Svet in splet sta polna zanimivih novic. Za vas izberemo tiste, ki so najbolj zanimive na našem področju.

GDPR: 5 vprašanj, 5 odgovorov

Objavljeno: 7.12.2017
Kategorija: Malo mešano

Praktične implikacije uredbe GDPR v spletni prodaji

Pol leta pred začetkom uveljavitve uredbe GDPR je znanega veliko več o glavnih poudarkih in zahtevah, ki jih uredba prinaša, vendar pa se pojavlja veliko praktičnih vprašanj o zagotavljanju skladnosti z njo. Kaj na primer pomeni nova uredba za podjetje, ki upravlja spletno trgovino, ali kaj za podjetje, ki kot storitev izvaja spletne oglaševalske kampanje? Odgovore na ta in podobna vprašanja bomo poskušali najti s pomočjo praktičnih scenarijev.

Za vse, ki še niste seznanjeni z uredbo, najprej kratek povzetek. Splošna uredba o varstvu podatkov ali GDPR (“General data protection regulation”) je krovni zakon EU s področja varovanja podatkov in zamenjuje preteklo zakonsko ureditev. Trenutno v Sloveniji področje varovanja podatkov ureja Zakon o varovanju osebnih podatkov (ZVOP-1), v procesu sprejema pa je že nov zakon, ki bo veljal od 25. 5. 2018 naprej in bo načela GDPR-ja implementiral v našo zakonodajo.

Ogledali si bomo nekaj najpogostejših primerov, v katerih GDRP prinaša spremembe za tipičnega upravljavca spletne trgovine:

  • Piškotki za sledenje analitike in marketinških kampanj
  • Email marketing in drugi zajemi podatkov v namene obveščanja preko elektronske pošte
  • Programi lojalnosti
  • Marketing avtomatizacija
  • Pravice posameznika v povezavi z njegovimi podatki

1. Kako po novem s piškotki?

Po uredbi GDPR-ja so piškotki del osebnih podatkov posameznika, zaradi česar bo posameznik za beleženje piškotkov moral dati privolitev, ki mora biti prostovoljna, izrecna in nedvoumna, informirana in dokazljiva.

Večina spletnih strani v Sloveniji piškotke avtomatsko beleži od prvega obiska dalje, uporabnika pa na viden način obvesti, da se piškotki spremljajo. Po novem taka rešitev ne bo več zadoščala in bo potrebno od uporabnika pridobiti izrecno dovoljenje za beleženje piškotkov, šele po tem pa začeti z beleženjem. Tehnični del te rešitve bo moralo zagotoviti podjetje, ki izvaja in podpira vašo spletno trgovino, vi pa boste morali preveriti, katere piškotke beležite, za koliko časa in v katere namene. Dodatno boste morali na enak način, kot ste pridobili privolitev za beleženje piškotkov, omogočiti tudi morebitno naknadno zavrnitev privolitve.

Posebnega pomena so tako imenovani “third-party” piškotki, ki jih ne izda spletna stran ali strežnik spletne strani, ampak druga spletna stran večinoma gre za piškotke, ki se uporabljajo za remarketing in retargeting kampanje. Uporabnika bo potrebno na razumljiv način obvestiti in od njega pridobiti privolitev tudi za te piškotke. Ne bo več zadoščalo, da z enim obvestilom avtomatično pridobite privolitev za beleženje vseh piškotkov.

Spremenjene zahteve so lahko sicer tudi priložnost za razvoj dobrih praks, saj večja transparentnost in obveščenost uporabnikov vodi do večjega zaupanja. Največji izziv bo v tem, kako zadostiti zahtevam GDPR-ja in hkrati ne poslabšati uporabniške izkušnje na strani.

Naši nasveti:

  • Preverite, katere piškotke beležite preko spletne strani predvsem bodite pozorni na piškotke, ki se beležijo za podporo spletnemu oglaševanju.
  • Na dnu spletne strani na vidnem mestu izpostavite informacije o piškotkih, uporabniku pa naj bo omogočeno spreminjanje privolitev za beleženje piškotkov.
  • Pogovorite se z izvajalcem vaše spletne strani in spletnega oglaševanja glede sprememb GDPR-ja in jih prosite za podporo in informacije.

2. Kaj pa email marketing?

Če ste tekom poslovanja pridobili seznam elektronske pošte uporabnikov, npr. preko obrazca za prijavo na prejem novic, ob nakupu, preko obraza za prenos brezplačnih vsebin, preko promocijskih akcij ipd., potem ste zavezani k varstvu osebnih podatkov.

Po 25. 5. 2018 bodo vsi seznami, za katere niste pridobili privolitve v skladu z zahtevo GDPR, nezakoniti in posledično potencialna osnova za izrek kazni s strani inšpekcije. Po navedenem datumu boste torej lahko uporabljali samo tiste zbrane emaile, za katere boste lahko dokazali privolitev v skladu z navedbami uredbe. Tukaj bodite zelo previdni, saj je to točka, kjer naj bi bili inšpekcijski pregledi po napovedih zelo natančni in kjer je možnost za kazni velika.

Kaj torej narediti s seznami emailov, ki jih že imate? V kolikor je to smiselno, morate iz njih odstraniti vse emaile, za katere ne morete dokazati, da je uporabnik dal izrecno dovoljenje za umestitev na seznam. V kolikor tega ne morete storiti z gotovostjo, je najboljša strategija, da seznam zavržete in se lotite ponovnega zbiranja privolitev v skladu z določbami uredbe. Pri tem odsvetujemo, da celotni bazi podatkov pošljete masovno sporočilo, kjer jih ponovno prosite za privolitev, kot sta to storili podjetji Flybe in Honda Motor Europe v Veliki Britaniji, ki sta prejeli kazni v vrednosti 70.000 in 13.000 funtov, saj so bili med prejemniki masovnega sporočila tudi naslovniki, ki so zavrnili prejemanje masovne pošte.

Naši nasveti:

  • V kolikor še ne uporabljate specializiranih programov za masovno pošiljanje elektronske pošte (MailerLite, Mailchimp, eGlasnik itn.), močno razmislite, da bi naredili prenos storitve k njim, saj bodo ti ponudniki zagotavljali skladnost z zahtevami.
  • Preglejte bazo emailov in izločite tiste, za katere nimate dokaza o privolitvi. V kolikor to ni možno, zavrzite celotno bazo in razmislite o strategiji obnovitve baze v skladu z določili uredbe.
  • V oblikovni predlogi masovne pošte na jasnem mestu omogočite povezavo do nastavitev privolitve ali umika le-te.

3. Kaj naredimo s programi zvestobe?

GDPR uvaja funkcijo pooblaščene osebe za varovanje podatkov (“Data protection officer” oz. DPO), ki je obvezna za vsa podjetja, ki v okviru svojih aktivnosti stalno obdelujejo podatke posameznikov. Urad Informacijskega pooblaščenca sem šteje tudi programe zvestobe.

V primeru, da v spletni trgovini ponujate program zvestobe, morate torej imenovati pooblaščeno osebo za varovanje podatkov. Ta oseba je lahko eden od zaposlenih ali pa zunanji sodelavec oz. podjetje, ki ustreza pogojem. Za vse podatke, ki jih pridobite in hranite za potrebe kluba zvestobe, veljajo enaka splošna pravila GDPR in pooblaščenec mora skrbeti za njihovo implementacijo in nadzor nad morebitnimi zlorabami. Vsako profiliranje, kot je na primer ponujanje personaliziranih povezanih produktov v spletni trgovini, že zahteva pooblaščeno osebo, ki skrbi za pravice potrošnika.

Naši nasveti:

  • Preverite, ali vaša spletna trgovina vključuje tudi program zvestobe.
  • Ocenite dodano vrednost, ki ga program zvestobe ustvarja vprašanje je, če je smiselno zaradi tega iti v organizacijske in procesne spremembe, s katerimi pridejo tudi dodatni stroški.
  • Zbirke podatkov v klubu zvestobe prilagodite uredbi in jih primerno zavarujte.

4. Se to dotika tudi marketing avtomatizacije?

Marketing avtomatizacija je lahko ob pravilni uporabi izredno močno prodajno orodje. Nove določbe GDPR-ja se marketing avtomatizacije dotikajo predvsem na dveh področjih:

  • Piškotki  potrebna je ustrezna privolitev v smislu zgoraj opisanih zahtev;
  • Mailing kampanje v kolikor orodje za marketing avtomatizacijo pošilja kakršna koli obvestila ali mailinge, morate imeti za vse prejemnike privolitev.

Delno bodo morali problem načina obveščanja končnega uporabnika zahtevam GDPR-ja prilagoditi ponudniki teh orodij, vsekakor pa boste morali vi kot obdelovalec osebnih podatkov zadostiti pogojem glede privolitve.

Naši nasveti:

  • Preučite postopke uporabe marketing avtomatizacije v svojem prodajnem procesu in preverite, kako imate urejene privolitve.
  • Preverite, kako skladnost z GDPR-jem zagotavljajo ponudniki vašega orodja za marketing avtomatizacijo in prilagodite uporabo teh orodij zahtevam uredbe GDPR.

5. Kakšne so nove pravice posameznika?

Uredba GDPR spreminja filozofijo varovanja osebnih podatkov in odnose med ponudniki ter uporabniki storitev. V ospredju je po novem uporabnik in njegove pravice, razvoj tehnoloških rešitev pa naj sledi principu načrtovanja varnosti kot ključne komponente dizajna storitve ali orodja (“Security as design”).

Pomembne točke glede pravic posameznika, ki jih uvaja uredba GDPR:

  • Pravica do informiranja uporabnika, katere informacije ali podatke o njem zbirate;
  • Pravica do popravka teh informacij in izbrisa (t.i. “pravica do pozabe”);
  • Pravica do posredovanja zbranih informacij tretji osebi ali organizaciji (t.i. pravica do prenosljivosti);
  • Pravica do privolitve in odvzema privolitve na enak način, kot je bila dana;
  • Pravica do obveščenosti v primeru vdora v osebne podatke.

Pomembno je, da vsak posameznik ob privolitvi za posredovanje in urejanje njegovih/njenih osebnih podatkov, natančno ve, za kakšen namen se jih zbira. Ta pravica posameznika pomeni, da boste morali soglasje dobro definirati in ga ne pustiti presplošnega. Samo klik na “soglašam” ali “sprejmem” ne bo več zadoščal.

Prihodnjega meseca maja, ko v veljavo stopata tako nov slovenski zakon o varovanju osebnih podatkov kot uredba GDPR, bo potrebno imeti opravljenega že kar nekaj dela, da bo naše poslovanje skladno z novo zakonsko realnostjo. S petimi vprašanji in petim odgovori smo predstavili nova pravila, da bo to delo lažje in bomo pomlad pričakali pripravljeni.

Pripravili smo tudi pregled virov z dodatnimi informacijami o GDPR-ju:

Imaš še kakšno neodgovorjeno vprašanje? Oglasi se na kavi in skušali bomo najti odgovore nanje. 😉

mailing
Ne bi bilo bolj praktično, če bi naše novice enkrat na mesec dobili kar po
e-pošti?
Enkrat na mesec za vas v e-pošti izberemo naše najbolj uporabne prispevke o malih skrivnostih dobrih spletnih strani, trendih v spletnem oblikovanju, trikih za optimizacijo in učinkovitem spletnem marketingu.
  • ivanl

    Kako torej potem beležiti obisk spletne strani (google analytics). Vsi vemo, da navadni uporabniki spregledajo opozorilo o piškotkih in jih ponavadi ne potrdijo. Ali so session cookiji dovoljeni?

Ste pripravljeni, da skupaj zavihamo rokave in se lotimo dela?