Nariadenie GDPR v skratke: aké zmeny potrebujete urobiť na webe?

(Aktualizované 14.5.2018 – spresnenie, že pri využívaní Google Ads remarketingu postačuje aktuálne používateľa informovať, netreba získať súhlas.)

Nariadenie GDPR na ochranu osobných údajov v platnosti od 25. 5. 2018 prináša zásadnú zmenu paradigmy ochrany súkromia. Spotrebiteľom poskytne práva na informácie o tom, ako spoločnosti (weby) používajú ich osobné údaje, ako aj možnosť meniť ich, prenášať či právo na kompletný výmaz údajov. Ako ovplyvní GDPR vašu webovú analytiku, reklamy či ďalšie nastavenia webu? Na čo presne musíte návštevníkov webu upozorniť a kedy získať ich súhlas? Tento článok prináša odpovede a možné technické riešenia pre váš web.

Čo pokrýva GDPR?

Akékoľvek osobné údaje spadajú pod GDPR. Patrí sem napr. meno, priezvisko, email, jedinečný, aj pseudonymizovaný online identifikátor (niektoré cookies), lokalizačné, demografické, kultúrne a iné údaje, potenciálne aj IP adresa. Takisto sem patrí komplexné spracovanie osobných údajov či akýkoľvek profiling (pokročilá segmentácia) návštevníkov.

Čo nespadá pod GDPR?

Ak niektoré údaje vyžaduje zhromažďovať iný zákon (napr. v prípade objednávky, fakturácie a pod.), nevyžaduje sa informácia či súhlas v rámci GDPR na ďalšie spracovanie.

Spracováva pre vás osobné údaje tretia strana?

Ak osobné údaje návštevníkov poskytujete tretej strane na ďalšie spracovanie (napr. rôzne online služby a nástroje ako Mailchimp alebo CRM a pod.), budete potrebovať podpísať tzv. sprostredkovateľskú (spracovateľskú) zmluvu alebo dodatok.

GDPR povinnosti na webe

GDPR definuje, že akékoľvek informácie či súhlasy musia byť v súlade s nasledujúcimi požiadavkami:

• Súhlas na každý konkrétny účel musí byť samostatný (jeden súhlas nesmie byť viazaný inými súhlasmi, napr. spojením položiek)
• Musí existovať aktívny súhlas (súhlas nesmie byť implicitný, ale explicitný – istota potvrdenia, tzv. opt-in – nestačí napríklad uviesť, že používaním webu vyjadruješ s podmienkami súhlas)
• Granularita (podrobnosť informácií a súhlasov – detailné členenie položiek, teda nestačí získať súhlas na všeobecné marketingové účely)
• Pomenovanie spracovateľov a dát (kto, čo a za akým účelom spracováva, uvedenie doby uchovávania dát)
• Súhlas musí byť ľahko odvolateľný (rovnako ako pri udelení, nesmie sa napr. vyžadovať vyplnenie formulára pred odhlásením)

Povinnosť informovať a povinnosť získať informovaný súhlas

Rozoznávame dva základné typy povinností smerom k návštevníkom webu:

• Povinnosť informovať
• Povinnosť získať informovaný súhlas

Obe podrobnejšie vysvetlíme nižšie.

Aké zmeny na webe potrebujete urobiť?

Webová analytika

Budem predpokladať, že na webe používate nástroj Google Analytics. Ak využívate iný analytický nástroj, budú sa naňho vzťahovať podobné povinnosti.

Google Analytics vo svojich interných pravidlách zakazuje uchovávať osobné údaje ako sú napr. emailové adresy či iné PII (personally identifiable information – osobne identifikovateľné údaje). Google Analytics spracováva IP adresy (aj keď ich nesprístupňuje) a nastavuje cookies s náhodne prideleným, anonymným identifikátorom.

Povinnosť informovať

Ak využívate Google Analytics, máte povinnosť informovať návštevníkov webu. Ak máte zapnutý remarketing či demografiu, mali by ste konkrétne informovať o zbieraných údajoch a ich využití.

Povinnosť informovať sa tiež vzťahuje na:

• využívanie nástrojov na nahrávanie aktivity používateľov na webe bez ukladania osobných údajov (Hotjar, Mouseflow, Clicktale, Crazy Egg a pod.)
• prepojenie Google Analytics s inými nástrojmi ako napr. Search Console
• remarketingové kódy (Adwords, Doubleclick, Sklik, InRes a pod.)
• základnú demografickú segmentáciu

Budete tiež potrebovať urobiť niekoľko zmien v Google Analytics (alebo cez Google Tag Manager):

• skontrolovať, či omylom neuchovávate osobné údaje ako emailové adresy (klasická chyba: pri odoslaní formulára s chybou sa vytvorí URL adresa obsahujúca odoslané parametre ako meno, priezvisko či email – potrebujete upraviť web a takéto záznamy potrebujete navyše pred 25. májom zmazať)
• anonymizovať IP adresy (napr. namiesto 46.229.231.142 adresu identifikovať iba ako 46.229.231.0)

Povinnosť získať súhlas

Explicitný súhlas potrebujete získať pre spracovávanie údajov ako:

• vlastné psedonymné identifikátory pre použitie ako client ID (user ID) či vlastné dimenzie – napr. pri napojení na CRM či iný, interný systém
• pokročilú segmentáciu, kde je možné cieliť či identifikovať konkrétnu osobu

Čo potrebujete mať urobené od 25. mája 2018?

Do začiatku platnosti GDPR ste mali vykonať niekoľko krokov:

1. očistiť existujúce dáta o osobné údaje, ku ktorým neviete doložiť explicitný súhlas (jednoduchšou alternatívou je ich kompletný výmaz) – špecificky sa vzťahuje napr. na newsletter, kde ste doteraz nemali double opt-in (t.j. overenie napr. kliknutím na odkaz v emaily po prihlásení k odberu noviniek)
2. zistiť stav prepojenia Google Analytics s inými nástrojmi
3. sprevádzkovať anonymizáciu IP adries v analytike
4. získať súhlasy tam, kde dáta chcete spracovávať ďalej
5. podpísať zmluvy alebo dodatky s tretími stranami, ktoré pre vás údaje spracovávajú a prípadne doplniť kontakty (viď. Google Analytics, Mailchimp atď.)
6. doplniť na web lištu s informáciami o spracovávaných údajoch (povinnosť informovať)
7. doplniť na web získanie súhlasov pre spracovávanie osobných údajov, ak využívate pseudonymné identifikátory (povinnosť získať informovaný súhlas)
8. doplniť na web stránku venovanú GDPR s kompletnými informáciami – vrátane kontaktu pre spotrebiteľov – odporúčame použiť email v tvare: gdpr@domena.sk
9. doplniť na web možnosť kedykoľvek poskytnuté súhlasy odvolať
10. ak ste verejná inštitúcia alebo firma s viac ako 250 zamestnancami alebo firma spracovávajúca citlivé osobné údaje vo veľkom rozsahu, tak máte navyše povinnosť vytvoriť si bezpečnostný projekt (t.j. detailný popis spracovania osobných údajov s informáciou o ich zabezpečení) a tiež ustanoviť funkciu tzv. Data Protection Officer, ktorý bude zodpovedať za dodržiavanie a nezávislú kontrolu dodržiavania GDPR

Existuje jednoduchšie riešenie pre môj web?

Ak neviete ktorýkoľvek s bodov do 25. mája realizovať, odporúčame vypnúť externé nástroje tak, aby nedochádzalo k porušeniu GDPR. V základnom nastavení dokážete fungovať s Google Analytics, remarketingom a postačí zobrazovať základnú informáciu o spracovaní údajov pre návštevníkov.

Chcem, aby ste mi pomohli s GDPR na mojom webe

Ak potrebujete pomôcť s kontrolou a úpravami webu pre GDPR, vieme pre vás pripraviť GDPR audit marketingových technológií. Jeho výstupy vám umožnia zosúladiť nastavenie s požiadavkami GDPR:

• webovej analytiky,
• newsletterov,
• kontaktných formulárov
• a cookies.

Kontaktujte nás a pripravíme vám cenovú ponuku pre GDPR audit.

Povinný disclaimer na záver (dobré rady nad zlato, ale…): Tento článok píšem z pohľadu konzultanta pre online marketing. Prečítal som si GDPR nariadenie a naštudoval ďalšie zdroje a navrhol možné riešenia. Popisujem iba možnosti technického nastavenia GDPR pre web a účely online marketingu. Uvedené odporúčania pre online marketing sú doplnkom k právnym náležitostiam. Tie vám zabezpečia vaši právnici – dokážu napríklad špecifikovať vaše povinnosti, či definovať presnú textáciu podmienok spracovania osobných údajov pre účely GDPR.