Menu

Jak získat výslovný souhlas se zpracováním osobních údajů v rámci přímého marketingu?

Rozesíláte newslettery a oslovujete své zákazníky na sociálních sítích? Také přímého marketingu se dotkne Obecné nařízení o ochraně osobních údajů. Co se změní?

GDPR přináší změny do mnoha oblastí, v nichž společnosti, firmy a organizace pracují s osobními údaji klientů. Přímý marketing nevyjímaje. Měli byste se proto přesvědčit, že počínaje květnem 2018 je váš přímý marketing kompatibilní s novými pravidly a že jste dostatečně ošetřili způsob získávání a zpracovávání osobních údajů svých klientů.

Zjednodušeně řečeno, záleží především na tom, jakým způsobem získáváte od svých zákazníků data, která k marketingovým účelům používáte. Klíčové je, abyste měli výslovný souhlas zákazníků k tomu, že jejich data můžete k marketingovým účelům použít. Nějaký souhlas pravděpodobně získáváte už nyní, například společně s registrací k odběru novinek, a říkáte si, že je takový způsob dostačující.

Tak jednoduché to ale není.

Co podle GDPR znamená výslovný souhlas?

Už jsme zmínili, že souhlas, který vám zákazník ke zpracování svých osobních údajů pro marketingové účely poskytne, musí být výslovný. GDPR ale specifikuje ještě další požadavky: souhlas musí být poskytnutý svobodně a jednoznačně.

Co to v praxi znamená? GDPR naštěstí v konkrétní specifikaci nemlčí. Může se jednat například o:

  • zaškrtnutí políčka (souhlasu) se zpracováním osobních údajů při návštěvě webových stránek,
  • výběr technického nastavení služby,
  • nebo jiné prohlášení či jednání, které jasně prokáže, že zákazník přijal navrhované zpracování jeho osobních údajů.

Jako souhlas ale nemůže být chápáno „mlčení“ zákazníka (v tomto ohledu opravdu neplatí, že mlčení je souhlas). Vyhněte se také předem zaškrtnutému políčku ve formuláři.

Pokud potřebujete souhlas ke zpracování osobních údajů pro více účelů, musí vám zákazník udělit souhlas pro všechny z nich. Proto je specifikujte.

A jakmile vám zákazník svůj souhlas udělí, nezapomeňte ho evidovat. Podle GDPR je totiž nutné souhlas zaznamenat a uchovat, a to včetně jména a data poskytnutí souhlasu. Tyto informace můžete v případě pochybností nebo konfliktu s úřady použít jako důkaz.

Jednání, které je nutné k objednání produktu či služby (typicky například registrace nového uživatele), nelze podle GDPR chápat jako výslovný souhlas. Proto pokud se u vás zákazníci registrují, je nutné vytvořit/požadovat dva samostatné souhlasy – jeden z nich musí být pro marketingové účely.

Různé komunikační kanály, třetí strany a cookies

Co znamená výslovný souhlas se zpracováním osobních údajů, je snad nyní jasnější. Přesto ale vyvstává hned několik otázek, které by si marketéři měli položit:

  • Stačí získat pouze jeden souhlas pro různé komunikační kanály (například e-mailing, SMS nebo telefonáty)?
  • Je nutné získat souhlas s marketingovými komunikacemi produktů nebo služeb, které jsou poskytované třetím stranám? A jak budou tyto třetí strany identifikovány?
  • Jak GDPR zasahuje do komunikace na sociálních sítích, například na Facebooku?
  • A jak postupovat v případě cookies, které jsou také považovány za osobní údaje?

Různé komunikační kanály

Při plánování marketingové kampaně marketéři používají různé komunikační kanály: e-maily, telefonáty, SMS zprávy. Jak vyplývá z GDPR, není nutné vyžadovat poskytnutí souhlasu pro každý jednotlivý komunikační kanál. Na druhou stranu, pokud zákazník svůj souhlas zruší, dotkne se to také všech kanálů marketingové komunikace.

Třetí strany a marketing

Pokud budete shromážděné osobní údaje poskytovat pro marketingové účely třetím stranám, je nutné, aby vám zákazník poskytl samostatný souhlas právě pro tento účel. Příkladem jsou různé affiliate programy nebo skupiny firem, kdy zákazník poskytl souhlas se zpracováním osobních údajů pro marketing pouze jedné z nich. Zákazník, který souhlas poskytuje, musí mít povědomí o tom, o jakou třetí stranu se jedná. Třetí strany musí být identifikovány alespoň zařazením do příslušné kategorie (odvětví – například oblast financí, stavebnictví apod.).

Sociální média a GDPR

Nezapomeňte, že GDPR se vztahuje také na marketingovou komunikaci na sociálních sítích. To se týká například posílání soukromých zpráv přes WhatsApp, Skype nebo Facebook. Pokud se zákazník stal fanouškem vaší facebookové stránky nebo účtu na Twitteru, lze to považovat za souhlas s doručováním marketingové komunikace. Když vás ale zákazník přestane sledovat, chápejte to jako odebrání souhlasu.

Cookies a osobní údaje

Malý datový soubor, tzv. cookie, umisťuje váš počítač na web, který navštívíte. Pro marketéry a datové analytiky je cookie zdrojem dat a informací. Díky cookie o vás navštívený server například ví, jaké jste si vybrali nastavení jazyka nebo jaké přihlašovací jméno má příště předvyplnit do formuláře.

Asi jste si všimli, že některé weby vás informují o využívání cookie a musíte jim tuto informaci odsouhlasit. Evropská komise uznala, že současná úprava ohledně cookie měla za následek přetížení uživatele a že by pravidla měla být jednodušší.

V souvislosti s GDPR je nutné podtrhnout, že ne všechny soubory cookies ukládají osobní údaje. Z působnosti nařízení jsou vyňata:

  • základní cookies, například ty, které rozpoznávají jazyk, jsou používané pro přizpůsobení uživatelského rozhraní,
  • cookies používané pro analytiku (například Google Analytics), které jsou nastavené jako soubory cookie první strany,
  • takzvané „social plug-in cookies“, používané například pro sdílení obsahu.

Ostatní soubory (označované jako cookies třetích stran) jsou většinou reklamní nebo remarketingové soubory používané například sociálními sítěmi, jako je Facebook či LinkedIn. Do této kategorie spadá také nástroj Googlu DoubleClick.

Soubory cookie třetích stran se používají z různých důvodů. Například proto, že inzerentům umožňují umístit cílené reklamy, shromáždit informace, jež jim pomohou reklamní kampaně nastavit, nebo jim pomáhají zhodnotit návratnost investice do reklamy.

Z GDPR a EU parlamentem schváleného znění ePrivacy nařízení vyplývá, že uživatelé by měli mít možnost si v nastavení internetového prohlížeče vybrat úroveň soukromí. Na novinky už zareagovala například společnost Apple, jejíž aktualizace bude obsahovat novou výchozí funkci pro webový prohlížeč Safari (tato aktualizace je prezentovaná jako „intelligent cracking prevention“ – inteligentní prevence sledování).

Třetím stranám brání, aby zaznamenávaly data procházející webovými stránkami. Tento krok lze chápat jako důležitý precedens pro oblast internetové reklamy. Apple prostě jen zareagoval na to, co bude nutné splnit, aby weby dostály požadavkům obou nařízení. Poskytovatelé webového prohlížeče budou muset ve výchozím nastavení umožnit odmítnutí všech cookies třetích stran.

Tyto změny pochopitelně zasáhnou oblast remarketingu používaného například při zacílení PPC reklamy na konkrétní uživatele, kteří už web dříve navštívili. Podle některých expertů se nakonec může stát, že se remarketing jako takový kvůli novému ePrivacy nařízení rozpadne, protože konečný uživatel musí dát ke zpracování využívaných informací výslovný souhlas.

S ohledem na evropským parlamentem právě schválené ePrivacy nařízení dojde k velkým změnám zejména pro provozovatele internetových serverů, vývojáře aplikací a reklamní průmysl. Podrobným popisem nejdůležitějších změn, které nové ePrivacy nařízení přináší, se budeme věnovat v některém z dalších článků.

Publikováno 5. 11. 2017 v kategorii Aktuality, Časté dotazy
Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018