Uběhl více než rok od účinnosti GDPR – tedy nařízení, které budilo hlavně na jaře loňského roku nemalé emoce. Pro mnohé firmy nařízení žádné větší změny nepřineslo – zákon o ochraně osobních údajů z roku 2000 se od nového předpisu lišil jen v drobnostech. Drtivá většina podnikatelů se ale ve svých datech rozkoukala až díky „humbuku“, který GDPR vyvolalo. A co nám roční praxe ukázala?
V první řadě to, co se dalo čekat: velký třesk se nekonal a Úřad pro ochranu osobních údajů nijak výrazně svůj ostříží zrak nad prací s osobními údaji nezostřil. Nadále pokračuje ve své snaze upozorňovat na to, co je potřeba zlepšit a upřímně se kajícím hříšníkům prozatím kruté sankce neuděluje. Výroční zpráva Úřadu za rok 2018 také mluví jasně: GDPR vlna vedla hlavně k tomu, že lidé začali tušit, jaká jsou jejich práva, a tak se lehce zvedl počet podnětů k prošetření. Nejvyšší pokuta, která byla udělena, dosahovala částky 1,5 milionu korun, což za historii Úřadu zdaleka není sankce nejvyšší.
Co by mělo zajímat marketéry?
Nejčastěji skloňovaným tématem je a zůstává e-mailing. Při nedávné návštěvě Úřadu jsem zaslechla povzdech, že řada marketérů podlehla tlaku a zasílala žádost o přesouhlasení zápisu do newsletteru zcela zbytečně. Emailing ale nadále není radno podceňovat, protože patří mezi často kontrolovanou aktivitu a také velmi častý důvod, proč se třeba zrovna vaše firma ocitá ve složkách Úřadu – adresáti reklamních sdělení jsou na své e‑mailové schránky čím dál citlivější. Pamatujte na to, že newsletter můžete poslat na své zákazníky, pokud jim při prvotní koupi vašeho produktu dáte možnost se z mailingu odhlásit (tzv. opt‑out).
U „nezákazníků“ dodržujte pro přihlášení do vašich „novinek“ systém double opt‑inu. Každý newsletter označujte tak, aby bylo v předmětu jasné, že se jedná o reklamní sdělení, v e‑mailu uveďte, kdo jste a na základě čeho (zda zápisu do novinek nebo předchozího nákupu) mail zasíláte. Celou práci se správně nasbíranou databází nezapomeňte dotáhnout až do konce: řada mých klientů zapomíná, že v „upsání“ do newsletteru byla slíbena doba, po kterou se bude mailová adresa pro marketingové účely využívat – nejčastěji rok, dva. Po této době musíte získat souhlas nový, po případě mail z databáze vymazat.
Co se remarketingu týče, Úřad opět ukázal svou přátelskou tvář. I když je pro využití marketingových cookies potřeba souhlas, Úřad už v květnu loňského roku povolil formalismu otěže. Evropa uznala, že cookies lišty nebyly až tak dobrý nápad, a tak se již několikátým rokem očekává, že ePrivacy – tedy nařízení, které má GDPR v online světě doplnit – sprovodí souhlasy udělované na cookies lištách z povrchu zemského. Úřad tak v květnu 2018 slíbil, že do doby vydání ePrivacy nebude cookies lišty vyžadovat. Neradujte se ale předčasně! Informace o tom, jaké cookies zpracováváte, pro jaké účely a jak dlouho, by vám na webu určitě chybět neměla. Zařadit ji můžete třeba do dokumentu, který najdete nejčastěji v patičce každého webu pod názvem „Zásady pro zpracování osobních údajů“.
Pozor na osobní údaje
Trochu smutnější zpráva zasáhla svět marketingu letos zjara. Páni poslanci přijali zákon o zpracování osobních údajů, který nám zrušil svého předchůdce. V něm jsme měli povoleno využívat jména a adresy z veřejných rejstříků (třeba obchodního nebo živnostenského) a posílat na tyto adresy letáky či katalogy. Nový zákon tuto marketingovou „povolenku“ nepřevzal, a tak této praxi utnul tipec. GDPR sice pootvírá vrátka naděje, protože říká, že pro zpracování osobních údajů z důvodů přímého marketingu nemusí být vždy potřeba souhlas. Úřad se ale zatím k výkladu toho, co je to „přímý marketing“ nemá a spíš se klaní k názoru, že použití jména a adresy pro zasílání reklamních tiskovin je možné na stávající, a nikoliv potenciální zákazníky. Můžeme jen doufat, že se vrátka tolerance budou časem otvírat trochu víc.
Petra Dolejšová je advokátkou a jednatelkou AK eLegal. Specializuje se na právo v oblasti marketingu, médií, GDPR a na ochranu duševního vlastnictví. Za svou praxi již proškolila přes 10 tisíc začínajících i zkušených podnikatelů ve výše uvedených oborech. V oblasti GDPR často řeční na akcích určených pro odborníky i laiky, je autorkou řady článků k této problematice, jak v právně, tak podnikatelsky a marketingově zaměřených médiích.