UPDATE 1.3.: Odpověď od UOOU (úplně dole v článku)
UPDATE 17.1.: Nákupní košík – názory se mění a přidán příklad č.15.
UPDATE 16.1.: Vyřešení zasílání ebooku, novinek a direct reklama zákazníkům.
UPDATE 12.1.: Cookies patří pod ePrivacy, které se pravděpdobně nestihne spustit společně s GDPR 25.5. Doporučuje se ale již nyní připravovat na obojí.
UPDATE 11.1.: Přidané další otázky, hlavně ohledně předávání osobních údajů 3. stranám (např. Heureka.cz kvůli ohodnocení).
UPDATE 8.1.: Na základě komentářů jsem přidal odstavec „Konkrétní otázky“ (zatím bez odpovědí). Čekám na vyjádření právničky pí. Škorničkové a UOOU.
UPDATE 4.1.: Na základě komentářů a vydání odpovědí na časté otázky od UOOU (zde), jsem doplnil příklad č.14.
Pro mně, jako markeťáka, se při vyslovení/přečtení/vzpomenutí na GDPR vybaví přísloví: „Je to na palici„. To krásně vystihuje neuvěřitelné množství věcí, které se musí technicky a procesně splnit při styku s tzv. občanem. Na internetu najdete obecné kecy od právníků nebo „odborníků“… proto vznikl tento článek: Konkrétní příklady, které si dokážu představit.
GDPR je bublina pro občany: Budou znát svá práva a budou je vyžadovat. Úředníci sami od sebe nechtějí kontrolovat, ale budou muset, pokud nějaký občan udá firmu. Česká republika již má zákony platné několik let a GDPR je mění opravdu jen na několika místech… takže problém je, že je nikdo nedodržuje a kupčí se s osobními údaji nejen na černém trhu.
Chtěl bych poznamenat, že GDPR chápu. Firmy často zneužívají e-mail pro své spamo… pardon: obchodní sdělení bez předchozího souhlasu. Nedělá se potvrzování přes e-mail (double opt-in), při pořádání soutěže se e-maily vezmou a jednoduše obešlou obchodní nabídkou atd… běžná praxe. Něco muselo přijít, ale že to bude až tak brutální, jsem nečekal. Není nutné panikařit, ale je nutné se na to připravit. Může se totiž stát, že 25. května nad vaší e-mailovou databází, budete muset stisknout tlačítko „DELETE“.
Sepsal jsem konkrétní případy, které se můžou stát a jak na ně musíte reagovat jako majitel nebo markeťák.
Poznámka: Nejsem právník, takže vše popisuji, jak jsem to sám pochopil od právníků a zdrojů uvedených níže. Prosím, pište do komentářů a já postupně budu doplňovat tento článek a zpřesňovat otazníky, které zde stále mám. Zároveň jsem požádal paní Škorničkovou. Další věci jsem vložil i do svých e-booků, kde je také budu aktualizovat.
Obsah článku
Legenda
Nejdříve bych rád prosvištěl základy ve vztahu k online marketingu:
- občan – návštěvník stránky, registrovaný uživatel, zákazník a zaměstnanec
- správce – v tomto případě samotní podnikatelé (mají primární zodpovědnost)
- zpracovatel – jsou to e-mailové nástroje, e-shopy, CRM systémy apod. (zodpovědnost)
- pověřenec – může jít o externí službu, nemusí to být interní zaměstnanec
- osobní údaj – e-mail, IP adresa, telefon, cookies (i v ePrivacy), fotografie tváře apod.
- citlivé osobní údaje – politický názor, rasový nebo etnický původ, sexuální orientace, zdravotní stav apod. (přísný režim – například nemocnice)
- obchodní sdělení – nejde jen o poslání nabídky na zboží nebo službu, ale jakákoliv zpráva, která vede k prodeji
- ePrivacy by měla chránit důvěrnost elektronických komunikací jak fyzických osob, tak právnických osob (ekvivalent listovního tajemství). Pro cookies třetích stran by měl být nově vyžadován souhlas uživatelů, zatímco pro cookies poskytovatele by neměl být souhlas vyžadován.
Práva občana
První důležitá část jsou práva vašich návštěvníků stránek, e-mailových kontaktů, uživatelů, zaměstnanců a zákazníků… neboli občanů. Práv je opravdu hodně. Jsou to ve zkratce:
- Právo na přístup – více ZDE
- Právo na opravu – více ZDE
- Právo na výmaz (pokud tyto údaje nesmíte ze zákona uchovávat – např. účetnictví 10let) – více ZDE
- Právo být zapomenut – více ZDE
- Právo na omezení zpracování – více ZDE
- Právo na přenositelnost – více ZDE
- Právo vznést námitku proti zpracování – více ZDE
Já jen ukážu na klasických příkladech, jak to od května 2018 bude pravděpodobně probíhat:
Příklad č.1 – Delete občana
Pokud zákazník napíše: „Já nechci být ve vaší databázi! Okamžitě smažte můj e-mail a všechny údaje!„. Podíváte se do všech vašich systémů a zjistíte, že:
- Od vás koupil před 2 lety plynový kotel a máte vydanou fakturu s jeho osobními údaji
- Je v e-mailové databázi, kam se dobrovolně přihlásil a posíláte mu obchodní sdělení ohledně revize kotle a případné vychytávky na další nákup
- Má ho Maruš (sekretářka) v databázi telefonů, kde se kontroluje, jestli neprošvihl servis kotle
Vaše povinnost: Musíte ho tedy okamžitě smazat z e-mailové databáze i telefonní (bod 2. a 3.) a odpovědět mu, že ho bohužel z databáze fakturační smáznout nemůžete, protože je to zákon ČR.
Příklad č.2 – Ke konkurenci
Někdo vaší firmě napíše: „Dejte mi všechny moje údaje. S vámi už dál nechci spolupracovat, jdu ke konkurenci!„.
Vaše povinnost: Předat ZDARMA všechny údaje (bohužel není přesně specifikováno v jakém formátu) a samozřejmě smazat, pokud to ze zákona nesmíte uchovávat (viz. příklad 1).
Příklad č.3 – Magnet na webu
Nabízíte e-book zdarma (Magnet) na vašich webových stránkách. Co všechno musí být splněno:
- e-book nemusí být poslán e-mailem. E-mail je tedy nepovinný údaj a pokud někdo nechce zadat e-mail, musíte mu i tak vyhovět a e-book nechat stáhnout.
- pokud už zadá e-mail a vy mu e-book pošlete, nesmíte mu poslat už nic jiného (záleží samozřejmě, jak nazvete váš Magnet). Kdyby to byl 14denní kurz zdarma přes e-mail, můžete mu poslat pouze 14x e-mail ohledně tohoto kurzu a nic víc.
Příklad č.4 – Neexistující občan
Jednou vám takhle přijde e-mail od registrovaného uživatele (občana) a on chce absolutní výmaz z databáze. Nechce být nikde vidět. Musíte ho tedy smazat nejen z aktuální „živé“ databáze, ale i ze všech záloh. Teď se mrknem, proč je to tak zajímavé:
- automatická záloha na serveru .zip
- záloha u vás na počítači v .zip
- možná ještě kopie zálohy někde na cloudu (Dropbox)
- kdysi jste posílal excelovskou tabulku s uživateli e-mailem kolegovi? Tak to raději už nedělejte a tento e-mail smažte.
Co třeba dělat, pokud je to velice náročné a jednoduše to technicky není možné? Potom na to budete muset myslet a při obnově dat ze záloh musíte občana okamžitě vymazat 🙁 Nádherný oříšek pro všechny systémy, které mají automatické zálohy… pokud to nemají udělané, musíte se o to postarat vy sami, jako správci. Máte totiž primární zodpovědnost.
Příklad č. 5 – Soutěže
Soutěž je vlastně jako Magnet (e-book, registrace na webinář apod.). V době před GDPR se udělala soutěž a pak se na ni rozeslala nabídka na super akci vašich produktů. Soutěž má pár výhod (GDPR): Musíte chtít adresu (pro dodání případné fyzické výhry) a ta je povinná, stejně jako telefon (pro dopravce) a e-mail (oznámení o výhře). Co ale musíte udělat s takovou databází po ukončení soutěže? SMAZAT! Účel byl splněn a ten byl jednoznačný.
V rámci soutěže ale můžete dát zaškrkávací tlačítko (občan ho musí aktivně zaškrtnou sám), kde napíšete, jestli nechce náhodou dostávat i obchodní sdlení, akce, slevy apod. Toto nesmí být povinné pro účast v soutěži.
Asi si dokážete sami odhadnout o kolik desítek procent klesne růst databáze a samozřejmě i obratu. Musí se to tedy dělat jinak.
Příklad č.6 – Chtěl slevu, má slevy
Pokud jste e-shop a máte vyskakovací okno o získání slevy a případných dalších slev, dokážu si představit, že tady to bude fungovat dobře. Jednorázovou slevu na první nákup nemůžete sice podmínit dodáním e-mailu, ale opakované slevy už ano.. (Lze podmínit i první slevu: viz. infografika) jak jinak by se k nim občan, chudáček, dostal?! Musíte mu ale opravdu posílat pouze to, co chtěl.. nic jiného.
Povinnosti podnikatelů
Správci (většinou podnikatelé) a zpracovatelé (firmy a softwary, které používají správci ke zpracování osobních údajů) jsou tady ti zlí. Od května budou mít všichni zatnutý tipec. Čeká je pravděpodobně velká investice do předělání vlastních softwarů a nastavení procesů ve firmách.
Je dobré zdůraznit, že se GDPR týká úplně všech, kdo má více než 1 zaměstnance a ani nejsou na internetu… ano, zaměstnanci (občané) mají svá práva (viz. výše) a proto se s jejich údaji bude muset nakládat velice opatrně.
Rychle jen výčet nejdůležitějších povinností a pak hurá na příklady:
- Ochrana dat
- Pseudonymizace
- Vedení nejrůznějších záznamů
- Pověřenec (DPO) – spíše pro větší firmy
- Nahlášení zcizení dat nebo neoprávněného přístupu
Příklad č.7 – Remarketing
Cookies a podobné technikálie (např. LocalStore) slouží na webu k nutným technickým věcem: Udržení zboží v košíku, přihlášení uživatele, zapamatování informace o objednávce apod. Tyto funkce jsou nutné a bez nich nebude web fungovat korektně. Protože je to nutná technikálie, nemusíte se ptát uživatele, jestli to povoluje nebo ne… prostě to bude fungovat dále.
Druhou věcí je ale on-line marketing. Zde se uchovávají informace sloužící k identifikace uživatele a následně využití pro zobrazení reklamy. Využíváte tedy cookies (osobní údaj) pro nenutnou funkci. Požádání o souhlas by měly technicky vyřešit samotné reklamní systémy (Google, Sklik, Facebook…) nebo samotné internetové prohlížeče. Kdo ví ale, jak to bude a kdy (ePrivacy).
Poznámka: Cookies spadají pod ePrivacy, které se pravděpodobně nestihne vyřešit do 25. května (více ZDE).
Příklad č.8 – Google Analytics
Statistická data by měla být vyjmuta, protože v základu Google Analytics se neshromažďují žádné osobní údaje. I geolokace je již v Google Analytics dělaná tak, že se určí dle IP adresy místo návštěvníka stránky, a pak se IP adresa zahodí. Takže je to v pohodě a o údaje nepřijdete.
Pokud ale půjdete do složitějších nadstaveb jako UserID, tak to už bude složitější a na něj se GDPR vztahuje. Většina lidí ale toto nepoužívá, takže můžete být v klidu 🙂
Příklad č.9 – Mautic, MailPoet, MyMail
Pokud využíváte například e-mailové systémy na vlastním webhostingu nebo virtuálním serveru, je nutné se nejdříve přesvědčit, jestli aplikace odpovídají GDPR a následně dostatečně zabezpečit. Certifikát SSL není povinný, ale doporučený (a to i mnou 🙂 ). Pravidelný update systémů je základ. Zpracovatelem je sice například systém Mautic (e-mailový nástroj zdarma na vašem serveru), ale zabezpečení na úrovni serveru musíte vyřešit vy.
Poznámka: To se samozřejmě vztahuje i na WordPress a například případné objednávky v pluginu WooCommerce. Systémy WordPress a WooCommerce by měly být na GDPR připravené.
Příklad č.10 – Nahrání e-mailů do Facebook audience
Určitě to všichni znáte: Máte seznam klientů s jejich údaji. Všechny vezmete a nahrajete společně s daty o útratě (za poslední 2 roky) do Facebook Audience. Vznikne tak nové publikum, na které vytvoříte publikum podobné (tzv. „Look a like“). Na toto nové podobné publikum spustíte reklamní kampaň. Lze to i zautomatizovat (např. přes Ecomail.cz).
Co to znamená pro GDPR? Musíte požádat vaše klienty, že s jejich údaji takto můžete zacházet. Tzn. další nepovinné zaškrtávací políčko na konci objednávky.
Příklad č.11 – Kdo je zodpovědný?
Jste správce a máte jiného zpracovatele? Bacha na to! Pokud vy jako správce požádáte o výmaz nějakého občana a zpracovatel to neudělá, máte to na triku vy! Musíte si být na 100% jisti, že zpracovatel umí všechny věci spojené s GDPR.
Poznámka: Připomenu, že zpracovatelem jsou například e-mailové nástroje (Smartemailing.cz, Ecomail.cz, Activecampaign.com, Mailchimp.com apod.).
Příklad č.12 – Databáze právnických osob
Máte údaje o právnických osobách (s.r.o., akciovky)? Buďte v klidu… na ty se to nevztahuje. Jiná věc je ale služební telefon, IP adresa a cokoliv, co by mohlo ukazovat na konkrétního člověka ve firmě nebo úzkou skupinu lidí… na to se již GDPR vztahuje.
Příklad č.13 – Mám databázi osobních údajů
Databáze e-mailů je databáze s osobními údaji. Musíte doložit zpětně všechny potřebné věci pro občany EU (kdy aktivně souhlasil s obchodním sdělením apod.). Musíte tedy znovu požádat vaše uživatele, aby se přihlásili k jasným odběrům konkrétních věcí:
- souhlas s odběrem článků z vašeho blogu
- souhlas s odběrem obchodního sdělení
- souhlas s odběrem soutěží
- souhlas o zařazení do remarketingového publika
Je to popravdě docela úlet, takže je lepší si to raději rozkouskovat. Tyto lidi zařadíte do jednotlivých seznamů a se seznamy pracujete. Samozřejmě hodně prořídnou, takže do května čekám docela velkou smršť fungování „po staru“.
Poznámka: Pracujete s databází amerických nebo asijských občanů? Na ty se GDPR nevztahuje.
Příklad č.14 – Obchodní podmínky a souhlas v nich
Praxe fungovala tak, že pokud jste od e-shopu něco koupili, mohl vám potom bezstarostně posílat obchodní sdělení doaleluja 🙁 Tzn. nebylo nutné nic zaškrtávat a mohli jste občanovi vše posílat.
Nově to už nebude: Pokud chcete posílat obchodní sdělení svým klientům, musí oni aktivně zaškrtnout políčko se souhlasem zasílání obchodního sdělení.
UPDATE 16.1.: Nově je to stále to samé: Pokud máte stávající klienty nebo nové, musíte na svých stránkách zveřejnit informační sdělení, kdo-co a na jak dlouho můžete dělat.. tzn. posílat podobné informace o produktech, které již zakoupili bez jejich svolení.
Takže doplňte správné znění na vaše webové stránky a to bude stačit 🙂
Příklad č.15: Vrácení do košíku
Znovu bych rád podotkl, že GDPR jen trochu poupravuje již fungující zákon. Vrácení do košíku je věc, která se již řešila a asi zase bude řešit. Prý jsou na to 2 pohledy a já řeknu ten příjemnější: Vrácení do košíku je ok, protože téměř došlo k uzavření smlouvy. Takže můžete poslat email, který vrací do košíku (ale samozřejmě nic jiného).
Poznámka: Druhý názor je, že jde o obchodní sdělení a pokud nebylo předtím odsouhlaseno, nemůžete jim nic posílat. Budu se pídit dál po tom, co je správně a co ne…
Konkrétní otázky
Sledujte tyto stránky, protože zde krásně vznikají konkrétní otázky, které bych bez vás nedal dohromady. Například:
- Je freemailový email osobní údaj? Např. petr55874@seznam.cz? Dle mého názoru ANO, protože tyto e-maily můžu nahrát do publik v systémech Facebook Ads nebo Google Adwords a vytvořit na ně cílenou reklamu.
- Pokud se prodává produkt klientovi, jaký bod je správně?
- Stačí zaškrtnutí tzv. checkboxu: „Chci dostávat novinky“
- Stačí zaškrtnutí tzv. chceckoxu: „Chci dostávat obchodní sdělení“ (popř. jiná věta)
- Bez zaškrtnutí checkboxu pošlu potvrzovací email s double opt-in
- Musím zaškrtnout checkbox a zároveň musím poslat potvrzovací e-mail
- E-shop nemusí dělat nic, protože bude posílat podobné zboží, které si klient koupil – Toto je dle mého názoru správně
- Pokud se již přihlásil klient k odebírání novinek skrz Facebook Messenger, musím mu znovu psát? Je totiž jasně vidět kdy a proč se přihlásil.
- Když prodávám virtuální produkt (doručuje se na e-mail) a chci vystavit fakturu, můžu (nebo dokonce musím) žádat o adresu?
- Když nabízím e-book na svých stránkách, můžu chtít e-mail nebo v rámci GDPR minimalizace je to zakázané? Dle mého názoru není email potřebný a i kdybych ho získal, tak na co by mi byl? Nemůžu přece na něj nic poslat.
- Když nabízím 14 denní kurz skrz e-mail, můžu v rámci něj odkazovat na své stránky nebo placené produkty (kurzy, ebooky, zboží)? Jsou totiž nedílnou součástí tohoto kurzu.
- Velikost nohou zákazníků je citlivý údaj?
- Jak technicky rozlišit, že se jedná o občana z EU nebo mimo, který se registroval do databáze e-mailů? Uchovávat IP adresu (určování může být nepřesné) nebo se ho ptát?
- Jak je to s Heureka.cz? Kvůli ohodnocení objednávky a obchodu, e-shop heurece předává osobní údaje svých klientů. Toto klienti určitě musí odsouhlasit zvlášť.. je to tak? (Doporučuji si pořádně přečíst dopis, který jste dostali od Heureky)
- Je to v pořádku, když dám občanovi na výběr?
- Stáhni si ebook zdarma a odsouhlas získávat novinky (obchodní sdělení) po dobu 3 let
- Stáhni si ebook za 999,- Kč (jde o stejný ebook, jako v bodě 1)
Dle mého názoru ano. Dávám mu na výběr a hodnota ebooku je opravdu 999,- Kč
Důsledek GDPR pro marketing
- Podle mého názoru odpadne spousta „specialistů“ v marketingu, kteří to nějak šmudlali.
- Pravděpodobně bude dražší PPC reklama, protože poptávka zůstane stejná, ale občanů, kteří budou chtít být „pozorováni“ skrz cookies bude v rámci EU mnohem méně (souvisí s ePrivacy)
- Remarketing a jeho podobné metody výkonnostního marketingu budou hodně omezené 🙁
- Vzniknou neziskovky nebo společnosti mimo EU, na které nikdo nemůže? Nebude žádný vztah s firmou a tedy bude správcem tento subjekt 🙁
- Dost firem „zaspí“ a svoji databázi začne řešit po 25. květnu
Zdroje GDPR:
- https://www.gdpr.cz
- http://blog.eshop-rychle.cz/?s=gdpr
- https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/
- https://www.pechanec.cz/Blog/ViewPost.aspx?pageid=4&ItemID=130&mid=12
- https://www.uoou.cz
Další vzdělávání
- https://www.gdpr-pro-eshopy.cz (25.1.)
- https://www.marketinggdpr.cz (7.3.)
Odpověď od UOOU (UPDATE 1.3.)
S vašimi a mými dotazy jsem napsal oficiálně 11.12. na UOOU a toto mi odpověděli:
- Je freemailový email osobní údaj? Např. petr55874@seznam.cz?
Zda je informace osobním údajem je třeba posuzovat v kontextu souboru informací, kterého je součástí. Pokud je email spojen s dalšími údaji (typicky u zákazníka), jedná se o osobní údaj. Pokud by se jednalo o emailovou adresu, se kterou se pracuje. Bez spojené s dalšími údaji osobním údajem by tato adresa nebyla. - Pokud se prodává produkt klientovi (občanu), jaký bod je správně?
- Stačí zaškrtnutí tzv. checkboxu: „Chci dostávat novinky“
- Stačí zaškrtnutí tzv. chceckoxu: „Chci dostávat obchodní sdělení“ (popř. jiná věta)
- Bez zaškrtnutí checkboxu pošlu potvrzovací email s double opt-in
- Musím zaškrtnout checkbox a zároveň musím poslat potvrzovací e-mail
- E-shop nemusí dělat nic, protože bude posílat podobné zboží, které si klient koupilObchodní sdělení lze do emailových schránek zákazníků zasílat i bez jejich souhlasu, avšak správce by měl ověřit, zda jeho zákazník skutečně disponuje onou emailovou schránkou. Pokud toto má již ověřeno tak je správně 5, jinak by měl tuto skutečnost ověřit například postupem podle bodu 3. Výše uvedené se však týká pouze osob, které jsou zákazníkem daného obchodu, tedy skutečně zakoupily zboží či službu.
- Pokud se již přihlásil klient k odebírání novinek skrz Facebook Messenger, musím mu znovu psát? Je totiž jasně vidět kdy a proč se přihlásil.
I pokud se osoby přihlásí k odběru a tím souhlasí se zasíláním obchodních sdělení, mělo by být ověřeno, zda daná osoba skutečně disponuje emailovou schránkou, kterou udala.
(Poznámka DN: Zde jde vidět, že nejnovější komunikační kanály ještě na úřad nepronikly a vůbec se s tím nestresují) - Když prodávám virtuální produkt (doručuje se na e-mail) a chci vystavit fakturu, můžu (nebo dokonce musím) žádat o adresu?
Neboť se tato otázka týká údajů vyžadovaných podle daňového práva, mělo by na ni odpovědět ministerstvo financí či finanční úřad. (Poznámka DN: Vypadá to na horký brambor) - Když nabízím e-book na svých stránkách, můžu chtít e-mail nebo v rámci GDPR minimalizace je to zakázané? E-book přece stačí stáhnout ze stránek.
Obecně lze přepokládat, že pokud je smlouva uzavřena elektronicky by strany měly mít možnost kontaktovat druhou stranu ohledně plnění. K tomuto účelu lze vyžádat kontakt (emailová adresa, telefonní číslo a podobně). - Když nabízím 14 denní kurz skrz e-mail, můžu v rámci něj odkazovat na své stránky nebo placené produkty (kurzy, ebooky, zboží)? Jsou nedílnou součástí tohoto kurzu.
Při rozesílání obchodních sdělení nabízejících Vaše kurzy lze logicky propagovat i jiné související produkty a odkazovat na Vaše stránky.
(Poznámka: Toto je velice zajímavé! Doporučuji všem se zamyslet, jestli není lepší ebook rozepsat do kurzu) - Velikost nohou zákazníků je citlivý údaj?
Pokud je velikost nohy spojena s konkrétní osobou, je jejím osobním údajem.
Velikost nohy zákazníků není údajem o zdravotním stavu ani biometrických údajů za zpracovávaným účelem jedinečné identifikace fyzické a tudíž se nejedná o údaj náležející do zvláštních kategorií osobních údajů. Jen při úplnost doplním, že nařízení GDPR užívá místo citlivých údajů pojem zvláštní kategorie osobních údajů. - Jak technicky rozlišit, že se jedná o občana z EU nebo mimo, který se registroval do databáze e-mailů? Uchovávat IP adresu (může být nepřesné) nebo se ho ptát?
Obecně platí, že GDPR se použije na zpracování osobních údajů správce usazeného v EU, bez ohledu na to, zda jsou tyto osoby občany evropské unie či nikoliv. České e-shopy tak nemusí občanství osob nijak rozlišovat.
Závěr
Tento článek je otevřený. Nejsem právník, jen chci otevřít diskuzi, protože se mi zdá, že nejsou všechny věci k dispozici. Je jasné, že nejvíce vydělají právníci, IT firmy, markeťáci a lidé kolem GDPR… ale to je tak vždycky. K celému článku se bude vyjadřovat pí. Škorničková.
…a co vy? Nastavujete GDPR u vás ve firmě nebo to berete jako trapnou bublinu (viz. EET pro kreditní karty), kterou se zatím nebudete zabývat? Pište do komentářů níže.
Dane, díky moc za přehled. Přiznám se, že jsem GDPR co nejvíc přehlížel, protože po nahazování EET u klientů nemám náladu na další „výmysl“. No bohužel se to bude muset začít řešit.
Zaujala mě ta část obsahu zdarma na webu (magnet). Znamená to, že když nabídnu e-book zdarma (za e-mail) a budu chtít uživateli pak zasílat newslettery (někdy i s obchodním sdělením), musí to být u formuláře s e-bookem dostatečně zmíněnou a uživatel musí odsouhlasit zasílání newsletterů a obchodních sdělení? Pak by to mělo snad být v pořádku, ne?
Ahoj Marku, přesně tak 🙁 Podle mě bude nejlepší to zaškrtávání dát ještě před políčkem vyplnění emailu a dát třeba 3, kde třetí bude obchodní sdělení… ještě to testuji 🙂
Poznámka: Pokud ale email nevyplní ani nezaškrtne žádné políčku, musíš ho přesměrovat na stránku s e-bookem i tak.
Ahoj Marku a Dane, mám za to že aktivní souhlas uživatelem(občanem) je až to poslední co se v GDPR řeší. Při získávání těchto dat je hlavní oprávněnost. Takže pokud získáváš data jen proto abys s nimi obchodoval, nepomůže ti ani tisíce zaškrtávacích políček. Jednoduše řečeno.
Jiná jsou věci zadarmo, obvykle e-booky, nelze jejich získání podmiňovat. Myslím že současná praxe u slušných marketerů je v pořádku. E-mail můžu kdykoliv vymazat z db a to třeba hned po získání e-booku. Důvod téhle klauzule „podmínění“ se vztahuje na nekalé praktiky, kde se pro zařazení do soutěže a podobných aktivity, vyžadovali nesmyslné údaje nad rámec zákonných povinností, přičemž tito aktivity vedli ke „kupčení“ s databází kontaktů!
Toť můj názor.
Ano, přesně.. hezky je to shrnuto v této infografice: http://www.e-legal.cz/files/sber-e-mailu-podle-gdpr-infografika-elegal.pdf
Daniel, v tej infografike na ktorú ste tu dali odkaz je posledný bod zľava na prvý nákup – v infografike je že naďalej môžeme podmieniť zľavu, aj tú prvú, emailom. Vo Vašom článku máte príklad č. 6 – prvú zľavu nemôžete podmieňovať emailom, prípadné ďalšie zľavy však už áno. Je tu nesúlad, treba zistiť viac 🙂
Ano, díky za info. Opraveno.
Dane, díky za článek. Zajímal by mě bod 13. Nedokáži si totiž představit jak desítky tisíc eshopů tento rok píšou na své klienty se žádostí o souhlas. Myslím, že je to skoro nereálné.
A další věc – jak lze technicky doložit, že se někdo přihlásil k odběru novinek do emailu nebo sms?
Z mého pohledu tedy buďto email a sms marketing od května skončí nebo se zredukuje na úplné minimum a nebo se pojede stejným způsobem, jen se bude více dbát, že když se chce někdo odhlásit, tak bude odhlášen.
A možná poslední myšlenka – co když emailovou kampaň budou dělat mimoevropské firmy, na které se gdpr nevztahuje.
Dobrý den, Tomáši,
GDPR se řeší od začátku roku 2017, takže to, že nejsou připraveni je šumák 🙁
Pokud se někdo přihlásil k odběru novinek (myslíte asi obchodního sdělení), tak někde v databázi je datum, kdy to udělal (to by dle UOOU mělo být i dnes). Nevím ale, jestli „Novinky“ jsou „Obchodní sdělení“. Musíte totiž jasně občanovi říct, co bude dostávat.
Mimoevropské firmy to musí zavést taky.. jaká bude praxe nevím, protože to samozřejmě nelze uhlídat. Myslím si, že vzniknou firmy mimo EU, aby to schválně porušovali 🙁
Pro mě osobně je nejasná věc ohledně IP adresy jako osobního údaje. Budu předpokládát že uživatel co bude chtít výmaz z db pouze dle své IP adresy bude muset doložit že ji v době aktivity, kterou chce smazat opravdu používal. Poskytovatelé často IP mění, co má človek teď nemusel mít před hodinou. Navíc tu jsou sdílené veřejné IP kde to ani doliž moc nejde.
p.s. pokud nastavim „Dejte mi vědět, až někdo okomentuje můj příspěvek!“ jako nezaškrtnuto, tak bych dle logiky v článku neměl být nucen vyplnit emailovou adresu 🙂
Dobrý den, Adame,
uživatel rozhodně nebude nic dokazovat… obzvlástě ne IP adresu, které ani nerozumí. Pokud bude nutné, údaje se můžou dohledat u provozovatele, který to má nařízené a tedy se občanů ani nemusí ptát. Co se týká sdílené IP adresy pro celou firmu, tak s tím GDPR počítá… jde o specifickou malou skupinu lidí a to je problém.
P.S.: Email je povinný vždy. nic s ním nedělám, jen využívám WordPress 🙂
Píšete, že občanů, kteří budou chtít být „pozorováni“ skrz cookies bude v rámci EU mnohem méně. Pokud, ale správně chápu článek, tak pokud jde o např. o online remarketing, tak se nic nemění, neboť je to ošetřeno cookies okénkem,které vyskočí návštěvníkovi na webu a které mu říká, že brouzdáním po webu souhlasí s cookies a dalšími věcmi typu remarketing. Nebo se pletu?
Toto cookies okénko (jak jej znáte nyní) nebude platit! Musí aktivně povolit = dát souhlas… a to spousta lidí neudělá. Takže jich bude opravdu méně.
Ohledně mimoevropských firem: všechny firmy (ať už jsou v EU nebo ne), které budou cílit na zákazníka v EU se musí podřídit GDPR. Takže založení firmy mimo EU nepomůže.
Ohledně rozdílu mezi „novinkami“ a „obchodním sdělením“ – podle mého tam v souvislosti s GDPR žádný rozdíl není, i email s „novinkami“ je obchodní sdělení, protože může vést k nákupu.
Dobrý den, Petře,
pokud budete mít firmu v Asii, asi se na vás nedostanou s nějakou nesmyslnou pokutou… „Novinky“ vnímám také jako obchodní sdělení.
Cele je to stejny nesmysl jako napr. hlaska na webu o tom ze se pouzivaji cookies btw tato hlaska bude brzy nepovina pac urednik v eu pochopil ze je to k hovnu.
Co se tyka gdpr – je to cele o tom chranit obcana zabkazdou cenu, kontrolovat jestli si utrel spravne zadek. K cemu to cele je kdyz jednim klikem se lze odhlasit ze vsech seznamu v ramci modernich systemu.
Posilat spam je neefektivni.
Osobne vidim jako nejlepsi reseni (vzhledem k vysi pokut) cely marketing outsourcovat treba skrza vlastni pro ten ucel zalozenoj firmu – sro nebo ltd v anglii.
Dobrý den, Petře,
spousta firem posílá spam (obchodní sdělení) a něco-málo vydělá. Snaží se všichni a nemají na to čas, tak prostě rozešlou všem-všechno 🙁
Vlastní firmu v Anglii nevidím jako dobré řešení… Spíše v Asii 🙂
Ahoj Dane, jaký je prosím zdroj pro tuto větu: „Požádání o souhlas by měly technicky vyřešit samotné reklamní systémy (Google, Sklik, Facebook…) nebo samotné internetové prohlížeče.“ Obávám se, že takto snadné to nebude. Protože inzerentem jsi ty, ty mačkáš to tlačítko „Spustit“, všechny platformy jsou pouze nástroj (jako mailingový software), a tedy ty bys měl mít výslovný souhlas, že smíš tato publika sbírat (stejně jako u FB Audiences). Je to sice third party cookie, ale uložená během používání tvého webu.
Umím si představit i to, že FB, Google, Sklik, Bing a další budou souhlasy získávat sami. Ale poněvadž souhlas musí být výslovný a specifický, tak by při návštěvě každého webu mělo vyskočit od každé platformy: „Souhlasíte aby stránka https://www.danielnytra.cz“ sbírala publika na FB? A nejen to, aktuálně jsi si o mě poslal 56 eventů do FB, včetně svého leadscoringu, timerů apod. Ale to už je tvé nastavení, o kterém bys mě měl nově informovat a já bych s ním měl souhlasit.
A největší sranda je, že vlastně můžeme mít pravdu oba nebo nikdo, protože si myslím, že až květen ukáže, jak moc se to bude hrotit a aplikovat.
Každopádně super praktický článek.
Měj se!
Michal
Dobrý den, Michale,
souhlas s tím květnem. Tento článek měl popravdě spíše uklidnit, protože všude na internetu se nesmyslně straší…
Aky to ma vplyv na vyuzivanie mimoeuropskych online systemov? Ja konkretne pouzivam Mailchimp… budu sa moct vobec pouzivat?
Dobrý den, Fero,
pokud tam budete mít občany EU, tak bohužel ano. Myslím si, že ale e-mailové nástroje to vyřeší rychle… tam takový problém nebude.
V článku se píše o tom. Že to není konzultováno s právníkem a teprve bude. Nebylo by lepší to prvně ověřit u právníka? Potažmo někdo kdo ví jak to bude? Takto je to strašení. Které je, ale oprávněné.
PS řešil jsem opuštěný košík s právníkem podle něj to dělají shopy nelegálně. Podle Uoou stačí, že uživatel sám zadal email. Tak ten článek je hodně tenký led.
Dobrý den, Mirku,
článek je otevřený a rozhodně to není strašení.. spíše naopak. Podívejte se po internetu a právě všude vás straší… Opuštěný košík je legální, pokud máte souhlas se zasíláním obchodního sdělení. Pokud nemáte, je to nelegální.
Můj dotaz na UOOU skrze ten opuštěný košík.
Dobrý den,
na e-shopu xxx.cz jsem si něco před pár dny přidal do košíku, ale neudělal nákup.
Od té doby mně posílají e-maily, ať dokončím nákup.
Půjde o tzv. techniku opuštěného košíku.
Jak to prosím posuzujete z právního hlediska.
Pokutujete takové jednání, nebo pouze řešíte klasický SPAM.
O Spam se nejedná, protože e-mail jsem jim tam zadal dobrovolně, ale nákup jsem nedokončil.
Děkuji. Sedlák.
Odpověď UOOU:
Úřad pro ochranu osobních údajů obdržel dne 29. listopadu 2017 Váš dotaz týkající se
nedokončeného nákupu na xxx.cz. V této věci Vám sděluji.
Pokud jste provozovateli e-shopu xxx.cz poskytl Váš e-mail dobrovolně, není možné
považovat zaslanou výzvu za nevyžádané obchodní sdělení.
Dotaz na právníka:
Když zadám do pole e-mail e-mail a nedokončím nákup, tak některé e-shopy pošlou za pár hodin e-mail, že mám něco v košíku. Přitom jsem žádnou objednávku neudělal. Pouze zadal e-mail a pak odešel z košíku. Jak je to po právní stránce?
Odpověď právníka:
Jelikož zákazník nesouhlasil s využitím jeho e-mailu (jakožto osobního údaje), zároveň ani nebyla uzavřena smlouva, nelze jeho e-mail využít pro zasílání takového druhu zpráv. Tato praktika by mohla být sankcionována Úřadem pro ochranu osobních údajů.
Stejný dotaz v trochu jiné formě, přesto odlišné odpovědi.
Dobrý den, Mirku,
jde o logiku a pokud jim nedáte svolení se zasíláním obchodního sdělení, tak vám prostě nic posílat nemůžou. Pokud jste ale v minulosti u nich již nakoupil (stačí mít toto v obchodních podmínkách nebo jste zadal e-mail kdysi jinak), pak vám u dalšího nákupu můžou posílat cokoliv… takže mě spíše přijde, že UOOU neposlal celou odpověď.
Pokud jste ale dělal první nákup nebo to byl první kontakt s touto firmou (navíc ukončil před zaškrtnutím souhlasu), pak je to spam jak sviňa.
U opuštěného košíku bych to řešil selským rozumem.
E-mail o tom, že jsem nedokončil nákup není obchodním sdělení. Je to jen informace o tom, že obchod stále probíhá, a bylo by dobré jej dokončit nebo ukončit. Samozřejmě závisí na konkrétním textu, ale pokud je to jen takto, je vše v pořádku. Pokud tam však bude reklama apod., je to už špatně.
Pokud se jedná o právníky, co právník, to jiný názor, jejich vyjádření nemá žádnou kompetenci. Rozhodující je vždy názor soudu v konkrétním případě (protože co soud to může být závěr jiný), nebo určeného orgánu, v tomto případě je kompetentní ÚOOÚ. A také musíme brát v úvahu situaci teď a po nabytí účinnosti GDPR.
Dobrý den, Milane,
vidíte, já mám asi selský rozum jiný 🙂 Já si myslím, že vrácení do košíku obchodní sdělení…
V čem máte ale určitě pravdu: Rozdělení času jako u Krista: Před a po GDPR 🙂
Tohle je trochu blbost, ne?
„Poznámka: Pokud ale email nevyplní ani nezaškrtne žádné políčku, musíš ho přesměrovat na stránku s e-bookem i tak.“
Je to můj ebook a já určuji podmínky, za jakých ho poskytnu a tou podmínkou je, že za e-mail. To bych za chvilku mohl chtít po eshopu poslat zboží zadarmo, protože nesouhlasím s tím, že za něj dám peníze 🙂
Dobrý den, Tomáši,
je to osobní údaj. Blbost to není, pokud se podíváte na spamování nejrůznějších lidí.. a začátek je právě u e-booku 🙁
Váš příklad se zbožím zadarmo fakt nechápu.. asi nějaký berlínský dialekt 🙂
Souhlasím s Tomášem, je to cena za něco. Asi v EU směřujeme ke komunismu, kdy bude všechno zadarmo. Pochopil bych, že před stažením bude muset odkliknout souhlas se zasíláním např.newsletteru. Ale když to neudělá, tak nechápu, proč bych mu měl umožnit stažení.
Ještě by mě zajímalo, jak se postupuje, když kontaktům z databáze zasílám odkazy na články na svém webu, což není obchodní sdělení.
Dobrý den, Petře,
bojím se trochu toho minimalizmu, protože ho opravdu nemusíte doručovat takto… něco jiného je „14denní e-mailový kurz zdarma“.
Zkuste trochu hledat ohledně obchodního sdělení: „všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby, která vykonává regulovanou činnost nebo je podnikatelem vykonávajícím činnost, která není regulovanou činností; za obchodní sdělení se považuje také reklama podle zvláštního právního předpisu“ – §2f
Podle mě to dost povede k zakládání neziskovek, které si můžou posílat, co chtějí a na koho chtějí 🙁
Zaslání e-booku vnímám takto:
1) je na mně, jestli e-book chci poslat e-mailem nebo mu ho nabídnout ke stažení, o tom GDPR nerozhoduje a nehovoří
2) pokud chci po potenciálním zákazníkovi e-mail, tak ho chci za účelem poslání daného materiálu. Můžu k tomu přidat zaškrtávací políčko s nabídkou jiných upozornění a cokoliv, ale zároveň musím říct, jak dlouho ten e-mail a proč budu držet u sebe v databázi, účel už je daný. Praktický dopad? Sebrání takového e-mailu a poslání e-booku aniž by potenciální zákazník zaškrtl možnost jiného využití jeho e-mailové adresy povede k „tibi et igni“ – pošlu e-book na e-mail a e-mail nezaložím do databáze, pokud si nevymyslím nějaký svůj „oprávněný důvod“, proč bych e-mail měl držet (přestože ho nebudu moct použít).
add 1/ jde o ten minimalizmus, prodiskutuju s právničkou
add 2/ souhlasím (mimochodem hezky popsáno)… já osobně navrhuji e-book rozložit do 14 denního e-mailového kurzu (pokud to jde). Měl jsem tento kurz již dříve a za 14 dní již opravdu oslovíte daného člověka a v e-mailech odkazujete na další materiály (blog se články apod.).
Daniel:
Minimalismus v tomto případě vnímám v tom, že abych něco poslal e-mailem, tak se neptám na jméno, příjmení, adresu a výši důchodu babičky z tátovo strany, ale chci jen e-mail, abych mu to mohl doručit.
Nicméně máte pravdu v tom, že 14 denní cyklus zábavných e-mailů bude mnohem účinnější než e-book. Pokud nechcete e-book prodávat za korunu, protože pak by vzniknul obchodní vztah a tam už to bude Váš oprávněný zájem (dokud máte v emailech opt-out).
Dobrý den, Pavle,
chápu ten první odstavec, ale ten druhý ne. Pokud bude obchodní vztah s občanem (ne, s právnickou osobou), tak od něj také musíte mít aktivní souhlas pro zaslání obchodního sdělení… to by pak nedávalo logiku… to, že se to dnes překrucuje je jiná věc.
Vidím elegantní řešení:
E-book není zdarma.
Kdo má zájem, může si ho koupit:
1. Za cenu 999 Kč a ať si to stáhne sám
nebo
2. Za cenu e-mailu se souhlasem (např. poslat 10 obchodních sdělení po dobu jednoho roku, to mne jen tak napadlo, jinak klasicky) kdy odkaz ke stažení dostane na e-mail.
Proti tomu nemůže nikdo nic namítat, e-book je autorské dílo a pouze autor rozhoduje o tom, komu jej poskytne k užívání a za jakou cenu. Nicméně je zde nebezpečí, že cena e-mailu by pak byla 999 Kč a finančák by to chtěl dát do příjmů :-), což by se řešilo malou cenou… Ale principiálně by to mohlo fungovat.
Dobrý den, Milane, dobře vy! Poprvé vidím, že by se platilo za neposkytnutí souhlasu 🙂 To musím dát do otázek!
Souhlasím s Milanem. Přesně tohle řešení mne také napadlo. S tím finančákem bych to neviděla tak černě. Teda asi záleží na částce. Je to podobné, jako když v e-shopu přidáte k objednávce dárek zdarma jako poděkování a přitom tentýž produkt současně nabízíte i ke koupi.
Vtip je, že pokud bude chtít někdo stáhnout e-book za peníze, stejně pak musí poskytnou osobní údaje, protože v takovém případě musí proběhnout platba a informace o přijaté úhradě a možnosti stáhnout (opět na sdělený mail). 🙂
Hezký den Danieli. Děkuji za přehledný článek. Už se snažím informovat na různých frontách.
Možná se zeptám blbě, ale když ty info tak bedlivě zjišťuji, stále se mluví a píše o tom jak dosavadní klienti budou chtít odejít z databází a zároveň noví se budou získávat špatně.
1) Podle čeho se předpokládá, že klienti budou chtít výmaz z databáze?
2) A s čím nebudou noví klienti souhlasit? S poskytnutím e-mailu nebo s tím, že nebudou chtít zaškrtávat?
3) Dále u příkladu č. 1, delete je v řešení popsáno toto „odpovědět mu, že ho bohužel z databáze fakturační smáznout nemůžete, protože je to zákon ČR“ .a tomu nerozumím…:(
4) A ještě nerozumím tomuto Magnet na webu
Nabízíte e-book zdarma (Magnet) na vašich webových stránkách. Co všechno musí být splněno:
e-book nemusí být poslán e-mailem. E-mail je tedy nepovinný údaj a pokud někdo nechce zadat e-mail, musíte mu i tak vyhovět a e-book nechat stáhnout. Jak mu tedy ten e-book pošlu když mi nedá e-mail?
5) Na FB mesenger Robota se také vztahuje GDPR?
Předem děkuji za odpovědi na mé otázky Vladi
Dobrý den,
odpovím v bodech:
add 1/ odhlášení nefunguje a spousta firem to ignoruje a posílá emaily vesele dál
add 2/ nemusí zaškrtnout, ani vyplnit nic
add 3/ pokud máte ze zákona povinnost mít fakturační údaje, nemůžete je smazat na základě právě občana
add 4/ nepošlete, jen ho přesměrujete na stránku, kde si e-book stáhne přes odkaz
add 5/ ano, na všechny kanály 🙁
Dobrý den,
děkuji za pěkný článek. Chtěl jsem se zeptat, zda jste neřešil otázku emailové komunikace.
Pokud by se to týkalo i mailové komunikace, SMS nebo systému podpory ? Výmazem by přeci firma přišla o veškeré podklady pro reklamace a podobně.
Děkuji.
Dobrý den, Martine,
nevím, co myslíte, ale pokud chce občas tyto informace smazat, tak se nedá nic dělat. Jediná věc, která je nad jeho právem je zákon ČR… pokud vám nařizuje tyto informace uchovávat, nemůžete je smazat.
Jen nechápu, proč bych měl uživatele přesměrovávat na stránku s e-bookem, když mi nechce dát email. Mě to přijde úplně normální: „Pokud chceš e-book a jsi ochoten ode mě přijímat i obchodní sdělení, ze kterých se pak samozřejmě můžeš odhlásit, zadej email. Pokud nechceš, hledej si jinde – nemáš povinnost dát mi email, proč já bych měl mít povinnost ti dávat e-book. Já jsem také občan a mám právo na anonymitu svého obsahu a smím jej sdílet, s kým chci.“
Bohužel ne. Nemůžete to podmiňovat, protože je e-mail osobní údaj a většina podnikatelů toho zneužívá.. např. si stáhnete e-book o něčem zajímavém a hned dostanete obchodní sdělení.. to samé se soutěží.
Vy jste správce těchto dat.
Dobrý deň,
a pri objednávke je e-mail povinný? Aj keď objednávku spraví neregistrovaný používateľ? Môžem toto podmieňovať? Ak nemôžem, ako mu budem posielať informačné správy o stave objednávky?
Ano, většinou mu totiž musíte doručit fakturu skrz email.. takže ten určitě potřebujete.
Take diky za zajimavy clanek Dane, take se tim zacinam v posledni dobe cim dal vice trapit 🙂 Jedne veci v clanku nerozumim, a to je otazka odpovednosti za souhlas v ramci zarazeni do rmkt publik. V bode 7 pisete, ze „Požádání o souhlas by měly technicky vyřešit samotné reklamní systémy (Google, Sklik, Facebook…) nebo samotné internetové prohlížeče.“ Tento vyklad tedy chapu tak, ze jako majitel eshopu se o to starat nemusim, protoze by to nejak mely vyresit samotne reklamni platformy?
Na druhe strane vsak v bode 13 jiz doporucujete poslat Souhlas o zařazení do remarketingového publika na svoji starou emailovou databazi:) Podle tohoto bych zase pochopil opak, nez co pisete v bodu 7 (tedy ze Eshop musi resit, ne reklamni platformy). Tak nevim, jak jste to myslel..:) Zaroven v ramci bodu 13 marne premyslim, co ma spolecneho cookie s moji databazi. Jak by to melo realne fungovat? Vy si umite nejak konkretni osobu spojit s konkretni cookie a pak s tim dal pracovat? Neni zasilani zadosti o Souhlas o zarazeni do rmkt publika na mou databazi trochu nesmysl ? 😉
Dobrý den, Lukáši,
pokud jde o systémy jako Sklik, Google Adwords a Facebook Ads, tak tam to nemusíte řešit vy. Pokud ale bude nějaký jiný systém, budete to muset vy… zkusím udělat update a vše vysvětlit podrobněji.
Spojení konkrétní osoby je například v některých e-mailových nástrojích a pak na ně můžete opravdu posílat velice cílené e-maily (na základě pohybu na vašich stránkách). U remarketingu jde o to samé, protože systémy zkoumají každého člověka zvlášť (vy to nevidíte, ale cílíte na širší publika např. 1000 lidí, které jsou ale už předpřipravené).
Ahoj Dane.
Také tomu nerozumím. Když je na straně zpracovatele povinnost vyřešit GDPR, tedy Sklik, Adwords, Facebook…nevidím problém s remarketingovými kampaněmi. Na to stačí jednoduchá online kampaň. I bez e-mailu si provedu zájemce, tam kde chci. Bude to stát pár korun na remarketingovou kampaň, které ale ušetřím na pronájmu předražených nástrojů na e-mail marketing. (Když k tomu připočtu jaký je konverzní poměr kliknutí na odkaz, tak vyloučením e-mail marketingu z aktivní propagace, nebo zařazením na úplný konec marketingového mixu, ušetřím náklady na online marketing) Také nevidím problém vzít svou databázi kontaktů, prohnat je přes Facebook a vytvořit si publikum. (Stanou se z nich neosobní data) Emaily před 25.5.2018 smažu a mám je v systému. A to se nezmiňuji již o remarketingové reklamě na eshopech, kde se stejně cílí podle zobrazené URL. Je pravda že cookies bude problém. Právě proto je lepší dělat remarketing na Facebooku, kde zůstane potencionální zájemce v reklamním systému 180 dnů. Jestliže do té doby nenakoupí, nevyužije služeb, nebo neprovede žádnou akci, nebude mi líto, když z publika vypadne.
Jinak je fajn, že to toho tlučeš.
Ahoj Stando, bohužel to tak není 🙁 Podobá se to pseudonimizaci: Vezmeš osobní údaj, někam ho dáš, ale ten údaj se neanonymyzuje… prováže se s emailem v systému. Anonymizace by byla, kdybys odstranil vše za zavináčem… ale to nejde. To, že je nevidíš v publikách ještě neznamená, že tam nějak nejsou nahrané = jednoznačně ukazují na konkrétního člověka.
Proto je např. Google Analytics mimo GDPR: IP adresy se přiřadí ke GEO oblasti a vymažou se (anonymizace)…
E-mailový marketing půjde dělat dál, ale mnohem čestněji.. teď se udělala soutěž a hurá do skupiny pro prodej 🙁
Díky Dane za článek. Mám dotaz ohledně spolků. Jak myslíte, že to bude u spolků a sdružení? Například myslivci, kynologové, šachisti atd. Ti přeci také mají k dispozici osobní údaje svých členů – minimálně těch, kteří jsou ve výborech.
Týká se tato povinnost i jich? Myslíte, že ta osobní zodpovědnost správce pak půjde za předsedou daného spolku?
Dovedu si realně představit, že se na to raději x spolků vykašle, než aby to museli řešit. Stačilo EET.
Dobrý den, Jano,
pokud máte jakýkoliv osobní údaj občana, tak bohužel ano. Podle mě se časem „něco“ ustálí a pak už si ani nevšimnete, že se to děje… Největší problém s tím budou mít velké firmy a o ty jde hlavně.
Vcelku chápu význam zavedení GDPR jako určitou ochranu uživatelů a obranu proti spamu, ale pokud si článek přečtete pořádně, zjistíte, že celý systém zavedení „ochrany GDPR “ je pouhým vybíjení klínu klínem. Je tam tolik nesmyslů a nových děr, kteří ti šikovnější rozhodně využijí … Jinak díky Dane za skvělý článek. Vše dobré v novém roku.
Dobrý den, Martine,
hezky jste to napsal.. ano, podle mě vzniknou různá „obcházení“ 🙁
Vám také vše dobré v roce 2018!
GDPR bude strašlivý průser. Nejsmutnější je, že primární strůjci této obludnosti jsou Google, Facebook, Microsft a Apple ve své šílené touze sledovat všechno a všude. Ti samozřejmě GDPR všelijak obejdou nebo ho budou natvrdo ignorovat, dokud nedostanou po letech soudů pokutu, na kterou ovšem do té doby 50x vydělají.
A odskáčou to malé firmy, OSVČ, neziskové projekty a další, kteří za fakticky bezrizikové pochybení či pozdní reakci na úmyslného škodiče či naštvaného zákazníka můžou skončit s likvidační pokutou bez jakékoliv reálné možnosti odvolání.
GDPR (ostatně jako DPH) platí i pro firmy mimo EU, které ovšem vůbec nic (kromě keců EU) nezavazuje skutečně GDPR řešit. Takže to plno lidí takto obejde, jelikož se jim to už kvůli DPH, MOSS a EET velice vyplatí.
GDPR je obecně krok správným směrem, protože šmírování už se naprosto vymklo kontrole a je nezbytné to začít řešit. Bohužel, místo nemilosrdného vymáhání už platných zákonů na ochranu soukromí (a to zejména po Googlu a Facebooku) se sáhlo po kobercovém náletu s velmi nejistým výsledkem…
Dobrý den, Zbyňku,
bohužel máte pravdu 🙁 Myslím si, že vznikne i poměrně dost neziskovek 🙁
Ahoj Dane,
velice děkuji za úvod – vyjasnění pojmů a příkladů z praxe ohledně GDPR.
Přidám také něco z praxe pizzerie a rozvoz,protože mi není vše úplně jasné.
1) mám pokladní SW který je napojen na telefoní ústřednu kde se zobrazuje volající který objednává.
a) přijde osobně zůstává uložen pouze telefon – asi bez problémů
b) chce dovézt ukládáme k telefonu,jméno,adresu popřípadě další informace k doručení – uloženo a zálohováno (při opakované objednávce SW automaticky identifikuje zákazníka) – asi problém – přidání pole se souhlasem o ….??? – měl by asi vyřešit výrobce SW
2) mám pronajaté on-line objednávkové systémy(styl dámejídlo) – souhlas by si měli vyřešit majitelé objednávkových systému – nám zůstávají emailové objednávky z těchto sytémů,které obsahují vše jako v 1)b),tyto emaily jednou za 3 měsíce smažeme.
Předem děkuji za reakce.
Dobrý den, Jirko,
tohle už není on-line marketing 🙁 Nechci dementně odkazovat na právníka, ale můžu odkázat třeba na zajímavou konferenci o GDPR pro e-shopy: https://www.gdpr-pro-eshopy.cz/program nebo GDPR v marketingu: https://www.marketinggdpr.cz/
Nutné přesměrování na ebook i bez zadání emailu:
IMHO to jde vyřešit celkem jednoduše, namísto „Stáhněte si ebook zdarma“ prostě napsat „Pošlete mi zdarma ebook na email“. Pak bez emailu není ebook 😉
…asi jo. Ta minimalizace údajů je ale dost důležitá.
Navíc: Na co je vám e-mail, kde nechtějí nic jiného, než ebook? Nemůžete jim nic jiného poslat, pouze 1x e-mail a to je na vybudování důvěry strašně málo… lepší je „14denní e-mailový kurz“ 🙂
Dobrý den, Danieli,
také děkuji za praktický a přehledný článek. Měla bych dvě otázky:
1) cookies – pro funkce, které jsou nutné k tomu, aby web fungoval korektně se tedy nemusím ptát na souhlas, u remarketingu a podobných už ano. Nově nestačí pouze hláška, ale je třeba aktivní souhlas. Systémy, které jsou na to napojené – např. Sklik, Facebook poznají, kdo kliknul na hlášku? Lze to nějak propojit? Protože si nedokážu sama technicky představit, jak bych z remarketingového seznamu odjímala lidi, kteří na to neklikli…
2) databáze právnických osob – uvádíte, že např. služební telefon, který se dá spojit s konkrétní osobou, je už osobní údaj… máme stovky zákazníků – právnických osob – všech bychom se tedy měli zeptat, zda souhlasí s evidencí jejich osobních údajů a seznámit je s jejich právy? Když někdo požádá o výmaz, ale později bude potřeba s ním řešit objednávku – mám právo ho evidovat za účelem objednávky i bez jeho souhlasu? Jinak většina z nich má kontaktní údaje uvedené pod svým podpisem v mejlu nebo veřejně na svých stránkách… když je takto postupují veřejně všem, je nutný ještě souhlas?
Díky a přeji úspěšný nový rok 2018.
Dobrý den, Zuzano,
děkuji za komentář a rovnou odpovídám 🙂
add 1/ popravdě taky nevím a tajně doufám, že s tím přijdou co nejdříve – je to v jejich zájmu 🙂
add 2/ to už jde trochu mimo marketing, ale našem jsem vám odpověď na https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/:
Otázka: „Pokud si ve svém CRM vedu e-mailovou adresu a mobil na zaměstnance u zákazníků, znamená to, že si najednou budu muset žádat explicitní souhlas, že si údaje mohu uložit?“
Odpověď: „Záleží, jestli jste již o souhlas žádali v době sběru dat a také od účelů takového sběru. Pokud je zpracování nevyhnutné pro agendu spojenou s poskytnutím služby nebo produktu (např. rozhodně potřebujete adresu pro to, abyste mohli zákazníkovi produkt poslat. Ve Vašem případě je na pováženou, jestli skutečně potřebujete kontaktní údaje od každého zákazníka – záleží na důvodech), osobní data v minimálním rozsahu můžete zpracovat i bez souhlasu subjektů. Samozřejmě na Vás ale spadají další povinnosti zákona, resp. nařízení.“
Já bych asi zůstal v klidu 🙂
Opět ohledně té IP adresy.
píšete „uživatel rozhodně nebude nic dokazovat… obzvlástě ne IP adresu, které ani nerozumí. Pokud bude nutné, údaje se můžou dohledat u provozovatele, který to má nařízené a tedy se občanů ani nemusí ptát.“
Kdo se tedy bude dotazovat zda uživatel x y měl v době, na který si nárokuje výmaz, danou IP adresu přidělenu? Budu se já jako webmaster stránek, která má uloženu totu IP adresu dotazovat poskytovatele připojení? Ten mě nic takového neřekne, já nejsem jeho zákazník. To pouze uživatel má na toto právo.
To by také mohlo přijít stádo 1000 trolůu a postupně mě psát že dne toho a toho používalu danou IP adresu (i když ji teď už nepoužívájí) a dožadují se výmazu čehokoli co s toutou IP souvisí.
Sdílená IP osobním údaje být nemůže, protože nelze určit kdo ji používal. To by mohl opět až správce sítě uvnitř firmy například co ji používá.
Dobrý den, Adame,
zajímavá úvaha. Zeptám se na to právničky a pokusím se doplnit.
Uplatňovat svá práva může pouze subjekt údajů, kterého jste ověřil, že je to pravdu on. Tvrzení „IP adresa tehdy jsem já“ mi nepřipadá jako dostatečné prokázání totožnosti. A pokud nemohu/nedokážu člověka ztotožnit, tak nemohu/nesmím plnit jeho práva jako subjektu údajů, abych neporušil GDPR (například neoprávěným smazáním dat – porušení principu dostupnosti).
Ok, to dává smysl. I tak se zeptám právničky…
Ono je to celkem jednoduché. IP sama o sobě není osobní údaj. Stejně jako třeba jméno Dominik samo o sobě není osobní údaj. Pokud ale máte uložené mé údaje, tedy víte, že se jmenuju Dominik a mám nějakou IP, je to osobní údaj. Když požádám o vymazání, musíte odstranit mé údaje, tedy např. to, že jsem Dominik a mám určitou IP. Samotnou IP mazat nemusíte, sama o sobě není osobním údajem. To je jako byste musel smazat z celé databáze jméno Dominik, jen protože se tak jmenuju já. Když se údaj nedá spojit s konkrétní osobou, není to osobní údaj.
Nevím zda se toto týka toho že IP adresa je osobní údaj a jak moc to je přesné.
https://www.whitecase.com/publications/alert/court-confirms-ip-addresses-are-personal-data-some-cases
Ale tento odstavec dost vylučuje to že IP adresa je něco co je osobním údajem pro někoho kdo nemá vazby na poskytovatele připojení co IP spravuje.
„What makes a dynamic IP address personal data?
The CJEU decided that a dynamic IP address will be personal data in the hands of a website operator if:
– there is another party (such as an ISP) that can link the dynamic IP address to the identity of an individual; and
– the website operator has a „legal means“ of obtaining access to the information held by the ISP in order to identify the individual.“
Dobrý den, Adame,
ono je to většinou ve spojení ještě s jinými daty a tenhle balíček už ukazuje dost konkrétně. Nicméně vycházím ze zdroje https://www.gdpr.cz/gdpr/heslo/ip-adresa/ nebo http://www.fbadvokati.cz/cs/clanky/541-co-je-co-neni-a-co-bude-osobni-udaj-podle-gdpr i jiných, kde je IP adresa obecný osobní údaj.
Díky za komentář!
Bohužel chybička se vloudila. Už nikdy žádné tlačítko vyjadřující souhlas! GDPR tuhle možnost zrušila,jednou pro vždy a výslovně.Souhlas musí být udělen slovně, a navíc jednoznačně a svobodně. Takže nezbývá, než hledat jiná řešení. Podobně každý, jehož data jsou zpracovávána musí dostat prokazatelným způsobem informaci o tom, že: 1. Jeho data zpracovávám a to konkrétně já, firma včetně uvedením adresy, spojení, to aby mohl subjekt uplatnit svá práva, 2. jaký mám důvod k zpracování, tedy proč jeho data zpracovávám, jak dlouho je budu zpracovávat (mít v databázi), 3. musíte subjekt informovat o jeho právech.
Jednou uvedený důvod zpracování nelze změnit! Je povinností správce prokázat, že splnil vše co GDPR ukládá.
Dobrý den, Michale,
hezky sepsané. Díky za komentář!
Dobrý den. Jen malá poznámka. Pseudonymizace ani šifrování není povinné. Nic takového v Nařízení není. Je to na rozdíl od zákona o kybernetické bezpečnosti hodně obecné.
Děkuji Zdeňku za upřesnění. Zkusím to více rozepsat 🙂
Dobrý den,
můžete nějak doložit ono „mazání ze záloh“? Protože zatím jsem se vždy setkal s výkladem, že ze záloh mazat není nutné, pouze je nutné, přesně jak píšete, v případě nahrání takové zálohy „smazat smazané“.
A ono „smazat smazané“ by nemuselo být u požadavků GDPR takový problém, protože si stejně musíte vést evidenci požadavků subjektu údajů, respektive mít databázi plnění jejich práv, protože jste to vy jako správce, kdo musí dokládat, že práva subjektu údajů splnil v souladu s GDPR (osobně to vnímám jako presumpci viny – není to tak, že subjekt údajů musí dokázat, že jste to nesplnil).
Ostatně sledování změn mezi zálohama by mělo být „automatické“, protože jak jinak chcete doplnit data, která jste zadal do systému v čase od poslední zálohy do pádu systému, který vedl k nahrání zálohy?
Mimochodem – článek je příjemně čitelný, děkuji.
Odkazuji: https://www.safetica.cz/blog/46-otazek-a-odpovedi-ke-gdpr/ a raději i připíšu odpověď: „V případě, že po Vás archivaci nepožaduje samostatný zákon, měli byste osobní údaje smazat ze všech paměťových záznamů včetně archivů. Pokud je to technicky náročné nebo není možné, měli byste odmazat data ze živého systému hned po obnově ze zálohy.“
dále: https://ictrevue.ihned.cz/c3-65720560-0ICT00_d-65720560-aby-mohly-byt-udaje-zapomenuty-musi-byt-nejprve-nalezeny a ideálně se podívejte na celý proces dole v odstavci s názvem „PRÁVO BÝT ZAPOMENUT – PŘÍBĚH JEDNOHO ZÁKAZNÍKA“
Díky za odkaz. V případě, který popisují Hospodářské noviny bych si ještě kromě limitu „bez zbytečného odkladu, nejdéle do 30 dní“ přidal ještě jeden limit, který GDPR zná a to „nepřiměřené úsilí“, které bych ohraničil například 8 hodinami práce. Co najdu do osmi hodin práce, to odevzdám. Samozřejmě toto nelze využívat alibisticky, ale spíše jako ochranu před „nekonečnou prací“, jak je zmíněno v článku.
Ahoj,
díky za poměrně jednoduché vysvětlení problematiky. Co jsem zatím nenašel je, zda zůstává v platnosti zákon 480/2004 , resp. par.7, odstavec 3:
(3) Pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.
Neplatí… nařízení EU to přebije trumfem 🙁 Musí to být aktivní souhlas (zaškrtnutí políčka) s jasným sdělením kdo a na co bude e-mail používat.
Platí 🙂 Recitál 47 Nařízení GDPR říká: „… Tento oprávnný zájem by mohl být dán například v situaci, kdy existuje relevantní a odpovídajíc vztah mezi subjektem údajů a správcem, například pokud je subjekt údajů zákazníkem správce nebo mu naopak poskytuje služby. .. Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“
Nevím, jestli si rozumíme… raději posílám odkaz na UOOU a přidal jsem ještě do článku příklad č.14:
Jde prostě o to, že souhlas nepotřebujete k odeslání informací o objednávce (přijata, expedujeme apod.), ale co se týče obchodního sdělení, tam už ano (pod to mimochodem spadá i vrácení do košíku skrz e-mail).
Daniel: Rozumíme si, jen s Vaším názorem v příkladu č. 14 nesouhlasím a opírám se právě o Recitál 47. Ostatně i zákon 480/2004 o tom hovoří v paragrafu 8 takto:
(2) Podrobnosti elektronického kontaktu lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas.
(3) Nehledě na odstavec 2, pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem5), může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.
Z mého pohledu je odstavec 2 o lidech se kterými nemám ochodní vztah a odstavec 3 o lidech, se kterými obchodní vztah mám.
Dobrý den, Pavle,
souhlasit nemusíte, ale je to tak 🙁
Stránky GDPR: „Téměř všichni obchodníci se v posledních letech soustředili především na maximalizaci svých databází zákazníků a tomuto cíli podřídili mnoho svých postupů. Ve výsledku to znamená, že mají objemné databáze, ale velice omezený rozsah jejich použitelnosti, neboť doposud využívali titulu oprávněného zájmu vycházejícího z existujícího obchodního vztahu. Tento právní titul podle GDPR nadále existuje, ale jeho použití a prokazatelnost je výrazně komplikovanější, a tudíž jeho využitelnost výrazně nižší. Rozhodně budou muset do účinnosti GDPR v květnu 2018 všechny e-mailové databáze znovu projít a přiřadit ke každému evidovanému e-mailu adekvátní právní titul k jeho zpracování, přičemž se za samotné zpracování považuje i uložení e-mailu do takové databáze.“ (zdroj: https://www.gdpr.cz/blog/gdpr-vnese-poradek-do-e-mailovych-databazi/)
Dále dnešní odpovědi na UOOU: „Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 Obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu).“ (zdroj: – zde je problém, že mu nedáte šanci koupit produkt bez zasílání obchodního sdělení 🙁
Respektive souhlas je v tomto případě pravděpodobně možný získat i zasláním „Double Opt-in“ s jasným textem kdo a na co bude používat tyto údaje. Cituji: „„Potvrzovací e-mail zaslaný do příslušné schránky potvrdí nejen souhlas jako takový, ale zároveň i to, že byl souhlas udělen skutečně oprávněnou osobou“. Zkonzultuji tuto možnost vs. zaškrtnutí políčka při objednávce produktu.
🙂 Ještě zkusím trochu polemiky, pak už budu zase chvíli hodný.
Otázka, kterou řešíme: „Je možné posílat marketingové sdělení mým zákazníkům, které se týká obdobného produktu/služby?“
První odstavec říká, že to možné je:
„Tento právní titul podle GDPR nadále existuje, ale jeho použití a prokazatelnost je výrazně komplikovanější, a tudíž jeho využitelnost výrazně nižší.“ -> tedy ta možnost zde je a GDPR ji umožňuje. Problém je v tom, pokud někdo vede jednu univerzální databázi „na koho posílám“ bez rozlišení „tady mám souhlas, tady je to zákazník“. To je opravdu proti GDPR, kdy dochází ke smíšení účelů.
Druhý odstavec se řešené otázky vůbec netýká – řeší jen kontaky sesbírané na základě souhlasu (nikoliv na základě obchodního vztahu) a řeší, jestli nebyl souhlas vynucený (nedovoleně podmíněný) a jestli obsahoval všechny náležitosti požadované GDPR, tak jak píšete.
To co bych řešil a viděl jako problém je právě ona „podobnost produktu“ – pokud prodávám sekačky, nemůžu mu poslat návrh, aby investoval do zlata nebo mu poslat newsletter. Proto bych pro plné marketingové využití přemýšlel o dobrovolném udělení souhlasu se zasíláním newsletter/marketingových materiálů/upozornění na akce…
Polemika dobrá 🙂 já mám jiný názor. Zeptám se na toto konkrétně jak na UOOU, tak právničky, díky za komentáře!
Rádo se děje 🙂 Když už se budete ptát, klidně se zeptejte na platnost stanoviska č. 15/2011 dokumentu skupiny WP29, kde se píše:
„Je-li adresátem obchodního sdělení stávající klient a cílem sdělení je propagace vlastních obdobných výrobků nebo služeb poskytovatele, nepožaduje se získání souhlasu, nýbrž zajištění toho, aby byla osobám „poskytnuta možnost nesouhlasit“ podle čl. 13 odst. 2. Argumenty, které zákonodárce v tomto případě vedly k tomu, že souhlas nevyžaduje, jsou vysvětleny v 41. bodě odůvodnění: „v rámci existujících zákaznických vztahů je rozumné povolit použití kontaktních údajů elektronického styku pro nabízení obdobných výrobků nebo služeb“. Zde je tedy smluvní vztah mezi fyzickou osobou a poskytovatelem služeb v zásadě právním důvodem, který umožňuje první kontakt elektronickou poštou. Osoby by však měly mít možnost nesouhlasit s dalšími kontakty. Jak již pracovní skupina jednou uvedla: „Tuto možnost je třeba nabízet opakovaně s každou další zprávou přímého marketingu, a to zdarma, s výjimkou nákladů spojených s přenosem tohoto odmítnutí“.45“
Nový pracovní dokument WP29 (Vodítka k souhlasu podle Nařízení 2016/679) k souhlasům toto neřeší.
Dobrý den,
dle mého názoru byla / je největší slabina UOOU z hlediska online marketingu fakt, že není postihnutelný ten, v jehož prospěch se např emailové kampaně provádějí, ale provozovatel kampaně.
Jak je na tuto situaci nahlíženo z hlediska GDPR ? Jak se bude postupovat v případě, že bude „spamovat“ firma vedená v americe pro firmu z ČR ?
Děkuji
Dobrý den, Petře,
máte pravdu… tohle (stejně jako již nyní) je problém. Ono stačí mít jen neziskovku a jste relativně „v klidu“. Jak to bude opravdu netuším, ale vložím to do článku jako otázku.
Firma, která spamuje z Ameriky pro českou firmu je v řeči GDPR Zpracovatel, který dělá pouze to, co mu smluvně nakázal Správce, který nese plnou zodpovědnost. Výjimkou je, že Zpracovatel překročí povinnosti dané smlouvou a s daty naloží svévolně. Pak se stává Správcem a nese plnou zodpovědnost ona. A protože bude spamovat občany EU, tak se na ni vztahuje GDPR také.
Jo, to všichni chápeme… ale taková firma v Číně asi nic platit nebude.. praxe bude úplně jiná.
Ahoj, jen doplním stručné info z UOOÚ, co dnes bylo vydáno k GDPR.
Super! Díky moc… několikrát přečteno a přeloženo z občas nesrozumitelné řeči právníků 🙂
Upřímně mě dost děsí představa, že bych na svém webu ke každému produktu zdarma dala xy zaškrtávátek s čím kdo souhlasí. Neumím si představit, že to někdo čte, když kolikrát i email zadají lidé špatně. Jakmile budou „občané“ vědět, že stejně produkt získají bez zadání emailu, proč by ho dávali, když nemají s mými produkty třeba dosud žádnou zkušenost? Asi mě napadá jediné řešení, co je zdarma, bude za 1 Kč. Je to cesta?
Dobrý den, Štěpánko,
cesta je to pouze k tomu, že máte databázi osobních údajů (e-mail kvůli faktuře) a to je všechno 🙁 Stejně potřebujete aktivní souhlas… Budu ale konzultovat možnost, že by přišel e-mail s fakturou a byl by to i tzv. „Double Opt-in“ pro přihlášení k zasílání obchodních sdělení. Kdyby ho potvrdil, bylo by to v cajku…
Nejlepší mě přijde ale možnost se na e-book vykašlat a rozkouskovat ho do 14 denního e-mailového kurzu s odkazy na články na webu. Po 14 dnech sice už nic posílat nemůžete, ale to by mohlo stačit pro získání zakázky (klienta).
Štěpánko, mám stejný názor. Také zvažuji, zda to, co mám zdarma, dám za 1 Kč:-) Protože podle aktuální informace, mohu zákazníkovi, který ode mě nakoupil, bez jeho konkrétního souhlasu obchodní sdělení posílat (ale jen to z oboru). Je to v zákoně č. 480/2004 Sb., o některých službách informační společnosti ve znění účinném od 1. července 2017 § 7 zákona.
Diky za clanek, mam nekolik dotazu:
1) Jake je reseni v pripade, kdy mam web zamereny celosvetove (v anglictine) a mam na nem Magnet (a majitel webu ma sidlo v EU)? Vim, ze navstevnici daneho webu jsou prevazne z USA, nicmene mohou se vyskytnout take z EU. Musim predem rozlisovat podle IP adresy (kterou ale nesmim ukladat) odkud navstevnik pochazi a pote mu nabidnout „spravnou“ variantu Magnetu?
Zeptam se jeste jinak: pokud mam na webu dejme tomu variantu magnetu 14 denni kurz, jak v pripade vlozeni emailove adresy rozlisim, ze danemu zakaznikovi jiz dale nemohu posilat dalsi obchodni sdeleni, protoze tento email nepatri zakaznikovi z USA/Asie (resp. zakaznik je v EU)? Vim, ze mohu zjistit jeho IP adresu a pote ulozit napr. mesto, ve kterem se zakaznik vyskytoval pri vlozeni emailu do me DB, nicmene to neresi moznost, kdy evropsky obcan vlozil svuj email do Magnetu, kdyz se vyskytoval mimo EU, i kdyz to budou ridke pripady.
Mohou byt tyto celosvetove weby v anglickem jazyce zamerene prevazne (i kdyz ne zcela) na publikum mimo EU nejakym zpusobem jinak hodnoceny z hlediska GDPR?
2) Co se tyce Magnetu (pro obcany EU) vidim jako jednu z moznosti pouzivat pouze Magnet nazvany tydenni emailovy kurz (ktery bude ovsem obsahovat jeden ci dva zaslane ebooky) s dvema odesilacimi tlacitky: ZASLAT KURZ ZDARMA, ZASLAT KURZ + DALSI NOVINKY ZDARMA
3) Pisete o moznosti obejit narizeni zalozenim firmy v Asii, jak se ale divate na firmu v USA (na moznosti sledovani,postihu), ktera bude nabizet sluzby jak pro USA tak ale i EU obcany zaroven?
4) Cetl jsem (mozna spatny zdroj) o tom,ze GDPR se nebude tykat OSVC. Pokud dobre chapu, pak se vsak GDPR uplatnuje pro kohokoliv, kdo ma jakykoliv online byznys – eshop, magnet…budou se pouze uplatnovat mozna jine vyse sankci.
DIky za odpovedi
Dobrý den, Radku,
pokusím se odpovědět na otázky, které souvisí s on-line marketingem:
add 1/ Je jedno, kde je sídlo firmy. Důležité je, odkud je občan. Pokud z EU, musí to řešit všechny firmy světa 🙁 Technické provedení bude pravděpodobně stejné, jako v případě prodeje virtuálních produktů (MOSS)… to je věc, kterou také musím sledovat a určitě to zde doplním.
add 2/ ANO, to by šlo… jen podle mě musíte uvést, že se jedná o Obchodní sdělení místo novinek 🙁
add 3/ To netuším. Podle mě to bude problém.
add 4/ Týká se všech, kdo mají osobní údaje svých zaměstnanců, klientů apod. Takže z 99.9% firem a osvč.
Dane, mám eshop s botama. Znám velikosti nohou svých zákazníků. Je to citlivý údaj? Je to osobní údaj?
Dobrý den, Romane,
to fakt netuším 🙂 Zeptejte se na UOOU.
Dobrý den, podle mě se o osobní údaj určitě jedná. Jestli je to citlivý (zvláštní kategorie) osobní údaj bych vyhodnotil podle Článku 9 odstavce 1 Nařízení GDPR kdy pro biometrický údaj je považovaný „údaj za účelem jednoznačné identifikace fyzické osoby“, což velikost bot 44 nenaplňuje, protože 44 nosí hodně lidí. Ale to je můj výklad.
Dobrý den,
již tu několikrát padl dotaz na nutnost umožnění stáhnutí e-booku i bez zadání emailu, ale zajímalo by mě, jak bych měl postupovat v mém případě. Na mém připravovaném webu hudební kapely mám na úvodní stránce okno s možností stažení dokumentu (magnetu), který obsahuje různé informace o pozadí, vzniku atd. Zároveň mám nad tlačítkem download doslova napsáno, že pro stažení dokumentu požaduji email, abych na něj pak mohl posílat různé informace,novinky atd. Po vyplnění emailu, přezdívky a kliknutí na tlačítko přijde uživateli ještě potvrzovací email, kde je podrobně popsáno, k čemu všemu bude adresa použita a stručně vypsána základní práva uživatele s odkazem na Privacy Policy. Po odsouhlasení a přihlášení do databáze si dokument může stáhnout. Je to takto v souladu s GDPR? Dokument samostatně bez zadání emailu stáhnout neumožňuji. Omlouvám se za jednodušší jazyk, v e-marketingu jsem začátečník. Předem díky za odpověď.
Dobrý den, Denisi,
problém je, že uživatelé si nemůžou ebook stáhnout bez novinek (Obchodního sdělení). Navíc posíláte opravdu Obchodní sdělení… proto je tam to zaškrtnutí (ANO/NE) a případně „double opt-in“. Přesný postup budu v nejbližší době konzultovat s právničkou, tak mě sledujte 🙂
Zdravím a díky Dane za článek.
Když se podívám na svou databázi, tak mám přes 95% emailů z freemailových služeb. Tyto emaily nejsou podle http://www.fbadvokati.cz/cs/clanky/541-co-je-co-neni-a-co-bude-osobni-udaj-podle-gdpr osobním údajem.
Pokud tedy umožním na webu jen registraci freemailových emailů, pak se vyhnu problémům se zpracováním osobních údajů. Je to tak?
Pavel.
Dobrý den, Pavle,
popravdě jste mě zaskočil. Já vnímám jakýkoliv email jako osobní údaj, který identifikuje konkrétního člověka. S tím třeba souvisí i nahrávání emailů do systémů jako Google Adwords a Facebook Ads a následné cílení na tyto lidi. Poptám se právničky a dám vědět. Sledujte mě 🙂
Dane, můj pocit je, že se zatím příliš přehání. No, praxe ukáže. Ale samozřejmě pozornost je tomu třeba věnovat.
Napadá mě k tomu, že když člověk dobře definuje svůj magnet na zákazníky tak, aby email-marketing nebyl něco navíc, ale naopak „feature“ toho produktu/služby zdarma, tak prostě ty následující emaily budou nutností, protože jsou součástí toho, co si člověk vyžádal.
Např. Pokud nenabídnu klasický ebook, ale místo toho nabídnu zdarma třeba „Pavlův skvělý toolbox“, který obsahuje:
1) PDF ebook
2) Praktický checlist
3) Pravidelný V.I.P. emailový klub s pravidelnými zprávami o nejnovějších marketingových trendech, webinářích o XYZ, nejlepších videích a článcích na téma XYZ (*ve skutečnosti pravděpodobně bude třeba definovat precizněji, ale stále atraktivně)
Tak pokud takhle definuju to, co dávám zdarma, tak prostě doručení email vyžaduje a vyžaduje to abych ty emaily pravidelně psal. A žádná další zaškrtávátka ta podle mě nejsou potřeba, protože ten email-marketing není něco navíc, ale součást toho, co si zákazník přímo a vědomě vyžádal.
Samozřejmě, právník nejsem. Ale osobně jsem přesvědčený, že nějaká taková bude praxe. Prostě už na vstupní stránce jasně definovat proč tam ten email vkládám, že součástí je „emailový zpravodaj“ jako jedna fičur toho produktu zdarma a to pak z emailů dělá nezbytnou součást, abych mohl tento vyžádaný produkt/službu zdarma doručit.
Co si o myslíš o tomhle?
Ahoj Pavle,
naprosto souhlasím.. jen teď s UOOU a právničkou řeším, jak se to má formulovat (musí tam zaznít „obchodní sdělení“, protože to opravdu obchodní sdělení je?). Jak ale píšeš, je to něco, co by se i bez GDPR mělo dělat: Posílat opravdu jen to, co lidé chtěli… pak je vše ok.
Respektive uvedu klasickou praxi velké části firem doteď: Soutěž -> Soutěžní emaily -> Obchodní sdělení -> Prodej (bez jakéhokoliv souhlasu)… a to je fakt blbé.
P.S.: Řeším i, jestli je nutné uvádět, jak dlouho člověka v databázi chci mít (na 5 let, na 10 let apod.). Pokud je to nutné, tak pak by emailové nástroje museli mít skupiny, kde se bude zadávat i doba do výmazu kontaktu (za 5 let, za 10 let apod.)…
Dobrý den Dane a díky za článek,
Na svém webu odpovídám na velké množství dotazů v poradně. Pokud bych podmínil svou odpověď zadáním emailu respektive zasíláním obchodních sdělení je to samé jako s magnetem? Nebo bych to podmínil něčím v tom smyslu, že jedna má odpověď nemůže vyřešit velký problém a je nutná další písemná návaznost po emailu. Tedy, že budu muset odpověď na dotaz i bez emailu pokud ho dotyčný odmítne dát. Vím, že jste psal, že ve WordPressu je pole u poradny na email a tím je to pro Vás vyřešené. Nicméně jak to bude posuzováno. Za jakým účelem získávám email v online poradně? K čemu takto získaný email budu moci použít? Pokud dotyčný nepotřebuje, nechce dát vědět až mu někdo odpoví na dotaz nebude důvod, aby email dával ne?
Karel
Dobrý den, Karle,
ano, nemusí zadávat potom e-mail… resp. nebude nutný. Ono v téhle době mi tam i tak lidé zadávají, co se jim líbí např.: neco@neco.cz 🙂
Ha, tak to jsem zvědavý, jak se s tím my češi popereme. To bude něco ve stylu: roční
e-mailový e-bookový kurz a každý měsíc přijde 1 z 12 kapitol e-booku.
Každopádně na to zas dojedou ti poctiví. Čistokrevní spammeři pojedou dál, jako by se nechumelilo.
Každopádně díky moc za článek, ucelený soubor informací se bude hodit, až to budou klienti po květnu narychlo dohánět.
Dobrý den, Lukáši,
uvidíme 🙂 Já tenhle článek spíše psal, aby nevznikla panika. Všude čtu, jak velké pokuty hrozí a bojí se samozřejmě jen poctiví 🙁
Zdravím Dane,
taky díky za článek. Chci se zeptat na jednu věc ohledně stávající databáze. Možná že to někde zaznělo, každopádně jsem to asi přehlédl.
Nicméně pokud to chápu správně. Tak když mám nějakou databázi zákazníků a klasicky s nimi komunikuji – NL atd.
Co tedy bude nutné provést?
Poslat třeba nějakou welcome kampaň, kde jim sdělím, že přichází nová směrnice a jestli mohu jejich údaje použit k marketingovým účelům. Přičemž tyto účely vyjmenuji.
Nebo v kampani bude muset být nějaký checkbox, u kterého zaškrtnou s jakými marketingovým účely souhlasí (newsletter, remarketing, atd.)
Díky.
Lukáš
Dobrý den, Lukáši,
jedna věc je zasílání obchodního sdělení a druhá využití na remarketing (cookies). Pokud jim budete něco posílat, doporučuji se zaměřit hlavně na obchodní sdělení a o to je požádat… co se týká remarketingu, to je spíše na webových stránkách a tam prostě ještě nevíme, jak budou reagovat obři jako Google Adwords, Facebook Ads a Sklik.
Jsem v tom takový dosti zmatený. Já sám osobně to neřeším, ale chi se zeptat takhle. Přítelkyně má eshop, kde nepravidelně odesílá emaily, novinky, obchodní informace, slevy na určitou databázi. Tyto lidi už má v databázi a dostávají vlastně všechny tyto sdělení. Sami si zaškrtli, že chtějí dostávat tyto emaily. Co se s touto databází má dělat? Může zůstat bez problému a nadále jim v pohodě posílat maily. Nebo se musí na tuto databázi odeslat email, kde si zaškrtnou volbu, zda chtějí nadále dostávat emaily a jaké? I když víme, že míra otevření je dosti tristní, tak to bude taky kruté a přijde se tak o drtivou většinu mailu.
Nebude stačit, když se do obchodních podmínek napíše že si odsouhlasili dobrovolně dostávání těchto mailů?
Dobrý den, Petře,
pokud můžete doložit, že aktivně zaškrtli, že chtějí dostávat obchodní sdělení, tak nemusíte dělat nic (potvrzovací email apod.). Obchodní podmínky od 25. května rozhodně stačit nebudou, protože jim nedáváte na výběr… tzn. nemůžou nakoupit, aniž by s tím nesouhlasili. Ještě to rozebírám s UOOU.
Dobrý den,
jen ještě krátká reakce na můj příspěvek výše o hudební kapele. Osobně to vidím podobně jako pavelcz či Lukáš Hartmann. Email v mém případě nepožaduji jen pro zaslání E-booku, ale také pro jiná sdělení (novinky, zajímavé informace, plánované koncerty) a tento důvod mám hned jasně uveden v popisu „produktu“ nad tlačítkem Download. Název produktu je Free content, čímž zahrnuji právě i ta, jak říkáte obchodní sdělení, tzn., že obsahem, s kterým bude uživatel souhlasit, je série emailů (což musí potvrdit možností double opt-in) a prvním z nich je krátký e-book. Samozřejmě název produktu se dá více konkretizovat, to už je pak jen slovíčkaření.
A ještě krátká otázka pro ujasnění, pokud bych měl například E-book, kde bych pro stažení (zaslání mailem) požadoval email a uživatel by tedy souhlasil pouze s tímto zasláním a ničím jiným, můžu mu poté v potvrzovacím mailu nabídnout možnost přihlášení k dalším emailům atd. nebo se už i tahle nabídka bere jako něco, s čím předtím uživatel nedal souhlas?
dobrý den, Denisy,
všechno je to obchodní sdělení… ať chcete nebo ne, vede to k prodeji. Pokud máte svolení posílat obchodní sdělení, můžete pokračovat. Pokud ne, jen občanovi (jako volbu) nabídnete ebook do emailu. Bohužel vycházíte z věci, která je dle mého mínění mylná, takže ani samotná otázka potom nedává smysl…
Mimochodem: Popisy fakt nikdo nečte, proto je důležitý aktivní souhlas (potvrzující email „double opt-in“, zaškrtnutí checkboxu apod.).
Dobrý den,
chtěl bych se zeptat jak je to s firmami, které obchodují výhradně s právnickými osobami (s.r.o.,a.s. apod)
je osobním údajem pracovní (služební) telefon a e-mail na osobu s níž komunikuji
– u dodavatele objednávám
– u odběratele (potvrzuji objednávku, zasílám fakturu, ev.informuji např. o nutnosti přistavit vozidlo, či stroj k výměně nějakého dílu kde se dodatečně zjistila nějaká skrytá vada?)
– je personalizovaný služení e-mail osobním údajem.. npř. p.novak@nejakafirma.cz?
– co např.fotografie osob na firemních propagačních materiálech?
– je podpis (jméno a příjmení) s kontakty z e-mailové zprávy od právnické osoby chráněným osobním údajem? Jestliže takové e-maily archivuji (včetně jména a e-mailu) např. z důvodu prokázání pokynů, či specifikací zákazníka (právnické osoby), či doložení jeho e-mailové objednávky pro argumentaci při případné reklamaci či soudním sporu?
– co např. objednávky či poptávky v písemné podobě s uvedením jména a příjmení objednávajícího a kontaktu na něj ať už v přiloženém souboru, nebo papírové podobě? Není to faktura, ale bez toho abych to měl uloženo prohraju každý soudní spor.
– co vizitky ? Je jméno, příjmení a kontakty na vizitce (pracovní od právnické osoby) osobním údajem? Musím vizitkáře skartovat?
Dobrý den, Jaroslave,
tohle jde mimo online marketing, který řeším já 🙁 Doporučím se obrátit na UOOU a pak mi napsat odpověď (pokud chcete i ostatním pomoct). Díky za komentář 🙂
Další dotaz:
– jak to bude se „spamy – letáky“ roznášených do poštovních schránek?
– co takové akplikace od Androidu či Google store atd, které podmiňují fungování přístupem např.do tel.seznamu, k mikrofonu, poloze, kameře, fotoaparátu apod? Těch se to týká nebo ne?
Pokud ano jaký bude rozdíl mezi těmi které si stáhnu sám (mohou vyžadovat souhlas, nebo nemohou – viz např. Vaše poznámka k e-booku) a jak se bude přistupovat k těm které jsou natvrdo předinstalovány i v zakoupených Win10 a nelze je odinstalovat, nebo Anrdroidu, kde po odinstalaci, přestane i nedotovaný smartphone správně fungovat?
Dobrý den, Jaroslave,
tohle fakt netuším… trochu to jde mimo online marketing. Podle mě se to ale bude týkat opravdu všech, protože se to děje furt. Velké firmy jen mají výhodu chytrých advokátů a „kliček“.. jsem sám zvědavý, jak se s tím popasují a určitě budu stále tento článek aktualizovat. Sledujte to tady 🙂
Jak je to se sbíráním dat (údajně anonymních) o fungování, používání a pádech software? Mám ny mysli hlavně fintu různých Windows, Google, Androidu, Facebooku apod, kteří chtějí sbírat data, aby mě mohli „oblažovat“ personalizovanou reklamou? Bude metr i na ně, nebo se to týká jen nás – malých bezvýznamných firem?
Určitě se jich to týkat bude… jde jen o to, co vymyslí a jestli to nějak „obejdou“ 🙁
Zdravím Dane,
hezký přehled. Doufám, že to v dotazech už nezaznělo několikrát (všechny jsem nedočetla), dotaz je na emailing a aktuální databázi. Nyní zavádíme double-opt-in, takže nové kontakty jsou jasné.. Jak je to ale například s emaily, které se zaregistrovali na naší stránce třeba před 2 lety — jakým způsobem je nejlépe začlenit? Je například nutné na všechny poslat email – aby znovu potvrdili svoji registraci? děkuji
Ano, bude to pravděpodobně nutné… já osobně budu chtít rozdělit svoji databázi podrobněji (Chce články z blogu?, Chce pozvánky na akce?, Chce informace o nástrojích?). Všechno to jsou obchodní sdělení, ať chci nebo ne 🙂 … ještě čekám na vyjádření UOOU a právničky, jestli tam musí být i doba, na jak dlouho to je: 3 roky, 5 let, 10 let apod.
Obecná připomínka Danielovi.
Odkazy na gdpr.cz (a jiné neoficiální zdroje) jsou pouze informační, není dobré brát je za bernou minci . Nejedná se o oficiální stránky pověřené instituce a uvedené informace jsou většinou jen názory lidí, kteří za stránkami stojí. A jiné zdroje můžou mít názory jiné. Jedinou pověřenou institucí, která má a bude mít rozhodující slovo, a to včetně výkladů, je Úřad na ochranu osobních údajů (mimo soudy). Zatím bych všechny neoficiální komentáře a názory bral jen jako informaci, že něco takového existuje.
Podle přísloví „žádná kaše se nejí tak horká, jako když se uvaří“ a s použitím selského rozumu (který však v právních záležitostech nebývá moc používán) prostě čekám, až se vše usadí a naši zákonodárci upraví naše zákony a vytvoří se oficiální návody a precedenty. Spousta věcí z GDPR je už součástí naší stojedničky teď se jen něco doplní, něco zruší, něco změní. Viz oficiální stránky ÚOOÚ.
Stejně si nedovedu představit kontrolu plnění GDPR. Při troše soudnosti, dobré vůle a splnění základních podmínek se nikdo do problémů dostat nemůže (mám na mysli hlavně e-shopy a e-mail marketing) a buďme upřímní, dosud v tom byl a je docela binec. Otravné e-maily s nabídkami, které mne nezajímají a dostávám je jen proto, že jsem někde potřeboval nějakou informaci, kvůli které jsem musel potvrdit souhlas se zpracováním osobních údajů, který zahrnoval všechno možné a dokonce i pro neznámý počet třetích osob? Jedné se zbavíte a přibude tucet dalších. Ono i ty „reklamní“ cookies jsou docela otravné – jednou něco vyhledávám a pak mne dokolečka masíruje reklama na totéž – proč? Buď už to mám nebo mne to dále nezajímá. Tohle jsem naštěstí vyřešil automatickým mazáním cookies po zavření prohlížeče a mám klid – když reklama, tak různorodá.
Abych to uzavřel. Je třeba se postupně připravit, to je jasné, ale netřeba si dělat nějaké velké starosti. Sice lituji majitele rozsáhlých databází kontaktů, ale alespoň si je pročistí. Osobně bych všem kontaktům před nabytím účinnosti GDPR poslal mail s odkazem na stránku s udělením souhlasu podle GDPR a je to. Pokud za to stojím, souhlas udělí, pokud ne, tak nemám právo je otravovat 🙂
Pokud někdo řekne, že si to představuji jako Hurvínek válku, tak ano, je to tak. Ale mám klid a počkám si, jak se to vyvrbí.
Naprosto souhlasím! Tento článek měl lidi spíše uklidnit, protože všude čtu o pokutách (marketingový tah právnických firem). Pokud to tak nevyznělo, tak se omlouvám. Něco muselo přijít a já se prostě strašně rád připravuji 🙂
Zdravím, omlouvám se vše jsem nepročetl (komentáře).
Každopádně vracím se ke cookies okénku (souhlasím).
Nově bude muset uživatel osuhlasit – stisknutím tlačítka. Když to ale weby udělají tak že před vstupem bude do poloviny webu případně celý web jedno velké okno, že web používá cookies – a seznam s účelem proč a jak. tak budˇto odkliknout nebo odejdou, jelikož to všichni známe tak to odklikneme, je to takto reálné ?
Dobrý den, Honzo,
okno bude velké, ale musí jít zavřít a uživatel si anonymně stránky bude moct prohlížet… nemůžete mu odepřít službu. Nicméně jsem se nikde nedočetl, jak často mu to okno můžu zobrazovat…
Dobrý den, díky za informaci.
V tom případě vymyslet chytlavý název produktu zahrnující všechny níže zmíněné body a pod to napsat něco ve smyslu:
Produkt obsahuje 1) krátký dokument o….
2) pravidelný blog o tom a tom…
3) sérii emailů s novinkami, plánovanými koncerty atd.?
Tím se vlastně nic ničím nepodmiňuje, protože se jedná o kompletní produkt složený ze 3 částí. Pokud by tento způsob nebyl ok, asi mi fakt něco uniká, snažím se nad tím přemýšlet logicky. Předem díky za odpověď na můj poslední dotaz a přeji pěkný den.
Dobrý den, Denisi,
ano, podle mě to tak je.. jde vlastně o správné znění přesně toho, co dostanou. Stále čekám na odpověď UOOU a právničky, tak mě sledujte 🙂
A ještě bych měl jeden dotaz. Když jako podnikatel si vezmu od zákazníka osobní informace (řekněme cokoliv), a zapíšu do aplikace online 3. strany (globální online systém nějakého spolku). Co z toho vyplívá. Pokud to tam zadávat nemusím, neměl bych tam tyto data zadávat? Měl bych si říct o souhlas? Měl by ten spolek mít vše zabezpečené apod. Myslí, že tato otázk by zajímala sposta lidí, protože se jedná o něco kam se zadávají data – není to podobné třeba provozovateli email marketingu. Řekněme že firma má na 50 řidičů autobusu, a každý cestujíí je čipovám do systému k danému řidiči? Doufám že je jasné kam mířím, Děkuji.
Dobrý den, Honzo,
trochu už to je mimo online marketing, ale přirovnal bych to předání osobních údajů (emailu) 3. straně při ohodnocení objednávky (e-shop předává email heurece a ta pak kontaktuje sama emailem, jak byl klient s obchodem spokojený). Pokud je to podobné, tak se zatím přikláním k názoru, že VY musíte zažádat občana o souhlas s předáním 3. straně 🙁 Vytvořil jsem i kvůli tomu novou otázku…
Pokud jde pouze o zadání dat k nějaké firmě, která spravuje vaši databázi a klienta nekontaktuje, pak jde o zprostředkovatele databáze správce (vaší databáze). VY ale stejně máte největší zodpovědnost s musíte zprostředkovatele kontrolovat 🙁
Dobrý den Danieli,
jestli tomu dobře rozumím, tak se zkomplikuje spousta věcí. Např. Heuréka. Kupující musí aktivně zaškrtnout, že chce dostávat obchodní sdělení / poskytnout údaje třetí osobě, jinak nedostane formulář od Heuréky na ohodnocení dodávky. To udělá minimum lidí. Takže na Heuréce dostanou hodnocení jen ty největší firmy.
Zákazník bude mít sice větší ochranu svých údajů, na druhou stranu se ztratí informace o uživatelském hodnocení eshopů…
Dobrý den, Martine,
dostal jste od Heuráky dopis? Je to tak: VY (správce) jste zodpovědný… to VY poskytujete heurece email a tedy VY musíte technicky zabezpečit předání pouze těch emailů, které to chtějí 🙁 Slušná pakárna…
Dobrý den, chtěl bych se zeptat, jakou formou mohu doložit, že skutečně uživatel souhlasí se zpracováním osobních údajů a obchodními podmínkami? Když bude uživateli poslán, např. při vložení inzerce na inzertní server, potvrzovací mail, kde bude ověřovací link, na který uživatel klikne a po kliknutí se o tom zapíše informaci do databáze, tak toto prokázání stačí? Jak ale zpětně někomu prokázat, že ten mail skutečně přišel, že jsem si to třeba nevymyslel a do databáze ručně nedopsal…? Je na to nějaká metodika, jak se to má dělat a jaká forma důkazu o doložení souhlasu je akceptovatelná? Když má inzerát dobu zveřejnění třeba 3 měsíce, jak dlouho je pak třeba souhlas evidovat? Děkuji předem za odpověď.
Dobrý den, Petře,
nějak nechápu tu větu: „Když bude uživateli poslán, např. při vložení inzerce na inzertní server, potvrzovací mail, kde bude ověřovací link, na který uživatel klikne a po kliknutí se o tom zapíše informaci do databáze, tak toto prokázání stačí?“… prosí, vysvětlete, jak to myslíte.
Jinak jde o aktivní souhlas: Potvrzovací email, který mu pošlete, zaškrtávací políčko (checkbox).
Standardně systémy pro správu emailových databází by již všechny potřebné údaje měly mít. Nehroutil bych se z toho… sám teď cca 1x za rok někomu dokazuji, že se přihlásil v ten a ten den a je to ok 🙂
Zdravím Danieli,
chci se zeptat, když mám e-book zdarma ke stažení na email, tak by stačilo k tomu zadat zaškrtávací políčko, zda souhlasí se zasíláním dalších emailů, pokud to dobře chápu. Jen jsem teda neobjevila, že bych to ve smart emailingu někde měla (tu možnost zaškrtávacího pole).
A co se stávající databází? Můžu nějak souhlas získat zpětně? Dost dobře nechápu jak…
Ch jo, na jednu stranu chápu, že osobní údaje se zneužívají, ale tohle je pro nás malé podnikatele v online marketingu, fakt tristní.
Díky.
Dobrý den, Lucie,
všechny systémy se na to teprve chystají.. spousta věcí není ještě jasných, bohužel 🙁 Smartemailing nepoužívám, tak nevím, ale bude muset být připraven!
Co se týká stávající databáze, tak já budu do května pravidelně rozesílat znovu email, na lidi u kterých si nejsem jistý. Rozdělím je ještě podrobněji, než pouze na „Obchodní sdělení“… Bude to na: 1. Chtějí dostávat příspěvky z blogu, 2. Chtějí dostávat pozvánky na akce: Semináře, webináře, přednášky a kurzy o online marketingu a 3. Chtějí informace o nejnovějších nástrojích v online marketingu.
Zdravím, dle informací, které mám, cookies nejsou součástí GDPR ale ePrivacy a nejsou osobní údaj. Nové ePrivacy mělo původně jit v platnost s GDPR ale nakonec tomu tak není. Z pohledu marketingu je tedy nově osobní údaj pouze IP adresa. Zkuste si tuto informaci ověřit a pak by bylo případně na místě opravit článek, kde se o tom zmiňujete. Děkuji
Ověřuji. Děkuji za přínosný komentář.
Dobrý den,
zajímalo by mne jak to bude v případě zasílání tiskových zpráv novinářům, tyto musíme obeslat dopředu zda souhlasí se zasíláním. Když mají svůj mail uvedený na stránkách novin?
Netuším. Zeptejte se na UOOU.
Zdravím Danieli,
vracím se k otázce freemailů a zda jsou osobním údajem. Ve Vaší první otázce nahoře uvádíte, že podle Vás ano, jelikož „tyto e-maily můžu nahrát do publik v systémech Facebook Ads nebo Google Adwords a vytvořit na ně cílenou reklamu“. Můžete dokonce udělat něco horšího – poslat zprávu danému adresátovi.
Zkusil jsem několikrát hledat na na netu mezi právníky a vždy jsem našel informace ve smyslu, že údaj je osobní jen tehdy, pokud podle něj naleznete konkrétního člověka.
Pokud máte možnost se někoho zeptat, bylo by dobré toto dořešit. Je to docela klíčová otázka.
Dle posledních zdrojů: Jediný email, který není osobní údaj je kontaktní na stránkách firmy např. info@firma.cz. Doporučuji tedy veškeré emaily brát jako osobní údaje (nevím, jak byste to v klasické databázi rozlišil).
Tak vzhledem k tomu, že emailová adresa je unikátní, lze si ji spojit s konkrétním člověkem – majitelem.
Pokud je to info@firma.cz a je to kontaktní ze stránek, tak to není osobní údaj… kdo to má ale hlídat? Raději budu osobně brát všechny jako osobní údaj.
Stále se všude píše o tom, že se po zavedení GDPR (mimo jiné) omezí spamy a podobný elektronický balast. Ale napadlo mě, jestli se tím omezí i telefonické obtěžování různých firem, protože to mně osobně vadí mnohem víc… Teoreticky by mi už nikdo takový volat neměl, když této konkrétní firmě nesdělím svůj telefon, aby mi mohli volat svoje nabídky. Je to tak?
ANO! Telefon je prý brán ještě citlivěji než email a budu za to extrémně vděčný… mimochodem existuje hezká aplikace na mobil, který podle telefonního čísla zobrazí, o koho jde a tak se můžete rozhodnout, jestli ho vzít nebo ne 🙂 Jmenuje se „Zvednout to?“ 🙂
váš příkladový článek dává lépe nahlédnout do problematiky než všechny jiné, přesto je ve výsledku tím největším strašením.
nedovedu si představit, jak může obyčejný živnostník se dvěma rukama bez právního a pokročilého IT vzdělání vést například eshop.
navrhnu: mohl bych to přežít, pokud:
1) smažu všechny kontakty na všechny lidi co jsem kdy měl (všechny mailinglisty, adresáře a kontakty v mobilu),
2) nechám si za 10+tisíc vypracovat od právníka obchodní podmínky a instrukce pro programátory jak upravit eshop a web
3) nikdy už nepošlu žádný newsletter?
Mohl bych po těchto šílených třech krocích dál provozovat eshop?
…a stejně děsíte že i tak zůstanu zodpovědný za to co podělá provozovatel hostingu do čehož nemám šanci vidět
jste-li pro lidi, zkuste to vzít takto opačně a navrhnout bezproblémové řešení, protože takhle je to příliš složité než aby to obyčejný osvč mohl zvládnout.
Dobrý den, Davide,
to co píšete můžete udělat, ale jde to udělat i jinak.
1. Pokud od vás někdo koupí, můžete mu posílat newslettery (+ musíte mí uvedeny informace na svých stránkách)
2. Můžete nabídnout „magnet“ za peníze nebo zdarma s přihlášením k newsletteru
..a spousta dalších věcí.
To, že to firmy dělali proti zákonu, který tady je už roky, je něco jiného. GDPR je medializována hlavně pro občany a ti půjdou za úřadem, aby na vás vlítnul… jinak se ale většina věcí měla už dělat dávno!
Dobrý den, mám konkrétní dotaz k GDPR. mám eshop s vlastními autorskými produkty – materiály, které posílám v pdf emailem.
Chápu,že pro zasílání novinek musím mít formulář na souhlas. de facto by mi stačil pouze email, ale k vystavení faktury (někdy i na IČO), ale k vystavení faktury tedy i adresu a tel. kontakt pro případné doplnění údajů či nejasností.
Ale faktury zpracovávám v programu idoklad, kam údaje zadávám a zaplacené materiály zasílám přes úschovnu na zadaný email.
Jak mám ošetřit využívání těchto programů?
Dobrý den, iDoklad je pravděpodobně pouze zpracovat osobních údajů a proto byste s iDokladem měla mít smlouvu mezi Správcem (VY) a Zpracovatelem (iDoklad). Určitě to ještě vyřeší, jako všechny podobné aplikace.
Dobrý den Dane, díky za Vaši pečlivou starost o naši informovanost 🙂
Mám dotaz ohledně mého obchodu – mám malinký lokální e-shop. Šířím info o obchodě pomocí letáčků a sdílením postů na FB. Se zákázníky jednám vždy po objednávce osobně. Uvažuji o tom, že bych e-shop zavřela a komunikaci přesunula na e-mail (Gmail) či do FB messengeru. Jak by se takového prodeje týkalo či netýkalo GDPR? Ceník by byl ke stažení na webu (bez zadání e-mailu) a FB stránce a následně po vyžádání zákazníkem bych zaslala objednávkový formulář. Info o zboží, novinkách bych dávala pouze na FB stránku. Pokud mi zákazník sám napíše e-mail či zprávu, že má zájem o formulář a nákup, tak tím mi vlastně sám uděluje souhlas mu nadále psát? Jaké jsou mé povinnosti, když je to na takovéto individuální rovině (bez odesílacích robotů), ani žádnou jinou datábazi bych si teoreticky vést nemusela. Mám pouze adresář v e-mailové schránce a zprávy ve FB messengeru. Předem děkuji za odpověď.
Dobrý den, Gabrielo, díky moc za váš email. Jde o to, aby byli občani přesně informováni o tom, co se děje s jejich osobními údaji. Pokud s vámi mají smlouvu (nakoupili u vás), je to jedno a můžete klidně posílat zprávy nebo newslettery (samozřejmě na podobné produkty).
Pokud jim nabídnete soutěž a pak jim posíláte newsletter, tak to je problém. Jednoduše se chovejte férově a vždy je informujte co a jak s jejich osobními údaji budete dělat.
Dobrý den, Danieli,
děkuji za vybrané informace. Jako živnostnice a bohém zároveň, mám pochopitelně trochu obav. Ale na druhou stranu mám skvělé zákazníky a databázi udržovanou.
A díky i za to doplňování.
Doris
Dobrý den, Doris, díky moc za komentář. Pokud se nechováte jako „hajzlík“, tak jste ok. Klasická chyby: Není double opt-in, získáte emaily ze soutěže a posíláte obchodní sdělení apod.
Dobry den. Ako riesit potom Heureku kedze obchodnika nuti poskytovat im vsetky meili zakaznikov kvoli Overene…vzdat sa overene alebo odist odtial..co si myslite?
Dostanete domů dopis, který musíte podepsat.. jde o smlouvu o poskytování vašich emailových adres třetí stranám. Jak si to vy vyřešíte, je na vás 🙁 Resp. vy musíte požádat občana o to, že je můžete poskytovat dál a konkrétně Heurece a pokud to nepotvrdí, HEureka by neměla tuto informaci dostat… takže zase: Je to o vás a technickém nastavení vašeho eshopu.
Zdravím,
děkuji za článek a objasnění spousty věcí.
Jsem na začátku, co se týče sbírání emailů, a stále si nejsem jistý, jak to udělat správně tak, aby vše bylo ok. Na webu mám na liště formulář pro sbírání emailů – pod ním je věta, že vložením emailu lidé souhlasí se zasílání novinek a kdykoliv se mohou odhlásit. Po zadání emailu je to přesněruje na stránku s videem, které nabízím jako magnet. Zařadil jsem teď i double-opt in, takže jim přijde email, ve kterém je odkaz na potvrzení přihlášení a pod ním ještě znovu věta, že potvrzením souhlasí se zasíláním novinek a obchodních sdělení, a že kdykoliv se mohou odhlásit.
Myslíte si, že tohle stačí a je to tak v pořádku? Nebo je k tomu ještě něco přidat?
Zajímá mě taky, jak to bude s tím zpětným potvrzováním, že lidé souhlasili se zasíláním novinek/obchodních sdělení? Stačí, že tam mám napsanou tu větu?
Nevím, jak je to u ostatních providerů, ale v Mailchimpu, který teď používám, není žádná kolonka, která ukazuje, že tito uživatelé něco zaškrtli (v případě nějakého checkboxu v emailovém formuláři – který Mailchimp ani nenabízí) – díval jsem se i do Smartemailingu (ten už checkboxy nabízí), a tam to technicky (zatím?) také (aspoň z toho, co jsem viděl) není řešené technicky jednoduše tak, abych viděl, kdo zaškrtnul nějaký checkbox a kdo ne, a tím roztřídit emaily do těch, které mohu používat, a které ne (dodatek: dohledat se to tam dá, ale je třeba klikat na každý kontakt zvlášť, a v případě několika set nebo tisíc kontaktů tohle určitě není řešení, jak kontakty třídit)
Rád bych se na to připravil už hned (kontakty jsme začal sbírat teprve před necelým týdnem) a vyhnul se tak nějakému zpětnému zasílání emailů a žádání lidí o jejich souhlas, což by nevyhnutelně vedlo k úbytku databáze.
Asi doporučím mrknout tady k právníkům, kteří i pořádají marketinggdpr.cz… http://www.e-legal.cz/files/sber-e-mailu-podle-gdpr-infografika-elegal.pdf
Dobrý den Dane,
díky za super článek, jen pro mé ujasnění (možná bylo někde již řešeno v komentářích, ale cele jsem to neprošel):
1) zasílání obchodních sdělení na současné zákazníky (s kterými proběhl obchod), ale u kterých nemám souhlas je pořádku (řešeno přes oprávněný zájem)?
2) naše typická praxe, kde na veletrzích, konferencích a jinde získáváme kontakty (vizitky a ty pak zařazujeme do databáze) a ústně potenciálním zákazníkům sdělujeme, že jim zašleme nabídku a obchodní sdělení přes email, ale fakticky nemáme transparentní důkaz – špatně?
Takže předpokládám, že celou databázi kontaktů získanou prostřednictvím bodu 2) je třeba obeslat ve smyslu „pokud nám chcete i nadále projevovat Vaši přízeň a odebírat naše newslettery zaškrtněte prosím souhlas se zasíláním…“ a transparentně od nich získat souhlas? Nelze opět nějak vyřešit přes oprávněný zájem?
díky za odpověď
Tomáš
Dobrý den, Tomáši,
rovnou vlítnu na odpovědi:
add 1/ ANO, jen musíte mít informaci v patičkách ohledně toho (co, komu a jak budete posílat) + musí jít o „podobné“ věci.. nemůžete poslat nabídku ledničky, když si koupil kožené boty (ze stejného eshopu).
add 2/ ANO, podle mě byste jim měli nechat podepsat papír, že s tím souhlasí. Stejně to bude i se zaměstnanci, kdy zpracování jejich údajů např. na reklamní účely nemůže být v zaměstnanecké smlouvě. Oprávněný zájem zde není, protože s nimi nemáte smlouvu (viz. bod 1).. a fakt to dává i smysl.
GDPR + úředníci = papírování. Budete muset mít jednoduše v pořádku „papíry“.
Ahoj Dane,
je mozne se pripravovat na kveten uz ted tak, ze budu mit schvaleni smluvnich podminek zmeneno podle GDPR a ne podle zakona, jak to mam ted (i kdyz to vlasne stale neplati), tak uz je muzu mit v databazi, ktera bude na zasilani sdeleni pouzitelna i po dni D.
Nebo vsechny sebrane emaily od ted (zalezi na datu souhlasu), kde se schvaluje souhlas se zpracovanim osobnich udaju podle stavajiciho zakona.
Pripadne neni dulezity souhlas se zpracovanim osobnich udaju, ale jen schvaleni zasilani obchodnich sdeleni?
No to je uchylarna chjo
Ahoj Jano,
zákon již v této chvíli je dost striktní… GDPR zavádí cca 15-20% novinek a sankce… ostatní věci již musíte mít v pořádku. Připravuji šablony a snad by v polovině února měly být ke stažení zde… VYDRŽTE 🙂
Dobry den Dane,
proc si myslite, ze vznikne hodne novych neziskovek? Jich se GPDR netyka?
Týká, ale trochu jinak… už jen to, že nezasílají obchodní sdělení 🙂
Ahoj, dnes jsem to zjistila, takže jsem totalni laik. Nicméně….mam bazarek na obleceni….sepisuji komisionarskou smlouvu, na ktere dle zakona musi byt osobni udaje. Nemam pc , vse růčo. Co mě čeká? Diky za radu, Hanka
Dobrý den, Hano,
tenhle článek je fakt jen o marketingu (online). S ostatním doporučuji právníky, školení, konference…
Ahoj Daniel,
vďaka za super článok a príklady.
Mám otázku k tomu e-mailovému kurzu, ktorý odporúčaš. Akurát jeden taký pripravujem, takže mi to príde vhod.
1. Na stránke bude klasický button „Prihlásiť sa na kurz“ s oknom na zadanie e-mailu. Keď človek zadá e-mail a prihlási sa na kurz, treba to ešte poistiť cez double opt-in?
2. Ak chcem tento kurz ukončiť odkazom na konkrétnu službu, čiže dajme tomu posledný e-mail bude okrem sumáru čiastočne aj také self-promo, berie sa to ako obchodné oznámenie? Môžem to tam dať alebo na to potrebujem špeciálny súhlas?
Diky pekne.
Ahoj Martine, rovnou odpovím:
add 1/ ANO! Je to hlavně pro vás.. jak prokážete, že to byl opravdu on?
add 2/ ANO! Jde vždy o obchodní oznámení.. i ten kurz vede k prodeji, ať se vám to líbí nebo ne 🙂
P.S.: Hlavní je, ať to máte v cajku a co říkala právnička: Papírování.. smlouvy se zpracovateli apod.
A co kontaktní formuláře a chaty na www (např. pluginy typu smartsupp), kde mi v mojí nepřítomnosti musí dát dotyčný kontakt, jinak se nespojíme, protože se chce třeba objednat, plácnu, na manikůru, jeho email nebo telefon mi spadne do emailu a já ho opravdu využiji pouze k tomu, abychom se spojili?
Dobrý den, Michaelo,
jde vždy o to, aby klient věděl, co se stane s jeho údaji. Nesmíte jeho osobní údaje použít jinak… tzn. pokud se stane klientem, pak na něj můžete posílat podobné nabídky bez souhlasu… pokud by ale zadal email do chatu, že se chce pouze něco zeptat, nesmíte (bez souhlasu) jeho email vzít a zařadit do newsletteru.
A ještě mě zajímá – co SimpleShop? Vzhledem k tomu, že možnosti prodejních stránek jsou velmi – řekněme – omezené, tak mám prodejku u MailerLite a kliknutím se dostávám na prodejní formulář SimpleShopu. Na Maileru zákazník nezadává žádné údaje, takže tam žádné zatrhávací tlačítko nedostanu. A na SimpleShopu ve formuláři není. Co s tím…? Pak tedy platícím zákazníkům nemůžu nic posílat. Nebo se mýlím? Někde narážím na informace, že pokud někdo nakoupí, jedná se stále o oprávněný zájem (jako nyní) a že mu tedy obchodní sdělení posílat můžu. Co Vy na to?
A jinak jsem narazila na vychytávku: „Přihlaste se k odběru newsletteru a jako dárek získejte e-book…“ Podle mě je to řešení.
Dobrý den, Simpleshop.cz a GDPR řešíme… můžete se podívat na https://www.gdpr.cz/skoleni, kde je použitý formulář ze simpleshopu a je v pořádku 🙂
Pokud někdo nakoupí, můžete posílat „podobné“ nabídky, ale né ty, které jsou úplně mimo (koupí pračku a pošlete mu nabídku na hračky).
Zatím je řešení nabídnout ebook za peníze nebo za přihlášení k odběru (ebook je zde zdarma).
Dane,
jsem píáristka a mám obsáhlý medialist novinářů (jméno, příjmení, e–mail), na které posílám informace e–mailem. Musím jako OSVČ GDPR řešit? Jak bych se nejlépe mohla dozvědět o řešení přímo pro mou situaci?
Děkuji za Váš čas a radu.
Nikola
Dobrý den, Nikolo.. bohužel netuším 🙁 V každém případě máte osobní údaje, které zpracováváte a pokud nemáte souhlas, tak je to problém. Zkuste se zeptat na gdpr.cz
Dobrý den Dane, prolouskala jsem se všemi komentáři, a došla jednoznačně k dojmu, že 14denní kurz bude výhodnějším magnetem než ebook (mohu mailovat plných 14 dní). Nicméně Vy sám píšete, že obsahem těchto 14 mailů mají být „odkazy na blog se články“, což je čistě neprodejní obsah. Pokud chci v rámci tohoto kurzu do emailů vkládat i odkazy na placené produkty, nebo kurz zakončit slevou a odkazem na svou konkrétní službu, jak to ovlivní vstupní formulář?
Musím lidem umožnit vstup do kurzu zdarma I BEZ obchodního sdělení – dát tam tedy dobrovolný checkbox a třídit je na jeho základě na dvě skupiny? (což by v praxi znamenalo posílat části z nich jiný obsah oněch 14 mailů, bez odkazů na produkty…)?
Nebo je v pořádku NEDAT JIM NA VÝBĚR a nechat je do kurzu vstoupit pouze při odškrtnutí checkboxu o obchodních sděleních?
Je samozřejmé, že na stránce kurzu zdarma srozumitelně popíšu, co jim v jeho průběhu budu zasílat, padnou i slova „obchodní sdělení“… jen si prostě nejsem jistá, jak je to s tou (ne)podmíněností. Děkuji, Magda.
Dobrý den, Magdo,
hlavně nepropadejte hysterii, jako celé ČR 🙂 Nicméně vše, co posíláte je obchodní sdělení.. včetně článků zdarma apod. Nesmíte jim to podmiňovat… ideální věta je „Souhlasím s dodatečným zpracováním mého e-mailu pro zasílání nabídek služeb provozovatele dle shora uvedených zásad.“ a zásady můžete mít, jako pí. Škorničková 🙂
Dane, Tvůj článek mě hodně pobavil, ale i potěšil. Mám rozečtenou směrnici o GDPR, a pročítám implementaci a koukám na videa právníků. Stále mi není jasné, jak to funguje s tím souhlasem, když se mi člověk bude chtít přihlásit k odběru emailů. Musí souhlasit se zpracováním osobních údajů, a pak ještě zvlášť s odběrem emailů? Nebo se to v tomto případě slučuje – on chce dostávat moje emaily, tak mi musí odsouhlasit ochranu OU?
Ahoj Evo, jde o to, o co jej žádáš… jednoduše: Vždy musí vědět, do jaké databáze spadne.
Tomu vůbec nerozumím.
Pokud se mi někdo přihlásí k odběru zpráv na facebook messenger a já mu budu zasílat články z blogu, zprávy pro VIP klub, kde jim třeba dám možnost rozhodovat o dalším článku, musí mi k tomu dát výslovný souhlas? A co když jim někdy chci napsat jen „ahoj, co je u vás nového?“ skrz manychat nebo tak… Stačí tlačítko? A musí to být tedy popsáno někde na webu, k čemu mi dávají souhlas?
Dobrý den, Simono, vždy jde o to, aby věděl, k čemu se člověk přihlásil… pokud se přihlásí k soutěži, nesmíte mu posílat jiné věci.
Všechny zprávy (včetně „ahoj, co je u vás nového?“ jsou obchodní sdělení.
Dane, moc děkuji za článek, je fakt super, ale jde vidět, že GDPR vymýšlel člověk, který tam nenechal prostor pro slušné marketéry. Například nechápu, jak to udělat – dávám e-book zdarma za e-mail – to mi připadá jako jasný obchod.
Barter, který fungoval od nepaměti. prostě jsem ochotná dát e-book zdarma za e-mail tečka – pracovala jsem na něm a má hodnotu – jsem ochotná tu hodnotu vyměnit za e-mail.
Je obchodní sdělení i e-mail o novém článku na blogu ve kterém jsou popsány zkušenosti s nějakým produktem, na který lze prokliknout?
Dobrý den, Zuzko,
problém není ebook za email.. problém je, že se pak dostávají obchodní sdělení, o kterých ten člověk vůbec nevěděl. Lidé, pokud nemusí dělat nějakou akci, moc nečtou 🙁
Od nepaměti jsou tady soutěže, ale po ukončení soutěží se vezme celá databáze a přehodí se pro obchodní účely… to je samozřejmě zakázané zákony ČR, ale všichni na to kašlou… proto vznikla bublina okolo GDPR: Občasné EU pochopí svá práva.
Obchodním sdělením je úplně cokoliv, co posíláte.. protože to vede vždy k prodeji.
Ahoj Dane,
nezvládla jsem zatím pročíst všechny komentáře, tak nevím, jestli to už nebylo zmíněno. Chápu dobře dle vyjádření UOOU, že je úplně jedno, že moji klienti jsou pouze z USA a i přesto se GDPR vztahuje na celou mojí databázi? To je poměrně velká konkurenční nevýhoda :/
Ano, je to tak 🙁 Nevím, jaká konkurenční nevýhoda to je, protože v USA to musí také řešit…
Ale v USA to řeší pouze, pokud jsou jejich zákazníci z EU, ne? Pak holt v nejhorším případě odstřihnout trh mimo USA a je to. Či se pletu?
Ano, je to tak.. ale zase takový problém GDPR není… takže bych úplně neodstřihával 🙂
Dobrý den, Dane,
na svých stránkách mám magnet zdarma (průvodce bylinkami), ale nejsem ani firma/podnikatel, ani nemám žádný placený produk.
Lidem z databáze občas pošlu odkaz na nový článek nebo jen zajímavosti, které je mohou inspirovat. Považuje se toto za obchodní sdělení? Posílám přes Mailchimp a double opt-in.
Díky za upřesnění, nějak se v tom ztrácím :-).
Dobrý den, Petro,
proč to děláte? Jen tak nebo nakonec od vás něco lidé koupí (nemusí jít o online produkt)?
Ještě jsem zapoměla na jednu věc:
v obchodě si zapisuji do sešitu objednávky kde uvádím jméno a příjmení a telefon – posílám SMS až je zboží naskladněno, musím mít souhlas od lidí s uchováním údajů? mají mi to podepsat, že souhlasí např s tím, že budu uchovávat jejich informace na dobu nezbytně dlouhou, max však po dobu 1 roku? (jeden rok proto-že mi vydrží sešit na rok) Nebo co s tím?
Markéta
Dobrý den, Markéto,
je telefon osobní údaj, který používáte pouze k informaci o naskladnění? To by mělo být ok… Pokud byste to pak chtěl používat k odesílání obchodního sdělení, tak je to věc navíc a doporučuji se obrátit na právníka.
Zdravím,
stále som trošku zmätená ohľadom cookies. Mám stránku (spravovanú cez wordpress), mám na nej nahodený Google Analytics, a nevyužívam to na žiadny remarketing, len čisto na analýzu návštevnosti, vyhľadávania a pod.
Je teda potrebný nejaký súhlas? Či už okienko vyskakujúce dole, cez celú stránku alebo nakoniec netreba žiadne?
A pokiaľ sa prihlási (email a meno) nejaký zákazník (či už nakúpil, alebo ešte nie) k newsletter, musím mu pri tom vypísať, čo všetko tie newslettery budú obsahovať, aby som mu mohla zasielať dané newslettery? Taktiež danú databázu niekde mať bezpečne uloženú. Správne?
Ešte toto zatiaľ nevyužívam na stránke, pretože sa GDPR trošku obávam (a nie je úplne pripravená na spustenie), takže nejaký tip na dobrý plugin, ktorý dokáže pracovať s ohľadom na GDPR?
Ďakujem
Dobrý den, Jano,
nic nepotřebujete, jen informovat návštěvníky stránky, že používáte cookies.. to je celé. Zákazníkům posíláte emaily na základě oprávněného souhlasu.
Dobrý den,
Vyrábím a prodávám šperky přes internet (flér, facebook, web). Jak se mě dotkne či edotkne GDPR. Zboží zasílám poštou na adresu, zbyde mi jen podací lístek.
To je strašně obecný dotaz.. doporučuji si pořádně přečíst článek, kde se vše dozvíte.
Dobrý den Daniely,
mám dotaz – provozujeme únikovou hru kdy se k nám lidé hlásí pomocí registračního formuláře, kde vyplňují jméno, email a telefonní číslo. Pro další použití využíváme pouze email, kam zasíláme informace o nových hrách.
Co jsem tak pochopil, tak by nám měl stačit souhlas se zpracováním osobních údajů pro zasílání informací, plus mít tyto emailové adresy uloženy na zabezpečené stránce, popřípadě v papírové formě uloženy v trezoru. Je tomu tak?
Na facebook dále vkládáme fotky hráčů, což by dle mého znamenalo, že musím mít souhlas všech lidí na fotografii s tím, že budou uveřejněni na FB, Je tomu tak?
Je to pro GDPR dostačující nebo potřebujeme provést další kroky?
Děkuji Petr Novák
Dobrý den, Petře,
takhle by to mělo být v pohodě. Jde HLAVNĚ o to, ať nevyužíváte emaily nebo fotky (prostě osobní údaje) pro něco jiného, než jste řekli.
Dobrý den,
děkuji moc za článek!
Zajímalo by mě, jak je to se zveřejněním jména a příjmení operátora zákaznické linky e-shopu z hlediska splnění GDPR vůči zaměstnanci tohoto e-shopu. Měli bychom žádat u zaměstnance jeho souhlas?
Děkuji,
Valeriia
To fakt netuším 🙁
Ok, každopádně děkuji 🙂
Není zač 🙂
Tak získala jsem názor právníků, třeba se to někomu bude hodit.
Osobní údaje zaměstnance sbíráte na základě splnění právní povinnosti a podle čl. 6 odst. 1 písm. C) GDPR tím pádem nepotřebujete ke zpracování takových údajů o zaměstnanci sbírat souhlas. Zaměstnance informujete, že osobní údaje o něm sbíráte. V případě pak vystupování zaměstnance jako operátora je oprávněný zájem, aby sděloval své jméno a pracovní e-mail a pracovní telefon. Ostatní osobní údaje jsou chráněny, nelze tedy všechny osobní údaje, které sbíráte o Vašem zaměstnanci, nemůžete sdělovat Vašim klientům e-shopu. K fotografii, kterou pořídíte jako zaměstnavatel se souhlasem zaměstnance k jeho osobnímu profilu musíte mít souhlas tohoto zaměstnance. Dodatek pak pracovní smlouvě k tomuto nepotřebujete, jméno a příjmení zaměstnance v takovém případě užíváte v souladu s právními předpisy.
Děkuji Valerie za komentář.
Dobrý den,
moc děkuji za užitečný článek a chci se zeptat. Jakožto freelancer, který nemá na webu žádný magnet, který neposílá žádné reklamní sdělení, musím GDPR řešit více, než lištičkou s informace o využívání cookies (mám nasazený Facebook pixel a kód GA, v PPC reklamách využívám remarketing)?
Druhá otázka je na Google Analytics, jak dlouho mohu dle GDPR uchovávat údaje o uživatelích a událostech? Analytics nabízí 14/26/38/50 měsíců, které časové období vybrat aby bylo vše v pořádku?
Moc děkuji za případné rady.
Jirka
Díky Jirko za komentář. Remarketing je ok a pokud v GA nepoužíváte speciální funkce jako UserID, tak vás údaje o uživatelích nemusí trápit 🙂
Ahoj Dane,
díky za článek. Máš nějaké zkušenosti, doporučení či tipy na GDPR complient cookies lišty (např. Cookiebot
Bohužel ne 🙁 Zatím jsem žádnou takovou neviděl… podle mě to stejně nakonec bude řešit prohlížeč…
Zdravim Dane,
cetl jsem jen asi 50% tehle diskuse, tak odpust, pokud se ptam podruhe.
Zajima me nasledujici situace:
Mam databazi kontaktu a chci je obeslat e-mailem s tlacitkem o souhlasu zasilani obchodnich informaci (klasika).
Predpokladam, ze na tento e-mail bude reagovat max. 5% lidi.
Proto poslu tento e-mail tem 95% (nebo treba jen tem, kteri neotevreli) znovu, treba za tyden. Opet bude reagovat nejake nizke procento lidi.
Dotaz: Jak dlouho a jak casto mohu tento e-mail posilat (dokud tu databazi „nevyzdimam“ na maximum o ten kyzeny souhlas?) Povazuje se zadost o souhlas za obchodni sdeleni, ktere po 25. 5. uz nemohu posilat? Do 25. 5. mohu takto zdimat? 😀
Dekuji (i za vseobjimajici clanek)
Dobrý den, Viktore,
už toto je „na hraně“, ale pořád do 25.5. za případnou menší sankci… takže bych to dělal do 25.5…. důležitější než četnost bych bral obsah (Předmět a Tělo emailu)… dá se to napsat hezky a vtipně 🙂
Dobrý den, rád bych se zeptal.
Jako OSVČ mám půjčovnu moto (2 moto). Co musím mít na webu dle nových pravidel napsáno, aby vše bylo v pořádku? Někdy klient udělá objednávku přes formulář na webu.
Poté já s klientem sepisuju smlouvu o nájmu a předpokládám, že na smlouvě ohledně souhlasů musím mít také něco uvedeno.
Díky za radu a zdravím
Stačí vám pouze oznámení na webu a smlouvu musíte mít samozřejmě v pořádku.. to udělá právník. Já se zabývám online marketingem a vše mimo s tím nesouvisí…
Hezký den Danieli,
Díky za článek a odkazy. Je to velmi užitečné.
Zajímalo by mně, jestli je povinné dát možnost lidem opt-out z marketingových nástrojů(trackovacích) jako např facebook pixel, google tag manager atp. ?
Zdraví,
Krištof
Bohužel ano 🙁
A máte nějaký tip jak to řešit na wordpressu?
Nepodařilo se mi najít opt-out pro facebook pixel ani google analytics.
Například smartlook ma webové rozhraní kde si každý může požádat o opt-out, ale další zmíněné to vůbec nemají.
Zároveň jsem se o tom bavil s pár lidmi, co mají eshop a těm právník řekl, že fb pixel ani analytics nesbírá osobní data tak je to v pořádku.
Zdraví,
Krištof
Zatím bych to neřešil… Udělejte minimum, sepisuji článek a snad zítra bude zde na blogu
Dobrý den,
chtěl bych se zeptat na váš názor ohledně jedné záležitosti v problematice GDPR. Je brána ve vztahu Správce – Zpracovatel také společnost, která provádí tvorbu a úpravy webové prezentace zákazníkovi. Má přístup do administrace webu, ale nijak dále nepracuje se zákaznickou databází?
Je pro tyto účely nutné sestavovat Smlouvu o zpracování osobních údajů
uzavřenou dle čl. 28 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“)?
Předem díky za Vaši zpětnou vazbu.
Doporučuji právníka… dle mého názoru opravdu záleží, co daná firma s daty dělá. Pokud to máte ve smlouvě nějak zakotvené, tak je to asi ok… GDPR často zmiňuje přiměřenost (což jde proti bublině, která se obzvláště v ČR neuvěřitelně nafoukla).
Zdravim. Mam databazu v Mailchimpe a uplne od zaciatku som pouzival double opt-in. Jediny doklad, ktory k tomu mam je vygenerovanie udajov do cvs z mailchimpu, kde je zapisany datum a sposob (opt-in). Ale nikde tam nie je vlastne napisane, s cim ti ludia v danej dobe suhlasili ( to uz je aj 7 rokov…) a medzitym som texty na weboch pomenit. Je potrebne od ludi vyziadat nove suhlasy na zasielanie mailov? A do buducna je potrebne si niekam nechat od kazdeho prihlasenia trebars mail s textom, ktory odsuhlasili ako kopiu?
Ano, raději bych to udělal… můžete tomu říkat čistka databáze… popravdě je to fajn: Ušetříte potom na nástroji a zlepší se vám i doručitelnost emailů 🙂
Dobrý den,
chtěl bych si s Vámi ověřit následující názor. Hostingové centrum uchovává IP adresy návštěvníků mých webů (prý musí ze zákona po dobu 6 měsíců), IP adresa je dle GDPR osobní údaj. Tím pádem neexistuje web, který nezpracovává osobní údaje. Je to tak? Můj druhý dotaz – hostingová centra se kterými jsem mluvil nenabízejí zpracovatelskou smlouvu. Některá tvrdí, že ji nahrazují jejich obchodní podmínky. Je toto v pořádku?
Díky za názor a za tento článek.
Dobrý den,
nejen IP adresy, ale i cookies je osobní údaj! Musíte o tom informovat… ideální je opravdu zpracovatelská smlouva s hostingem. Kdo ji nemá, zkuste jim poslat svoji nebo v Obchodních pomínkách by o tom webhosting měl mít něco napsaného.
Hezký den,
Tak dneska máme v platnosti GDPR.
Většina stránek nedává možnost opt-out z cookies, ani UOOU.CZ.
Z eshopů např. Alza, TS-bohemia a mnohé další, které jsem dnes analytoval.
Je to opravdu jisté, že opt-out musí být varianta?
Příjde mi divné, že by to ty velké firmy riskovali, když je může kodkoliv nahlásit a pokuty jsou opravdu velké.
Popravdě nikdo neví, jak to má být s cookies. Dle vyjádření UOOU to není potřeba, to ale neznamená, že je to správně 🙁 Tzn. až soudy rozhodnou, co je dobře…
Dobrý den, je v pořádku když sesbírám z nějakého katalogu (dejme tomu firmy.cz) kontakty a poté je oslovím dopisem s nabídkou služeb? Předpokládám že asi ne?
Pokud píšete na firmy (právnická osoba), tak se na to osobní údaje občanů nevztahují…. problém je zde s OSVČ (fyzická osoba).. těm nic neposílat!
Dobrý den,
zajímal by mě váš názor. Při nákupu na e-shopu chci dát zákazníkovi možnost přihlásit se k newsletteru, který bude obsahovat produkty také z jiného sortimentu. Stačí, když mi zaklikne checkbox nebo je potřeba i potvrzovací email (double opt-in)? Stejně tak, když pořádám soutěž a chci nabídnout účastníkům možnost zasílání newsletteru, stačí zakliknutí check boxu nebo je opět nutný double opt-in? Předem díky za odpověď,
Tomáš
Dobrý den, nákup a soutěž jsou naprosto odlišné věci. U soutěže určitě double opt-in!
Dobrý den,
obracim se na Vás s dotazem. Kamarád chce natočit video k svému projektu pro založení Veřejné dílny. Chce videem ukázat záběr na školáky, lidi, kteří s překvapením a nadšením touží po tím „něco se naučit, něco si pak vyrobit“. Účelem projektu je získat veřejný zájem, ale i možnost, aby lide příp.projekt finančně ,dobrovolně podpořili… Např. Si zakoupili nějaký předmět, nebo sw svou registraci stali fanoušky projektu, ATP. Je potřeba souhlas? Chápu to ze určitě
– k natočení videa s účastníky (existuje nějaký vzor,formulář)
– souhlas při registraci na stránkách projektu
(Jak by mel vypadat text k souhlasu FO?)
Děkuji
Dobrý den,
tady řeším online marketing… Nemůžete se zeptat nějakého právníka?
Dobrý den,
můj šéf mi přikázal abych pro něho zpracoval emailovou databázi všech svých doposud navštívených potenciálních zákazníků i přesto, že asi od 1/3 z celkového počtu těchto kontaktních osob nemám vizitku a vlastně ani od jedné kontaktní osoby nemám souhlas pro to, abych tuto databázi mohl vytvořit a předat jí druhé osobě. Můj šéf tyto konkrétní emailové adresy potřebuje s největší pravděpodobností pro účel hromadného oslovení v rámci email marketingu a pro evidenci v CRM, ale opět nemá ani jeden souhlas. Včera mi dokonce pohrozil, že když tu databázi nebude mít v emailu do 24.02., tak z toho vyvodí patřičné důsledky. Prosím o radu, jak postupovat. Moc děkuji.
Bohužel, nejsem právník.. ale doporučuji mu ukázat případy, kdy za to firma zaplatila nemalé peníze díky stížnostem na UOOU. Vše si nechte v emailu pro případné dokazování, a až mu to budete posílat seznam, tak to někde napište znovu nebo dokonce v XLS tyto řádky označte.