Jak na GDPR (3): Jak vypadá souhlas, o čem informovat a jak na PDF knížky

1. 5. 2018 | Online marketing, GDPR

[SERIÁL] Chcete vědět, jak se na svém webu a v online marketingu vypořádat s obecným nařízením o ochraně osobních údajů (GDPR)? Ve 3. dílu se podíváme na správnou podobu souhlasu, o čem musíte informovat, nebo jak se vypořádat s PDF knížkami za e-mail.

ČTĚTE TAKÉ:

Jak na GDPR (1): Co musíte vědět a znát

Jak na GDPR (2): Právní tituly a účely zpracování a kdy nepotřebujete souhlas

Kdy je třeba žádat souhlas se zpracováním údajů

Pamatujete si právní důvody, které je možné použít ke sběru osobních údajů? V rámci GDPR je jich celá řada a některé z nich jsem popisoval ve 2. dílu tohoto seriálu. Proč to zmiňuji?

Pokud můžete ke sběru osobních údajů použít jiný právní titul (důvod), než je souhlas, udělejte to. Jaké to má výhody?

• Jiné právní tituly nevyžadují explicitní souhlas (například zatržení políčka ve formuláři), ale stačí pouze informovat o tom, že údaje z daného právního důvodu sbíráte a zpracováváte. Například pro plnění smlouvy, účetní agendu apod.
• Na rozdíl od souhlasu nelze zpracování údajů odmítnout, protože je potřebujete například pro plnění smlouvy, účetní agendu, či reklamaci. To souhlas je kdykoliv odvolatelný.

Kdy je tedy souhlas se zpracováním osobních údajů nutný a použitelný? Tehdy, kdy nemůžete použít žádný jiný právní důvod.

Co musí souhlas obsahovat

Protože souhlas musí být informovaný, je třeba poskytovateli osobních údajů (například návštěvníkovi webu) předat všechny podstatné informace. A to takto:

• Stručně a srozumitelně = žádný právnický jazyk a text na 5 stránek.
• Pravdivě a přesně = informace nesmějí být zavádějící, a musejí být konkrétní, nikoliv obecné.

To má svou výhodu. Nemusíte totiž do zbroje povolávat armádu právníků. Napište tyto informace nejlépe sami tak, abyste jim vy i zákazníci rozuměli.

V rámci souhlasu je třeba informovat o tom:

• Jaké osobní údaje zpracováváte – například e-mail a jméno.
• Podle jakého právního titulu je zpracováváte – například souhlas se zpracováním.
• Jaký je účel jejich zpracování – například k zasílání newsletterů.
• Po jakou dobu údaje uchováváte – například po dobu 1 roku.
• Kdo má k údajům přístup (kdo je zpracovává) – například vy a vaši zaměstnanci.

TIP: Podívejte se, jak informuji o zpracování údajů já na tomto webu a jak na webu MD webdesign.

Samozřejmě platí, že toto vše nemusíte psát přímo do formuláře. Pravděpodobně už dnes máte stránku s názvem Ochrana osobních údajů či názvem podobným. Stačí, když ji pouze přepracujete, aby obsahovala výše uvedené informace + informace, které popíšu dále.

Jak žádat o souhlas se zpracováním

Podle GDPR souhlas nemusí být výslovný. Zcela postačuje, když je z akce poskytovatele údajů patrné, že má v úmyslu souhlas udělit.

Je třeba však mít jednoznačné potvrzení. Například:

• Vyplnění e-mailové adresy do pole formuláře, u něhož je uvedeno, že si přejete dostávat newslettery.
• A Nebo  zaškrtnutí políčka ve formuláři, které ale není zaškrtnuté předem (úprava 16.5.2018 – pokud má formulář jeden účel zpracování, separátní zahtrhávací pole by nemělo být třeba, ale musíte být schopni kdykoliv prokázat, že jste souhlas získali; zaškrtávací pole se uloží s e-mailovou adresou a je tedy jasné, že jste souhlas dostali).

Takto vypadá udělení souhlasu ve formuláři, v němž se registrujte k odběru upozornění na články v mém blogu:

Co ale dělat se situací, kdy někdo vyplní cizí e-mailovou adresu, nebo v adrese udělá překlep a přihlásí tak někoho zcela jiného? Dotyčný pak vlastně neudělil informovaný souhlas. I tohle má však řešení.

Řešením je tzv. double opt-in. Je to dvojité udělení souhlasu. Zde je příklad z praxe:

1. Na webu ve formuláři vyplníte e-mailovou adresu. A zaškrtnete souhlas se zpracováním osobních údajů.
2. Na zadanou adresu přijde zpráva s potvrzovacím odkazem.
3. Na potvrzovací odkaz kliknete a teprve tehdy se váš e-mail zařadí do databáze.

Takto vypadá potvrzovací e-mail, pokud se registrujete k odběru upozornění na nové články v mém blogu:

Pro dvojité potvrzení je třeba využívat aplikace, která tuto funkci poskytují. Ale vzhledem k tomu, že to je funkce běžná, jistě ji vaše služba pro hromadné e-maily nabízí.

Na co má poskytovatel právo

Podle nařízení GDPR je třeba poskytovatele údajů informovat také o jeho právech. Těmito informacemi doplňte stránku, na níž uvádíte zásady ochrany osobních údajů. A na tuto stránku z formuláře vždy odkazujte.

Poskytovatel osobních údajů má právo na:

• Opravu osobních údajů, které o něm vedete.
• Odvolání souhlasu se zpracováním osobních údajů.
• To, aby byl zapomenut = jeho údaje musíte zcela smazat, nebo zničit.
• Podání stížnosti na Úřad pro ochranu osobních údajů.

TIP: Podívejte se, jak informuji o právech v zásadách ochrany osobních údajů  já na tomto webu a jak na webu MD webdesign.

Platí souhlasy z dřívějška?

GDPR počítá s přenositelností souhlasu z doby před platností tohoto nařízení (tedy před 25. květnem 2018). Má to však jeden háček. Tento souhlas musí splňovat podmínky GDPR. A je velice pravděpodobné, že vaše souhlasy toto nesplňují. Proč?

Příklad 1: PDF knížka za e-mail

Na webu sbíráte e-maily za poskytnutí PDF knížky a následně na tyto e-maily posíláte newslettery. Výslovný souhlas se zasíláním newsletterů podle GDPR jste nezískali a po 25. květnu už e-maily posílat nemůžete. Je třeba si vyžádat nový souhlas.

CHCETE ode mě i nadále dostávat upozornění na nové články? Zjistěte více »

Příklad 2: Zákazníci e-shopu

Pokud posíláte newslettery pouze na e-maily zákazníků vašeho e-shopu, pak použijete jiný právní titul než je souhlas, a to oprávněný zájem. Souhlas tedy získat nemusíte.

Co s tím?

Pokud patříte do skupiny příkladu 1 a chcete i po 25. květnu posílat newslettery, je třeba si od svých kontaktů v databázi získat výslovný souhlas. Pošlete proto na tyto e-maily výzvu k udělení souhlasu.

Pokud odebíráte upozornění na nové články v mém blogu, pak jste takovou výzvu ode mě již dostali. V e-mailu vypadá takto:

Pokud mi souhlas neudělíte, po 25. květnu vás na nové články přestanu upozorňovat. Podívejte se, jak vypadá stránka s informovaným udělením souhlasu.

„Take it or leave it“ aneb „Ber, nebo nech být“

GDPR stanovuje, že poskytnutí služby nelze podmiňovat udělením souhlasu se zpracováním osobních údajů. Co to znamená v praxi?

Pokud můžete službu či produkt poskytnout, aniž byste sbírali osobní údaje, musíte je nabídnout i bez nutnosti zadání (a tedy zpracování) těchto údajů. To si můžete částečně vyložit po svém a je na vás, jak vše obhájíte.

Toto se bude týkat pravděpodobně nejvíce PDF knížek nabízených na webu za e-mailovou adresu. Z mého pohledu je zde několik variant:

Varianta 1

PDF knížku nabídněte k přímému stažení bez nutnost zadávat e-mail a tedy bez udělení souhlasu ke zpracování osobních údajů.

Varianta 2

Na webu přeformulujte znění služby na PDF knížka na e-mail. Musíte požádat o souhlas se zpracováním údajů, u něhož uvedete, že e-mail využijete pouze k zaslání PDF knížky. Daný e-mail pak můžete využít mimo zaslání PDF knížky také k tomu, abyste příjemce informovali o možnosti registrovat se k odběru newsletterů.

Varianta 3

Do formuláře přidejte zaškrtávací políčko s možností rovnou se registrovat k odběru newsletterů. Návštěvník tak bude motivován dát vám e-mailovou adresu, na kterou dostane nejenom knížku, ale rovnou i newslettery. A nebudete jej tak nutit ke dvěma registracím.

TIP: Máte-li na to žaludek, využijte chytrou právní kličku. PDF knížku zpoplatněte a zadarmo ji nabízejte pouze za souhlas se zasíláním osobních údajů. A to ve smyslu – registrovaní členové mají knížku zdarma.

Závěrem

Máte-li možnost se vyhnout použití souhlasu jako právního důvodu ke sběru osobních údajů, vyhněte se mu. Souhlas je kdykoliv odvolatelný a zdaleka ne vždy je nutný. Pro online marketing je však téměř vždy nezbytný.

Nezapomeňte na svém webu upravit stránku informující o nakládání s osobními údaji. A na tuto stránku odkazovat ze všech formulářů. Zapomeňte přitom na právníky. Vše napište tak, abyste tomu vy sami, i vaši návštěvníci rozuměli.

Nasazení pravidel GDPR na webu a v online marketingu není až tak složité a většinu si zvládnete udělat sami, případně se svým správcem webu a marketingu.

Jak se s GDPR na svém webu vypořádáváte vy? Popište své zkušenosti a tipy do komentářů níže.

Čtěte další díl »