Dobio sam bezbroj poruka da napišem GDPR vodič, i evo, ovaj tekst treba da odgovori na najčešća pitanja koja svi mi imamo.
Da bih napisao ovaj tekst, konsultovao sam se, po mom mišljenju broj 1 ekspertom za GDPR kod nas, advokatom Aleksandrom Ugljevarevićem. Prvo smo imali dugačak razgovor-intervju, a onda sam ja još dodatno istražio po netu i ispisao sve što ovde vidite.
No, i pored toga, odmah želim da stavim:
ODRICANJE OD ODGOVORNOSTI
Ovo što piše u tekstu nisu pravni saveti i ne treba da ih uzimate kao takve. Ja nisam odgovoran za bilo kakve probleme koje možete imati zbog kršenja GDPR regulativa. Ovo je blog post jednog blogera koji daje svoje mišljenje i na svoju ruku interpretira najčešće GDPR nedoumice.
Pošto je to jasno, možemo da pređemo na temu.
Šta treba da uradim da bih bio GDPR compliant?
Mnogi ljudi misle da se GDPR rešava tako što se instalira na sajt nekakav “GDPR plugin”, ili se copy-pejstuje neki gotov tekst i to stavimo u nekakav privacy policy na sajtu, samo zamenimo ime firme sa našim. Ili da samo treba da stavimo onaj popup sa gomilom teksta koji niko ne čita, i dugme “slažem se”.
Nažalost, GDPR ne može da se reši “u dva klika”. Internet je prepun ljudi koj žele da kapitalizuju na račun GDPR panike, da iskoriste to što su se svi uplašili od onih milionskih kazni o kojima pišu klikbejt novinari, i zato ćete naleteti na razna takva instant “rešenja”.
Kod GDPR-a, ne postoji “one size fits all” rešenje. Umesto toga, odvojite vreme da pročitate ovaj tekst, da biste shvatili šta vi zapravo radite sa podacima vaših korisnika i gde vas GDPR klasifikuje. Na kraju teksta će vam biti jasno i šta treba da uradite.
NEMOJTE ČITATI OVAJ TEKST “NA PRESKOK”
Ako budete čitali samo sekcije koje vas zanimaju na osnovu podnaslova, nećete ništa razumeti, ili još gore, pogrešno ćete razumeti. Morate prvo da naučite šta koji GDPR termin znači, jer ćemo te termine da koristimo u kasnijem delu teksta.
Velike kompanije već odavno imaju nekog ko im sve ovo uteže i brine se redovno o tome. Ovaj tekst je namenjen za mala i srednja preduzeća, da ih uvede u priču. I naravno, GDPR je mnogo širi od samo marketinga, odnosi se na celo poslovanje. Ja se ovde fokusiram samo na marketing.
Opet, ako želite da budete 100% sigurni šta radite, idite na konsultacije kod nekog ko je GDPR stručnjak (kasnije u tekstu pomenuću i kako da izaberete tog stručnjaka).
Za početak, bitna napomena:
GDPR ne važi samo ako poslujete u EU – važi i u Srbiji
GDPR je napravio revoluciju u smislu da se primenjuje i van teritorije EU. Bilo koji sajt/aplikacija/kompanija koja nudi svoje usluge ili proizvode licima u EU ili prati ponašanje lica u EU (čitaj ‘cookies’, pixel…), u obavezi je da se uskladi sa GDPR-om.
Da, u Srbiji od avgusta 2019 godine počinje da se primenjuje Zakon o zaštiti podataka o ličnosti koji je isti kao i evropski GDPR, tako da sve ovo možete da uzmete kao relevantno i za našu državu.
Prvi korak je da razumemo suštinu GDPR-a, i zašto je on zapravo donet.
Zašto postoji GDPR?
Nikada u istoriji čovečanstva nije se dogodilo da 2-3 firme toliko narastu preko noći i da odjednom drže celo čovečanstvo “u šaci”. Pre svega Facebook, Google, i ostala zvučna imena. Oni imaju zastrašujuću količinu podataka o svima nama.
GDPR je napravljen pre svega zbog njih. To znači da Zuckerberg ima mnogo više razloga da se znoji oko GDPR-a nego tamo neki mali online shop iz Srbije.
Svaka inovacija u tehnologiji nosi sa sobom i mogućnosti zloupotrebe koje nisu ograničene zakonom jer se tehnologija mnogo brže razvija od zakona koji je reguliše. Zato se s vremena na vreme uvode ove nove regulative, da zaštite građane. Recimo, kad su se pojavili dronovi, vrlo brzo smo dobili regulative, čiji je cilj da spreče da se neko povredi, ili da se sruši avion prepun putnika jer je neko pustio drona pored aerodroma.
Isti cilj ima i GDPR – da zaštiti građane.
Zakon je predložen još 2012, i velike IT kompanije su se dugo opirale. Donošenje GDPR-a je bila velika borba, oni su sipali veliku lovu u lobiranje da se zakon ne izglasa. Jer, njihov biznis model se zasniva na našim podacima. Uz teške muke, GDPR je ipak usvojen 2016. godine.
Da biste shvatili šta treba da radite, prvo je potrebno da razumete osnovne termine GDPR-a. Ovo je toliko važno, da ću da izdvojim u poseban blok:
Da biste razumeli šta treba da radite po pitanju GDPR-a, morate da naučite šta znače određeni GDPR termini. Tek tada ćete skontati koji od tih termina se primenjuje na vas.
GDPR terminologija
Controller (rukovalac)
Processor (obrađivač)
Onaj ko procesuira podatke koje je kontroler sakupio. Recimo, ako koristite firmu Mailchimp da sakupljate adrese ljudi i šaljete im poruke, Mailchimp je processor.
Vi izdajete komande Mailchimp robotu šta da radi sa adresama i kad šta kome da šalje, on ne radi ništa “na svoju ruku” sa tim podacima. Dakle, vi ste kontroler, on je procesor.
Personal data (lični podaci)
Da biste znali da li se GDPR odnosi na vas, morate da znate da li su podaci koje skupljate lični ili ne.
Lični podaci su sve ono na osnovu čega možete da identifikujete određenu osobu. Neke stvari su očigledne, na primer, ime i prezime, ili email adresa. Međutim, tu spadaju i stvari kao što je IP adresa, GPS lokacija, i slično.
Data protection officer – DPO (lice za zaštitu podataka o ličnosti)
Ovo je osoba koja je u firmi zadužena za brigu da sve aktivnosti budu “GDPR compliant”. Ova osoba može da bude stalno zaposlena, ili da se angažuje kao spoljni saradnik.
Po zakonu ste dužni da imate data protection officera ukoliko se srž vašeg biznisa zasniva na prikupljanju i obradi ličnih podataka.
Na primer, bolnica koja ima veliki broj pacijenata i obrađuje veliki broj osetljivih podataka mora da ima DPO. Ali, lokalni stomatolog iz Kragujevca koji beleži podatke o svojim pacijentima ne mora da ima posebnog DPO.
Sada dolazi veoma važan korak – da definišemo koji sve osnovi prikupljanja podataka postoje. Osnov obrade se određuje u odnosu na svrhu zbog čega prikupljate lične podatke (marketing, ugovor, radni odnosi…). Jednom kada znate ove osnove, tada ćete znati šta da radite.
Mogući osnovi prikupljanja podataka
GDPR definiše šest osnova za prikupljanje podataka. Vaš zadatak je da ovo pročitate i da ukapirate u koji od ovih šest spada ono što vi radite (ili planirate da radite).
Za naše, praktično i svakodnevne potrebe marketinga, bitno je da zapamtite načine 1, 2 i 6. Njih sam označio crvenom bojom.
1. Pristanak (consent)
Pristao sam da dam svoj podatak za određenu namenu. Na primer, uneo sam svoju email adresu da biste me kontaktirali povodom prodaje životnog osiguranja. To ne znači da sutra možete da me kontaktirate povodom ponude kredita za stan.
2. Ugovor pri kupovini
Dajem svoje podatke jer mi je jasno da bez njih ne može da se obavi transakcija. Na primer, kupujem na sajtu i ostavljam email adresu da bih tamo dobio račun, podatke oko isporuke itd. Takođe, ostavljam broj telefona i adresu da bi me kurir kontaktirao oko dostave.
3. Zakonski
Zakon je propisao da taj podatak mora da se uzme. Npr. poručujem tri flaše viskija online, moram da unesem datum rođenja da bih dokazao da nisam maloletan.
4. Životni interes
Ako neko padne u nesvest na ulici, vi imate pravo da izvučete njegov telefon i ličnu kartu iz džepa i da zovete rodbinu (i hitnu pomoć, naravno!)
5. Javni interes
Na primer, država postavlja kamere po ulici da bi zaštitila građane od terorizma itd.
6. Legitimni interes
Ova stavka je jako važna za nas iz marketinga, i generalno kroz nju mogu da se opravdaju mnoge stvari koje marketari rade, ali je veoma podložna i zloupotrebi.
Legitimni interes je kada neko smatra da ima legitimno pravo da me kontaktira jer misli da može da mi pomogne. Na primer, ja prodajem softver za stomatologe koji im olakšava posao. Pronađem kontakt jednog stomataloga na njegovom sajtu, i pišem mu email u kojem se predstavim, objasnim kako softver radi, i predložim da se sastanemo da mu pokažem demo. To je ono što u B2B marketingu zovemo email outreach.
U ovom slučaju ja mogu da se pozovem na legitimni interes, jer se taj neko bavi veoma specifičnom vrstom posla i ja nudim nešto što može da unapredi njegovo poslovanje.
S druge strane, kada bih se javio tom istom stomatologu sa idejom da mu ponudim životno osiguranje, tu više ne može da se govori o legitimnom interesu, jer ja nudim nešto što niej specifično vezano za njegov posao.
Kao što vidite, legitimni interes nije egzaktno definisana stvar, i zato je zanimljiva. Mnoge marketinške metode iz pre-GDPR ere danas pokušavaju da se provuku kroz ovaj “legitimni interes”. Budite veoma pažljivi.
Ko definiše legitimni interes? Ako sam ja neki spamer koji šalje raznim nepoznatim ljudima emailove za prodaju parfema, u teoriji ja mogu da se pozovem na legitimni interes i da kažem “svako želi da miriše lepo, ja želim da pomognem ljudima”. Međutim, legitimni interes se zasniva na zdravorazumskim očekivanjima.
Znači, ako proizvođač softvera za stomatologe kontaktira stomatologa, to spada u zdravorazumsko očekivanje, nešto sa čime bi se većina ljudi funkcionalnog stanja svesti na ovom svetu složilo da je ok. Stomatolog razvija svoj biznis i pretpostavka je da želi da ga unapredi, pa ukoliko taj softver zaista njemu olakšava posao može se pretpostaviti da bi mu bio zanimljiv.
Legitimni interes uglavnom može biti legitiman u B2B transakcijama.
Vratićemo se kasnije na sve ove termine, kada budemo razmatrali neke primere uklapanja marektinga u GDPR.
Sada kada smo definisali termine, hajde da vidimo kako da ih primenimo u praksi.
Šta je sa cookies na sajtu?
Cookies, kao što znamo, služe da neki podaci o posetiocu našeg sajta ostanu zapamćeni u browseru.
Ljudi često misle da se samo GDPR bavi regulativom cookies-a. Međutim, time se bavi i jedna druga, srodna regulativa koja se zove ePR (ePrivacy regulation). Trenutno se u EU radi na novoj regulativi ePR, koja će zameniti ePD, sličnu uredbu iz 2002, i koja će biti komplementarna GDPR-u.
Kad se kaže GDPR, uglavnom se misli na GDPR i ePD u paketu, ali eto, čisto da znate šta je šta.
U zavisnosti od toga kako koristimo cookije sakupljamo na sajtu, moramo ili ne moramo da stavimo popup obaveštenje posetiocima sajta kada prvi put dođu.
Da li moram da stavim popup koji traži od posetioca dozvolu za cookies?
GDPR kaže da moramo da tražimo dozvolu ukoliko u naše cookies smeštamo lične podatke.
ePD kaže da moramo da tražimo dozvolu za sve cookies osim za one koji su neophodni za normalno tehničko funkcionisanje sajta.
Na primer, imam sajt na kojem posetioci mogu da biraju da li je pozadina crna ili bela, i to smeštam u cookie da bude zapamćeno za sledeći put.
Međutim, ako se u cookies smešta bilo kakav lični podatak, onda moramo da tražimo dozvolu pre nego što se taj cookie aktivira. Idite gore i ponovo pročitajte šta se sve smatra za lični podatak – IP adresa, itd.
S obzirom da danas sajtovi koriste Google Analytics, Facebook Pixel i razne druge pluginove koji pamte makar IP adresu, šansa da ne morate da imate ovu dozvolu je bliska nuli. Zaključak – popup, ili neki drugi način pristanka morate imati (budite kreativni i probajte da zamenite klasične popapove – svajp preko telefona, mahanje ispred kamere telefona…).
Kakav popup da stavim? Da li može samo dugme “slažem se” i sitan tekst pored?
Ovo je tema oko koje ima raznih interpretacija. Naravno, svi mi želimo da što manje narušavamo doživljaj posetiocima. Ako pitate nekog ko je zadužen za marketing u firmi, oni bi najradije stavili nešto ovako, sitno u dnu sajta:
Ako pitate nekog ko propagira striktno poštovanje regulativa do najsitnijeg detalja, reći će da posetiocu treba da se otvori nešto ovako, posred sajta u full screenu:
Ovo je, dakle, full GDPR kompatibilno rešenje, otvara se prozor u kojem mogu posebno da se čekiraju vrste cookie-a, i po defaultu moraju biti odčekirani svi osim onih neophodnih za normalno tehničko funkcionisanje sajta. Sa druge strane, ovakav doček na landing stranici rasteruje posetioce, povećava bounce rate i drastično smanjuje prihode sajta koji dolaze od marketing cookie-a, jer ljudi treba svesno da ih uključe (jasno vam je da jako malo ljudi to uradi).
Pravo rešenje je zapravo negde između, i zavisi od industrije do industrije.
Prvi primer se smatra za nedovoljan, po GDPR-u: “Samim korišćenjem sajta smatramo da se slažete”, i golo dugme OK. I automatski se uključe sve vrste cookie-a.
Drugi primer je verovatno isuviše invazivan. Unesite kreativnost
Međutim, na mnogim sajtovima ćete naći upravo ovakvo rešenje, čak i sajtovima nekih velikih brendova kao što je New York Times. Kako sad to?
To je zato što su se magazini i portali širom sveta dogovorili da budu u ovoj “sivoj zoni”. Cela ta oblast online novinarstva ionako jedva uspeva da se skrpi sa prihodima, poslednje što im treba je da ostanu bez prihoda od reklama koje se zasnivaju na cookies i praćenju ljudi (retargeting).
Da stavimo stvari u perspektivu: Recimo da imate portal koji živi od običnih Google AdSense reklama, i zarada od toga je 10.000 dolara mesečno. Poslednjih godina pojavile su se header bidding reklame (prostim rečima, retargeting baziran na podacima iz cookies-a, reklame koje vas jure), i kada stavimo ove reklame na naš portal umesto AdSense, zarada ume da skoči i do 20-25 hiljada, znači dvaput više. Takva je bar statistika kod ljudi koje lično poznajem (radi se o portalima na engleskom jeziku).
Ako sada uvedete full GDPR popup, tu je u startu isključena opcija za marketing cookies, i posetioci bi morali svesno da je uključe pre nego što stisnu “OK”, da bi nama radile retargeting reklame. To uradi ispod 10% ljudi, jer kao što znamo, šta god da iskoči ljudima oni samo kliknu na OK, neće da se zamaraju detaljima. To znači da zarada vašeg portala sada spada sa 20.000 nazad na 10.000, samo zbog GDPR popupa.
U marketing cookies spada i Facebook pixel, tako da, ni on više ne radi ukoliko ljudi samo kliknu i nastave dalje. Znači, sa ovakvim rešenjem u problemu je i svako kome se deo poslovanja zasniva na Facebook pikselu.
Generalno, sa stupanjem GDPR-a na scenu nastala je panika, jer mnogim firmama sve zavisi od prihvatanja ovih marketing cookies-a – govorimo o kompanijama vrednim milione, o hiljadama ljudi koji bi ostali bez posla i njihovim porodicama.
To je, dakle, slučaj sa portalima.
Koje bi onda rešenje bilo dovoljno dobro za GDPR, a da omogućava korišćenje marketing cookies-a?
To bi bilo rešenje koje daje ljudima jasnu mogućnost da prihvate ili ne prihvate korišćenje marketing cookies-a, bez ulaženja u detalje.
Na primer, za moj sajt bih uradio ovakav popup u dnu stranice:
Klik na “prihvatam” uključuje sve cookie. Ako neko klikne na “pogledaj sve namene”, dobio bi novi prozor u kojem može posebno da izabere sve vrste cookie-a (marketing, analitika, funkcionalnost…), i po defaultu tu bi bili svi isključeni osim onih vezanih za funkcionalnost.
To je recimo neko rešenje koje bi bilo prihvatljivo.
Naravno, ovde je i jako važno kako se obratimo ljudima. Pogledajte ovaj naslov, “cenim vašu privatnost”. Mnogi ljudi će samo zbog tog naslova da gledaju blagonaklono na celu ideju.
Uporedite to, recimo sa ovakvim naslovom:
Šta mislite kolika bi bila razlika u broju klikova na “prihvatam” u prvom i drugom slučaju?
Dakle od vašeg umeća obraćanja ljudima zavisi i koliko će ljudi kliknuti na prihvatam! Stavite krupan naslov, a ne sam sitan tekst. I neka taj naslov bude nešto fino i kulturno, da je ljude prosto sramota da ne prihvate.
Dakle, postoje razna rešenja i razne interpretacije. Princip je uvek isti – balansira se između poštovanja svih pravila i praktično upotrebljivih rezultata.
Preporučujem vam da istražite kako su ovo rešili poznati brendovi iz vaše oblasti u ozbiljnim državama kao što je Nemačka:
Uključite VPN i pogledajte kako su to rešili drugi iz vaše oblasti po Evropi
VPN je softver koji vam omogućava da promenite svoju IP adresu, tako da deluje kao da surfujete iz druge države.
Ja recimo koristim HideMyAss koji se plaća. Ali možete skinuti i besplatni VPN TunnelBear koji vam daje 500MB bandwidtha mesečno za džabe, što vam je sasvim dovoljno da napravite istraživanje.
Na primer, ja imam online shop koji prodaje tehničku robu. Uključiću VPN iz Berlina i otići ću na sajt MediaMarkt.de. Jako je važno da ovo radimo iz incognito prozora u browseru, pored toga što smo na VPN-u. Samo tako ćemo 100% sigurno videti “čistu” situaciju dolaska nove osobe na sajt.
Evo kako se meni otvorio sajt MediaMarkta iz Berlina:
Zanimljivo. Nema čak ni opcije da se odbiju cookies. (tzv. cookie walls). Samo informacija da se koriste cookies i dugme “slažem se” na nemačkom.
Hajde da odem na sajt njihove konkurencije, Saturn.de (i dalje sam na VPN-u, naravno):
Opet isto. Ako otvorim još nekoliko sličnih nemačkih sajtova i dobijem isti rezultat, zaključak je da se u toj oblasti generalno koristi ovakvo rešenje.
Opet, podvlačim, ne znači da je ovo rešenje 100% po GDPR pravilima, već samo da se u toj industriji tako radi. MediaMarkt i Saturn su firme koje imaju advokate čiji jedan sat košta 1000 eura, oni se sigurno ne bi igrali, i iza njihove odluke da ovako podese svoj sajt stoje top-level temeljne analize i tumačenja. Kompanija je procenila rizik koji nastaje kršenjem GDPR-a i verovatno je zaključila da taj rizik nije dovoljan da prestane sa ovakvom politikom.
Ovo takođe ne mora da bude ni trajno rešenje. Možda oni za tri meseca promene način na koji prikupljaju pristanak, jer ih je neko opomenuo.
Ono što je sigurno, to je da one milionske kazne o kojima svi pričaju ne mogu da im pljusnu tek tako. Jer, oni su očigledno pokazali nameru da se usklade sa GDPR-om.
S tim u vezi, evo jednog bitnog zaključka koji treba da prihvatite:
Nikada nećete biti 100% GDPR compliant
Da, to je nešto sa čime treba u startu da se pomirimo. Možemo da radimo na tome da budemo 90% ili 95% GDPR compliant, ali na 100% nije niko.
Šta god da ste uradili, uvek će postojati neki deo vaših aktivnosti koji može da se popravi, dotera, utegne. I drugo, stalno se pojavljuju nove stvari koje treba uklopiti u postojeće GDPR regulative.
Ono što je važno, jeste da aktivno radite na tome da stremite ka 100%, i da postoji jasna namera da se uskladite.
Evo još jednog mita koji treba da se razbije:
Ne postoje “zvanični sertifikovani GDPR stručnjaci”
Često ćete naleteti na priče o nekakvim “sertifikovanim GDPR eskpertima”. Međutim, to ne postoji. Ne postoji nikakav zvanični organ od strane Evropske Unije koji sertifikuje nekakve “stručnjake za GDPR” ili “sertifikovane Data Protection Officers”. Postoji samo sertifikacija controlera i procesora i njihovih aktivnosti obrade ličnih podataka.
Ukoliko vam neko kao konsultant kaže da je sertifikovan za GDPR, to može eventualno da znači da je završio nekakvu obuku od strane neke privatne organizacije i dobio njihov papir, ali to ne mora da govori apsolutno ništa o znanju i iskustvu te osobe. Sa druge strane kompanije i njihovi procesi mogu biti sertifikovani (primer Mailjet).
Znači, ja sad mogu da napravim kurs za GDPR i da izdajem nekakve sertifikate svakom ko plati i odsluša.
Dakle, ako ne postoje zvanično sertifikovana DPO lica, kako da izaberete ko će da vam to radi?
Ja sam na početku ovog teksta pomenuo Aleksanda Ugljevarevića, advokata koji se bavi GDPR-om, i koji do detalja poznaje industriju digitalnog marketinga – a to je najbitnije. On je jedan od prepoznatih stručnjaka kod nas zato što čovek ima veoma ozbiljan portfolio klijenata, velike kompanije iz inostranstva i naše zemlje za koje radi kao DPO, a ne zato što ima ili nema nekakav sertifikat. Plus, zovu ga da govori na konferencijama o GDPR-u i tako dalje.
Dakle, ako procenjujete ko je ozbiljan Data Protection Officer koga želite da angažujete za GDPR, gledajte za koga taj neko već radi i kakvo ima iskustvo. Nije redak slučaj da kompanije angažuju nekog “sertifikovanog GDPR stručnjaka” sa diplomom kao što je ova iznad, koji im potroši šest meseci života i napravi papazjaniju, pa na kraju kada shvate da su pogrešili, raspitaju se malo bolje i pozovu nekog ko se zaista razume da sredi haos koji je napravljen.
Email – šta je sa emailom?
Kada se govori o GDPR-u, email je možda i najčešća tema.
Ovako stoje stvari:
Prvo, verovatno ste čuli glasine da sve email adrese koje ste sakupili pre GDPR-a sada morate da sakupljate ponovo, odnosno da molite već postojeće ljude sa vaše liste da vam daju nekakvu dozvolu. Šta je tu tačno, da li morate, ili ne morate?
Da bismo odgovorili na ovo pitanje, prvo moramo da vidimo šta su uopšte GDPR pravila vezana za email.
1. Nema više ovih fazona:
Ne možemo više da “pecamo” email adrese tako što ljudima dajemo besplatnu knjigu ili nešto drugo u zamenu za njihovu email adresu koju ćemo da zatrpavamo ponudama.
Ovo može da se reši na par načina.
Prvi način je da stavimo checkbox za prijavu na newsletter ispod polja za unos emaila. Međutim, taj checkbox mora po defaultu biti deselektovan:
Ovo je NEPRAVILNO
Ovo je PRAVILNO
Recital 32 iz GDPR dokumenta kaže ovako:
“Silence, pre-ticked boxes or inactivity should not constitute consent.”
U prevodu, nema mesta preselektovanim checkboxovima. Ili, onaj prvi primer u kojem se ljudi prećutno slažu da daju email adresu u zamenu za knjigu.
E sad, kao što vidite, u ovom “pravilnom” primeru potrebno je da ljudi svesno checkiraju da žele i newsletter, što će mnogo manji broj njih uraditi. Ovo možemo da povećamo kroz sam opis, tako što možda malo više obrazložimo zbog čega će im biti vredan taj newsletter o mršavljenju.
Drugo rešenje za ovaj problem bilo bi da izvrnemo stvari. Dakle – u pravi plan stavimo newsletter, a u drugi plan ovaj besplatan ebook. Ovako nešto:
Ovo se smatra za ok jer su ljudi sada jasno dobili do znanja da se prijavljuju na newsletter, a knjiga je tu samo kao dodatni bonus.
Naravno, i klasična forma za prijavu na newsletter, bez ikakve knjige, je takođe ok, sve dok ljudima jasno stavljamo do znanja da se prijavljjuju i kakve vrste emailova će dobijati.
2. Davanje dozvole mora da bude zabeleženo
Morate imati način da zabeležite da vam je neko dao dozvolu i kada se to desilo. Dakle, nije dovoljno da samo u frontendu imate popup ili checkbox, već je potrebno i da u bekendu u nekoj bazi evidentirate taj pristanak (kroz log).
Znači, ukoliko vaša email forma samo pošalje ovu adresu u nekakvu bazu adresa, kako vi možete da dokažete da je neko tu ukucao svoju email adresu i checkirao “slažem se”?
Poznati email servisi kao što su Mailchimp, Mailer Lite, i ostali, već imaju ovo ugrađeno. U njihovoj bazi se pamti za svaku osobu vreme i datum kada su se prijavili na vašu listu. Takođe, servisi koji koriste dvostepenu potvrdu prijave preko maila ostavljaju trag u vidu poslatog emaila. Znači, prijavite se na moj newsletter, ja vam prvo pošaljem jedan dodatni email u kojem morate da kliknete na link za potvrdu prijave, i Mailchimp sve to zabeleži. Time se sprečava mogućnost da neko kupi i nabavi gotovu listu email adresa. U slučaju eventualnog sudskog spora, Mailchimp kao nezavisna strana može da dostavi dokaz da je osoba dala ili nije dala dozvolu da se email adresa koristi.
Evo kako sada izgledaju GDPR ready forme za email na Mailchimpu i Mailer Lite:
Kao što vidite, ovde se pojavljuje i jedna nova stvar: Dozvola se čekira za svaku namenu posebno. “Email” podrazumeva slanje emailova.
“Customized online advertising” podrazumeva retargeting baziran na email adresi. Na primer, ako ćete uzeti listu emailova i uploadovati na Facebook kako biste napravili custom audience, ljudi moraju posebno da se slože sa tim. Ne možete uzeti tek tako listu emailova koje ste skupili za potrebe slanja newslettera.
U praksi, ovo se masovno ne poštuje. Marketari i dalje uploaduju na Facebook email adrese koje su pokupili po drugim osnovama, jer za sada ne postoji način da znamo da su to uradili.
Šta je sa B2B email ponudama (email outreach)?
Logično pitanje koje se postavlja je šta sad da rade svi oni koji su navikli na B2B email marketing.
Znači, primer – napravio sam neku smart košnicu za proizvođače meda, koja može da donese duplo više meda nego obična košnica. I sad, hoću da pišem email svim proizvođačima meda u zemlji, da im predstavim proizvod i pozovem na demonstraciju košnice.
Ovde može biti rešenje da se pozivamo na legitimni interes, kao što sam napisao gore.
S obzirom da je proizvođač meda stavio na svoj sajt javno email adresu za kontakt, ja se pozivam na legitimni interes time što mu šaljem predlog kako može da unapredi svoje poslovanje.
Iako taj proizvođač meda ne zna ni da ja postojim, i nije se nikada prijavio na neku moju mejling listu, legitimni interes mi u ovom slučaju daje pravo da ga kontaktiram. Ukoliko je taj proizvođač meda zainteresovan za moju ponudu, onda ulazimo u fazu pregovora i tu se osnov prikupljanja ličnih podataka menja u ugovor (tj. predugovorne radnje).
E sad, ako bi taj proizvođač meda odgovorio sa “hvala, nisam zainteresovan”, a ja i dalje nastavim da ga smaram, onda bi to već izašlo iz domena legitimnog interesa i krši GDPR.
Gde je granica za legitimni interes – o tome smo već pričali gore. Moraju da postoje neka razumna očekivanja, odnosno da je to što mi nudimo firmi smisleno za njihovo poslovanje. Ako kontaktiramo špeditersku kompaniju i nudimo sistem filtera za kamione koji može da im uštedi 100.000 evra godišnje za gorivo, to je legitimni interes. Ako ja kupim 10.000 random email adresa i krenem da nudim ljudima suplemente za mršavljenje, onda postoji samo jedan interes, a to je moj lični da zaradim.
I u primeru sa kamionima i košnicama cilj pošiljaoca je da zaradi, ali postoji sa druge strane i razumno očekivanje da je firma zainteresovana za takav proizvod. To je, dakle, suština legitimnog interesa.
Da li mogu da koristim email adrese kupaca mog proizvoda?
Recimo da imate online shop za foto opremu, i neko poruči od vas objektiv. Da bi se ta porudžbina realizovala, kupac vam ostavlja email adresu, telefon, ime i prezime i gomilu ličnh podataka. Oni se uzimaju po onom osnovu broj 2 – ugovor o kupovini.
Nakon toga, ja uzmem i ubacim tu email adresu na moju mejling listu, i krećem da šaljem jednom mesečno newsletter sa novom ponudom foto opreme.
Ovo je opet neka “siva zona”. Po GDPR-u, trebao bih da imam na porudžbenici checkbox “dodajte me na newsletter”, i da dodajem samo one koji su to checkirali.
Ako toga nema, već samo automatski dodajem ljude na moju listu, u teoriji bih opet mogao da se pozovem na legitimni interes: “čovek je kupio od mene foto opremu, ja imam razumno očekivanje da je zainteresovan za moj newsletter o foto opremi”. Međutim, imajte na umu da je ovo sve na ivici. Ukoliko vam osoba kaže da je skinete sa liste, odmah to morate uraditi. S tim u vezi, bitno je i da postoji
Laka mogućnost povlačenja sa mailing liste
To znači da u vašim emailovima dole mora postojati link za unsubcribe, i da vi morate ručno skinuti ljude koji vam odgovore da ne žele da budu na vašoj listi. Ovo nije ništa novo, i većina email provajdera je imala ovu mogućnost i pre GDPR-a.
Nikako ne bi trebalo da se skidanje sa liste komplikuje, tipa da linkujemo više sajtova ili da sam proces skidanja bude nešto komplikovano što zahteva više koraka.
U svakom slučaju, sada vam je jasan i odgovor na pitanje “da li treba ponovo da tražim dozvolu od ljudi sa moje mailing liste”. Ukoliko ste te adrese prikupili na način koji ispunjava ova pravila, ne morate. Ako ste ih prikupili legitimno, ali nemate u nekoj bazi zabeležen dokaz o tome, onda te adrese nažalost nisu pokupljene po GDPR pravilima.
GDPR Privacy Policy i Privacy Notice na sajtu
Ozbiljni sajtovi su i pre GDPR-a imali stranicu koja se zove “Privacy Policy” u kojoj opisuju na koji način sakupljaju i obrađuju podatke.
Ove dve fraze se često mešaju, pa hajde da vidimo koja je razlika. Privacy Policy je dokument kojim se interno, na nivou jedne organizacije objašnjava kako se obrađuju lični podaci. Sa druge strane, Privacy Notice je dokument koji obaveštava eksterna lica – kupce, korisnike – na koji način će njihovi lični podaci biti obrađivani. Tako da, ako na sajtu vidite da piše Privacy Policy, to je najčešće zapravo Privacy Notice, jer je namenjen krajnjim korisnicima.
Vama je na sajtu potreban Privacy Notice, i to tako da je apdejtovan sa GDPR pravilima.
Sve češće ćete na sajtovima viđati i Website Policy, koji se bavi isključivo cookies, trekerima i drugim tehnologijama koje se koriste na sajtu.
Dakle može da postoji beskonačno mnogo privacy notice (za zaposlene, za recruitment, za newsletter…), ali bi trebalo da postoji samo jedan Privacy Policy koji bi na sveobuhvatan način uključio sve to na jednom mestu u jednom širem kontekstu poslovanja organizacije.
U teoriji, možete sami da napište ovaj Privacy Notice, ali je jako teško i nešto ćete sigurno pogrešiti. Prvo, morate dobro da poznajete sve termine iz ovog teksta (šta je kontroler, procesor, osnovi prikupljanja podataka itd itd). Zatim možete da čitate Privacy Notice na sajtovima drugih firmi sličnih vama da biste shvatili logiku.
Kako da znate da je nečiji “Privacy Notice” na sajtu pisan u skladu sa GDPR-om? Kada otvorite njihovu stranicu, idite na “find” i potražite termine kao što su “data controller” i “data processor”. Ukoliko stranica sadrži ove termine, to znači da je taj dokument pisan u novije vreme, nakon pojave GDPR-a.
Međutim, prisustvo ovih termina na Privacy Notice stranici i dalje ne mora da znači da je taj dokument napisan pravilno. Štaviše, u velikom broju slučajeva tu se pominju stvari koje nemaju veze sa realnim poslovanjem te firme. Oni su možda prepisali i preradili od nekog ko je prepisao i preradio od nekog trećeg, a niko u tom nizu zapravo ne razume šta te rečenice zaista znače. GDPR predviđa šta svaki Privacy Notice mora da sadrži (identitet kontrolera, DPO, svrha i osnov prikupljanja ličnih podataka, transferi ličnih podatka između zemalja itd.).
Privacy Notice, između ostalog mora da obavesti korisnike o svim njihovim pravima, među kojima se nalaze:
Transparentnost – pravo da imaju kompletan uvid u način na koji vi skupljate i obrađujete njihove lične podatke. U gornjem primeru sa cookies, to je zapravo tekst koji opisuje na koji način se koristi svaki od cookie-a. To je zapravo Privacy Notice (Obaveštenje o privatnosti).
Pravo na uvid (right to access) – ljudi mogu u svakom trenutku da pitaju da li obrađujemo njihove lične podatke, i da dobiju na uvid sve što imamo o njima – da dobiju u nekom elektronskom formatu kompletnu moju bazu vezanu za njih.
Pravo na prenosivost podataka – treba da bude lako prebacivanje ličnih podataka ukoliko korisnik želi da se odjavi sa mog servisa i koristi uslugu nekog drugog provajdera koji radi sličnu stvar
Pravo na brisanje (right to be forgotten) – korisnik može u svakom trenutku da zatraži da obrišete sve njegove lične podatke iz vaše baze.
Obratite pažnju na to da nije dovoljno da se ovo samo napiše, već mora i zaista da bude tehnički omogućeno.
Na primer, pravo na uvid. Nije dovoljno samo da napišete “imate pravo na uvid”, vi morate da imate i tehničku mogućnost da to izvedete. To bukvalno znači da, ako vam osoba zatraži uvid u sve podatke koje imamo o njoj, da vi možete jednim klikom da generišete, recimo nekakav CSV fajl u kojem se nalaze svi ti podaci.
Opet, ako koristite neki popularni servis, kao što je Mailchimp za mail, oni sve ovo imaju već ugrađeno.
Kao što vidite, Privacy Notice nije lako napisati. Ako je u pitanju iole ozbiljna firma, bolje da vam to uradi neko ko se time bavi. Ako ste mali biznis, možete da sklepate nešto sami, ali bitno je da ste svesni svih ovih stvari.
Eksterni servisi
Postoje neki web servisi koji vam pomažu oko GDPR-a. Na primer, Cookiebot vam daje gotov GDPR consent popup za cookies, i besplatan je za sajt do 100 stranica.
Cookiebot će sam da iskenira šta sve vi koristite na sajtu (Fejsbuk piksel, Google Analytics, itd), i generisaće na osnovu toga consent popup koji kategoriše sve cookies u 4 kategorije. To izgleda ovako:
Klik na “show details” omogućava ljudima da vide detalje oko ovih cookie-a, i time su potraživanja GDPR-a u potpunosti ispunjena.
Google Analytics, recimo spada u “Statistics” cookie.
Nije da ovako nešto ne možete da iskodirate i sami, tj. da vam neko napravi. Znači, recimo, ako na sajtu koristite samo Google Analytics i Facebook Pixel, ljudi treba da se slože sa uključivanjem Statistics i Marketing cookies. Opet, ima puno gotovih rešenja, pa možete da potražite.
Šta sad?
Pre svega je bitno da ste pročitali ceo ovaj tekst i razumeli sve termine, i njihove primene na određene situacije. U ovom tekstu sam pomenuo najčešće GDPR probleme i nedoumice sa kojima se marketari suočavaju i pokazao sam koja su rešenja.
Postoje, naravno, razni slučajevi koji ovde nisu navedeni, ali ovi primeri bi trebalo da vam daju jasne smernice u kom pravcu da razmišljate.
I naravno, opet podvlačim da GDPR pokriva mnogo šire oblasti poslovanja, ne samo marketinške aktivnosti, stvari kao što su podaci o vašim zaposlenima, njihove plate, medicinske informacije, zatim bezbednosne mere (enkripcije, pseudonimizacije, pen testovi) itd. itd.
Još jednom bih se zahvalio advokatu Aleksandru Ugljevareviću što mi je pomogao oko ovog teksta.
Ako mislite da postoji neka krupna i bitna stvar koju sam izostavio, pišite pa ću dodati.
Srećno sa GDPR transformacijom!
The post GDPR – vodič za marketare appeared first on Istok Pavlović.