• Facebook
  • Twitter
  • RSS

GDPR in marketinška avtomatizacija

Tri ključna področja, ki jih je treba urediti, da boste skladni s Splošno uredbo o varstvu podatkov (GDPR).

Še na začetku leta smo mislili, da uredba GDPR pomeni konec marketinga, kot ga poznamo, a danes, nekaj tednov po uveljavitvi uredbe, nam je že postalo malo bolj jasno, da če se stvari lotiš pravilno, lahko nadaljuješ s svojimi digitalnimi aktivnostmi brez skrbi tudi v prihodnje. Ste pa verjetno vsi nekaj dni pred zloveščim 25. majem 2018 in nekaj dni po njem prejemali elektronska sporočila, ki so vas pozivala, da se še enkrat prijavite na nekaj, na kar ste že dali soglasje, ali pa so vas celo opozarjali, da vas bodo iz svoje baze izbrisali, če ne boste dali svoje privolitve. Nekatera podjetja so dejansko tudi šla brisati svoje baze, kar pomeni ogromno finančno škodo, ki pa je bila popolnoma nepotrebna. Če ste imeli podatke zbrane po pravilih ZVOP-1, ste tako ali tako morali svoje stranke samo obvestiti o novih pravilih varovanja osebnih podatkov in njihovih pravicah. Večina reakcij podjetij na GDPR je bila pretirana in to predvsem zaradi preveč restriktivnih nasvetov odvetnikov.

Namen uredbe ni prikrajšati marketing za podatke, ki so nujno potrebni za boljšo uporabniško izkušnjo in ciljno komuniciranje z našimi kupci, namen uredbe je dati lastnikom podatkov možnost, da se odločijo, ali bodo podatke delili z vami, in kaj boste s temi podatki počeli. Na prvem mestu sta varnost osebnih podatkov in transparentno obveščanje lastnikov podatkov, kaj se bo s temi podatki dejansko počelo. Je pa res, da uredba podaja precej široke usmeritve, ki so prepuščene interpretaciji in če vam kdor koli trdi, da do potankosti razume GDPR, se moti, kajti šele sodna praksa bo pokazala, kaj se dejansko sme in kaj ne.

V tem članku smo pripravili nekaj konkretnih priporočil, s pomočjo katerih boste lahko preverili, ali so vaše marketinške aktivnosti in orodja, ki jih uporabljate, ter način, kako jih uporabljate, skladni z GDPR. Priporočila se nanašajo na:

1. Privolitev posameznika, da se njegovi podatki lahko zbirajo in obdelujejo.

2. Odgovornost oziroma sposobnost, da dokažete svojo skladnost z načeli uredbe.

3. Varnost hrambe in obdelave osebnih podatkov.

Načela GDPR na razumljiv način

Peti člen uredbe GDPR določa ključna načela, ki jih mora vsak upravljavec (vsa podjetja, ki so lastniki baz osebnih podatkov) podatkov upoštevati oziroma jim slediti. Ta člen določa, da se osebni podatki:

  1. Obdelujejo zakonito, pošteno in pregledno, predvsem pa, da se ne obdelujejo za prikrite ali drugače nepoštene namene.

Pa se ustavimo pri zakonitosti, kajti ta je ključna za naše marketinške aktivnosti. Zakonitost pomeni, da za obdelavo osebnih podatkov potrebujemo pravno podlago. To je lahko:

  • Poseben zakon, ki izrecno določa, katere podatke moramo zbirati in kako dolgo jih moramo hraniti.
  • Pogodbena obdelava (to je zelo pogosta pravna podlaga) – s stranko nameravate skleniti pogodbeno razmerje ali imate z njimi že sklenjeno pogodbo, zato potrebujete določene osebne podatke. Te podatke pa lahko uporabljate samo za namene izpolnitve pogodbenih obveznosti. Za marketing to pomeni, da lahko s svojimi (potencialnami) strankami stopite v stik samo z namenom sklenitve ali izpolnitve pogodbenih obveznosti in s tem povezanimi aktivnostmi. Lahko jih obveščate o nadgradnji produkta, za katerega ima sklenjeno pogodbo, ne smete pa ponujati drugih storitev. Če je pogodba že potekla, pa teh stikov ne smete uporabljati za trženjsko komuniciranje. Nekdo je pri vas na primer kupil avto in s plačano kupnino se je pogodbena obveznost zaključila. Tej stranki brez njene izrecne privolitve ne smete pošiljati komercialnih informacij o novih avtomobilih ali dodatni opremi, saj nimate privolitve za uporabo njenih osebnih podatkov v te namene. Lahko pa jo obvestite o rednem servisu, ki ga mora kmalu opraviti. Po preteku garancijskega obdobja morate njene osebne podatke iz svoje baze izbrisati, razen če ste v vmesnem času pridobili njeno soglasje ali sklenili novo pogodbeno razmerje.
  • Osebne privolitve (za namene marketinške obdelave) – oseba vam prostovoljno da osebne podatke za namene, ki jih opredelite na prijavnem obrazcu, ter način obdelave pojasnite v splošnih pogojih. Paziti in poskrbeti moramo, da osebne podatke obdelujemo samo za namene, za katere smo dobili privolitev. Posameznikom mora biti tudi jasno, za katere namene bodo dali privolitev, zato je treba namene dobro opredeliti in vnaprej razmisliti, za kaj jih bomo potrebovali.
  1. Zbirajo za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni.

To preprosto pomeni, da če vam je oseba dala privolitev, da ji pošiljate informacije o dogodkih, ni pa vam dala privolitve za profiliranje, te osebe ne smete profilirati, čeprav je v vaši bazi. Oziroma, kot zapisano zgoraj pod pogodbeno obdelavo, če je vaša podlaga pogodbena obdelava, teh podatkov ne smete uporabljati za trženjsko komuniciranje, pa če bi osebi še tako radi poslali informacijo o najnovejšem produktu, ki ga imate v portfelju.

  1. Ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo – najmanjši obseg podatkov.

Zbiramo res samo to, kar je potrebno, in nič več. Podatkov ne zbiramo na zalogo, ker nam bodo nekoč morda prišli prav. Ali res potrebujete datum rojstva za prijavo na e-novice? Če znate utemeljiti, zakaj ga potrebujete, ga zahtevajte, če ga ne znate utemeljiti, pa ga raje ne shranjujte.

  1. So točni in posodobljeni.
  2. Osebni podatki se hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe.

Rok hrambe v GDPR ni opredeljen. Veliko podjetij je v splošnih pogojih zapisalo, da se podatki hranijo do preklica, tudi informacijski pooblaščenec ima v svojih pogojih zapisan takšen rok. To sicer v uredbi ni izrecno prepovedano, je pa v nasprotju z namenom tega člena. Praksa bo pokazala, ali je takšna opredelitev roka trajanja sprejemljiva ali ne.

  1. Obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, z ustreznimi tehničnimi ali organizacijskimi ukrepi.

Podjetje ima odgovornost, da uporablja skladno tehnologijo, da so podatki varni in v skladu z uredbo. Pričakuje se, da morate slediti trendom na področju hrambe in varnosti podatkov. Vaša odgovornost je, da izberete programsko opremo, ki je skladna z GDPR. Prav tako morate poskrbeti za vsa potrebnasredstva in znanja, da z osebnimi podatki ravnate, kot določa uredba.

Tri ključna področja za marketing

V okviru GDPR so tri ključna področja, kjer mora marketing preveriti svoje pretekle, trenutne in prihodnje prakse:

  1. Privolitev posameznika, da se njegovi podatki lahko zbirajo in obdelujejo.
  2. Odgovornost oziroma sposobnost, da dokažete svojo skladnost z načeli GDPR.
  3. Varnost hrambe in obdelave osebnih podatkov.

Ko razmišljate o svojih aktivnostih na področju trženja in ali so te skladne z GDPR, se vprašajte naslednje:

  • Pridobivanje: Kako skladno z zakonom pridobivati podatke potencialnih kupcev?
  • Procesiranje: Kako skladno z zakonom kupce obvestiti o aktivnostih in segmentaciji, ki jih bomo s pomočjo shranjenih podatkov počeli?
  • Varnost: Kako poskrbeti za ključne vidike varnosti tehnologije, ki jo uporabljamo za hranjenje in obdelavo podatkov?

Ali veste, kje so vaši podatki?

Kot smo že omenili, ste za varnost podatkov in njihovo obdelavo odgovorni vi, upravljavci. Da bi lahko zagotovili varno in skladno obdelavo, pa morate najprej vedeti, kje vaši podatki so, kajti uredba GDPR velja tako za podatke, ki so zapisani na listu papirja, kot za tiste v Excelovi tabeli, v vašem Outlooku ali CRM-ju. Bolj ko imate razpršene podatke in več ljudi ima do njih dostop, težje boste skrbeli za njihovo varnost ter za zagotavljanje pravice do izbrisa ali spremembe.

Vzemimo kar precej pogost primer, kako so podjetja s podatki ravnala do zdaj.

Podjetje ima spletno stran in svoj CMS. Dostikrat se osebni podatki hranijo v CMS-ju, če nimate obrazcev v lastnem sistemu, mogoče jih zbirate v Googlu, nato jih izvozite v Excel, naredite analize in pošljete te podatke oglaševalski agenciji (obdelovalcu), da pripravijo kampanjo.

Excel po elektronski pošti pošljete tretji osebi zunaj podjetja, ki ta Excel shrani ali na svojem disku ali omrežnem disku podjetja. Verjetno pošlje Excel z osebnimi podatki še komu znotraj pojdeta ali pa imajo drugi neoviran dostop do te datoteke.

Pozneje, ko se kampanja konča, pridejo podatki nazaj v podjetje, po možnosti obogateni z dodatnimi informacijami, in če imamo CRM, jih uvozimo iz Excela še tja.

To je sicer zelo pogosta praksa ravnanja z osebnimi podatki. Težava pa je, da so ti podatki na toliko mestih in ima dostop do njih toliko ljudi, da boste s težavo inšpekciji dokazali sledljivost ter kdo je kdaj imel dostop do teh podatkov in kje dejansko so.

Rešitev je v oblaku

 Ena izmed rešitev je centralizacija zbiranja podatkov. Namesto vseh Excelov najamete CRM ali Marketing Automation v oblaku, kjer vse podatke o strankah shranimo na enem mestu. Do baze lahko dostopate kadar koli od koder koli. Do nje lahko dostopajo lastniki podatkov, ki enostavno dajejo ali odvzemajo soglasje, in do nje lahko dostopajo agencije, s katerimi sodelujete.

Rešimo se vseh Excelov in prepošiljanja različnih verzij baz ter hkrati poskrbimo za varnost in transparentnost obdelave podatkov.

Ko pride inšpekcija, lahko zelo hitro pokažete, kje imate shranjene podatke, kdo vse ima dostop do njih in v kakšnem obsegu, ter pokažete vse zbrane privolitve za obdelavo teh podatkov.

Problem hrambe na več mestih je tudi v tem, da moraš za vsako mesto, kjer osebni podatki so, sprejeti ustrezne varnostne ukrepe. Kar je bistveno težje, če jih imaš na več mestih in v različnih sistemih. Rešitve v oblaku so v tem primeru veliko bolj praktične.

Marketinška avtomatizacija (Marketing Automation) = skladnost z GDPR

Platforma Marketing Automation vam omogoča, da enostavno in hitro pridete do zbrane privolitve. V Excelu boste zelo težko dokazali, kdaj ste dobili privolitev. Če imate sistem, ki to že serijsko omogoča, je stvar precej lažja.

Funkcionalnosti platforme Marketing Automation nam lahko pomagajo hitreje do skladnosti z GDPR. Kajti ti sistemi omogočajo:

  • enostavno dokazljivost zbranih privolitev, z dokumentiranim časom in obsegom privolitve;
  • enostavno integracijo obrazca za zbiranje podatkov in spletne strani;
  • enostavno dodajanje in odstranjevanje podatkovnih polj za zbiranje privolitve v obrazcih;
  • enostavno dodajanje, enostavno spreminjanje nastavitev privolitve naših strank;
  • enostavno brisanje osebnih podatkov;
  • jasno sliko, kako in zakaj profiliramo, ter kaj avtomatiziramo;
  • najvišjo stopnjo varnosti.

Privolitve – kaj se sme in kaj ne

Neskladna privolitev

Takšen obrazec za pridobivanje osebnih podatkov je še vedno precej pogost primer, ki pa ni več ustrezen. Vsi podatki so označeni kot obvezni za prenos vodnika. Prvo vprašanje, ki nam ga lahko inšpektor zastavi, je: zakaj zahtevam osebne podatke za prenos vodnika? Prenese si ga lahko, ne da bi nam pustil osebne podatke.

Ali res potrebujemo telefonsko številko, da nekdo prenese vodnik? To je že sporen podatek.

Zbirati je treba samo nujno potrebne podatke in namen za njihovo uporabo naj bo zelo jasen.

V tem primeru obrazec nima jasno navedenih namenov, za katere se ti podatki zbirajo. Za vsako kategorijo podatka morate biti sposobni utemeljiti, zakaj ga dejansko potrebujete in ali je to relevantno.

Vse podatke, ki nam jih posameznik prostovoljno da, lahko kadar koli tudi prekliče. To mu moramo omogočiti na enako enostaven način, kot je bila enostavna privolitev.

Skladna privolitev

V tem primeru smo »prenesi vodič«, zamenjali z »naroči vodič«. Če se oseba naroči nanj, seveda potrebujem njen elektronski naslov, da ji lahko pošljem priročnik. Ime in priimek nista pretirana osebna podatka, e-naslov pa je potreben, da ji lahko priročnik pošljemo. S splošnimi pogoji se oseba mora strinjati, tako da je v tem primeru sprejemljivo, da je to obvezno polje, saj smo jo v splošnih pogojih obvestili, kaj počnemo s podatki. Privolitve ne smejo biti predodkljukane, saj mora posameznik prebrati splošne pogoje in se seznaniti s tem, kaj počnemo z njegovimi osebnimi podatki. O tem smo ga dolžni obvestiti, zato je to lahko obvezno polje.

Prejemanje e-pošte je namen. Navesti je treba vse namene, za katere zbiramo podatke. Nameni ne smejo biti obvezno polje. posameznik mora imeti pravico, da se prostovoljno odloči, ali bo dal soglasje za posamezen namen ali ne. Eden izmed namenov je tudi obveščanje o dogodkih oziroma povabila na dogodke, ki jih organizira podjetje. Do pred kratkim je bilo nejasno, ali je treba vsak trženjski namen opredeliti posebej ali se lahko združujejo v kategorije. Ker še vedno ni jasnih navodil, so podjetja to začela uporabljati, kar načeloma ni sporno, vendar bo pokazala praksa, da se promocijske aktivnosti združijo v namen »neposredno trženje« – pri čemer je ta namen na obrazcu treba bolj podrobno opisati in pojasniti, kaj neposredno trženje zajema.

Profiliranje mora biti poseben namen. Nikakor ga ne smemo združevati v katero drugo skupno kategorijo namenov.

In, seveda, ne smemo pozabiti na obvestilo o piškotkih. Pravila se tukaj še niso spremenila in tudi uredba jih ne ureja.

Povezava do splošnih pogojev mora biti vidna, splošni pogoji pa morajo biti čim bolj razumljivo napisani. Izogibajte se zapletenemu pravniškemu jeziku. Zapisati moramo vse, kar počnemo s podatki, kdo ima do njih dostop in katera orodja uporabljamo pri tem (več o splošnih pogojih malo nižje). Dokler  v splošne pogoje zapišemo, kaj bomo počeli, smo na varni strani GDPR.

Namen, zakaj zbiramo podatke, mora biti jasen, in uporabnik mora imeti možnost izbire, ali se strinja z njim ali ne. Kako bomo podatke obdelovali, pa na čim bolj preprost način opišemo v splošnih pogojih, s katerimi se mora strinjati, če želi uporabljati našo storitev. Torej, če se posameznik ne strinja, da ga profiliramo, njegovih podatkov v te namene ne bomo uporabljali, če  se strinja s profiliranjem, pa ne more vplivati na to, kakšne vrste profiliranja bomo izvajali.

Odvzem privolitve in prenos podatkov

Odvzem privolitve za posamezne namene ali za vse namene je ključna pravica posameznika po GDPR. In vi ste mu jo dolžni zagotoviti.

Če imate podatke, kot smo prej opisali, razpršene po različnih dokumentih in v različnih sistemih, bo to kar dolgotrajen proces. Če jih imate shranjene na enem mestu, pa so spreminjanje privolitev, brisanje in prenos podatkov, za vas preprosti in »neboleči«.

Če posameznik zahteva popoln izbris, ste dolžni to zagotoviti. To pomeni, da ga je treba izbrisati tudi iz vseh varnostnih kopij vaših sistemov, in to tako, da ga ni mogoče več identificirati. Njegove podatke sicer še lahko hranite za namene statistike, vendar tako, da jih nikakor ne morete več povezati z dotično osebo.

Vi ste odgovorni za varnost

Po novem nosi v uredbi precej večjo odgovornost upravljavec podatkov.

Odgovornosti ne morete prevaliti na ponudnika storitve. Vi kot upravljavec ste dolžni uporabljati orodja in izvajalce, ki so skladni z uredbo.

V pogodbi o obdelavi podatkov z obdelovalcem je treba jasno opredeliti odgovornost za skladnost z GDPR in kdo je odgovoren, če pride do varnostnega incidenta, ter kakšni so postopki v takšnem primeru. V vsakem primeru pa je odgovornost tudi upravljavčeva. Vsi standardi veljajo enako za upravljavce in obdelovalce.

Če želite preveriti, ali so orodja, ki jih v marketingu uporabljate, varna in skladna z uredbo GDPR , je tukaj seznam vprašanj za vašega IT ali obdelovalca podatkov.

Seznam vprašanj

  • Varovanje podatkov
    • ali je pretok podatkov med upravljalcem in stranko varovan z močnimi »encryption« metodami?
    • ali imajo tisti, ki upravljajo z varnostjo, ustrezna znanja in podpisane pogodbe o varovanju osebnih podatkov?
    • ali podjetje skrbi za redno usposabljanje ekipe, ki skrbi za varnost rešitve?
  • Sistem za upravljanje informacijske varnosti
  • Kopija podatkov in spremljanje
  • Zagotavljanje kakovosti
    • ali podjetje, ponudnik rešitev, zaposluje ekipo za zagotavljanje kakovosti (quality assurance), ki redno in brezkompromisno izvaja teste, s pomočjo katerih zmanjšuje nepravilnosti in drastično izboljšuje varnost rešitve?
  • Nadzor nad dostopom
    • ali ima platforma možnost omejevanja dostopa do osebnih podatkov?
    • ali je vsak poseg ob spremembi osebnih podatkov skrbno zabeležen?
  • Zasebnostni ščit
    • ali je podjetje, ponudnik rešitev, pridobilo certifikat Privacy Shield, če ima ponudnik sedež zunaj Evropskega gospodarskega prostora (EEA)?
      (https://www.privacyshield.gov/welcome

Članek je bil objavljen v julijski, 445/446. številki Marketing magazinaNa spletu objavimo le 20 odstotkov člankov iz revije. Na MM se lahko naročite na i[email protected]