1. Zdokumentujte všechna data, která o svých zákaznících máte

Myslete na to, že GDPR za osobní data nepovažuje jen jméno, e-mail, věk, pohlaví či adresu zákazníka. Naopak mezi ně řadí i IP adresu a jeho chování na webu, tedy to, jaké produkty zakoupil, odkud na váš web přišel, kolik na něm strávil času, jaké formuláře vyplnil a odeslal (včetně zadaných informací) nebo jaký typ prohlížeče používá. GDPR se z tohoto pohledu netýká jen e-shopů, ale všech webových stránek, které využívají nějaký analytický nástroj pro vyhodnocování návštěvnosti, návštěvníky segmentují a následně je oslovují pomocí cíleného reklamního sdělení nebo personalizovaného obsahu.

2. Proveďte informační audit

Informační audit není přímým nařízením GDPR a neexistuje přesný návod, jak ho provést. Ale je to cesta, jak si ve firmě udělat jasno o tom, jakým způsobem data získáváte, s kým je sdílíte a jak je uchováváte. Pomocí auditu byste měli přijít na to, jaké třetí strany jsou do celého procesu zahrnuty, i to, s jakými zaměstnanci a na jakých pozicích jsou data sdílena. Audit by měl ukázat i na slabá místa, ve kterých by mohl mít k informacím přístup i někdo jiný, než bylo původně zamýšleno.

3. Slaďte své webové oznámení o ochraně osobních údajů s GDRP

Návštěvníkům webu musíte dát jasně najevo, jak budete s informacemi, které vám poskytnout, nakládat. Například to, že je chcete využívat k marketingovým účelům, prodat třetím stranám, posílat jim obchodní e-maily, sledovat a upravovat obsah podle jejich zákaznického profilu, použít číslo na posílání reklamních SMS apod. Strohý výčet ale nestačí. Je potřeba vysvětlit také to, proč potřebujete s daty nakládat tak, jak potřebujete. Dále musíte uvést, jak dlouho budete mít data uložená a kde si mohou návštěvníci webu stěžovat, pokud mají pocit, že s jejich daty nenakládáte správně. Vše musí být zároveň v co nejjednodušší a srozumitelné formě.

4. Zkontrolujte, jestli vaše postupy pokrývají všechna práva zákazníků

GDPR zahrnuje celkem osm práv návštěvníků webu. Nejčastěji diskutovanými jsou tyto tři:

• Zákazník má právo na přístup k informacím, které o něm máte.
• Dále má právo na poskytnutí těchto informací ve formě, kterou lze použít pro migraci dat (např. přesun informací k jinému správci dat/firmě).
• V neposlední řadě má právo na smazání všech dat, které jste o něm nasbírali.

Mezi jeho práva patří i už dříve zmíněné právo být informován o tom, jakým způsobem bude s jeho daty nakládáno.

5. Připravte se na to, abyste mohli práva zákazníků dodržet

Bez aktualizace analytického nástroje nebo CMS, na kterém váš web, běží, se v tomto případě pravděpodobně neobejdete. Jde o to všechna získaná data ukládat v takové formě, abyste je mohli zákazníkovi do 30 dnů jednoduše poskytnout, vyexportovat a přesunout k jinému správci dat, nebo je na jeho žádost smazat.

6. Upravte i procesy ve firmě

Jen aktualizovat samotné nástroje ale nestačí. Přenastavit musíte i firemní procesy a na správu, export nebo mazání dat vyčlenit dostatek času pověřených zaměstnanců. Jen tak budete mít jistotu, že vše zvládnete v době, kterou vám GDPR určuje.

7. Nastavte nejen získávání, ale i ukládání souhlasu

Podle GDPR není povinné jen souhlas návštěvníků webu získat, ale také ho uložit a udržovat si přehled o tom, kdo a kdy ho udělil. Musíte být schopní kdykoli dohledat záznam o tom, že vám v konkrétní den a čas konkrétní návštěvník webu poskytnul souhlas se zpracováním dat. A to včetně plného a přesného znění daného souhlasu.

8. Ujistěte se, jestli jsou doposud získané souhlasy v souladu s GDPR

Pokud do té doby získané souhlasy v souladu s požadavky normy nebudou, je třeba zákazníky znovu oslovit a požádat je o udělení nového souhlasu. Jinak reálně hrozí, že dosud nashromážděná data nebudete v marketingu moci dále používat.

9. Dejte pozor, jestli je na GDPR připraveno i vaše CMS

CMS s nástrojem, který vám umožní nastavit a spravovat získávání souhlasu a ukládat nashromážděná data v požadované formě, vám ušetří polovinu práce. Na co se při jeho výběru zaměřit?

• CMS by mělo být schopné zajistit přehled o tom, jaké souhlasy byly kým a kdy uděleny (včetně jejich přesného znění).
• Mělo by ukládat veškeré informace o návštěvníkovi webu až tehdy, kdy k tomu od něj dostanete souhlas.
• Dále byste díky němu měli mít možnost snadno tyto souhlasy vytvořit, archivovat, evidovat a integrovat je napříč webovou stránkou.
• CMS by vám mělo umožnit efektivní a rychlý přístup ke všem informacím o daném zákazníkovi a jednoduše mu je předat v přehledné formě.
• Data by mělo jít lehce migrovat. Měla by být tedy ve formátu lehce importovatelném do jiných systémů.
• V neposlední řadě by mělo být možné data o konkrétním návštěvníkovi webu jednoduše smazat, pokud o to požádá.