K spracovaniu osobných údajov na marketingové účely dochádza rôznymi spôsobmi. Osobitú pozornosť, vo vzťahu ku GDPR, je potrebné venovať e-mailovému marketingu a otázkam zberu dát osobných údajov pre účely rozposielania newsletterov. S GDPR však prichádza niekoľko zmien a otázkou teda je, ako naďalej zhromažďovať osobné údaje » bezpečne a bez porušenia zákona?
Prvá časť príspevku o E-shope a ochrane osobných údajov podľa GDPR bola venovaná základným informáciám o ochrane osobných údajov v súvislosti s prevádzkou informačného systému e-shopu v zmysle: GDPR – Nariadenia EÚ č. 2016/679 o ochrane osobných údajov a Zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Ochrana osobných údajov a newsletter
Prevádzkovateľ e‐shopu chce zasielať svojim zákazníkom alebo potenciálnym zákazníkom e-mailový newsletter. Účelom je, že prostredníctvom neho chce informovať o zľavách, novom tovare a rôznych iných novinkách alebo výpredajoch. Potrebuje k tomu iba e-mailovú adresu príjemcu (niekto môže spracovávať aj meno, priezvisko).
V tejto súvislosti sa často skloňuje minimalizácia, ako jeden zo základných princípov GDPR. Pýtať len to, čo skutočne potrebujeme a vymazať to, čo nepotrebujeme (napr. telefónne čísla). Minimalizácia sa však spomína, napr. aj v zmysle počtu osôb, ktoré prichádzajú do kontaktu s osobnými údajmi.
Súhlas so spracovaním osobných údajov – kedy je potrebný a kedy nie
Vzniká otázka. Potrebujem súhlas dotknutej osoby alebo nepotrebujem súhlas dotknutej osoby so spracovaním osobných údajov na zasielanie newslettera? Niektorí právnici tvrdia, že áno » vždy potrebujem súhlas od 25.5.2018 a druhí, že áno » ale v špecifických prípadoch nie. Takže sa pozrime, ako to je.
Z hľadiska ochrany osobných údajov a účelu ich spracúvania vychádzame zo znenia zákona ZoOÚ 18/2018 Z.z.
§ 13 Zákonnosť spracúvania
Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c) spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e) spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
f) spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.
Čo z toho vyplýva?
- Ak u vás už klient nakúpil nejaký tovar a máte od neho e-mailovú adresu bez súhlasu (na základe plnenia zmluvy) a účelom zasielania newslettera je podľa § 13 článku f) oprávnený záujem prevádzkovateľa alebo tretej strany, môžete mu zasielať newsletter, ale malo by sa to týkať len informácií k produktom, ktoré si už klient u vás zakúpil. Napríklad, kúpi si vo vašom e-shope fotoaparát a vy mu pošlete informácie o zvýšených zárukách alebo o zaujímavých akciách na zakúpenie obalu, ... Je dôležité aby mala dotknutá osoba vždy možnosť odhlásenia z odberu newslettera.
- Ak u vás už klient nakúpil alebo nakupuje, a vašim účelom je, že chcete dotknutej osobe následne zasielať informácie o akciách, novinkách a výpredajoch produktov, ktoré sa netýkajú len jeho predchádzajúcich nákupov, je potrebné mať od danej osoby súhlas, lebo postupujeme podľa § 13 článku a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel.
Riešenie v e-shope licencovanom na UNIobchod systéme od WEBY GROUP » Zber súhlasu so zasielaním newslettera dotknutej osobe sa rieši v nákupnom procese alebo prostredníctvom modulu na zber e-mailových adries pre newsletter.
- Súhlas nemôže byť dopredu daný, t.j. webové rozhranie, v ktorom si vkladá súhlas dotknutá osoba (check box) je prázdne.
- Zákazník musí byť aktívny a preto aby nemohlo dôjsť k zneužitiu treťou osobou, ktorá by mohla takýmto spôsobom prihlásiť aj cudzie adresy bez ich vedomia, naše riešenie je realizované ako double OPT-IN.
Viac informácií, ako si to nastavíte vo svojom e-shope nájdete v manuáli UNIobchod systému.
3. Čo je, ale potrebné spraviť so starými databázami klientov, v ktorých nemáte súhlas po novom aj s príslušnou evidenciou?
Rozpošlite na príslušné e-mailové adresy vo vašich databázach do 25.5.2018 žiadosť o vyjadrenie súhlasu na odoberanie newslettera a tak získajte databázu klientov už podľa nového zákona. Viac informácii v manuáli.
Ale čo sa stane, ak mi dotknuté osoby nepotvrdia záujem o odoberanie newsletterov? » Sú dve možnosti:
- vymazať databázu dotknutých osôb, ktoré nepotvrdili odber newsletterov a databáza je vyriešená v zmysle GDPR, a ďalej sa možno sústrediť na marketing, tak aby ste získali novú databázu (podrobnejšie viď bod č. 4) pre svoj e-mail marketing, alebo
- po určitom čase (aj po 25.5.2018) opäť požiadať dotknuté osoby v databáze bez potvrdeného súhlasu o potvrdenie súhlasu na odoberanie newslettera z e-shopu a právne sa postupuje na základe § 13 článku f) oprávnený záujem prevádzkovateľa alebo tretej strany. Tu si treba dať pozor na archiváciu danej databázy v zmysle oprávneného záujmu a na správnu formuláciu žiadosti o daný súhlas.
4. Potrebujete si vytvoriť novú databázu klientov na e-mail marketing pre svoj e-shop. Aké sú na to nástroje?
V rámci UNIobchod systému môžete získavať e-mailové adresy na zasielanie informačných newslettrov alebo cielený e-mailový marketing buď v nákupnom procese, alebo v špeciálnom module na zber e-mailových adries. Viac info v manuáli.
Viete si samozrejme spraviť aj špeciálny dotazník, v ktorom si nastavíte špecifické podmienky v zmysle príslušných zákonov. Ak teda zbierate e-mailové adresy na svojej stránke e-shopu » je potrebný súhlas.
Pre každý účel (napr. newsletter, členstvo v klube a i.) musí byť vypracovaný samostatný súhlas. Súhlas so spracovaním osobných údajov by mal byť ľahko dostupný, oddelený, jednoduchý, krátky a zrozumiteľný. Okrem iného, aj vzhľadom k tomu, aby neboli ovplyvnené konverzie.
Čo by mal súhlas so spracovaním osobných údajov obsahovať?
Potrebujete súhlas dotknutej osoby na základe právneho základu súhlasu dotknutej osoby so spracovaním svojich osobných údajov na konkrétny účel (§ 13 Zákonnosť spracúvania ZoOÚ 18/2018 Z.z.). V takomto prípade je potrebné vyhovieť nasledujúcemu zneniu zákona:
§ 14 Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
(1) Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.
(2) Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
(3) Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.
(4) Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
§ 15 Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti
(1) Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.
(2) Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.
Prakticky – ako na to?
Vytvoríte si špeciálnu stránku „Ochrana osobných údajov“ alebo v rámci obchodných podmienok vytvoríte príslušný článok s názvom „Ochrana osobných údajov“, na ktoré sa budete vždy odvolávať, keď budete žiadať súhlas so zasielaním newsletterov, ako jeden z nástrojov vášho e-mail marketingu.
Na čo nesmiete zabudnúť v týchto textoch:
Súhlas so spracúvaním by mal obsahovať napríklad tieto informácie:
- identifikačné údaje majiteľa e‐shopu ako prevádzkovateľa,
- účel alebo dôvod spracúvania osobných údajov, pre ktorý sa vyžaduje súhlas,
- príjemcov alebo kategórie príjemcov, ktorým budete osobné údaje poskytovať,
- ak budete osobné údaje vyvážať do tretej krajiny, potom informáciu o primeraných zárukách
- spôsob udelenia súhlasu (double opt-in)
- informáciu o tom, že súhlas je možné kedykoľvek odvolať
- ako dlho budú osobné údaje uchovávané
- ako spracúvate osobné údaje
- práva dotknutej osoby
- definovanie súhlasu o spracovaní osobných údajov detí do 16 rokov na základe zákonného zástupcu
- ako zabezpečíte ochranu osobných údajov
V prípade, že máte starú verziu UNIobchod systému bez aktualizácie, ktorá nie je softérovo pripravená na GDPR, kontaktujte nás cez vyplnený dotazník a my vám následne navrhneme možné riešenia.
Mohlo by vás zaujímať:
E-shop a ochrana osobných údajov podľa GDPR – 1. časť
E-shop a ochrana osobných údajov podľa GDPR – 3. časť. Marketing a zber osobných údajov pre Cookies
Samozrejme, každá firma je špecifická svojim zameraním a je len v jej záujme postupovať v zmysle svojej Bezpečnostnej dokumentácie, po porade so svojim právnikom alebo špecialistom na problematiku ochrany osobných údajov podľa GDPR.