Připojte se k našemu SmartEmailing TALK O AUTOMATIZACI!

Druhé online vysílání začíná

Dní
Hodin
Minut
Sekund

Vše o ochraně osobních údajů a GDPR v e-mail marketingu

GDPR, nebo-li obecné nařízení o ochraně osobních údajů hájí práva občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. A to se týká také e-mail marketingu. Získáváte kontakty a zacházíte s nimi v souladu s GDPR? To si podrobně rozebereme. 

V tomto článku se budeme zabývat nařízením GDPR, ochraně osobních údajů a souvislostmi s e-mail marketingem. K tomu je dobré dodat, že e-mail marketing je primárně řešen ve směrnici ePrivacy, která byla implementována do zákona č. 480/2004 Sb., o některých službách informační společnosti.

Základní pojmy a principy

GDPR vstoupilo v účinnost 25.5.2018. Pokud byste si chtěli přečíst celé znění GDPR, následující pojmy se v něm vyskytují velmi často. Proto je dobré se v nich zorientovat. 

Osobní údaj

Veškeré údaje o fyzické osobě, která je identifikovaná nebo identifikovatelná. Patří mezi ně zejména kontaktní údaje – jméno, příjmení, e-mail (i sám o sobě, a to bez ohledu na to, jestli obsahuje či neobsahuje jméno), telefonní číslo, ale i identifikační údaje, věk nebo fotografie. Pro e-mail marketing je důležité, že mezi osobní údaje patří také údaje, které využijete k personalizovaným e-mailům, jako je chování uživatelů na webu nebo třeba historie objednávek

Subjekt údajů

Konkrétní fyzická osoba, ke které se osobní údaje vážou. Vždy se jedná o fyzickou osobu, nikdy právnickou. Údaje ve veřejném rejstříku o právnické osobě osobním údajem nejsou, o jejich jednatelích, společnících, členech představenstva nebo třeba zaměstnancích této právnické osoby (firmy) už ale ano.

  • Pozor! e-mail právnické osoby typu info@e-shop.cz sice není osobní údaj, ale v rámci zasílání sdělení se na takový údaj vztahuje úprava v zákoně č. 480/2004 Sb.a nakládá se s ním tak, jako kdyby patřil fyzické osobě (což v drtivé většině, byť zprostředkovaně, patří)

Účel zpracování osobních údajů

Sbírat osobní údaje musíte vždy s nějakým konkrétním cílem. Musíte vědět, jestli jste osobní údaj získali za účelem plnění smlouvy, za účelem marketingu, jestli byl osobní údaj svěřen kvůli newsletterům atd. Důvod musíte mít jasný. Tento účel musí být vyjádřen tak konkrétně, aby si subjekt údajů dovedl představit, co se s jeho osobními údaji bude dít. Nelze tedy do informační dokumentace psát účely jako “obchodní” či “marketingové” účely.

Zpracování údajů

Zpracování je zjednodušeně řečeno jakákoliv operace, kterou s osobními údaji děláme. Jako příklad samo GDPR uvádí, že zpracování jsou činnosti, kdy údaje shromažďujete, zaznamenáváte, strukturujete, vyhledáváte, měníte, nahlédnete – vše je práce s osobními údaji, a tedy zpracování.

Právní titul (důvod)

GDPR má celkem 6 titulů, ale v kontextu zasílání e-mailu se setkáte maximálně se čtyřmi. Každé zpracování musíte dělat z určitého právního titulu. Jejich znalost je tedy klíčová. Z jednotlivých právních titulů plynou různé povinnosti, které máte ať už jako správce nebo jako zpracovatel. 

  1. Souhlas se zpracováním osobních údajů
  2. Smlouva (kde je zpracování nezbytné pro plnění smlouvy nebo pro komunikaci před uzavřením této smlouvy)
  3. Jiný zákon (pro nezbytné splnění právních povinností, která se na správce údajů vztahuje)
  4. Oprávněný zájem správce

Ve vztahu k e-mail marketingu není úprava řešena primárně v GDPR, ale v zákoně č. 480/2004 Sb., který stanovuje režim opt-in (souhlas)opt-out (zákaznická výjimka).

Správce 

Ten, komu subjekt údajů (tedy fyzická osoba) svěřil své údaje do správy. Správce není ten, kdo má databázi “fyzicky” u sebe, ale ten, kdo říká, že tu databázi chce a potřebuje používat. Pro příklad e-shop – řekne, že chce prodávat své zboží a osobní údaje potřebuje pro prodej nebo zasílání obchodních sdělení. 


Tip: Přečtěte si článek 10 bodů pro správce údajů podle ÚOOÚ

Zpracovatel 

Údaje subjektů, které máte ve správě a kterým chcete zasílat e-maily, telefonovat, nebo dělat jinou zpracovatelskou operaci, můžete svěřit jiné společnosti. Pokud pověříte nějakou společnost, třeba SmartEmailing tím, ať pro vás posílá newslettery, pověřujete zpracovatele zpracováním údajů.

Umíte správně segmentovat

Koho se GDPR týká 

V kontextu e-mail marketingu se vás GDPR týká, pokud:

  • máte svou e-mailovou databázi,
  • posíláte obchodní sdělení (newslettery), nebo 
  • prodáváte zboží či služby fyzickým osobám.

Doplnění: Ne každá fyzická osoba nebo jednotlivec, který má osobní údaje, je správcem. GDPR uvádí i výjimky. Nejčastější se týká fyzických osob v rámci domácích činností – např. když pořádáte školní sraz a zjišťujete e-mailové adresy – v tu chvíli se o správce jednat spíše nebude.

Zhodnoťte stav své současné databáze

Jak vyplývá ze základních pojmů, u kontaktů ve vaší databázi musíte znát účel zpracování. A ten musí být opřen o správný právní titul. Nejčastějším právním důvodem u zasílání e-mailů je plnění smlouvy a dále podle zákona č. 480/2004 Sb. §7 odst. 2 souhlas se zasíláním obchodních sdělení (opt-in) a §7 odst. 3 zákaznická výjimka (opt-out). Pojďme si pojmy vysvětlit. 

Plnění smlouvy

V případě plnění smlouvy můžete zpracovávat osobní údaje pouze pro účely plnění smlouvy. Příkladem může být zaslání transakčního e-mailu, ne však marketingového e-mailu. Marketing totiž nikdy není nezbytně nutný pro splnění smlouvy, takové zpracování by bylo nezákonné. Pro účel zasílání marketingového e-mailu potřebujete dostat samostatný souhlas (popřípadě se pohybovat v mezích zákaznické výjimky)

Souhlas se zasíláním obchodních sdělení

Pod tento právní titul spadají všechny kontakty, které nejsou zároveň vašimi zákazníky. Jedná se o kontakty, které se do databáze dostaly nejčastěji skrze webový formulář nebo pop-up. 

Některé e-shopy získávají souhlas i u svých zákazníků, aby mohli posílat marketingové e-maily týkající se i jiných produktů, než zakoupených. Zákazníci musí takový souhlas poskytnout aktivně – tedy například aktivním zaškrtnutím checkboxu (opt-in) souhlas.

Zákaznická výjimka

Tento právní titul využijete u všech aktivních zákazníků, kteří u vás nakoupili. Díky zákaznické výjimce můžete zasílat transakční e-maily a newslettery nebo sms, které propagují podobné zboží a služby, které si u vás zákazníci objednali, resp. zakoupili. Nepotřebujete k nim další aktivní souhlas se zasíláním newsletteru, ale i tyto odběratele musíte informovat o způsobu nakládání s osobními údaji

Jednou z podmínek zákaznické výjimky je, že by váš zákazník měl mít možnost takové e-maily dopředu vyloučit. Prakticky to znamená, že byste u objednávek (resp. objednávkových formulářů) měli mít tzv. checkbox, který při označení člověkem říká, že žádné sdělení dostávat nechce. Bez toho se nebudeme moci na zákaznickou výjimku spolehnout

Jak přistupovat ke sběru nových kontaktů

Pokud nechceme zasílat obchodní sdělení pod zákaznickou výjimkou (protože, jak je již zmíněno výše, v takovém případě můžeme informovat pouze o obdobných produktech či službách, které u nás zákazník nakoupil) GDPR vyžaduje, aby firmy (tedy správci) shromažďovaly souhlas, který je udělen:

  • svobodně (nestačí jako souhlas brát samotný nákup zboží, nebo zákazníky k souhlasu nutit)
  • konkrétně (své kontakty musíte konkrétně informovat o tom, k jakému konkrétnímu účelu a jak jejich data zpracováváte)
  • informovaně (vždy poučte kontakt o tom, že svůj souhlas může kdykoliv odvolat a kromě možnosti souhlas odvolat, informujte také o tom, komu, za jakým účelem a na jak dlouho souhlas uděluje, typy osobních údajů a informace o souvisejících právech + poskytněte informace podle čl. 13 GDPR)
  • jednoznačně (platí speciálně pro souhlas k zasílání obchodních sdělení nad rámec, který mu umožňuje jiný zákon nebo oprávněný zájem, tento účel souhlasu musíte mít oddělený a opatřený samostatným políčkem, kde zákazník svůj souhlas může vyjádřit – tzn. subjekt údajů musí projevit aktivitu, aby souhlas udělil, nelze počítat s pasivitou, tedy souhlas udělený nečinností)
  • nepodmíněně (nákup zboží e-shopu nemůžete podmínit souhlasem s marketingovými newslettery)
  • souhlas musíte být vždy schopni doložit (skvělým způsobem je implementace double opt-in

Pojďme se na tyto body podívat více prakticky. Uvedeme vám 5 nejdůležitějších informací s příklady, které musíte vědět o souhlasu související se získáváním nových kontaktů pro váš e-mail marketing.

1. Získejte aktivní a vědomý souhlas

Aby byl souhlas podle GDPR platný, musí zákazník svůj souhlas aktivně potvrdit. To znamená, že souhlas potvrdí například zaškrtnutím políčka při přihlášení k odběru skrze webový formulář nebo pop-up. Nesmí být před-zaškrtnuté. Automaticky zaškrtnutá políčka, která předpokládají souhlas nejsou podle GDPR platná.

2. Udržujte žádosti o souhlas odděleně od ostatních podmínek

Podle GDPR musí být e-mailový souhlas oddělený a konkrétní. Nespojujte souhlas s vašimi obchodními podmínkami nebo s jakoukoli z vašich služeb (pokud k dokončení této služby není nutný souhlas e-mailem).

E-mailový souhlas musí být podle článku č. 7 GDPR poskytnut navíc svobodně. To znamená například, že nákup zboží nemůžete podmínit přihlášením se k odběru marketingových newsletterů. Jak e-mailovou adresu získat? Nabídněte uživatelům magnet, tedy nějaké video, e-book nebo jinou službu výměnou za e-mail zdarma.

3. Vždy využívejte double opt-in

Při vstupu kontaktu do vaší databáze existuje skvělá best-practice, které se říká double opt-in nebo-li dvojité potvrzení. V praxi to znamená, že novému kontaktu po přihlášení pošlete potvrzující e-mail s odkazem. Teprve až po tomto potvrzení zájemce přidáte do databáze. 

double optin

Double opt-in má několik výhod. Za prvé takto jednouše odfiltrujete lidi, kteří při zadání e-mailové adresy udělali chybu, překlep, který v lepším případě skončí ztrátou kontaktu a v horším trefení spamové pasti a výraznému negativnímu dopadu na doručitelnost e-mailů. 

Druhým důvodem je jednoznačný důkaz pro případ kontroly. Doložitelnost totiž vyplývá přímo z GDPR (viz čl. 7 odst. 1). Pokud by vás navštívil Úřad pro ochranu osobních údajů, jen tímto způsobem můžete prokázat že se kontakt k odběru dobrovolně přihlásil. 

4. Evidujte kdo souhlasil, kdy a jak

GDPR stanovuje pravidla pro shromažďování souhlasu a také vyžaduje, aby společnosti vedly záznamy o těchto souhlasech.

Uchování důkazů o souhlasu znamená, že musíte být schopni poskytnout důkaz o tom:

  • Kdo souhlasil
  • Kdy souhlasil
  • Co jim bylo řečeno v době souhlasu
  • Jak dali souhlas
  • Zda souhlas odvolali 

Příklad:

Pokud se někdo zaregistruje k odběru novinek od SmartEmailingu, dostane e-mail s žádostí o potvrzení (double opt-in). Jakmile klikne na odkaz v e-mailu s žádostí o potvrzení souhlasu, náš systém tuto akci zaznamená a ke kontaktu se automaticky proklik poznačí. U každého kontaktu tedy evidujeme časovou stopu vyplnění formuláře, prokliku double opt-inové kampaně, a můžeme evidovat i účel zpracování.

Díky tomu se můžeme podívat na každého jednotlivého odběratele, zjistit, kdy se přihlásil a jakou formu k tomu použil.

Bližší podmínky najdete pod bodem 108 v pokynu EDPB zde

5. V každém e-mailu dejte kontaktu možnost odhlásit se

Dle GDPR musí být každý souhlas odvolatelný stejně jednoduchým způsobem jakým byl udělen. Zároveň odhlášení z newsletteru vyplývá ze zákona č. 480/2004 Sb. Je také třeba zdůraznit, že odhlášení z odběru, které byste svým kontaktům zbytečně dělali složité je jednak porušením zákona a také hlavní hybnou silou stížností na spam. Nespokojení příjemci e-mailů vnímají složitou možnost odhlášení jako hlavní důvod, za který vás jako spam označí.

Příklad

V SmartEmailingu jsme v souladu se zákonem. V zápatí každého propagačního e-mailu, který od nás odchází, uvádíme možnost odhlásit se z odběru. Odhlášení je díky tomu přehledné a snadné, pokud by předplatitel někdy ztratil zájem.

Obnovování souhlasu

Sice je to již několik let, co GDPR vstoupilo v účinnost, ale pokud se váš seznam e-mailů právě nachází v režimu hibernace, budete muset zkontrolovat své postupy souhlasu a stávající údaje o souhlasu. A i když jste již nějakou dobu v souladu, vždy je dobré pravidelně kontrolovat svůj postup a souhlas odběratelů.

GDPR se vztahuje na všechny stávající odběratele z ČR a Evropské unie, ale i na státy, které osobní údaje obyvatel EU spravují, bez ohledu na to, kdy byli přidáni – i kdyby to bylo před GDPR. 

Zákonná lhůta pro udělený souhlas není stanovena. My se přikláníme k tomu, že pokud pracujete s právním titulem Souhlas, optimální lhůta pro zpracování tohoto souhlasu je 3 – 5 let. Proto doporučujeme souhlasy obnovit. Tohle doporučení nevychází přímo ze zákona, ale ze zkušeností v rámci péče o vaše kontakty. Pokud dlouhodobě posíláte obsah, který je nezajímá, upadá jejich angažovanost, tedy zájem a interakce s vašimi e-maily. Proto pravidelně doporučujeme takzvanou reaktivaci.

Jak na to

Připravte automatizovanou kampaň, ve které svému kontaktu jasným způsobem vysvětlíte, že je potřeba, aby potvrdil, že chce stále vaše e-maily dostávat. Optimálně kliknutím na potvrzovací odkaz. Taková kampaň představuje účinný způsobem aktualizace stávajících záznamů a zároveň je jasným indikátorem, že s vámi kontakt chce dále zůstat ve spojení. 

Pozor! Pokud takový e-mail připravíte a odešlete, ale váš odběratel se neúčastní a nevykoná akci pro opětovné povolení, z databáze jej odstraňte.

Tohle nikdy nezkoušejte

Možná tušíte, o čem se budeme bavit. V souvislosti s GDPR a e-mailem je důležité zmínit kupování databáze. Respektive, nekupování. Pokud jste tento článek pozorně četli, víte, že podle GDPR newsletter nemůžete poslat jen tak někomu, na koho náhodně získáte kontakt. Ať vám bude tvrdit kdokoliv, cokoliv, nikdo nemá oprávnění svou databázi bez souhlasu kontaktů sdílet s kýmkoliv dalším pro marketingové účely. Jak byste pak např. Úřadu na ochranu osobních údajů prokázali, že k takové databázi disponujete souhlasy?

Závěr

Osobní údaje jsou cenné informace, všichni to víme. Bez zpracování osobních údajů nejde dělat obchod, ani marketing, nelze zaměstnávat lidi. GDPR, zpracování osobních údajů nijak nekomplikuje. Zavedlo pravidla, kterými se máme řídit, pokud je zpracováváme. Pravidla jsou poměrně přesné. Ve vztahu k zasílání e-mailu GDPR změnilo požadavky na souhlas a informování, zbytek je upravován v zákoně č. 480/2004 Sb, který byl účinný i před GDPR.

Jako správce musíte vědět jaké osobní údaje sbíráte, z jakého důvodu, na jak dlouho, s jakým právním titulem a jaké zpracovatelské operace provádíte. 

Se zpracovatelem musí být jasno jaké údaje a kvůli čemu zpracovává. U SmartEmailingu nemusíte mít z ničeho strach, vše máme uvedeno ve zpracovatelských smlouvách a řešíme tyto věci za vás. Chcete mít svůj e-mail marketing v souladu s GDPR bez starostí? Neváhejte nás kontaktovat.

Jana Kaminská

Jana se v marketingu pohybuje přes 5 let, především jako marketingová a PPC specialistka. Marketing je pro ni práce i koníček. Ráda si načítá nové trendy a testuje, co funguje.

Přejete si podobné články najít přímo ve svém e‑mailu?

Přidat komentář

Vyplňte prosím své údaje

Odesláním souhlasíte s našimi zásadami zpracování osobních údajů.