje tretia strana?

Ak osobné údaje návštevníkov poskytujete tretej strane na ďalšie spracovanie (napr. rôzne online služby a nástroje ako Mailchimp alebo CRM a pod.), budete potrebovať podpísať tzv. sprostredkovateľskú (spracovateľskú) zmluvu alebo dodatok.

GDPR povinnosti na webe

GDPR definuje, že akékoľvek informácie či súhlasy musia byť v súlade s nasledujúcimi požiadavkami:

  • Súhlas na každý konkrétny účel musí byť samostatný (jeden súhlas nesmie byť viazaný inými súhlasmi, napr. spojením položiek)
  • Musí existovať aktívny súhlas (súhlas nesmie byť implicitný, ale explicitný – istota potvrdenia, tzv. opt-in – nestačí napríklad uviesť, že používaním webu vyjadruješ s podmienkami súhlas)
  • Granularita (podrobnosť informácií a súhlasov – detailné členenie položiek, teda nestačí získať súhlas na všeobecné marketingové účely)
  • Pomenovanie spracovateľov a dát (kto, čo a za akým účelom spracováva, uvedenie doby uchovávania dát)
  • Súhlas musí byť ľahko odvolateľný (rovnako ako pri udelení, nesmie sa napr. vyžadovať vyplnenie formulára pred odhlásením)

Povinnosť informovať a povinnosť získať informovaný súhlas

Rozoznávame dva základné typy povinností smerom k návštevníkom webu:

  • Povinnosť informovať
  • Povinnosť získať informovaný súhlas

Obe podrobnejšie vysvetlíme nižšie.

Aké zmeny na webe potrebujete urobiť?

Webová analytika

Budem predpokladať, že na webe používate nástroj Google Analytics. Ak využívate iný analytický nástroj, budú sa naňho vzťahovať podobné povinnosti.

Google Analytics vo svojich interných pravidlách zakazuje uchovávať osobné údaje ako sú napr. emailové adresy či iné PII (personally identifiable information – osobne identifikovateľné údaje). Google Analytics spracováva IP adresy (aj keď ich nesprístupňuje) a nastavuje cookies s náhodne prideleným, anonymným identifikátorom.

Povinnosť informovať

Ak využívate Google Analyticsmáte povinnosť informovať návštevníkov webu. Ak máte zapnutý remarketing či demografiu, mali by ste konkrétne informovať o zbieraných údajoch a ich využití.

Povinnosť informovať sa tiež vzťahuje na:

  • využívanie nástrojov na nahrávanie aktivity používateľov na webe bez ukladania osobných údajov (Hotjar, Mouseflow, Clicktale, Crazy Egg a pod.)
  • prepojenie Google Analytics s inými nástrojmi ako napr. Search Console
  • remarketingové kódy (Adwords, Doubleclick, Sklik, InRes a pod.)
  • základnú demografickú segmentáciu

Budete tiež potrebovať urobiť niekoľko zmien v Google Analytics (alebo cez Google Tag Manager):

  • skontrolovať, či omylom neuchovávate osobné údaje ako emailové adresy (klasická chyba: pri odoslaní formulára s chybou sa vytvorí URL adresa obsahujúca odoslané parametre ako meno, priezvisko či email – potrebujete upraviť web a takéto záznamy potrebujete navyše pred 25. májom zmazať)
  • anonymizovať IP adresy (napr. namiesto 46.229.231.142 adresu identifikovať iba ako 46.229.231.0)
GDPR práva a povinnosti

GDPR práva a povinnosti

Povinnosť získať súhlas

Explicitný súhlas potrebujete získať pre spracovávanie údajov ako:

  • vlastné psedonymné identifikátory pre použitie ako client ID (user ID) či vlastné dimenzie – napr. pri napojení na CRM či iný, interný systém
  • pokročilú segmentáciu, kde je možné cieliť či identifikovať konkrétnu osobu
Ukážka ako súhlas získava britský Guardian

Ukážka ako súhlas získava britský Guardian

Čo potrebujete urobiť do 25. mája?

Do začiatku platnosti GDPR potrebujete vykonať niekoľko krokov:

  1. očistiť existujúce dáta o osobné údaje, ku ktorým neviete doložiť explicitný súhlas (jednoduchšou alternatívou je ich kompletný výmaz) – špecificky sa vzťahuje napr. na newsletter, kde ste doteraz nemali double opt-in (t.j. overenie napr. kliknutím na odkaz v emaily po prihlásení k odberu noviniek)
  2. zistiť stav prepojenia Google Analytics s inými nástrojmi
  3. sprevádzkovať anonymizáciu IP adries v analytike
  4. získať súhlasy tam, kde dáta chcete spracovávať ďalej
  5. podpísať zmluvy alebo dodatky s tretími stranami, ktoré pre vás údaje spracovávajú a prípadne doplniť kontakty (viď. Google Analytics, Mailchimp atď.)
  6. doplniť na web lištu s informáciami o spracovávaných údajoch (povinnosť informovať)
  7. doplniť na web získanie súhlasov pre spracovávanie osobných údajov, ak využívate pseudonymné identifikátory (povinnosť získať informovaný súhlas)
  8. doplniť na web stránku venovanú GDPR s kompletnými informáciami – vrátane kontaktu pre spotrebiteľov – odporúčame použiť email v tvare: gdpr@domena.sk
  9. doplniť na web možnosť kedykoľvek poskytnuté súhlasy odvolať
  10. ak ste verejná inštitúcia alebo firma s viac ako 250 zamestnancami alebo firma spracovávajúca citlivé osobné údaje vo veľkom rozsahu, tak máte navyše povinnosť vytvoriť si bezpečnostný projekt (t.j. detailný popis spracovania osobných údajov s informáciou o ich zabezpečení) a tiež ustanoviť funkciu tzv. Data Protection Officer, ktorý bude zodpovedať za dodržiavanie a nezávislú kontrolu dodržiavania GDPR
Analytics GDPR dodatok

Ukážka Google Analytics dodatku (Review Amendment a tiež linka Manage DPA Details s uvedením údajov o firme a kontaktnej osoby kvôli GDPR)

Existuje jednoduchšie riešenie pre môj web?

Ak neviete ktorýkoľvek s bodov do 25. mája realizovať, odporúčame vypnúť externé nástroje tak, aby nedochádzalo k porušeniu GDPR. V základnom nastavení dokážete fungovať s Google Analytics, remarketingom a postačí zobrazovať základnú informáciu o spracovaní údajov pre návštevníkov.

GDPR lišta so súhlasmi

Ukážková GDPR lišta so súhlasmi, ktoré možno odvolať

Chcem, aby ste mi pomohli s GDPR na mojom webe

Ak potrebujete pomôcť s kontrolou a úpravami webu pre GDPR, vieme pre vás pripraviť GDPR audit marketingových technológií. Jeho výstupy vám umožnia zosúladiť nastavenie s požiadavkami GDPR:

  • webovej analytiky,
  • newsletterov,
  • kontaktných formulárov
  • a cookies.

Kontaktujte nás a pripravíme vám cenovú ponuku pre GDPR audit.

GDPR - granularita súhlasov

Ukážkové GDPR riešenie – granularita – pre rôzne spôsoby komunikácie existujú samostatné súhlasy

Povinný disclaimer na záver (dobré rady nad zlato, ale…): Tento článok píšem z pohľadu konzultanta pre online marketing. Prečítal som si GDPR nariadenie a naštudoval ďalšie zdroje a navrhol možné riešenia. Popisujem iba možnosti technického nastavenia GDPR pre web a účely online marketingu. Uvedené odporúčania pre online marketing sú doplnkom k právnym náležitostiam. Tie vám zabezpečia vaši právnici – dokážu napríklad špecifikovať vaše povinnosti, či definovať presnú textáciu podmienok spracovania osobných údajov pre účely GDPR.

Páčil sa Vám článok?

Nenechajte si újsť raz mesačne naše najdôležitejšie novinky!
  • Toto pole je pre validačné účely a mal by zostať nezmenený.

Označené ako: , ,