E-maily, cookies, remarketing: Jak vyřešit GDPR na webových stránkách?

4. říjen 2017     komentáře (0)  2750 objevných slov

/AKTUALIZOVÁNO 24.5.2018/ 4 písmena, která poslední půlrok nedávala mnohým podnikatelům spát a díky poměrně masivní mediální kampani asi hodně lidem lezla (a stále leze) krkem. Obecné nařízení o ochraně osobních údajů vstoupí v platnost už tento pátek 25. května 2018. A jde o obsáhlé téma. Pokud do něj chcete proniknout do hloubky, vyžádá si nemalé časové rezervy na studium. Nasbírání znalostí a pochopení procesů bez předchozích zkušeností je často dost náročné. Snažil jsem se proto sepsat maximálně věcný a jednoduchý návod, jak vyřešit GDPR na webových stránkách.

E-maily, cookies, remarketing: Jak vyřešit GDPR na webových stránkách?E-maily, cookies, remarketing: Jak vyřešit GDPR na webových stránkách?

Zní to celé asi děsivě, ale v podstatě se jedná jen o pár úkonů. Jejich rozsah se vždy liší podle charakteru webu. O dost jednodušší bude nastavení pro malý firemní web, který nesbírá žádné e-maily pro rozesílku newsletterů, má jen kontaktní formulář a využívá maximálně tak cookies. Jinak to bude u e-shopu, který rozesílá pravidelně newslettery, má několik komunikačních kanálů, využívá remarketing a cílenou reklamu.

Co je to GDPR?

Obecné nařízení o ochraně osobních údajů, které má za cíl zlepšit nakládání s osobními údaji uživatelů. U nás v podstatě nahrazuje Zákon o ochraně osobních údajů, a tak pokud jste své aktivity měli v souladu s tímto zákonem, nemusíte se bát velkých změn. Více se o tom rozepsala Lenka Veberová.

Obsah

Na webových stránkách musíte splnit informační povinnost, tedy zveřejnit, jak nakládáte s osobními údaji vašich zákazníků, dodavatelů, uchazečů. Pojďme se tedy podívat, jak na to.

Checklist toho, co musíte mít

  1. přehled, s jakými údaji pracujete,
  2. vypracované zásady ochrany osobních údajů,
  3. zajištěné technické úpravy webu,
  4. mít vše sepsané.

1) Přehled toho, s jakými údaji pracujete a kam je posíláte

Pokud chcete mít webové stránky z hlediska GDPR v pořádku, nejprve si musíte zmapovat, kdo všechno osobní údaje vašich zákazníků zpracovává. Vy jste vždy správce a ten, komu údaje zpřístupňujete, bude obvykle zpracovatel.

Tato část se také označuje jako datový audit. V podstatě si musíte sepsat, jaké osobní údaje sbíráte, co s nimi děláte a komu je případně (ne)předáváte.

Nám se osvědčilo využívání myšlenkových map nebo jednoduchá tabulka, ve které si sestavíte základní rychlý přehled osobních údajů.

GDPR věci okoloMyšlenková mapa a jednoduchá tabulka pro osobní údaje

 

Osobní údaje z hlediska GDPR jsou takové údaje, které umožňují identifikaci konkrétní osoby. Že se jedná o jméno nebo rodné číslo, je asi zřejmé. Méně zřejmé však může být, že se jedná také o e-mailovou adresu (jak soukromou, tak firemní), IP adresu nebo cookie soubory.

Pokud pracujete s e-mailovou databází nebo využíváte remarketingové cílení reklamy, pak pracujete s osobními údaji. Zpracovateli se zde stávají provozovatelé všech služeb, které pro to využíváte.

GDPR věci okoloPřehled zpracovatelů a služeb u webu

 

Pro účely internetového marketingu můžeme osobní údaje dělit ještě ve dvou liniích, se kterými budeme nejčastěji pracovat:

  • údaje, které uživatelé vědomě zadávají - všechny údaje, které uživatelé vkládají do kontaktních a objednávkových formulářů na webových stránkách (e-mail, telefon, jméno, adresa, bydliště, zájmy, profesní dovednosti),
  • skryté technické údaje internetového provozu a informace, které webové stránky sbírají pasivně (cookies, IP adresa, User Agent, HTTP REFERRER, UTM parametr, geolokační údaje).

Co jsou osobní údaje?

Jsou to veškeré údaje, podle kterých vás kdokoli dokáže identifikovat, např. jméno, telefon, rodné číslo.

Je zbytečné polemizovat, kdy např. e-mail (nebo IP adresa) je a kdy není osobním údajem - máte jen malou možnost to rozlišit a výklady se navíc rozcházeji podle známého rčení kolik právníků, tolik právních nározů. Přistupujte k nim tedy vždy jako k osobním údajům.

Ve většině případů budete na webu pracovat s běžnými osobními údaji. Kromě toho existují i zvláštní kategorie osobních údajů, doposud označované jako citlivé údaje, které podléhají přísnějšímu režimu. Pro účely tohoto článku však budeme pracovat pouze s běžnými osobními údaji a pro účely marketingu doporučuji se takovým údajům pokud možno vyhnout.

Každý jednotlivý účel zpracování je agendou zpracování osobních údajů. Agenda je pojem, se kterým budeme dále pracovat při sestavování Zásad ochrany osobních údajů (Privacy Policy). Agenda je souhrnné zpracování konkrétního setu osobních údajů:

  • vyřízení požadavku pomocí kontaktního formuláře,
  • vyřízení objednávky a doručení produktu,
  • rozesílání obchodních sdělení a marketingových newsletterů,
  • zpracování cookies.

Abyste mohli osobní údaje zpracovávat, musíte k tomu mít právní titul, který vychází z nařízení. Nejčastěji budete pracovat s těmito tituly:

  • splnění smlouvy,
  • splnění právní povinnosti,
  • oprávněné zájmy správce,
  • souhlas uživatele.

Př. Váš e-mail, jméno a telefon zpracováváme za účelem vyřízení poptávky a jejich zpracování je nezbytné pro splnění smlouvy.

2) Zásady ochrany osobních údajů

Díky této záložce na webu jednoduše splníte informační povinnost. Z datového auditu už víte, jaké osobní údaje zpracovávate, co se s nimi děje a kdo k nim má přístup.

Je také třeba dát Zásadám ucelenou a srozumitelnou formu a vystavit je na web. Na tyto Zásady ochrany osobních údajů pak budete odkazovat ze všech míst, kde dochází ke sběru dat.

Naše základní struktura Zásad vypadá zhruba takto:

  1. Kdo zpracovává vaše osobní údaje?
  2. Jaké osobní údaje o vás zpracováváme?
  3. Proč vaše osobní údaje zpracováváme?
  4. Co nás k tomu opravňuje?
  5. Můžeme vaše osobní údaje zpracovávat i bez vašeho souhlasu?
  6. Kdo všechno bude mít k vašim údajům přístup?
  7. Jak jsou vaše osobní údaje zabezpečeny?
  8. Jak dlouho vaše údaje zpracováváme?
  9. Jaká práva máte v souvislosti s ochranou osobních údajů?
  10. Jak nás můžete kontaktovat?

Pokud řešíte více různých agend, je dobré mít v zásadách uvedené a rozepsané každé jednotlivé konkrétní zpracování (jako set). Zásady ochrany osobních údajů jsou vaším hlavním dokumentem pro GDPR na webu a odkážete na něj vždy z jednotlivých formulářů.

3) Technické úpravy webu

Pro zabezpečení webu a připravenost na GDPR bude dostačující toto webové minimum:

HTTPS pro šifrovanou komunikaci

Zabezpečený web pomocí https a šifrovaná komunikace by dnes měla být základ. Jedná se o minimum toho, co můžete pro zabezpečení udělat a nasazení certifikátu je snadné.

Přechod na https znamená zabezpečený přenos informací z webových stránek. Nejenže nikdo nemůže podvrhnout uživatelům jiný obsah, také nemůže odposlouchávat komunikaci s webem. Navíc se pozitivně odrazí na rychlosti načítání webu.

Aktualizovaný redakční systém

Pokud využíváte redakční systém, dohlédněte na to, že bude vždy aktualizovaný a bez bezpečnostních děr. Ani HTTPS vám nepomůže, když jsou na webu otevřená zadní vrátka, kvůli kterým vám může útočník odcizit třeba celou databázi kontaktů.

Upravené webové formuláře

U každého formuláře, který sbírá osobní údaje, musí být uvedena informace, jak s těmito údaji hodláte nakládat. Chybět nesmí ani odkaz na plné znění Zásad pro ochranu osobních údajů.

Pokud budete osobní údaje zpracovávat na základě souhlasu, pak tento souhlas musíte evidovat. Políčko, prostřednictvím kterého sbíráte souhlasy se zpracováním osobních údajů, nesmí být předem zaškrtnuté. I to by však v současné době měl být základ každého webového formuláře.

4) Dokumenty a smlouvy

Podle GDPR končí oznamovací povinnost správců a nahradí jej mimo jiné např. povinnost vést si záznamy o činnostech zpracování. V některých případech platí povinnost provést posouzení vlivu na ochranu osobních údajů, takže se nevyhnete nutnému papírování.

Kromě Zásad uvedených na webu je tedy dobré mít jednu aktuální záložní kopii pro případ kontroly ze strany ÚOOÚ a také je vhodné vést dokument pro každou konkrétní agendu zpracování osobních údajů. Podoba těchto dokumentů není nikde výslovně uvedena a tak mohou mít ibovolnou strukturu. My jsme zvolili následující podobu.

GDPR věci okoloDokumentace zpracování osobních údajů

 

Jednoduše popíšete, jak se s osobními údaji nakládá v konkrétním případě - co se děje při vyplnění formuláře, po objednávce zboží, jak a kam se posílá e-mail po přihlášení do newsletteru a jak se lze odhlásit.

Pokud s osobními údaji nakládá někdo další kromě vás (účetní, agentura, webhosting atp.), musíte mít se zpracovately sepsané Zpracovatelské smlouvy. Zpracovatelská smlouva není nic nového, měli byste je mít už teď.

Pokud využíváte marketingové nástroje a další online služby, musíte si stáhnout aktuální obchodní podmínky či jejich zásady. Pěkný přehled odkazů na jednotlivé dokumenty najdete zde.

Problém může nastat, pokud pro zpracování osobních údajů využíváte nějakou službu, která není zrovna v souladu s GDPR. Odpovědnost jde vždy za vámi, proto je vždy lepší takové služby nevyužívat.

A jak je to s cookies?

Dobrá zpráva je, že není třeba používat cookie lišty, které zaberou polovinu hlavního prostoru webu. Ohledně cookies z pohledu GDPR nebyla dlouhou dobu dostupná žádná vodítka a ani informace, jak s nimi správně nakládat.

To má společně s cílením reklam pomocí remarketingu upravovat až nařízení ePrivacy, které ale zatím nenabylo platnosti. Jejich použití řešila donedávna tzv. Cookie lišta, která se úplně nepovedla, což nakonec uznali i sami zákonodárci.

 

GDPR věci okoloCookie lišta spolehlivě zabije konverze webu
Zdroj: Web ČEZ

V náhledu je použitý nástroj Cookiebot, který provede automatizovaný audit cookies na webu, rozdělí je podle skupin a eviduje aktivně udělené souhlasy.

Cookies se navíc rozdělují na provozní, statistické a remarketingové (pro cílenou behaviorální reklamu).

Podle GDPR jsou až ty remarketingové považovány za osobní údaje. Přesto se na ně nepohlíží rovnocenně - je možné, že některé cookies budou vyžadovat souhlas uživatele a jiné ne. Zatímco Facebook nebo Google Adwords páruje cookies s konkrétními uživateli, Seznam Sklik s nimi nepracuje jako s osobními údaji, a tedy nevyžaduje souhlas.

Podle výkladu ePrivacy se navíc Google Analytics budou zřejmě považovat za cookies první strany. Díky tomu je bude možné zpracovávat na základě oprávněného zájmu. Na to si však budeme muset ještě nějakou chvíli počkat.

Podle nejnovějšího nezávazného stanoviska Úřadu pro ochranu osobních údajů zatím platí, že je pro zpracování cookies souhlas vyžadován. Toto se řeší nastavením prohlížeče uživatele. Ve svém prohlížeči si může každý zvolit, zda si přeje ukládat cookies. Pokud má tuto možnost zvolenou, lze ji považovat za souhlas se zpracováním osobních údajů.

Cookie lišta tedy není potřeba (pokud to nevyžadují podmínky konkrétního nástroje). Stačí, když v Zásadách ochrany osobní údajů uvedete, jaké cookies váš web uživatelům ukládá, za jakým účelem a co dělat v případě, když je chce uživatel odmítnout.

A jak řešíte ochranu osobních údajů na weby vy?

Pomohl vám článek? Jaké konkrétní kroky jste podnikly vy a jak jste se na to připravovali? S čím jste potýkali a co vám dalo nejvíc zabrat? Podělte se s námi o své zkušenosti v komentářích. Pro newslettery a webovou analytiku připravujeme samostatný článek, takže zůstaňte naladěni. :)

Odborným garantem článku je Lenka Veberová, redakčně upravila Nela Drunecká.

Autor Jan Potůček

Autor: Jan Potůček

Honza se přes 10 let věnuje vývoji webových řešení a online marketingu. V současné době vede komunikační agenturu PROSEO Media, kde se zaměřuje na vytváření kreativních marketingových strategií a digitální komunikaci.



Hodnocení

4.14 hvězdiček / Hodnoceno: 7x


Přidat komentář (0)

Jak citovat tento obsah?

Potůček Jan. E-maily, cookies, remarketing: Jak vyřešit GDPR na webových stránkách?. In: Obsah na dosah [online], 2017 [cit. 2018-09-25]. ISSN 2570 – 7825. Dostupné z: https://www.obnd.cz/e-maily-cookies-remarketing-jak-vyresit-gdpr-na-webovych-strankach

Čtěte také...

GDPR: Již včera bylo pozdě aneb Co je to za novoty

GDPR: Již včera bylo pozdě aneb Co je to za novoty

Nařízení GDPR (General Data Protection Regulation) vstoupí v účinnost dne 25. 5 .2018 a je vnímáno jako revoluční předpis, jenž zavádí povinnosti ohledně postupu a způsobu zpracování osobních údajů. Toto vnímání však není přesné. V české legislativě totiž existuje pla…

Váš web stále neběží na zabezpečeném protokolu HTTPS? 5 důvodů, proč na něj přejít a jak

Váš web stále neběží na zabezpečeném protokolu HTTPS? 5 důvodů, proč na něj přejít a jak

V dnešním článku si krátce připomeneme historii protokolu HTTP a HTTPS - kde vznikl a za jakým účelem. Řekneme si také 5 důvodů, proč by váš web měl na protokolu HTTPS běžet, vyjmenujeme si jeho výhody oproti běžnému protokolu HTTP a na závěr si povíme, co je třeba pro př…

Ohlédnutí za 8. CopyCampem

Ohlédnutí za 8. CopyCampem

8. prosince 2017 jsem vyrazil do kulturního zařízení Domovina v pražských Holešovicích, kde se konal 8. CopyCamp, konference spojující copywritery, markeťáky, majitele firem a všechny nadšence do tvorby kvalitního obsahu. Měl jsem tu čest zhlédnout celkem deset přednášek. Jak je…


Komentáře