Jak dlouho ještě budou řidiči kamionů přežívat na odpočívadlech? »

Jak GDPR změní reklamu a ostatní nastavení webových stránek?

18. května 2018
Co spadá pod GDPR?
Jakýkoliv osobní údaj např.: jméno, příjmení, e-mail, online identifikátor (některé cookies), lokalizační, demografické, kulturní a jiné údaje, potenciálně i vaše IP adresa.
Co nespadá pod GDPR?
Pokud údaje vyžaduje zákon např.: objednávky, fakturace, smlouvy apod.

POVINNOSTI ZMĚN NA WEBU

Jakékoliv informace nebo souhlasy musejí být na webu v souladu s následujícím:

  • Souhlas pro každý konkrétní účel musí být samostatný: separátně na posílání newsletterů, separátně na posílání pozvánek, zvlášť na novinky, atd., jeden souhlas nesmí být vázaný na jiné souhlasy ani nijak spojováním
  • Musí existovat aktivní souhlas (souhlas nesmí být implicitní, ale explicitní) – tj. musí existovat jistota písemného potvrzení souhlasu, tzv. opt-in: nestačí například uvést, že používáním webu vyjadřujete souhlas s jeho podmínkami
  • Pojmenování zpracovatelů dat (kdo, co a za jakým účelem sbírá, zpracovává či uchovává)
  • Souhlas musí být lehce a jednoduše odvolatelný (stejně jako udělení souhlasu nesmí se např. vyžadovat vyplnění formuláře před odhlášením)
  • Uvedení podrobností a informací k souhlasům v detailně a přehledně uvedených položkách – nestačí získat souhlas na „všeobecné marketingové účely“, příklad: Newsletter, Blog, Novinky, Aktuality

Povinnost informovat a povinnost získat informovaný souhlas. Rozeznáváme dva základní typy povinností směrem k návštěvníkům webu:

⦁    Povinnost informovat
⦁    Povinnost získat informovaný souhlas

A jaké změny je potřeba udělat?

a) Webová analytika
Na webu používáme nástroj Google Analytics a podle úrovně jeho užívání se něj vztahují povinnosti.
Google Analytics ve svých interních pravidlech zakazuje uchovávat osobní údaje např. emailové adresy či jiné PII (personally identifiable information – osobně identifikovatelné údaje). Google Analytics zpracovává IP adresy a nastavuje cookies s náhodně přiděleným, anonymním identifikátorem.

b) Povinnost informovat
Pokud využíváme Google Analytics, máme povinnost informovat návštěvníky webu. Pokud máme zapnutý remarketing či demografii, máme konkrétně informovat o sbíraných datech a jejich využití.

Povinnost informovat se také vztahuje na:

  • využívání nástrojů, s jejichž pomocí nahráváme aktivity návštěvníků na webu i bez samotného ukládání osobních údajů (aplikace)
  • propojení Google Analytics s jinými nástroji jako např. Search Console
  • remarketingové kódy (Adwords, Doubleclick, Sklik, InRes a pod.)
  • základní demografickou segmentaci návštěvníků webu

Je nutné udělat také nějaké změny v našem Google Analytics (anebo přes Google Tag Manager):

  • zkontrolovat, zda omylem neuchováváme osobní údaje jako emailové adresy (klasická chyba: při odeslání webového formuláře s chybou se vytvoří URL adresa obsahující odeslané parametry jako jméno, příjmení či email – je nutné upravit web a tyto záznamy je potřeba nejpozději před 25. květnem smazat)
  • anonymizovat IP adresy (např. namísto 46.229.231.142 adresu identifikovat jen jako 46.229.231.0)

c) Povinnost získat souhlas
Explicitní souhlas je potřeba získat pro zpracovávání dat jako:

  • vlastní pseudonymní identifikátory pro použití jako client ID (user ID) či vlastní dimenze – např. při napojení na CRM či jiný, interní systém
  • pokročilou segmentaci návštěvníků webu, kde je možné cílit či identifikovat konkrétní osobu

Co musí marketing před 25. květnem udělat?

  1. očistit existující data o osobní údaje, ke kterým neumíme doložit explicitní souhlas (jednodušší alternativou je jejich kompletní výmaz) – specificky vztaženo např. na newsletter, kde dosud nebyl uplatněn double opt-in (t. j. ověření např. kliknutím na odkaz v emailu po přihlášení k odběru novinek)
  2. zjistit stav prepojení Google Analytics s jinými nástroji
  3. zprovoznit anonymizaci IP adres v analýze
  4. získat souhlasy tam, kde chceme data dále zpracovávat a uchovávat
  5. podepsat smlouvy nebo dodatky s třetími stranami, které pro nás údaje zpracovávají a případně doplnit kontakty (viz Google Analytics, CoreLog, ClickDimension, Mailchimp atd.)
  6. doplnit na web lištu s informacemi o zpracovávaných údajích (povinnost informovat)
  7. doplnit na web získávání souhlasů pro zpracovávání osobních údajů, jak využíváme pseudonymní identifikátory (povinnost získat informovaný souhlas)
  8. doplnit na web stránku věnovanou GDPR s kompletními informacemi – včetně kontaktu pro zákazníky (např. email ve tvaru: gdpr@firma.cz
  9. doplnit na web možnost kdykoliv poskytnuté souhlasy odvolat
  10. a pokud jste veřejná instituce anebo firma s více jak 250 zaměstnanci anebo firma zpracovávající citlivé osobní údaje ve velkém rozsahu, tak máte navíc povinnost vytvořit si bezpečnostní projekt (t. j. detailní popis zpracování osobních údajů s informací o jejich zabezpečení) a též ustanovit funkci tzv. Data Protection Officer, který bude zodpovídat za dodržování a nezávislou kontrolu dodržování GDPR nařízení.

Existuje jednodušší řešení pro váš web?

Pokud si nevíte rady, jak splnit výše uvedené do 25. května, doporučujeme vypnout externí online nástroje tak, aby nedocházelo k porušení GDPR.
V základním nastavení dokážete fungovat s Google Analytics, remarketingem a postačí zobrazovat základní informaci o zpracování údajů pro návštěvníky vašeho webu.