Hlavní strana -> Zprávy
Aktuality -> Podnikové aplikace a služby - 14. 5. 2018

GDPR a získání souhlasu na webu

Jak na to?

GDPRGDPR přináší pro firmy a podnikatele velké změny i na poli online marketingu. Data, která o zákaznících a jejich chování sbírají na webu nebo e-shopu a která využívají pro cílený marketing už nebudou moci využívat, pokud jim k tomu zákazníci neudělí výslovný souhlas. V praxi to nemusí být vůbec špatná věc, firmy se budou muset zaměřit a aktivněji komunikovat se zákazníky, kteří o to skutečně stojí. Pojďme se ale podívat na to, co by měla žádost o souhlas obsahovat, aby byla v souladu s GDPR.



Věcí, na které musíte při tvorbě žádosti o souhlas na svých webových stránkách myslet, je celá řada. Život si můžete ulehčit tímto praktickým checklistem, kterého jsem se držela i při tvorbě tohoto článku. Projděme tedy jednotlivé body postupně a ukažme si je v praxi na příkladech reálných webových stránek.

#1: Potřebujete ke svým marketingovým aktivitám opravdu souhlas?

V některých případech GDPR umožňuje osobní data návštěvníků webu a zákazníků zpracovávat bez jejich výslovného souhlasu. To platí v případě, kdy na to máte tzv. oprávněný důvod. Ten se ale týká zpravidla věcí vyplývajících ze zákonů nebo ze smlouvy uzavřené mezi zákazníkem a dodavatelem. V případě cíleného online marketingu budete s největší pravděpodobností souhlas potřebovat skoro vždy.

#2: Oddělte žádost od obchodních podmínek

Žádost o souhlas se zpracováním osobních údajů by neměla být jakýmkoli způsobem zapracována do obchodních podmínek. Respektive, odsouhlasením obchodních podmínek vám zákazník nesmí dát zároveň souhlas se zpracováním osobních údajů pro marketingové a obchodní účely. O obé byste tedy měli požádat zvl᚝. Ukázat si to můžeme na příkladu webu ASDA Groceries (viz obr. 1), kde je získání souhlasu nezávislé na potvrzení obchodní podmínek. I tak je tu velký problém s tím, jak je získání souhlasu formulováno – k tomu se ale dostaneme ještě později.


Obr. 1

#3: Zákazníci vám musí udělit tzv. opt-in souhlas

To je také důvod, proč byl z pohledu GDPR předchozí příklad špatně. Svých zákazníků se musíte zeptat přímo a musíte od nich dostat jasně pozitivní odpověď, že jejich data můžete pro marketingové účely využívat. A už zakřížkováním možnosti „ano“, nebo kliknutím na opt-in button. V žádném případě nemůžete využívat jejich nečinnosti nebo nepozornosti. Pokud, stejně jako v předchozím příkladě, dáte zákazníkům jen možnost odhlásit se od novinek a budete jim je dál zasílat, pokud ji nevyužijí (a nebudete mít k zasílání jejich předchozí souhlas), je to z pohledu GDPR špatně. Správným příkladem, jak to udělat, je následující formulář pro přihlášení do fanklubu Manchester United (obr. 2).


Obr. 2.

#4: Nevyužívejte předvyplněná políčka

I ta totiž nejsou z pohledu GDPR považována za opt-in souhlas. Nemůžete spoléhat na neaktivitu zákazníků, ale získat od nich pozitivní souhlas. Vlastně to není nic nového, například Kanada, Austrálie nebo Německo podobné postupy zakázaly již dříve. To samé doteď neplatilo pro USA, kde jsou předvyplněná políčka oblíbeným způsobem jak rozšiřovat databázi e-mailových kontaktů. Dokazuje to například formulář na webu New York Times (obr. 3).


Obr. 3.

#5: Použijte jasně pochopitelný text

GDPR vyžaduje, aby byl u žádosti o souhlas se zpracováním osobních údajů jasně pochopitelný text, který neumožňuje různé výklady. Vyhněte se žargonu, dvojí negaci nebo vágním větám, které by mohly zákazníky zmást. Zkuste se vžít do jejich kůže a text si přečíst z jejich pohledu. Dejte ho také přečíst více lidem – co se může zdát jasné jednomu, může zmást druhého. Podívejme se na následující příklad (viz obr. 4). Samotná slova jsou jasná, ale jejich pořadí je matoucí. Mám políčko zaškrtnout, pokud chci informace dostávat, nebo když je dostávat nechci? I to je z pohledu GDPR problém.


Obr. 4

#6: Specifikujte, jaká data budete sbírat a co s nimi budete dělat

Při udělování souhlasu musí vaši návštěvníci vědět, s čím konkrétně souhlasí. Včetně toho, jaká data o nich budete sbírat, k čemu je budete využívat, jak dlouho je budete uchovávat, jestli je budete poskytovat dalším stranám atd.

#7: Uveďte název své firmy i třetích stran

V textu musíte uvést nejen název své společnosti jako zpracovatele údajů, ale i dalších subjektů, které k nim budou mít přístup.

#8: Dejte uživatelům možnost udělit různé souhlasy

Pokud chcete návštěvníky webu v budoucnosti oslovit e-mailem nebo telefonicky, můžete jim dát na výběr, kterou z těchto variant preferují. Stejně tak vám mohou odsouhlasit zasílání personalizovaných nabídek, ale ne remarketingovou reklamu. Pokud si ale myslíte, že čím víc položek budou muset návštěvníci studovat a zaškrtávat, tím menší je pravděpodobnost, že vám souhlas dají – stačí vše zahrnout pod jeden souhlas. Pěkný příklad toho, jak dát zákazníkům na výběr, jestli chtějí dostávat nabídky e-mailem, přes SMSku, nebo oběma způsoby nabízí web MAC Cosmetics (obr. 5).


Obr. 5.

#9: Upozorněte zákazníky, že mohou v budoucnu souhlas zrušit

Stejně jednoduše, jako vám zákazníci souhlas ke zpracování údajů poskytnou, by ho měli mít možnost i zrušit. V ideálním případě byste měli informovat o tom, jak souhlas zrušit už ve chvíli, kdy ho po zákaznících žádáte. Podobně to řeší už zmíněný formulář fanklubu Manchester United, kde souhlas se zpracováním údajů můžete kdykoli přenastavit či zrušit v tzv. Preference centru na jejich webu (viz obr. 6).


Obr. 6.

#10: Ujistěte se, že zákazníci mohou souhlas odmítnout bez jakékoli újmy

S tím velmi úzce souvisí i další požadavek GDPR, kdy nesmíte udělením souhlasu ke zpracování osobních údajů podmínit získání nějaké služby nebo výhody. Zákazníci, kteří vám souhlas nedají, za to nesmí být jakkoli znevýhodněni. Pokud je k získání souhlasu dotlačíte podobnou metodou, nemůže být považován za svobodně udělený.

Ukázkou toho, jak to nedělat, je web British Airways. Pokud se na něj přihlásíte z Česka, otevře se vám pop-up okno, které nemůžete zavřít ani přeskočit (viz obr. 7). Když si potřebujete urgentně koupit letenku, nemáte jinou možnost, než kliknout na tlačítko „Continue“. Tím ale souhlasíte s obchodními podmínkami i využíváním osobních dat. Z pohledu GDPR je to nepřípustné.


Obr. 7.

Shrnutí

Pravidel, jak formulář připravit tak, aby byl v souladu s GDPR, je tedy hodně. Vyladit ho a nastavit navíc tak, aby se zvýšila pravděpodobnost, že vám zákazníci souhlas udělí, nebude věc jednoduchá. Bude záležet na kreativitě a šikovnosti i technologickém řešení v podobě vhodného CMS. Nabízí se pomocí A/B testování zkoušet různé varianty a následně vybrat tu verzi formuláře, která z pohledu uživatelů funguje nejlépe.


Obr. 8: Ukázka tvorby formulářů v CMS, který je na GDPR připraven. Zdroj: Kentico

Kateřina Foretová
Autorka působí jako Digital Marketing Consultant v české firmě Kentico Software.

Disclaimer: Všechna data a informace v tomto článku jsou pouze informativního charakteru. Právní otázky související s GDPR ve vaší firmě doporučujeme vždy konzultovat s právníkem.
 


 
  

- PR -

Začíná éra výkonných multigigabitových PoE přepínačů

Společnost Zyxel Networks oznámila uvedení nové produktové řady přepínačů XMG2230. Tuto řadu tvoří nejmodernější multigigabitové Layer 3 přístupové PoE přepínače XMG2230-28HP a XMG2230-52HP vyvinuté s důrazem na zjednodušení a optimalizaci sítí malých a středně velkých podniků. Nové přepínače poskytují špičkový výkon, vysokou kapacitu napájení přes ethernet a robustní design.

  

- PR -

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked


Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.