Na konci května 2018 vstoupilo v platnost nové nařízení EU o ochraně osobních údajů (GDPR). Jsou to nová pravidla pro kohokoliv, kdo na území EU sbírá osobní údaje, jako jsou např. emaily, IP adresa apod.
To znamená, že nové nařízení platí i pro blogery? Ano, bez výjimky.
„Prý budu muset všem mým čtenářům znovu poslat e-mail, aby se přihlásili do mailing listu? A taky prý nesmím sbírat cookies?!”
Takových apokalyptických scénářů je plný internet, přitom GDPR není nic hrozného. Jen je potřeba se tím prokousat. Sepsali jsem pro vás návod, co a jak na vašem blogu změnit, abyste splňovali nové nařízení. Taky vám poradíme, co dělat se stávajícími subscribery v e-mail listech.
UPOZORNĚNÍ. Nejsme právníci ani experti na osobní údaje. Vše, co se tady dočtete, je jen naše interpretace nařízení GDPR, z pohledu blogera. Při sbírání informací jsem vycházel ze samotného nařízení a toho, jak se s tím poprali ostatní. Prošli jsem několik velkých i malých českých blogerů a on-line obchodníků a jejich způsob vypořádání se s GDPR. Neberte tento článek jako bernou minci, ale spíše jako vodítko k tomu, jak se s GDPR vypořádat ve vašem konkrétním případě. Díky, jdeme na to!
Úkol GDPR je předat zákazníkovi (v případě blogera čtenáři) větší kontrolu nad jeho daty. Takže čím transparentnější ve zpracovávání dat budete, a čím více kontroly čtenářům dáte, tím spíše budete splňovat všechny podmínky.
Jaká data jako blogeři od čtenářů máme
Zpracováním dat myslí pánové z EU jakákoliv data, která o uživatelích sbírate a způsoby, jak s nimi nakládáte. Osobními údaji jsou data, kterými můžete přímo nebo nepřímo identifikovat čtenáře. Jsou to jména, adresy, telefonní čísla, e-mailovy, ale i IP adresy a další identifikátory. Takže, pokud děláte nebo máte na blogu něco z následujícího, týká se vás GDPR:
- Sbíráte e-maily – např. posíláte newslettery
- Máte zaplé komentáře k článkům (hlavně WordPress)
- Sledujete pohyb uživatelů, např. Google Analytics
- Máte na blogu kontaktní formulář
- Používáte pluginy, které sbírají data o uživatelích
- Pořádáte soutěže a giveaways
#1 Používejte checkboxy (nebo jinou formu souhlasu) kdykoliv vám čtenář (zákazník) poskytuje data
Kdykoliv od čtenáře získáváte osobní údaje, musíte tak činit s jeho explicitním souhlasem. Při předávání údajů musí být také jasné, k čemu je budete používat. Pokud vám tedy čtenář dává e-mail, abyste mu posílali novinky, musí vám explicitně odsouhlasit, že si od vás novinky přeje dostávat.
Nejjednodušší variantou je přidat checkbox, kterým vám čtenář dá jasný souhlas. Tahle varianta je trochu otrocká, ale kryje vás na všech frontách. U nás na Loudavým Krokem to vypadá takhle:
Druhou variantou je zapracovat souhlas přímo do tlačítka. Například při přihlašování na kryptokurz tady na Power of Doing potvrzujete souhlas stisknutím tlačítka přihlášení do kurzu.
VZOR TEXTU
Abyste to měli ještě jednodušší, připravili jsme pro vás vzorový text. Tečky nahraďte výčtem toho, co budete čtenářům na e-mail posílat a poslední větu odkažte na vaše zásady zpracování osobních údajů. (Vzor zásad si stáhnete za chviličku)
VZOROVÝ TEXT PRO SOUHLAS: Stisknutím tlačítka “Souhlasím…“, souhlasíte s tím, že vám budeme zasílat …………… Pokud už nebudete chtít emaily dále dostávat, kdykoli se můžete odhlásit a tento souhlas odvolat prostřednictvím odhlašovacího odkazu v každém e-mailu. Více o našich zásadách zpracování osobních údajů zde.
Pokud pro sběr používáte klasické WordPress formuláře, stačí vám použít plugin WP GDPR Compliance. Jestli sbíráte e-mail pomocí Mailchimp, ConvertKit nebo dalších služeb, najdete řešení přímo na jejich platformách.
Bojový plán je jednoduchý: musíte mít pro každého čtenáře zaznamenáno, jak a kdy vám udělil souhlas k zasílání e-mailů.
#2 Pokud chcete být opravdu krytí, používejte double opt-in, tedy potvrzení souhlasu
I když to GDPR explicitně nevyžaduje, je dobré mít dvojitý opt-in. Po tom, co se lidé zapíšou do newsletteru nebo do kurzu, jim pošleme e-mailem ještě jedno tlačítko, kterým nám potvrdí, že od nás opravdu chtějí dostávat zprávy. Pokud nepotvrdí, do mail listu je nezařadíme. K čemu je to dobré?
- Dvojitý souhlas se zasíláním zpráv
- Máme jistotu, že má čtenář o náš obsah opravdový zájem
- Pokud udělali chybu při zadávání e-mailu, nezařadíme si bezcenný e-mail do databáze
Jak takový double opt-in e-mail vypadá:
Teprve po odkliknutí červeného tlačítka je e-mail zařazen do databáze a spouští se e-mailová sekvence. Osobní údaje uživatelů, kteří vám souhlas neudělá, musíte bez zbytečného odkladu vymazat z databáze.
3# Připravte Zásady o ochraně osobních údajů dle GDPR a vyvěste je na web
Vytváření Zásad o ochraně osobních údajů je to, čeho se lidé nejvíc děsí. Vy ale nemusíte, protože jsme pro vás připravili šablonu a vy si jen doplníte, co je potřeba. Takhle vypadají naše. Zásady o ochraně osobních údajů musíte vytvořit pro každý blog, který provozujete a umístit je do menu, mohou být v roletce. Co se do Zásad píše:
- Koho jste určili jako správce osobních údajů
- Jaké údaje zpracováváte a za jakým účelem
- Kam dále údaje předáváte
- Jak údaje chráníte
- Práva čtenářů
Ve vzorovém dokumentu jsme vám vyznačili, kde si máte doplnit svoje údaje a v komentářích máte napsáno, co tam máte napsat. 🙂
#4 Dejte vašim aktuálním subscriberům vědět, že splňujete požadavky GDPR, nebo požádejte o souhlas
A jdeme na lámání chleba. Pravděpodobně máte v databázi desítky, stovky a možná i tisíce emailů. Co teď s tím? Měli byste všem poslat znovu registrační formulář, aby vám odklikli, že vám dávájí souhlas? Nebo to můžete nechat být? Záleží na tom, jak kvalitně jste e-maily doposud sbírali.
- E-maily jste sbírali za určitým účelem a dodržujete slovo
Pokud jste doteď sbírali e-maily tak, jak se požaduje v GDPR, nemusíte znovu žádat o souhlas. Sběr podle GDPR znamená, že dokážete doložit, kdy a jak a za jakým účelem vám udělil čtenář souhlas a poskytl e-mail. V takovém případě podle nás stačí, když stávajícím subscriberům dáte na vědomí:
- Jak jste jejich údaje získali (kde se vám registrovali)
- K čemu údaje používáte (co jim zasíláte)
- Od teď zpracováváte údaje dle GDPR
- Jak se můžou z odběru odhlásit
My jsme to udělali takhle:
- E-maily jste sbírali skrz univerzální formuláře (nebo jinak), nebo posíláte i obsah, k jehož odběru se čtenář nepřihlásil, nebo jste při sběru nesplnili jiné podmínky
Pokud máte trochu černé svědomí, protože jste e-maily ve vaší databázi buď nezískali s explicitním souhlasem, nebo rozesíláte všechny možné e-maily na celou databázi, budete muset získat explicitní souhlas od každého čtenáře. Tedy pokud v tom chcete pokračovat.
To je i náš případ, e-maily jsme na Loudavým Krokem sbírali především skrz soutěže a cestovatelské giveaways a nikdy jsme čtenářům explicitně nedali vědět, že se účastněním v soutěži přihlašují také k odběru novinek. Požádali jsme je tedy o souhlas zasílání všeho, co jim plánujeme posílat:
Po prokliku se dostanou na stránku, kde nám musí zaškrtnout, že se zasíláním explicitně souhlasí.
#5 Pokud si čtenáře tagujete a sbíráte e-maily z více formulářů promyslete si strukturu
Nebylo pro nás jednoduché GDPR do naší struktury formulářů zapracovat, protože jich používáme hodně. Máme několik kategorií zájmu, do kterých se mohou čtenáři registrovat a postupně si všechny subscribery tagujeme (označujeme značkami, podle kterých jim pak posíláme obsah).
Někoho zajímají kryptoměny, jiného zase on-line marketing nebo on-line podnikání. Pokud se nám někdo registruje do kurzu s kryptoměnami, nemůžeme mu podle GDPR poslat např. článek o propagaci blogu na Instagramu. Je proto důležité sledovat, kdo vám dal jaký souhlas. Doporučujeme nakreslit si mapu, ve které se jednoduše vyznáte. Takhle vypadá naše:
Jak vidíte, přidali jsme GDPR double opt-iny do všech vstupních formulářů, kterými se čtenář může zapsat do naší e-mailové databáze.
#6 „Odůvodněný zájem” a jak s ním pracovat
V rámci GDPR se pracuje s termínem „odůvodněný zájem”, který je výjimkou, kterou můžete pro posílání e-mailů uplatnit.
Pokud si u vás někdo například koupí cestovatelský hrníček, můžete odůvodněně předpokládat, že bude mít zájem o novinky z vašeho obchodu, a tak ho zařadíte do odesílání newsletteru. Jde o oprávněný zájem v případě přímého marketingu.
Buďte s odůvodněným zájmem ale opatrní, jeho definice je vágní a podle nás je lepší ho používat co nejméně a souhlas se zasíláním si explicitně vyžádat.
#7 Používání cookies a nástrojů jako Google Analytics
Pokud používáte analytické nástroje pro sledování pohybu lidí na vašem blog, jako je Google Analytics, dotýká se vás GDPR také.
Jakmile čtenář otevře poprvé váš web, Google Analytics stáhne do jeho prohlížeče cookies, které pomáhají Googlu pohyb uživatele sledovat. Cookies sbírají osobní data ve formě identifikátorů, které je potemncionálně možné použít pro nepřímou identifikaci.
Z tohoto důvodu musíte dát lidem vědět, že sbíráte cookies. A nejen, musí také vědět, jaká data sbíráte, k čemu data využíváte a jak se mohou cookies zvavit.
Nejjednodušším způsobem je použít plugin (pokud používáte WordPress):
Informaci o cookies musíte také uvést v Zásadách o ochraně osobních údajů.
#8 Čtenáři si můžou vyžádat všechny informace, které o nich zpracováváte
Uživatelé mají dle GDPR nově ‚‚právo na přístup’’ k informacím, které o nich máte.
Ujistěte se proto, že máte k takovým informacím přístup. Nejen, že budete muset umět vyexportovat logy o tom, kdy a jak se vám uživatel přihlásil a jaké e-maily jste mu poslali, ale také informace o jejich pohybu na webu, například právě z Google Analytics.
Google naštěstí připravil nástroje, které pro to můžete použít, včetně možnosti vymazat sesbíraná data o jakémkoli uživateli.
Shrnutí
GDPR není tak strašné, jak vypadá. Nám to dokonce pomohlo v uspořádání e-mailových databází, zlepšení jejich zabezpečení a pročištění neaktivních subscriberů. Jaké kroky byste tedy měli podniknout, abyste splňovali GDPR požadavky?
- Sepsat Zásady o ochraně osobních údajů
- Mít ke každému kontaktu explicitní souhlas se zpracováním údajů pro konkrétní účel
- Musíte být schopnim doložit, kdy a jak udělil čtenář souhlas
- Mít v Zásadách informace o dalších zpracovatelích osobních údajů
Námi vypracovaný vzor, který vám pomůže při tvorbě GDPR dokumentu
Informace, které jsme dlouhé hodiny dávali dohromady, si nechceme nechat jen pro sebe. Připravili jsme proto detailní dokument se vzorem zásad ochrany osobních údajů (GDPR), který stačí vyplnit a máte hotovo. Je plný poznámek a vysvětlivek, takže ani začátečník se neztratí. 👇
UPOZORNĚNÍ. Nejsme právníci ani experti na osobní údaje. Vše, co se tady dočtete, je jen naše interpretace nařízení GDPR, z pohledu blogera. Při sbírání informací jsme vycházeli ze samotného nařízení a toho, jak se s tím poprali ostatní. Prošli jsme několik velkých i malých českých blogerů a on-line obchodníků a jejich způsob vypořádání se s GDPR. Neberte tento článek jako bernou minci, ale spíše jako vodítko k tomu, jak se s GDPR vypořádat ve vašem konkrétním případě.