I retargeting bez souhlasu uživatele je porušením GDPR

Za necelý rok vstoupí na území Evropské unie v platnost nové nařízení na ochranu osobních údajů, známým pod názvem GDPR neboli General Data Protection Regulation. Už nyní by se na něj české firmy, které osobní údaje shromažďují, zpracovávají či jinak využívají, měly dostatečně připravit. Bude-li u nich totiž bezpečnost osobních údajů narušena, hrozí jim pokuta až ve výši 20 milionů eur nebo 4 % z obratu za uplynulý finanční rok. Výše pokuty se přitom bude odvíjet nejen od míry škody, ale také od proaktivních kroků, které firmy pro ochranu osobních údajů učinily.

Z marketingového pohledu je pro firmy důležité, že se mění především podmínky vyjádření souhlasu se zpracováním osobních údajů, který musí být dotyčnou osobou jasně a jednoznačně potvrzen, a navíc je odvolatelný. „Souhlas musí být srozumitelný, jednoznačný a konkrétní natolik, aby bylo prokazatelné, že daný člověk věděl, k čemu souhlas udělil,“ vysvětlil právník Ondřej Kmoch na setkání GDPR Live, které organizovala společnost VIVmail a asociace.biz. „Všeobecný souhlas přitom není validní,“ podotkl. S GDPR již tedy nebude možné získat obecný souhlas ke zpracování osobních údajů a poskytovat je napříč firmou, natož pak subjektům třetích stran.

U retargetingu, kdy je přes cookies oslovován reklamním sdělením návštěvník dané webové stránky napříč internetem, je povinnost obdobná. „Jen navštívením stránky totiž návštěvník ještě nedal souhlas se sbíráním osobních údajů. Retargeting bez souhlasu uživatele je porušením GDPR,“ popsal Daniel Joksch, bezpečnostní analytik společnosti IBM. „I zde platí, že je potřeba návštěvníkovi vysvětlit, k čemu, jak a za jakým účelem budou jeho údaje užívány,“ dodal Kmoch. Potřeba bude mít souhlas ke každé ze sítí, která retargetingové kampaně nabízí, ať už se jedná od AdWords, nebo Sklik.

Zpracovávání osobních údajů by měla firma celkově minimalizovat, a to nejen z pohledu rozsahu údajů, ale i doby, po kterou je uchovává. Data smí navíc zpracovávat jen za tím účelem, za kterým byla sesbírána v souladu s definovaným oprávněným zájmem, omezeno by mělo být i profilování. Rozhodne-li se například e-shop spustit kampaň s nabídkou slevových voucherů, může kvůli obraně proti falšování přístupů po dobu kampaně uchovávat jméno a e-mail. Po skončení akce by však e-maily měl vymazat. Čím více osobních údajů bude o svých zákaznících shromažďovat, tím větším rizikům se bude vystavovat. Shromažďování zbytečných údajů, jak je tomu u e-shopů zvykem, bude tedy představovat vyšší riziko pokut.

Pokud se daný spotřebitel rozhodne, že nechce, aby byly jeho osobní údaje jakýmkoliv způsobem nadále uchovávány či zpracovávány, má právo na to být zapomenut. Pro firmy bude tak jednodušší, budou-li mít svá data strukturovaná a daného uživatele smažou kompletně.

V případě, že firma spolupracuje s dodavateli, s nimiž data sdílí, například e-shop poskytuje údaje přepravcům, které objednávku na zadanou adresu doručují, či e-mailingovým společnostem, jež se starají o rozesílku newsletterů, zodpovídá za údaje správce, tedy vlastník údajů. „Pokud  firma údaje vymaže a požádá o výmaz písemně i dodavatele, ale dodavatel tak neučiní, rozhoduje potom tzv. audiční stopa. Ve chvíli, kdy firma doloží všechny proaktivní kroky, měl by být z obliga,“ popsal Daniel Joksch. 

Firmy by už dnes měly zrevidovat způsob, jakým sbírají a uchovávají osobní údaje, a upravit jej v souladu s GDPR. Rovněž by měly jmenovat svého Data Protection Officer (DPO), který bude přímo zodpovídat představenstvu. „De facto se bude jednat o interního auditora, který by měl znát nejen dobře chod firmy, ale měl by se vyznat i v právu a IT,“ podotkl Joksch s tím, že ideální DPO se bude hledat jen těžko. Každý sektor by si navíc měl nastavit vlastní standardy a kodex chování. S jinými požadavky se bude potýkat e-commerce, s jinými pojišťovnictví.

„GDPR se však netýká jen byznysu, ale i občanů. Primární tlak je sice vyvíjen na firmy, ale zodpovědnost leží i na občanech, například rodiče jsou zodpovědní za pohyb svých dětí na internetu,“ upozornil Joksch.

-stk-