Petra Dolejšová má teď napilno. Ze všech stran se na ni sbíhají dotazy kvůli nařízení o ochraně osobních údajů, které začne platit 25. května. „Marketing má být pro lidi, mít kvalitní kontakty a spokojené zákazníky. Používejte zdravý rozum,“ říká.
Je GDPR hrozba, nebo příležitost?
Záleží, jak k němu přistoupíte. Je to jako s tou sklenicí vody: vidíte ji poloprázdnou, nebo poloplnou? Pro lidi, kteří mají schopný tým, to bude příležitost. A lidi, kteří chtějí vidět hrozbu, ji najdou za každým druhým rohem.
Píše se ale hlavně o těch hrozbách.
To je nepochopení GDPR. Nechci střílet do vlastních řad, ale je to hodně vlivem advokátů, protože je to obrovský právní byznys. A strašně moc je to vlivem médií, která přebírají skandální zprávy a úplně je odstřihávají od smyslu nařízení. Z toho vznikají hoaxy a novinářské kachny. A mně pak volají zděšení klienti.
Jakou největší kachnu o GDPR jste slyšela?
Třeba, že ve školkách budou muset sundat výkresy z nástěnek, protože je na nich jméno a příjmení dítěte. Ptákovina.
Firmy se bojí drakonických pokut. Úřady i eurokomisařka Věra Jourová na druhou stranu uklidňují, že nic tak dramatického se neděje. Co je tedy nového?
Celkem tři věci. Za prvé, máme tam nějaké nové dokumenty, což si myslím, že není taková dramatická změna. Za druhé je tam novinka v osobě pověřence, což se Evropě podle mého názoru moc nepovedlo. A za třetí tam máme vyšší sankce. A díky těm vyšším sankcím se o tom začalo psát. Jenže je to vytržené z kontextu – vyšší sankce musí být, protože jde o celoevropskou úpravu. Ale pokud nejste majitelé Googlu nebo Facebooku, tak těch 20 milionů eur a až čtyři procenta z obratu se v Česku nikoho nedotkne. I Úřad pro ochranu osobních údajů říká, ať nepanikaříme. Pokud jste splňovali legislativu, kterou tu máme 18 let, tak se není čeho bát. Přetextujete si dokumenty, a tím to tak nějak hasne.
Jak to tedy s pokutami reálně je?
Český zákon mluví o sankcích až do 10 milionů korun, GDPR až o 20 milionech eur. Sankce budou na Úřadu pro ochranu osobních údajů. Zatím nejvyšší, jaká padla loni, byla 4,25 milionu korun. Soudy zároveň řekly, že sankce ze strany státu za přestupky nesmí být pro daný podnik likvidační. A to je závazné i pro GDPR, takže bych se toho až tak nebála.
Pro marketéry GDPR znamená, že si budou muset vyžádat nové souhlasy. Nepředstavuje ale hromadné rozesílání nových žádostí riziko, že se z nich pro změnu stanou spammeři?
Je to podnikatelské riziko. Ale myslím, že ze strany úřadu to bude tolerováno, protože ÚOOÚ ví, jaká je to „šleha“ pro marketing. Takže v tomto konkrétním případě nejspíš přimhouří oči.
Způsobí GDPR, že na některé marketingové praktiky budou muset firmy úplně zapomenout?
Jediný extrémní zásah, který se marketingu týká, je ten, že nesmíte podmiňovat poskytnutí služby souhlasem se zpracováním osobních údajů. To je smysl GDPR: netahejte z lidí data, když je vlastně nepotřebujete pro to, co jim nabízíte. Typický příklad je e-shop, který vám prodá zboží, ale zároveň chce odsouhlasit, že na vás může cílit retargeting. Tak tohle už po GDPR nepůjde. Musíte být schopni prodat zboží, i když vám člověk neudělí souhlas s marketingovými praktikami.
Někteří mluvčí se obávají, že ani nebudou moci posílat tiskové zprávy novinářům.
To není pravda. GDPR nemá za cíl zlikvidovat veškerý tok informací a kontakty mezi lidmi.
Pokud má tedy tiskové oddělení kontakty na novináře, může tuto databázi používat dál?
Samozřejmě, protože nějak informace sdělit musíte. Jen se musíte zeptat sami sebe, jak kontakty na novináře používáte. Jestli jim posíláte tiskové zprávy, což je naprosto normální, anebo jim nabízíte služby a zasíláte jim marketingové nabídky. Tam už asi všichni racionálně cítíme, že jsme malinko jinde, a tam už regulace ze strany GDPR je. Pokud ale budu novinářům posílat tiskovou zprávu, určitě bych se nebála toho, že mi k tomu novinář nedal souhlas. Od toho tu novinář je.
Řeší se i přenositelnost osobních údajů, kde panuje spousta nejasností. Často na to nejsou ani připravené podnikové systémy…
Nejsou. Právo na přenositelnost tam je, ale zároveň jsou tam také brzdy. Jedna z nich je brzda racionality. Pokud máte rodinnou firmu, třeba restauraci, kde je pět lidí, nebudete investovat milion do softwaru, který umí přenositelnost dat. Ale pokud jste Microsoft, už budou požadavky jinde než na malou hospodu.
Nebude GDPR znamenat, že budeme jako běžní uživatelé zavaleni žádostmi o souhlas se zpracováním osobních dat?
Bude – a máme zjištěno, že úmrtnost podobných databází je 70 až 80 procent. Lidi to nechtějí odklikávat. Ale čím schopnějšího marketéra budete mít, tím menší bude i úmrtnost. Je to otázka profesionálů ve vašem týmu.
Smím zákazníka motivovat k tomu, aby mi souhlas dal?
Samozřejmě. Nabídnete mu protislužbu, věrnostní program, slevu, bonusový obsah… Je to tedy otázka magnetů.
Není to ale na druhou stranu diskriminace těch, kteří osobní údaje poskytnout nechtějí?
Není, to bychom se motali v kruhu. Pokud za souhlas nabídnete protislužbu, je to v pořádku. Je na zákazníkovi, jestli ho pak dá, nebo nedá.
GDPR ale chce, aby souhlas byl dobrovolný a svobodný. Když k němu motivuji výhodou proti těm, kdo ho nedají, nevzniká tím disproporce?
Musíte se ptát, jestli motivujete, nebo šikanujete. Motivace je: dám vám něco navíc. To je v pořádku. Šikana je: když mi souhlas nedáte, nějak vás potrestám. Musíte najít rozumnou hranici.
U e-shopů se mluví o tom, že bez poskytnutí osobních údajů musím být schopný dokončit nákup. Na konci je ale přece musím dát kvůli jeho zaslání.
Musíte se orientovat podle toho, kdy osobní údaje zpracováváte, protože vám to umožňuje nebo přikazuje zákon, a kdy je potřeba souhlas. E-shop musí zpracovat jméno a adresu, aby věděl, kam má zboží poslat. V takovém případě nebude chtít souhlas, ale poučí mě, že je to v souladu s GDPR kvůli splnění kupní smlouvy.
Některá média tvrdí, že GDPR v podstatě znemožní novinářskou práci.
Vy novináři budete mít i dál neuvěřitelný prostor pro zpracování dat. Kvůli vám se ostatně chystá zákon o zpracování osobních údajů. Budete v něm mít vlastní paragrafy, takže gratuluji, konečně se to upraví. Otevřeně říkám, že naopak budete mít volnější práci, protože existuje veřejný zájem na tom, abyste osobní údaje zpracovávali. Musíte psát o tom, co se děje a kdo, koho, za kolik, kam, kde… (směje se). Takže u vás je všechno v pořádku. Vůbec nic se nezmění.
Velké obavy z GDPR mají i call centra.
Těm se hodně zkomplikuje život, ale je to kvůli tomu, že call centra komplikují život normálním lidem. Nedotkne se jich ani tak GDPR, jako budoucí směrnice ePrivacy. Call centra si budou muset najít, jestli na konkrétní číslo smějí zavolat, budou muset mít speciální formát telefonního čísla, operátoři budou muset znemožnit podobný telefonát a podobně.
Petra Dolejšová
Specialistka na marketingové právo, autorské právo a duševní vlastnictví v advokátní kanceláři eLegal, kterou zároveň vlastní. „Klientům doporučuji spíš přísnější výklad a nespoléhat se na přivírání očí úředníkem,“ komentuje GDPR a jeho dopady na marketing.
Souhlasy se zpracováním osobních údajů schované ve všeobecných podmínkách byly špatně už podle současných zákonů, upozorňuje Dolejšová.
Foto: Matej Slávik