facebook LinkedIN LinkedIN - follow
Hlavní strana -> Zprávy
Aktuality -> Podnikové aplikace a služby - 14. 5. 2018

GDPR a získání souhlasu na webu

Jak na to?

GDPRGDPR přináší pro firmy a podnikatele velké změny i na poli online marketingu. Data, která o zákaznících a jejich chování sbírají na webu nebo e-shopu a která využívají pro cílený marketing už nebudou moci využívat, pokud jim k tomu zákazníci neudělí výslovný souhlas. V praxi to nemusí být vůbec špatná věc, firmy se budou muset zaměřit a aktivněji komunikovat se zákazníky, kteří o to skutečně stojí. Pojďme se ale podívat na to, co by měla žádost o souhlas obsahovat, aby byla v souladu s GDPR.



Věcí, na které musíte při tvorbě žádosti o souhlas na svých webových stránkách myslet, je celá řada. Život si můžete ulehčit tímto praktickým checklistem, kterého jsem se držela i při tvorbě tohoto článku. Projděme tedy jednotlivé body postupně a ukažme si je v praxi na příkladech reálných webových stránek.

#1: Potřebujete ke svým marketingovým aktivitám opravdu souhlas?

V některých případech GDPR umožňuje osobní data návštěvníků webu a zákazníků zpracovávat bez jejich výslovného souhlasu. To platí v případě, kdy na to máte tzv. oprávněný důvod. Ten se ale týká zpravidla věcí vyplývajících ze zákonů nebo ze smlouvy uzavřené mezi zákazníkem a dodavatelem. V případě cíleného online marketingu budete s největší pravděpodobností souhlas potřebovat skoro vždy.

#2: Oddělte žádost od obchodních podmínek

Žádost o souhlas se zpracováním osobních údajů by neměla být jakýmkoli způsobem zapracována do obchodních podmínek. Respektive, odsouhlasením obchodních podmínek vám zákazník nesmí dát zároveň souhlas se zpracováním osobních údajů pro marketingové a obchodní účely. O obé byste tedy měli požádat zvlášť. Ukázat si to můžeme na příkladu webu ASDA Groceries (viz obr. 1), kde je získání souhlasu nezávislé na potvrzení obchodní podmínek. I tak je tu velký problém s tím, jak je získání souhlasu formulováno – k tomu se ale dostaneme ještě později.


Obr. 1

#3: Zákazníci vám musí udělit tzv. opt-in souhlas

To je také důvod, proč byl z pohledu GDPR předchozí příklad špatně. Svých zákazníků se musíte zeptat přímo a musíte od nich dostat jasně pozitivní odpověď, že jejich data můžete pro marketingové účely využívat. Ať už zakřížkováním možnosti „ano“, nebo kliknutím na opt-in button. V žádném případě nemůžete využívat jejich nečinnosti nebo nepozornosti. Pokud, stejně jako v předchozím příkladě, dáte zákazníkům jen možnost odhlásit se od novinek a budete jim je dál zasílat, pokud ji nevyužijí (a nebudete mít k zasílání jejich předchozí souhlas), je to z pohledu GDPR špatně. Správným příkladem, jak to udělat, je následující formulář pro přihlášení do fanklubu Manchester United (obr. 2).


Obr. 2.

#4: Nevyužívejte předvyplněná políčka

I ta totiž nejsou z pohledu GDPR považována za opt-in souhlas. Nemůžete spoléhat na neaktivitu zákazníků, ale získat od nich pozitivní souhlas. Vlastně to není nic nového, například Kanada, Austrálie nebo Německo podobné postupy zakázaly již dříve. To samé doteď neplatilo pro USA, kde jsou předvyplněná políčka oblíbeným způsobem jak rozšiřovat databázi e-mailových kontaktů. Dokazuje to například formulář na webu New York Times (obr. 3).


Obr. 3.

#5: Použijte jasně pochopitelný text

GDPR vyžaduje, aby byl u žádosti o souhlas se zpracováním osobních údajů jasně pochopitelný text, který neumožňuje různé výklady. Vyhněte se žargonu, dvojí negaci nebo vágním větám, které by mohly zákazníky zmást. Zkuste se vžít do jejich kůže a text si přečíst z jejich pohledu. Dejte ho také přečíst více lidem – co se může zdát jasné jednomu, může zmást druhého. Podívejme se na následující příklad (viz obr. 4). Samotná slova jsou jasná, ale jejich pořadí je matoucí. Mám políčko zaškrtnout, pokud chci informace dostávat, nebo když je dostávat nechci? I to je z pohledu GDPR problém.


Obr. 4

#6: Specifikujte, jaká data budete sbírat a co s nimi budete dělat

Při udělování souhlasu musí vaši návštěvníci vědět, s čím konkrétně souhlasí. Včetně toho, jaká data o nich budete sbírat, k čemu je budete využívat, jak dlouho je budete uchovávat, jestli je budete poskytovat dalším stranám atd.

#7: Uveďte název své firmy i třetích stran

V textu musíte uvést nejen název své společnosti jako zpracovatele údajů, ale i dalších subjektů, které k nim budou mít přístup.

#8: Dejte uživatelům možnost udělit různé souhlasy

Pokud chcete návštěvníky webu v budoucnosti oslovit e-mailem nebo telefonicky, můžete jim dát na výběr, kterou z těchto variant preferují. Stejně tak vám mohou odsouhlasit zasílání personalizovaných nabídek, ale ne remarketingovou reklamu. Pokud si ale myslíte, že čím víc položek budou muset návštěvníci studovat a zaškrtávat, tím menší je pravděpodobnost, že vám souhlas dají – stačí vše zahrnout pod jeden souhlas. Pěkný příklad toho, jak dát zákazníkům na výběr, jestli chtějí dostávat nabídky e-mailem, přes SMSku, nebo oběma způsoby nabízí web MAC Cosmetics (obr. 5).


Obr. 5.

#9: Upozorněte zákazníky, že mohou v budoucnu souhlas zrušit

Stejně jednoduše, jako vám zákazníci souhlas ke zpracování údajů poskytnou, by ho měli mít možnost i zrušit. V ideálním případě byste měli informovat o tom, jak souhlas zrušit už ve chvíli, kdy ho po zákaznících žádáte. Podobně to řeší už zmíněný formulář fanklubu Manchester United, kde souhlas se zpracováním údajů můžete kdykoli přenastavit či zrušit v tzv. Preference centru na jejich webu (viz obr. 6).


Obr. 6.

#10: Ujistěte se, že zákazníci mohou souhlas odmítnout bez jakékoli újmy

S tím velmi úzce souvisí i další požadavek GDPR, kdy nesmíte udělením souhlasu ke zpracování osobních údajů podmínit získání nějaké služby nebo výhody. Zákazníci, kteří vám souhlas nedají, za to nesmí být jakkoli znevýhodněni. Pokud je k získání souhlasu dotlačíte podobnou metodou, nemůže být považován za svobodně udělený.

Ukázkou toho, jak to nedělat, je web British Airways. Pokud se na něj přihlásíte z Česka, otevře se vám pop-up okno, které nemůžete zavřít ani přeskočit (viz obr. 7). Když si potřebujete urgentně koupit letenku, nemáte jinou možnost, než kliknout na tlačítko „Continue“. Tím ale souhlasíte s obchodními podmínkami i využíváním osobních dat. Z pohledu GDPR je to nepřípustné.


Obr. 7.

Shrnutí

Pravidel, jak formulář připravit tak, aby byl v souladu s GDPR, je tedy hodně. Vyladit ho a nastavit navíc tak, aby se zvýšila pravděpodobnost, že vám zákazníci souhlas udělí, nebude věc jednoduchá. Bude záležet na kreativitě a šikovnosti i technologickém řešení v podobě vhodného CMS. Nabízí se pomocí A/B testování zkoušet různé varianty a následně vybrat tu verzi formuláře, která z pohledu uživatelů funguje nejlépe.


Obr. 8: Ukázka tvorby formulářů v CMS, který je na GDPR připraven. Zdroj: Kentico

Kateřina Foretová
Autorka působí jako Digital Marketing Consultant v české firmě Kentico Software.

Disclaimer: Všechna data a informace v tomto článku jsou pouze informativního charakteru. Právní otázky související s GDPR ve vaší firmě doporučujeme vždy konzultovat s právníkem.
 


 
  

- PR -

Modernizace IS je příležitost přehodnotit způsob práce

IT Systems 4/2025V aktuálním vydání IT Systems bych chtěl upozornit především na přílohu věnovanou kybernetické bezpečnosti. Jde o problematiku, které se věnujeme prakticky v každém vydání. Neustále se totiž vyvíjí a rozšiřuje. Tematická příloha Cyber Security je příležitostí podívat se podrobněji, jakým kybernetickým hrozbám dnes musíme čelit a jak se před nimi můžeme chránit. Kromě kybernetické bezpečnosti jsme se zaměřili také na digitalizaci průmyslu.

  

- PR -

Jak zajistit vzornou docházku u zaměstnanců v terénu?

Díky digitalizované evidenci do­cház­ky, která snižuje admi­ni­stra­tiv­ní zátěž personalistů a eliminuje nepoctivé praktiky zaměstnanců, můžete ušetřit až statisíce korun ročně. Pozdní příchody, dřívější odchody, půjčování kartiček nebo čipů, falešné přesčasy nebo evidence příchodu či odchodu na nesprávném místě — to vše se negativně projeví na výši vašich mzdových nákladů.