GDPR i prikupljanje osobnih podataka: nekoliko "kvaka" koje će vam olakšati život

Preuzmite naš FREE GDPR eBook: Kako će GDPR utjecati na vaš i naš digitalni marketing?

Na površini, GDPR može izgledati kao neki ekstremni diktator, posebno za manja poduzeća ili solo igrače. 

Ipak, između hrpe članaka i zakona koji se nalaze u Uredbi GDPR-a na čitavih 88 listova, postoje tri ključna područja prema kojima bi trebali usmjeriti svu pažnju:

• Dozvola za pristup podacima (Data Permission)
• Način obrađivanja podataka (Data Access),
• Vrste podataka koji se traže (Data focus)

Ako ćemo biti iskreni, već je i bez GDPR-a dovoljno teško stvoriti listu kvalitetnih klijenata i kupaca, a sa svim zavrzlamama koje donosi GDPR, bit će još teže.

Nekima će to biti prava nemoguća misija, a neki će se glavom i bradom pretvoriti u Tom Cruisea i prihvatiti ovaj veliki GDPR izazov koji će sa sobom na kraju donijeti i nagradu u obliku kvalitetnijih leadova.

Za početak, idemo objasniti tri ključna pojma na kojima počivaju GDPR pravila.

1.GDPR i dozvola pristupu podacima (Data Permission)

U GDPR-u se sve svodi na dobivanje dozvole, privole od strane online korisnika kojom nam daju slobodu da njihove osobne podatke smijemo upotrebljavati u svrhu jasno definiranih ciljeva, kao što su slanje newslettera, u svrhu tržišnog istraživanja ili nešto treće.

Svoj pohod pokoravanja možete započeti pravilnim upravljanjem opt-inova, tj. upravljanjem podacima online korisnika koji su svojevoljno pristali ili zatražili da im redovno šaljete promo materijale.

Opt-in je zapravo marketinški pojam za promotivni email kojeg je online posjetitelj dobrovoljno odlučio primati upisujući se u mailing listu. U tom se slučaju, newsletter pretplatnik uvijek može odjaviti iz mailing liste i njegova je privatnost uvijek zaštićena. Na suprotnoj strani opt-ina nalazi se metoda u kojoj se u mailing listu dodaju email adrese onih koji se nisu dobrovoljno upisali u mailing listu, poznatoj po imenu spam - ono što GDPR ne tolerira niti na mikro, mini razini.

2. GDPR i način upravljanja podacima i pravo na zaborav (Data Access)

Pravo na zaborav zasigurno je jedna od najpopularnijih tematika unutar područja GDPR-a. Pravo na zaborav daje korisnicima pravo na brisanje zastarjelih ili netočnih podataka (Google je, naprimjer, već uklonio pojedine web stranice iz svojih rezultata traženja kako bi bio u skladu s GDPR zakonima).

GDPR, zapravo, daje pojedincima veću kontrolu nad prikupljanjem i korištenjem vlastitih osobnih podataka kojima naknadno mogu pristupiti bilo kada.

3. GDPR želi da se usredotočimo na prikupljanje podataka koje trebamo

Kao marketinški stručnjaci, svi možemo priznati da ponekad prikupljamo više podataka nego što nam je potrebno.

Zapitajte se, trebate li stvarno znati nečiji omiljeni film prije nego što se pretplate na newsletter? Vjerojatno ne. Imajući to na umu, GDPR zahtijeva da pravno opravdate obradu osobnih podataka koje prikupljate.

Uf… zvuči zastrašujuće, zar ne? Pravno opravdati nešto. Zar idemo na online sud? Zapravo je mnogo jednostavnije od toga. Potrebno je samo usredotočiti se na podatke koje zaista trebate i izostaviti one koje bi bilo lijepo imati. Ako zaista morate znati veličinu cipela i mjeru nogu izraženu u centimetrima, a možete dokazati zašto vam je potrebna, samo naprijed! U protivnom, držite se imena i prezimena :)

Online obrazci i proces prikupljanja podataka

Imajući ova tri ključna područja na pameti, možete lako pretpostaviti koje bi se informacije trebale biti prisutne tijekom prikupljanja osobnih podataka. Mi ćemo nabrojati one elemente za koje smo uspjeli pronaći informacije.

Ako kojeg izostavimo, molimo vas da nam ne zamjerite, već te informacije podijelite s nama kako bi naša lista bila što potpunija :)

1. GDPR i postojeća baza korisnika. Što s njima?

Najteži dio GDPR-a je zasigurno taj da se svi moramo osloniti na pristanak online korisnika.

U slučaju da imate postojeću listu newsletter pretplatnika, provjerite imate li dokaza da su postojeći pretplatnici na bilo koji način dali svoju suglasnost i pristali na primanje newslettera ili drugu obradu podataka.

Na primjer, provjerite imate li digitalni dokaz unutar platforme za slanje newslettera gdje možete vidjeti Sign up Source svih pretplatnika ili pak fizički dokaz, tj. papir s kojim ste sakupljali podatke na važnom eventu.

Ako je riječ o ručnom dodavanju pretplanika, za svakog ćete pretplatnika (nažalost), morati pronaći dokaze koji dokazuju gdje su i kada su korisnici svojevoljno zatražili pretplatu na newsletter.

Ako ste zapeli u ovom dijelu, jedan će svima mrski, postupak spasiti cijelu stvar. Naime, GDPR zahtijeva da svim postojećim pretplatnicima za koje ne možete dokazati da su se svojevoljno pretplatili na newsletter, pošaljete nepromotivni mail (NEPROMOTIVNI podcrtano, s velikim slovima), preko kojega ćete pretplatnike još jednom zatražiti za pristanak za slanje newslettera i u kojem im nudite mogućnost ažuriranja postojećih postavki.

Prema nekim izvorima iz kojih smo uzimali informacije, ovaj ćete mail morati slati i onim pretplatnicima za koje imate dokaza da su se svojevoljno pretplatiti na newsletter, pa preporučujemo da za svaki slučaj šaljete mail cijeloj mailing listi.

2. GDPR i kontaktiranje neprivatnih korisnika

Kad je u pitanju kontaktiranje tvrtki ili slanje mailova na info i admin, ne morate posebno tražiti njihov pristanak.

3. GDPR zahtijeva polja za označavanje (checkboxove) za fizički pristanak

Regulative GDPR-a najžešće zahvaćaju način prikupljanja podataka.

Naime, svako poslovanje je dužno imati dokaz o suglasnosti online korisnika kojim korisnici daju tvrtkama pravo na obrađivanje vlastitih osobnih podataka. Da bi pristanak bio valjan, vaša komunikacija treba jasno navesti vrstu zahtjevanih podataka, kao i svrhu za koju će se koristiti.

S obzirom na to da svaki korisnik mora fizički potvrditi da ga želite kontaktirati, u obrazac svakako uključite polja za označavanje (polja s kvačicom, checkboxove).

4. GDPR zahtjeva prazna polja za označavanje (checkboxove)

Prema GDPR-u, korisnika na nijedan način ne smijete navoditi na određenu akciju, stoga polja s kvačicom moraju biti bez kvačice.

Na primjer, umjesto da pretpostavimo da posjetitelji koji ispunjavaju web obrazac žele primati marketinške newslettere (unaprijed označimo kućicu), mi je moramo ostaviti praznom jer moramo svakog posjetitelja posebno pitati želi li dobivati newslettere.


Svaka marketinška automatizacija također mora biti prilagođena GDPR-u kako bi jasno naznačila načine na koje će se buduća komunikacija vršiti i za koju je potrebno dobiti eksplicitni pristanak korisnika.

5. GDPR i marketinške kampanje koje uključuju više osoba

Pojedina poduzeća nude posebne promotivne ponude tako da postojeći klijenti ili kupci upišu email najboljeg prijatelja s ciljem da zajedno ostvare popust ili osvoje bon u određenoj novčanoj vrijednosti.

Kada korisnici upišu mail prijatelja, mail se automatski šalje od poduzeća do prijatelja, bez dobivanja njihova izričitog pristanka da im se obratite. Ovi mailovi su zapravo obavijesti, a ne promocije.

Ako ne želite kršiti zakon, podaci tih prijatelja nikako ne smiju biti obrađeni, pohranjeni ni korišteni za marketinške svrhe.

6. GDPR i obavijest o privatnosti

Jeste li ikada kliknuli na gumb Update ili krenuli instalirati softver i sljedećih 3 minute scrollali po nerazumljivim, klingonski napisanim uvjetima i odredbama s kojima ste se na kraju morali složiti kako bi uopće mogli instalirati softver?

E, upravo ovakvim praksama, GDPR staje na kraj. GDPR propisuje da sve informacije, svi uvjeti i obavijesti moraju biti razumljivi i nedvosmisleni kako bi svaki korisnik bio siguran u što se s gumbom “Slažem se” upušta.

Ono što je najvažnije, opcija kojom posjetitelji mogu u bilo kojem trenutku povući, tj. izbrisati svoju privolu mora biti jasno naznačena i prezentirana u svakom trenutku. Vaši uvjeti i obavijesti o privatnosti moraju biti transparentni i razumljivi, bez da se online posjetitelji pitaju na što su to upravo pristali.

7. Što bi prema GDPR-u trebala sadržavati pravila o privatnosti?

Provjerite jesu li vaša pravila o privatnosti ažurirana i lako dostupna na vašoj web stranici.

Evo nekoliko informacija koje bi pravila o privatnosti morala sadržavati:

1. Tko ste vi: podaci poduzeća, ime osobe zadužene za kontrolu podataka, jeste li registrirani kod ICO-a ili kao konrolor podataka? (Ako prikupljate osobne podatke, pohranjujete ih i koristite, vjerojatno biste trebali biti. Provjerite trebate li se prijaviti na www.ico.org.uk. )
2. Koje podatke prikupljate i što radite s njima: na primjer: prikupljamo email adrese i osobna imena kako bi vas ubuduće kontaktirali o posebnim ponudama i uslugama koje bi vas mogle interesirati
3. S kime dijelite podatke korisnika: idealno s nikim
4. Prijenos podataka i sigurnost: na koji način prenosite podatke i kako ste ih zaštitili
5. Koliko dugo čuvate prikupljene podatke
6. Prava korisnika:  korisnici mogu u bilo kojem trenutku promijeniti ili povući privolu
7. Što se događa ako korisnici odbiju dati privolu za obrađivanje osobnih podataka: postoje li implikacije za klijente ili korisnike koji ne žele dati podatke koje tražite?
8. Zabrinutost i pritužbe: Kontakt osoba u slučaju da klijenti imaju pritužbe
9. Načini kako doći do kopija: odredite načine na koje korisnici mogu zatražiti kopije svojih osobnih podataka

8. GDPR pravila o eksplicitnom i implicitnom pristanku

Osjetljivi podaci strogo zahtijevaju opt-in, dok se općeniti podaci mog procesirati implicitnim pristankom. Što to točno znači?

Eksplicitni pristanak zahtijeva da korisnik jasno da pristanak za obradu osobnih i osjetljivih podataka. Prema GPDR-u potrebno je dati izričitu suglasnost za obradu određenih osobnih podataka.

Primjeri uključuju:

• rasu,
• etničko podrijetlo,
• politička i vjerska uvjerenja,
• podatke koji se traže u svrhu jedinstvene identifikacije fizičke osobe,
• podatke o zdravstvenom stanju,
• podatke o seksualnom životu ili
• seksualnu orijentaciju.

Eksplicitni pristanak može se zatražiti nakon izjave koja bi trebala navesti prirodu prikupljenih podataka, detalje kako će se ti podaci obrađivati i moguće rizike tijekom obrađivanja podataka.

Dakle, eksplicitni pristanak je zapravo ništa više od izjave kojom objašnjavate u koju svrhu prikupljate podatke nakon koje postavljate prazne kućice koje korisnik može označiti ako se slaže s vašim uvjetima.

Implicitni pristanak odnosi se na osobne podatke koji nisu toliko osjetljivi. Najbolje ćemo objasniti primjerom kada do toga smije doći.

Recimo da online posjetitelj ispunjava obrazac za nagradnu igru. On u polja unosi nekoliko opcionalnih podataka, uključujući i mail adresu. Iznad polja za mail adresu navodi se da će poduzeće koristiti email kako bi ga redovito obavještavali o posebnim ponudama.

Unosom vlastitog maila u opcionalni prostor, posjetitelj dopušta da mu se šalju promotivni mailovi, bez da izričito mora označiti polje za označavanje.

9. Prema GDPR-u, privole za različite uvjete moraju biti vizualno odvojene

Suglasnost kojom se posebno prihvaćaju uvjeti i odredbe poduzeća te suglasnost prihvaćanja o načinu obrađivanja osobnih podataka moraju vizualno biti odvojeni jedan od drugog.
 

10. GDPR zahtijeva mogućnost lakog povlačenja pristanka ili izmjenu postojećih podataka

Obveza svakog marketinškog stručnjaka je osigurati korisnicima jednostavan pristup vlastitim podacima i izmjenu istih.

Opciju pristupu osobnim podacima možete uključiti u newsletter na isti način kao što bi to napravili za mogućnost odjave s mailing liste. Imajte na umu da bi proces povlačenja ili mijenjanja privole, tj. suglasnosti trebao bi biti jednostavan kao i što je bio i sam proces privole.

11. GDPR za pohranu podataka preporučuje CRM

Vrijeme za pohranu podataka u Excel tablicama je prošlo! GDPR preporučuje pohranu podataka preko CRM sustava kako bi korisnici u bilo kojem trenutku mogli pristupiti svojim podacima i izvršiti eventualne izmjene.

Isto tako, samo određeni zaposlenici bi smjeli imati pristup tim osobnim podacima. Ako ste osobne podatke do sada spremali u bazu podataka unutar web stranice, vrijeme je da prestanete jer ptistup tim osobnim podacima imaju i agencije koje su zadužene za održavanje vaše web stranice i mnoge treće strane koje imaju pristup vašoj web stranici. 

12. Čuvajte dokaze o privolama - tko, kada i kako
GDPR ne samo da postavlja pravila za prikupljanje pristanka od strane korisnika, već od marketinških agencija zahtijeva da vode evidenciju o tim suglasnostima.

Članak 7:
“Ako se obrada podataka temelji na pristanku subjekta, kontrolor mora biti u stanju dokazati da je subjekt dao suglasnost za obradu vlastitih podataka.”

Dokazivanje pristanka znači da morate biti u mogućnosti dokazati:

• Tko je pristao
• Kad je pristao
• Što su izjavili u trenutku pristanka
• Kako su pristali (npr. tijekom plaćanja, putem Facebook obrasca, obrasca za prijavu na newsletter...)
• Jesu li povukli svoj pristanak

13. GDPR i dvostruka potvrda o privoli (Double opt-in) - ne zahtijeva se

Kada je opcija double opt-in uključena, osoba koja se prijavljuje na određenu listu mora dva puta potvrditi svoju suglasnost. Prva potvrda odvija se na mjestu ispunjavanja obrasca, nakon kojeg osoba prima email u kojem još jednom mora potvrditi svoju suglasnost. 
 
Zašto je dvostruka potvrda važna? Iako prema GDPR-u dvostruka potvrda nije obavezna, marketinške agencije mogu uključiti ovu opciju kako bi 100% zadovoljile propise GDPR-a i kako bi bile sigurne u točnost dane email adrese.

Mali rezime za kraj

Promjene koje GDPR uvodi odnose se na vaše cijelo poslovanje, a u ovom blogu govorimo isključivo o digitalnom marketingu. 

GDPR se ne šali, pa prestanite živjeti u uvjerenju da njegova pravila neće pogoditi Lijepu Našu. 

Tijekom priprema za GDPR, imajte na umu da se sve svodi na jednu stvar - vi ste tvrtka koja prikuplja podatke i kao takvi postajete kontrolor podataka koji ima sljedeće odgovornosti:

• Budite jasni zašto prikupljate određene podatke: prema Europskoj Komisiji, osobnim podacima smatraju se sve informacije koje se koriste za identifikaciju pojedinca, bilo da se odnosi na njegov privatni, profesionalni ili javni život (ime, adresa, fotografija, email adresa, detalji o bankovnom računu, objave na društvenim stranicama, podaci o zdravlju, pa čak i IP adresa)
• Svakom korisniku omogućite pristup osobnim podacima: Omogućite korisnicima priliku za podnošenje žalbi, uklanjanje (brisanje) osobnih podataka i kontakt osobu zaduženu za primanje žalbi koja unutar 72 sata mora dati odgovor. Drugim riječima, javnost vas sada ima pravo pitati koje informacije imate o njima i da iste izbrišete. 
• Zaštitite osobne podatke: napravite enkripciju osobnih podataka i sačuvajte ih u obliku koji se lako može eksportirati, a dokumentacije o pristancima sačuvajte na sigurnom mjestu

Disclaimer: Sadržaj ovog bloga ne smije se smatrati pravnim savjetom i trebao bi se koristiti samo u informativne svrhe.