Teljes GDPR útmutató bloggereknek 8 lépésben

2018 májusának végén lépett életbe az Európai Unió új adatvédelmi rendelete (GDPR). Ezek új szabályok mindenki számára, aki az EU területén személyes adatokat gyűjt – ilyen például az e-mail cím, az IP-cím és hasonlók. Ez a GDPR bloggereknek szóló útmutató végigvezet azon, hogyan felelj meg az új előírásoknak 8 egyszerű lépésben.

Ez azt jelenti, hogy az új rendelet a bloggerekre is vonatkozik? Igen, kivétel nélkül.

„Állítólag újra el kell küldenem minden olvasómnak egy e-mailt, hogy feliratkozzanak a hírlevélre? És állítólag nem is gyűjthetek sütiket?!”

Az internet tele van ilyen apokaliptikus forgatókönyvekkel, pedig a GDPR egyáltalán nem rémisztő. Csak át kell rágni magad rajta. Összeállítottunk neked egy útmutatót arról, mit és hogyan érdemes megváltoztatnod a blogodon, hogy megfelelj az új rendeletnek. Azt is elmondjuk, mit tegyél a hírlevéllistádon már meglévő feliratkozókkal.

FIGYELEM. Nem vagyunk sem jogászok, sem adatvédelmi szakértők. Minden, amit itt olvasol, csupán a mi értelmezésünk a GDPR rendeletről, egy blogger szemszögéből. Az információk gyűjtésekor magából a rendeletből indultunk ki, valamint abból, hogyan birkóztak meg vele mások. Átnéztünk több nagy és kisebb bloggert, valamint online kereskedőt, és azt, ahogyan ők megoldották a GDPR-t. Ne vedd ezt a cikket megfellebbezhetetlen igazságnak, inkább egy iránymutatásnak ahhoz, hogyan kezeld a GDPR-t a saját konkrét esetedben. Köszönjük, vágjunk is bele!

A GDPR célja, hogy az ügyfélnek (a blogger esetében az olvasónak) nagyobb kontrollt adjon az adatai fölött. Tehát minél átláthatóbban kezeled az adatokat, és minél nagyobb kontrollt adsz az olvasóknak, annál inkább meg fogsz felelni az összes feltételnek.

Milyen adatokkal rendelkezünk bloggerként az olvasóinkról

Adatkezelés alatt az uniós urak minden olyan adatot értenek, amelyet a felhasználókról gyűjtesz, valamint azt, ahogyan bánsz velük. Személyes adatok azok, amelyekkel közvetlenül vagy közvetve azonosíthatod az olvasót. Ilyenek a nevek, címek, telefonszámok, e-mailek, de az IP-címek és egyéb azonosítók is. Tehát ha a blogodon az alábbiak közül bármit is csinálsz vagy használsz, akkor rád vonatkozik a GDPR:

  • E-maileket gyűjtesz – pl. hírleveleket küldesz
  • Bekapcsoltad a cikkekhez a kommenteket (főleg WordPressben)
  • Nyomon követed a felhasználók mozgását, pl. Google Analytics
  • Van a blogodon kapcsolatfelvételi űrlap
  • Olyan bővítményeket használsz, amelyek adatokat gyűjtenek a felhasználókról
  • Versenyeket és nyereményjátékokat szervezel

#1 Használj jelölőnégyzetet (vagy a hozzájárulás más formáját), valahányszor az olvasó (ügyfél) adatot ad meg

Valahányszor személyes adatot szerzel az olvasótól, ezt csak az ő kifejezett hozzájárulásával teheted. Az adatok átadásakor annak is világosnak kell lennie, hogy mire fogod használni őket. Ha tehát az olvasó megadja az e-mail címét, hogy híreket küldj neki, kifejezetten bele kell egyeznie, hogy híreket szeretne kapni tőled.

A legegyszerűbb megoldás egy jelölőnégyzet hozzáadása, amellyel az olvasó egyértelmű hozzájárulást ad. Ez a megoldás kicsit gépies, de minden fronton fedez téged. Nálunk a Loudavým Krokemen így néz ki: 

  A második lehetőség, hogy a hozzájárulást magába a gombba építed. Például egy kriptokurzusra való feliratkozáskor a Power of Doingon a feliratkozás gomb megnyomásával erősíted meg a hozzájárulásodat.

SZÖVEGMINTA

Hogy még egyszerűbb legyen, készítettünk neked egy mintaszöveget. A pontokat cseréld ki annak felsorolására, amit az olvasóknak e-mailben küldeni fogsz, az utolsó mondatban pedig hivatkozz az adatvédelmi szabályzatodra. (A szabályzat mintáját mindjárt letöltheted.)

MINTASZÖVEG A HOZZÁJÁRULÁSHOZ: Az „Elfogadom…” gomb megnyomásával hozzájárulsz ahhoz, hogy …………… küldjünk neked. Ha a továbbiakban már nem szeretnél e-maileket kapni, bármikor leiratkozhatsz, és ezt a hozzájárulást visszavonhatod a minden e-mailben megtalálható leiratkozási linken keresztül. Az adatvédelmi szabályzatunkról itt olvashatsz többet.

Ha a gyűjtéshez klasszikus WordPress-űrlapokat használsz, elég a WP GDPR Compliance bővítményt alkalmaznod. Ha Mailchimp, ConvertKit vagy más szolgáltatás segítségével gyűjtöd az e-maileket, a megoldást közvetlenül a platformjaikon találod.

A haditerv egyszerű: minden olvasóról fel kell tudnod jegyezni, hogyan és mikor adott hozzájárulást az e-mailek küldéséhez.

#2 Ha igazán fedezni akarod magad, használj double opt-int, vagyis a hozzájárulás megerősítését

Bár a GDPR ezt kifejezetten nem követeli meg, érdemes kettős opt-int alkalmazni. Miután az emberek feliratkoznak a hírlevélre vagy a kurzusra, e-mailben küldünk nekik még egy gombot, amellyel megerősítik, hogy tényleg szeretnének híreket kapni tőlünk. Ha nem erősítik meg, nem vesszük fel őket a hírlevéllistára. Mire jó ez?

  • Kettős hozzájárulás a hírek küldéséhez
  • Biztosak lehetünk benne, hogy az olvasót valóban érdekli a tartalmunk
  • Ha elgépelte az e-mail címét, nem kerül értéktelen cím az adatbázisunkba

Így néz ki egy ilyen double opt-in e-mail: 

Csak a piros gomb megnyomása után kerül az e-mail az adatbázisba, és indul el az e-mail-sorozat. Azon felhasználók személyes adatait, akik nem adnak hozzájárulást, indokolatlan késedelem nélkül törölnöd kell az adatbázisból.

#3 Készíts GDPR szerinti adatvédelmi szabályzatot, és tedd ki a weboldalra

Az adatvédelmi szabályzat elkészítése az, amitől az emberek a legjobban rettegnek. Neked azonban nem kell, mert készítettünk egy sablont, amelyet csak ki kell egészítened azzal, amire szükséged van. Így néz ki a miénk. Az adatvédelmi szabályzatot minden általad üzemeltetett bloghoz el kell készítened, és el kell helyezned a menüben, akár lenyíló menüben. Mit kell a szabályzatba írni:

  • Kit jelöltél ki adatkezelőnek
  • Milyen adatokat kezelsz és milyen céllal
  • Hova adod tovább az adatokat
  • Hogyan véded az adatokat
  • Az olvasók jogai

A mintadokumentumban megjelöltük, hova kell beírnod a saját adataidat, a megjegyzésekben pedig le van írva, mit kell odaírni. 🙂

#4 Add tudtára a jelenlegi feliratkozóidnak, hogy megfelelsz a GDPR-nak, vagy kérj hozzájárulást

És most jön a neheze. Valószínűleg több tíz, több száz, sőt talán több ezer e-mail van az adatbázisodban. Mi legyen most ezekkel? El kellene küldened mindenkinek újra a regisztrációs űrlapot, hogy megerősítsék a hozzájárulásukat? Vagy hagyhatod az egészet? Attól függ, mennyire jó minőségben gyűjtötted eddig az e-maileket.

  1. Az e-maileket meghatározott céllal gyűjtötted, és tartod is a szavad

Ha eddig úgy gyűjtötted az e-maileket, ahogy a GDPR megköveteli, nem kell újra hozzájárulást kérned. A GDPR szerinti gyűjtés azt jelenti, hogy igazolni tudod, mikor, hogyan és milyen céllal adott hozzájárulást az olvasó, és adta meg az e-mail címét. Ebben az esetben szerintünk elég, ha a meglévő feliratkozóknak tudtukra adod: 

  • Hogyan szerezted meg az adataikat (hol regisztráltak nálad)
  • Mire használod az adatokat (mit küldesz nekik)
  • Mostantól a GDPR szerint kezeled az adatokat
  • Hogyan iratkozhatnak le

Mi ezt így csináltuk:

  1. Az e-maileket univerzális űrlapokon keresztül (vagy máshogy) gyűjtötted, vagy olyan tartalmat is küldesz, amelyre az olvasó nem iratkozott fel, vagy a gyűjtéskor nem teljesítetted a többi feltételt

Ha egy kicsit bűntudatod van, mert az adatbázisodban lévő e-maileket vagy nem kifejezett hozzájárulással szerezted, vagy mindenféle e-mailt kiküldesz az egész adatbázisnak, minden olvasótól kifejezett hozzájárulást kell szerezned. Legalábbis ha folytatni akarod.

Ez a mi esetünk is: a Loudavým Krokemen az e-maileket elsősorban versenyeken és utazós nyereményjátékokon keresztül gyűjtöttük, és sosem adtuk az olvasók tudtára kifejezetten, hogy a versenyen való részvétellel egyben a hírlevélre is feliratkoznak. Ezért megkértük őket, hogy adjanak hozzájárulást mindannak küldéséhez, amit tervezünk nekik küldeni:

Az átkattintás után egy oldalra jutnak, ahol be kell pipálniuk, hogy a küldéshez kifejezetten hozzájárulnak.

#5 Ha címkézed az olvasókat, és több űrlapról gyűjtesz e-maileket, gondold át a struktúrát

Nem volt egyszerű a GDPR-t beépíteni az űrlapstruktúránkba, mert nagyon sokat használunk belőlük. Több érdeklődési kategóriánk van, amelyekbe az olvasók regisztrálhatnak, és fokozatosan minden feliratkozót címkézünk (megjelöljük olyan címkékkel, amelyek alapján tartalmat küldünk nekik).

Valakit a kriptovaluták érdekelnek, mást pedig az online marketing vagy az online vállalkozás. Ha valaki egy kriptovalutás kurzusra regisztrál nálunk, a GDPR szerint nem küldhetünk neki például egy cikket a blog Instagramon való népszerűsítéséről. Ezért fontos nyomon követni, hogy ki milyen hozzájárulást adott. Javasoljuk, hogy rajzolj magadnak egy térképet, amelyen könnyen kiigazodsz. Így néz ki a miénk:

Ahogy látod, minden belépő űrlaphoz hozzáadtuk a GDPR double opt-int, amelyeken keresztül az olvasó felkerülhet az e-mail-adatbázisunkba.

#6  A „jogos érdek”, és hogyan bánj vele

A GDPR keretében megjelenik a „jogos érdek” fogalma, amely olyan kivétel, amit az e-mailek küldésére alkalmazhatsz.

Ha valaki például vesz nálad egy utazós bögrét, jogosan feltételezheted, hogy érdeklik majd a boltod hírei, így felveheted a hírlevél-listára. Ez a jogos érdek esete a közvetlen marketing kapcsán.

A jogos érdekkel azonban légy óvatos, a definíciója homályos, és szerintünk jobb, ha a lehető legkevesebbet használod, és inkább kifejezetten kéred a küldéshez való hozzájárulást.

#7 Sütik és olyan eszközök használata, mint a Google Analytics

Ha analitikai eszközöket használsz az emberek mozgásának nyomon követésére a blogodon, mint amilyen a Google Analytics, akkor a GDPR téged is érint.

Amint az olvasó először megnyitja a weboldaladat, a Google Analytics sütiket tölt le a böngészőjébe, amelyek segítenek a Google-nek nyomon követni a felhasználó mozgását. A sütik személyes adatokat gyűjtenek azonosítók formájában, amelyek potenciálisan felhasználhatók közvetett azonosításra.

Ezért az embereknek tudtukra kell adnod, hogy sütiket gyűjtesz. És nemcsak ezt: tudniuk kell azt is, milyen adatokat gyűjtesz, mire használod őket, és hogyan tudják visszautasítani a sütiket.

A legegyszerűbb módszer egy bővítmény használata (ha WordPresst használsz):

A sütikről szóló információt az adatvédelmi szabályzatban is fel kell tüntetned.

#8 Az olvasók kikérhetik az összes információt, amit róluk kezelsz

A GDPR szerint a felhasználóknak újonnan „hozzáférési joguk” van azokhoz az információkhoz, amelyeket róluk tárolsz.

Győződj meg tehát arról, hogy hozzáférsz az ilyen információkhoz. Nemcsak a naplókat kell tudnod exportálni arról, hogy a felhasználó mikor és hogyan iratkozott fel, és milyen e-maileket küldtél neki, hanem a weboldalon való mozgásáról szóló információkat is – például éppen a Google Analyticsből.

A Google szerencsére elkészített olyan eszközöket, amelyeket ehhez használhatsz, beleértve annak lehetőségét is, hogy törölj bármely felhasználóról gyűjtött adatokat.

Összefoglalás

A GDPR nem olyan ijesztő, mint amilyennek látszik. Nekünk még segített is az e-mail-adatbázisok rendszerezésében, a biztonságuk javításában és az inaktív feliratkozók kiszűrésében. Milyen lépéseket kell tehát megtenned, hogy megfelelj a GDPR követelményeinek?

  • Készíts adatvédelmi szabályzatot
  • Minden kapcsolathoz legyen kifejezett hozzájárulásod az adatok konkrét célra való kezeléséhez
  • Igazolni tudd, hogy mikor és hogyan adott hozzájárulást az olvasó
  • A szabályzatban legyenek információk a további adatfeldolgozókról

Az általunk kidolgozott minta, amely segít a GDPR-dokumentum elkészítésében

Nem akarjuk csak magunknak megtartani azokat az információkat, amelyeket hosszú órákon át gyűjtöttünk össze. Ezért készítettünk egy részletes dokumentumot az adatvédelmi szabályzat (GDPR) mintájával, amelyet csak ki kell töltened, és kész is vagy. Tele van megjegyzésekkel és magyarázatokkal, így még egy kezdő sem téved el benne. 👇

FIGYELEM. Nem vagyunk sem jogászok, sem adatvédelmi szakértők. Minden, amit itt olvasol, csupán a mi értelmezésünk a GDPR rendeletről, egy blogger szemszögéből. Az információk gyűjtésekor magából a rendeletből indultunk ki, valamint abból, hogyan birkóztak meg vele mások. Átnéztünk több nagy és kisebb bloggert, valamint online kereskedőt, és azt, ahogyan ők megoldották a GDPR-t. Ne vedd ezt a cikket megfellebbezhetetlen igazságnak, inkább egy iránymutatásnak ahhoz, hogyan kezeld a GDPR-t a saját konkrét esetedben. 

Relaterade inlägg

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Du är här

BlogolásTeljes GDPR útmutató bloggereknek 8 lépésben

A blog legfrissebb cikkei