Praktične implikacije uredbe GDPR v spletni prodaji
Pol leta pred začetkom uveljavitve uredbe GDPR je znanega veliko več o glavnih poudarkih in zahtevah, ki jih uredba prinaša, vendar pa se pojavlja veliko praktičnih vprašanj o zagotavljanju skladnosti z njo. Kaj na primer pomeni nova uredba za podjetje, ki upravlja spletno trgovino, ali kaj za podjetje, ki kot storitev izvaja spletne oglaševalske kampanje? Odgovore na ta in podobna vprašanja bomo poskušali najti s pomočjo praktičnih scenarijev.
Za vse, ki še niste seznanjeni z uredbo, najprej kratek povzetek. Splošna uredba o varstvu podatkov ali GDPR (“General data protection regulation”) je krovni zakon EU s področja varovanja podatkov in zamenjuje preteklo zakonsko ureditev. Trenutno v Sloveniji področje varovanja podatkov ureja Zakon o varovanju osebnih podatkov (ZVOP-1), v procesu sprejema pa je že nov zakon, ki bo veljal od 25. 5. 2018 naprej in bo načela GDPR-ja implementiral v našo zakonodajo.
Ogledali si bomo nekaj najpogostejših primerov, v katerih GDRP prinaša spremembe za tipičnega upravljavca spletne trgovine:
- Piškotki za sledenje analitike in marketinških kampanj
- Email marketing in drugi zajemi podatkov v namene obveščanja preko elektronske pošte
- Programi lojalnosti
- Marketing avtomatizacija
- Pravice posameznika v povezavi z njegovimi podatki
1. Kako po novem s piškotki?
Po uredbi GDPR-ja so piškotki del osebnih podatkov posameznika, zaradi česar bo posameznik za beleženje piškotkov moral dati privolitev, ki mora biti prostovoljna, izrecna in nedvoumna, informirana in dokazljiva.
Večina spletnih strani v Sloveniji piškotke avtomatsko beleži od prvega obiska dalje, uporabnika pa na viden način obvesti, da se piškotki spremljajo. Po novem taka rešitev ne bo več zadoščala in bo potrebno od uporabnika pridobiti izrecno dovoljenje za beleženje piškotkov, šele po tem pa začeti z beleženjem. Tehnični del te rešitve bo moralo zagotoviti podjetje, ki izvaja in podpira vašo spletno trgovino, vi pa boste morali preveriti, katere piškotke beležite, za koliko časa in v katere namene. Dodatno boste morali na enak način, kot ste pridobili privolitev za beleženje piškotkov, omogočiti tudi morebitno naknadno zavrnitev privolitve.
Spremenjene zahteve so lahko sicer tudi priložnost za razvoj dobrih praks, saj večja transparentnost in obveščenost uporabnikov vodi do večjega zaupanja. Največji izziv bo v tem, kako zadostiti zahtevam GDPR-ja in hkrati ne poslabšati uporabniške izkušnje na strani.
Naši nasveti:
- Preverite, katere piškotke beležite preko spletne strani – predvsem bodite pozorni na piškotke, ki se beležijo za podporo spletnemu oglaševanju.
- Na dnu spletne strani na vidnem mestu izpostavite informacije o piškotkih, uporabniku pa naj bo omogočeno spreminjanje privolitev za beleženje piškotkov.
- Pogovorite se z izvajalcem vaše spletne strani in spletnega oglaševanja glede sprememb GDPR-ja in jih prosite za podporo in informacije.
2. Kaj pa email marketing?
Če ste tekom poslovanja pridobili seznam elektronske pošte uporabnikov, npr. preko obrazca za prijavo na prejem novic, ob nakupu, preko obraza za prenos brezplačnih vsebin, preko promocijskih akcij ipd., potem ste zavezani k varstvu osebnih podatkov.
Po 25. 5. 2018 bodo vsi seznami, za katere niste pridobili privolitve v skladu z zahtevo GDPR, nezakoniti in posledično potencialna osnova za izrek kazni s strani inšpekcije. Po navedenem datumu boste torej lahko uporabljali samo tiste zbrane emaile, za katere boste lahko dokazali privolitev v skladu z navedbami uredbe. Tukaj bodite zelo previdni, saj je to točka, kjer naj bi bili inšpekcijski pregledi po napovedih zelo natančni in kjer je možnost za kazni velika.
Kaj torej narediti s seznami emailov, ki jih že imate? V kolikor je to smiselno, morate iz njih odstraniti vse emaile, za katere ne morete dokazati, da je uporabnik dal izrecno dovoljenje za umestitev na seznam. V kolikor tega ne morete storiti z gotovostjo, je najboljša strategija, da seznam zavržete in se lotite ponovnega zbiranja privolitev v skladu z določbami uredbe. Pri tem odsvetujemo, da celotni bazi podatkov pošljete masovno sporočilo, kjer jih ponovno prosite za privolitev, kot sta to storili podjetji Flybe in Honda Motor Europe v Veliki Britaniji, ki sta prejeli kazni v vrednosti 70.000 in 13.000 funtov, saj so bili med prejemniki masovnega sporočila tudi naslovniki, ki so zavrnili prejemanje masovne pošte.
Naši nasveti:
- V kolikor še ne uporabljate specializiranih programov za masovno pošiljanje elektronske pošte (MailerLite, Mailchimp, eGlasnik itn.), močno razmislite, da bi naredili prenos storitve k njim, saj bodo ti ponudniki zagotavljali skladnost z zahtevami.
- Preglejte bazo emailov in izločite tiste, za katere nimate dokaza o privolitvi. V kolikor to ni možno, zavrzite celotno bazo in razmislite o strategiji obnovitve baze v skladu z določili uredbe.
- V oblikovni predlogi masovne pošte na jasnem mestu omogočite povezavo do nastavitev privolitve ali umika le-te.
3. Kaj naredimo s programi zvestobe?
GDPR uvaja funkcijo pooblaščene osebe za varovanje podatkov (“Data protection officer” oz. DPO), ki je obvezna za vsa podjetja, ki v okviru svojih aktivnosti stalno obdelujejo podatke posameznikov. Urad Informacijskega pooblaščenca sem šteje tudi programe zvestobe.
V primeru, da v spletni trgovini ponujate program zvestobe, morate torej imenovati pooblaščeno osebo za varovanje podatkov. Ta oseba je lahko eden od zaposlenih ali pa zunanji sodelavec oz. podjetje, ki ustreza pogojem. Za vse podatke, ki jih pridobite in hranite za potrebe kluba zvestobe, veljajo enaka splošna pravila GDPR in pooblaščenec mora skrbeti za njihovo implementacijo in nadzor nad morebitnimi zlorabami. Vsako profiliranje, kot je na primer ponujanje personaliziranih povezanih produktov v spletni trgovini, že zahteva pooblaščeno osebo, ki skrbi za pravice potrošnika.
Naši nasveti:
- Preverite, ali vaša spletna trgovina vključuje tudi program zvestobe.
- Ocenite dodano vrednost, ki ga program zvestobe ustvarja – vprašanje je, če je smiselno zaradi tega iti v organizacijske in procesne spremembe, s katerimi pridejo tudi dodatni stroški.
- Zbirke podatkov v klubu zvestobe prilagodite uredbi in jih primerno zavarujte.
4. Se to dotika tudi marketing avtomatizacije?
Marketing avtomatizacija je lahko ob pravilni uporabi izredno močno prodajno orodje. Nove določbe GDPR-ja se marketing avtomatizacije dotikajo predvsem na dveh področjih:
- Piškotki – potrebna je ustrezna privolitev v smislu zgoraj opisanih zahtev;
- Mailing kampanje – v kolikor orodje za marketing avtomatizacijo pošilja kakršna koli obvestila ali mailinge, morate imeti za vse prejemnike privolitev.