Desatero GDPR na webu

Těžká doba pro online marketéra? Je opravdu GDPR na webu likvidační? Nemyslím si. Klesne sice velikost mailingových databází, ale budou kvalitnější. Lidé budou zase otevírat své emailové schránky beze strachu ze záplavy nic neříkajících newsletterů.

Jaký to má smysl?

Smyslem všech opatření GDPR je zamezit únikům osobních dat občanů EU. Také byste určitě nechtěli, aby se vaše zdravotní dokumentace nebo záznamy o vaší sexuální preferenci ocitly někde na veřejnosti nebo třeba na vašem falešném FB profilu.

Co musí malý online marketér dělat?

1. Zmapovat jaké osobní údaje zpracovává

Je potřeba si uvědomit které všechny druhy údajů o lidech nebo firmách získáváte. Zvláštní pozornost si zaslouží citlivé údaje, jako jsou rasové, politické, náboženské, zdravotní.

Citlivým údajům je nejlepší se vyhnout. Pokud to ale nejde, tak je potřeba navrhnout bezpečnostní opatření nebo je uchovávat anonymně. Pokud totiž není možné určit konkrétního člověka, tak se na tyto údaje GDPR nevztahuje.

2. Zmapovat stávající způsoby práce s osobními údaji

Zde je nutné důsledně zapsat všechny cesty, jak s údaji u sebe pracujete. Celá cesta je v podstatě od získání údaje, přes zaslání nabídky nebo zboží, účetní doklad, případná následná nabídka (obchodní sdělení), opravy údajů, archivaci až po výmaz údaje.

Nesmíte zapomenout na údaje získané emailem, telefonicky nebo osobně, třeba vizitkou z veletrhu nebo výstavy. V případě, že máte zaměstnance, je potřeba zahrnout i cesty jejich osobních údajů.

3. Sepsat zpracovatele

Zpracovatelem je jakákoli osoba, organizace, aplikace nebo technické zařízení, která přijde do styku s osobním údajem. V praxi to znamená, že pro každou cestu osobního údaje, kterou máte zmapovanou z bodu 2. zapíšete to místo, ve kterém osobní údaje zadávají, nebo přes ně putují a kdo tam s nimi pracuje.

Získáte tak tím přehled o zpracovatelích – aplikacích a zpracovatelích – osobách/firmách. Dnes celkem snadno zjistíte, zda aplikace, které používáte, jsou v souladu s GDPR na webu jejich tvůrce nebo prodejce. Nezapomeňte s nimi hlavně uzavřít zpracovatelskou smlouvu.

Pro zpracovatele – osoby/firmy budete muset stanovit bezpečnostní opatření, které tyto osoby budou muset dodržovat při práci s daty. S účetní firmou budete mít zřejmě zpracovatelskou smlouvu, ale například studentka brigádnice, která vám dělá práci účetní, bude muset používat zabezpečený počítač pouze v prostorech kanceláře vaší firmy. Bude mít zakázáno odnášet si účetní data na notebooku s sebou domů.

4. Sepsat prostory, zařízení a zabezpečení

Online marketér pracuje zpravidla jako digitální nomád. Nemá pevnou kancelář a celé své podnikání má „někde online“. Pokud je to i váš případ, pak máte úlohu lehkou. Pokud máte na uložení svých dat online uzavřené zpracovatelské smlouvy, tak si s prostory si nemusíte dělat starosti.

Potíž nastane ve chvíli, kdy si vytisknete jednu jedinou fakturu, nebo účetní knihy. V tom případě se osobní údaje dostávají na papír a již jim musíte věnovat pozornost. Proto se sepisují všechny prostory, ve kterých se fyzicky údaje zpracovávají nebo uchovávají. Například kancelář, archiv dokumentace, místnost se síťovými servery, trezor na záložní CD.

Stejně tak udělejte soupis technických zařízení, která přichází do styku s osobními údaji. To jsou zejména počítače v kanceláři, notebooky, server s daty v serverové místnosti, nezapomeňte na kontakty v telefonech, záložní CD, externí disky, USB disky, vytištěné dokumenty s osobními údaji např. účetní knihy nebo faktury.

Ke všem prostorům a zařízením, které jste sepsali, si zapište způsob zabezpečení, které mají, nebo se na nich používá. Pro prostory to budou například mříže na oknech, nerozbitné folie, bezpečnostní dveře. Pro archivaci papírových dokumentů to bude třeba uzamykatelná skříň a kdo k ní má klíče. Pokud máte elektronické zabezpečení (alarm) zapište i ten.

Jednoduché to máte v případě, že podnikáte z domova. Popíšete zhruba zabezpečení bytu tak, jak to požadují pojišťovny. Pokud budete mít dostatečně zabezpečený celý byt, je nesmysl pořizovat si pancéřový trezor na uložení účetnictví nebo záložních CD nebo externích disků.

5. Vypracovat GDPR audit

Forma GDPR auditu není závazně daná. Je to vaše vodítko pro to, abyste byli schopni doložit Úřadu na ochranu osobních údajů to, že jste udělali maximum pro to, aby vaše zpracovávání osobních údajů bylo v souladu se všemi zákonnými podmínkami.

Protože každé zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou. A každý, kdo shromažďuje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr – účel zpracování údajů.

Součástí auditu je zmapování slabých bezpečnostních míst, ve kterých je možné předpokládat, že by mohlo dojít k riziku zneužití nebo zcizení osobních údajů. Vysoké riziko hrozí zejména při využití nových technologií a systémů používaných mimo území EU.

6. Vypracovat Záznamy o činnostech

Záznamy o činnostech zpracování představují do jisté míry náhradu za oznamovací povinnost, která byla GDPR zrušena. Správce a zpracovatel, pokud se na ně nevztahuje výjimka z povinnosti vést záznamy o činnostech zpracování, jsou povinni vést záznamy s určitými informacemi.

Tyto záznamy následně umožní správci prokázat soulad zpracování s obecným nařízením. Jde o obecné záznamy. Nejde o záznamy každodenní činnosti s osobními údaji, ale skutečně o obecné záznamy zpracování, které správce nebo zpracovatel provádějí.

Není stanovena forma těchto záznamů a je předpoklad, že záznamy o činnostech zpracování se budou lišit i v závislosti na rozpětí prováděného zpracování. Nezbytné minimum záznamů je uvedeno v článku 30 odst. 1 obecného nařízení.

Výjimka: Nemusí vést subjekt do 250 zaměstnanců

Ale je tu výjimka z výjimky:
– provádějící zpracování, které není příležitostné

A to, pokud se používá automatizace marketingu, rozhodně příležitostné není. Pokud se rozhodnete záznamy nevést, tak byste měli být fakt dobrou analýzu, že ji vést nemusíte a v případě kontroly to umět vyargumentovat ÚOOU.

Doporučuji – vytvořte si je.

7. Rozhodnout se pro změny, abych byl v souladu s GDPR

Když teď už znáte všechny své cesty osobních údajů vaším podnikáním, tak nastává čas rozhodnout, jakým způsobem je uvedete do souladu s GDPR. Třeba lidem, kteří si nechají poslat váš e-book, nesmíte začít automaticky zasílat newslettery nebo jejich e-mailový kontakt jinak využít bez jejich souhlasu.

Pokud jste používali překryvná okna článku nebo videa, musíte zajistit to, aby šel článek přečíst nebo video dokoukat i bez zadání e-mailu. Zkrátka nesmíte podmínit konzumaci obsahu zadáním emailu.

8. Přejít na GDPR ve SmartEmailingu

SmartEmailing je na GDPR velmi dobře připraven. Celý přechod spočívá v několika krocích. 1. založení právních důvodů zpracování
2. přiřazení právního důvodu stávajícím zákazníkům
3. Nastavení právního důvodu webovým formulářům
4. Převedení webových formulářů na DOUBLE OPT-IN

9. Přejít na GDPR na webu

Implementace GDPR na webu začíná úpravou stránek pro obchodní podmínky a ochranu osobních údajů. Následuje splnění informační povinnosti u každého formuláře pro sběr kontaktů.

Pokud máte osobní data uživatelů na webu (to je v případě, že máte na webu členské sekce), pak musíte zajistit přechod provozu webu z nezabezpečeného HTTP na protokol HTTPS zabezpečený SSL certifikáte.

10. Přejít na GDPR ve FAPI

Úprava ve FAPI zabírá nejméně času. Pokud jste v původních obchodních podmínkách měli uveden automatický souhlas se zpracováním osobních údajů a v prodejních formulářích jste měli zaškrtnutou volbu, že obchodní podmínky obsahují souhlas se zpracováním osobních údajů, tak musíte tento ovládací prvek odškrtnout.

Větší změnou je zejména pro podnikatele v affiliate to, že se nyní emailová adresa zákazníka nepřenáší na děkovací stránku, ale místo ní se přenáší číslo objednávky. Pokud jste tedy využívali emailu jako identifikátoru affiliate transakce, musíte toto upravit.

Získat souhlas od stávajících kontaktů před účinností GDPR

Co dělat se stávající databází ne zákazníků po 25. 5. 2018? Musíte ji smazat? Rozhodně ne. Využijte zbývající trochu času na to, abyste získali souhlasy od těchto kontaktů.

Odkažte lidi na nové vstupní stránky s hodnotným obsahem, které jsou GDPR kompatibilní. V newsletteru si řekněte o souhlas. Zkrátka musíte prodat svůj emailing. Když to lidem nebude dávat smysl, nekliknou a souhlas nedají.

A jak jste na tom s GDPR na webu vy?

Pořád ještě čekáte?
Straší vás GDPR?
Používáte Mioweb a SmartEmailing?

Už není dál na co se vymlouvat. Prakticky to není problém.

Nevíte jak na to technicky?
Tak i tento důvod právě padl. Pokud stále nevíte, JAKÉ PRAKTICKÉ KROKY udělat, abyste splnili GDPR, používáte MioWeb, SmartEmailing a FAPI, tak následujte tento POSTUP PRO NETECHNIKY.

Zvládněte převést své podnikání do souladu s GDPR v termínu.