Digitalizace v malých a středních podnicích jako reakce na COVID-19
Co znamená GDPR pro digitální marketing v EU
1. Co znamená GDPR pro
digitální marketing v EU
hrozby & příležitosti
2. 1. Platné „Obecné nařízení o ochranně osobních
údajů”.
2. Vztahuje se na subjekty zpracovávající osobní
údaje občanů EU.
3. Subjekty musí být v souladu s GDPR od
25. května 2018.*
4. Obsahuje absurdně vysoké pokuty za porušení
z něho vyplývajících povinností (20 mil.
v evropských na stole nebo 4 % ročního obratu).
5. Zavádí nové subjekty v procesu zpracování dat
(data officer).
GDPR —
General Data
Protection
Regulation
01
*zároveň mělo začít platit EU e-Privacy nařízení, ale zřejmě se nestihne přijmout, což může
přinést chaos.
3. 1. GDPR = Nezbytný předpis zajišťující ochranu
osobních údajů občanů EU.
2. GDPR = Pomsta právníků IŤákům za léta příkoří
a ponížení.
3. GDPR = Hlava XXII (prakticky plně
neimplementovaltený často sebepopírající
a nejasný předpis).
4. GDPR = Problém pro celou digitální ekonomiku
EU, který snižuje její konkurenceschopnost
a zvyšuje provozní náklady.
5. GDPR = Příručka, podle které se EU při svém boji
s americkými internetovými giganty střelila do
vlastní nohy.
Co je to
GDPR
02
4. 1. Data processor / zpracovatel dat – kdokoliv kdo
zpracovává osobní data za Data controllera
(typicky cloudové služby poskytující webovou
analytiku, ale i účetní a fakturační systémy,
platební brány nebo dopravní společnosti).
2. Data controller / správce dat – ten, kdo data
v reálu využívá, tedy například e-shop nebo
webová stránka.
3. Data subject / uživatel – jakákoliv osoba, která
používá e-shop či web Data controllera, který
zpracovává její osobní údaje.
Role v GDPR
03
*osobní data nejsou definována výčtem. Kombinace dvou údajů, které samy o sobě nejsou
osobním údajem může být osobním údajem. Osobní údaj není totéž co Citlivý údaj.
5. 1. Právo být informován o zpracování
2. Právo na přístup k datům – Art. 15
3. Právo na opravu/doplnění dat – Art. 16
4. Právo na výmaz čili právo být zapomenut – Art. 17
5. Právo na zákaz/omezení zpracování dat* – Art. 18
6. Právo na přenositelnost dat – Art. 20
7. Právo vznést námitku proti zpracování** – Art. 21
Jaká práva
má dle GDPR
uživatel
04
*pokud už data nejsou potřeba nebo již požádali o jejich vymazání...
**přímo se vztahuje na direct marketing a behaviorální profilování...
6. 1. Zdali, proč a jak dlouho bude zpracovatel údaje
zpracovávat a ukládat.
2. Jaké kategorie dat zpracovává.
3. Zdali bude správce sdílet údaje se třetími
stranami, a pokud ano, kdo jsou tyto třetí strany.
4. Zdali je použito automatizované zpracování dat,
které má na ně významný vliv.
Uživatelé
mají právo
vědět
05
tyto body jsou podstatné pro získávání 360 stupňového pohledu na zákazníka a jeho
automatického zpracování. Úplné znění nařízení včetně recitálů: https://gdpr-info.eu
7. 1. Na jakékoliv zpracování osobních údajů (a to
mohou být i cookies) je potřeba jasný
a odvolatelný* souhlas uživatele** – potvrzení
obchodních podmínek kliknutím na button “ANO”
by mohl stačit, ale výklady si různí.
2. Na jakékoliv zpracování citlivých údajů (rasa,
sexuální orientace, vyznání, atd.) nebo
automatické zpracování dat potřebujeme
explicitní souhlas – potvrzení musí zahrnovat
potvrzující akci, například zatrhnutí checkboxu.
Dopady
GDPR pro
digitální
marketing
06
* opt-in / opt-out princip
** například pokud uživatelům personalizujeme nabídku produktů a služeb na základě jejich
předchozích interakcí na webu nebo v kampaních.
8. Souhlas je potřeba pro každé jedno využití dat, není
možné požádat o generální souhlas.
1. Nezbytné pro funkci webové služby (přihlašování,
korektní zobrazení, atd.) – vztahuje se na ně
oprávněný zájem Data controllera.
2. Nezbytné pro webovou analytiku a statistiku (při
hyperkorektním výkladu je potřeba požádat
i o souhlas s přenosem dat do Google Analytics
a jiných analytických SW, včetně kompletní
identifikace třetích stran) – může, ale nemusí se na
něj vztahovat oprávněný zájem Data controllera.
3. Nezbytné pro digitální reklamu (retargeting,
trackování, automatické profilování) – zde v rámci
přípravy e-Privacy nařízení probíhá bouřlivá debata.
Souhlas se
zpracováním
07
9. Víceúrovňový
souhlas
08 Testy přijímání víceúrovňového potvrzení souhlasu již proběhly
a nedopadly dobře.
Jako návštěvník webových stránek, kterou z možností byste vybral/a po
zobrazení této zprávy?
NE ANO
79 %
21 %
Abychom se dozvěděli, které nabídky by vás mohli zajímat, rádi
bychom vaše brouzdací zvyky na naší webové stránce sdíleli s Brand
Name a jejich partnery pro analýzu.
Tyto údaje budou smazány po 6 měsících. Vaše svolení můžete
kdykoliv odvolat v sekci My Data. Chcete se dozvědět víc?
Pop-up zpráva
Průzkum Pagefair, zahrnoval cca 300 respondentů, ukázal, že v případě
extrémní implementace GDPR by digitální marketing přišel o 80 % dat.
10. 1. Informační systémy SaaS – cloudové (třeba
Fakturoid, atd.)
2. Interní informační systémy – databáze a logy
3. Servery a sítě (logy) – vzhledem k tomu, že IP může
být osobní údaj, na serverech a routerech se loguje
a uživatel nemá právní vztah s providerem
provozovatele webu, měl by i o tom informovat
uživatele.
Souhlasy
mimo digitální
marketing, ale
podstatné pro
provoz
09
11. 1. Musíte být schopni dokázat (i zpětně) získání souhlasu (celý
souhlas, nejen IP a čas potvrzení).
2. Musíte vědět, kde ukládáte data, ale také kde ukládají data vaši
partneři, kterým data na základě souhlasu předáváte (i k tomuto
předávání potřebujete souhlas). Data musí být ukládána v EU.
3. Být schopni na žádost zajistit výmaz dat nejen u vás, ale
i u třetích stran, kterým jste data předali (např. dopravci,
ale i poskytovatelé digitální reklamy atd.)
4. Vést záznamy také o zpracování dat a na vyžádání data předat
v přenositelné formě uživateli.
Souhlas ve
světle práv
uživatelů dle
GDPR*
10
Již tyto body mohou být problematické pro většinu reklamních sítí
a cloudových služeb.
*Highlights – pěkné shrnutí co upravit v obchodních podmínkách např. zde:
https://wecompose.co.uk/blog/uncategorised/gdpr-mean-digital-marketing
12. 1. Všechna opendata již nejsou opendata obsahují-li osobní údaje
(např. služby využívající veřejné rejstříky, jako daty.cz mohou
mít problém, bez souhlasu automaticky zpracovávají osobní
data).
2. Využívání různých cloudových služeb, do kterých jsou
přenášeny osobní údaje, bude problematické a bude vyžadovat
informování a souhlas.
3. Klade nároky na ochranu a anonymizaci osobních údajů
předávaných třetím stranám zajišťujícím služby (např.
doprava) a zvyšuje náklady na zabezpečení a zpracování dat.
4. Komplikuje situaci v oblasti digitálního marketingu omezení
3rd
party cookies.
5. Fakticky podporuje oligopolní postavení Googlu a Facebooku
a snižuje konkurenceschopnost EU firem.
Obecné
dopady GDPR
na digitální
ekonomiku EU
11
13. Krátce k
anonymizaci
12 1. Anonymizováná data – nelze z nich žádným způsobem
identifikovat osobu, které se týkají, protože jsou z nich
odstraněny osobní identifikátory (anonymizovat lze
nahrazením, agregací, zašuměním). GDRP se jich netýká.
2. Pseudoanonymizovaná data – nejsou zcela zbaveny osobních
identifikátorů, ale znemožňují snadné spojení
pseudoanomizovaných dat s původními daty bez dodání dalších
informací (hashování).
Neanonymní data Pseudoanonymizovaná data
777 777 776
777 777 777
777 777 778
Facf4d63e94b7e814cd6c54a9b6e9bf6e
40f0bc01a381565d5104f63368199cf
50e79aab6fdeff4d9b755e8e652400372
37178fad711de01c43a3875e8c6c4fe
d99408ff2e5ac1004c91eec6735be4fa3
463c394fad0dfd7ebfb2a1e89327af0
Hashfce.*
*špatné hashování je snadno prolomitelné slovníkovým útokem.
14. EU pracovní skupina pro ochranu dat WP29 definuje
behaviorální reklamu následovně:
13
Dopady
GDPR na
behaviorální
cílení a
personalizaci
digitální
reklamy
„Sledování uživatelů při
jejich průchodu internetem
a budování profilů jejich
chování, které jsou později
využity k doručení reklamy
odpovídající jejich zájmům.”
15. 1. Kontextová reklama: reklamní obsah vybraný na základě
aktuálně zobrazovaného obsahu uživatele. Nevyžaduje
profilování. Např. pro vyhledávače obsah odvozený z:
a. klíčových slov pro vyhledávání nebo
b. IP adresy uživatele, pokud je připojen ke geografické
poloze.
2. Segmentová reklama: reklamní obsah vybraný na základě
známých vlastností subjektu údajů (věk, pohlaví, umístění
atd.), které subjekt údajů poskytl při registraci.
Nevyžaduje profilování.
3. Behaviorální reklama: reklamní obsah vybraný na základě
zájmů uživatele odvozených z jeho chování. Zahrnuje
profilování.
Skupina WP29
rozlišuje
mezi:
14
16. 1. Art. 22 rovněž aktualizuje čl. 15 směrnice o ochraně
údajů přidáním "profilování" mezi operace
zpracování, které obsahují automatizovaná
rozhodnutí – zavádí potřebu explicitního souhlasu
jako nový právní základ pro automatizované
zpracování.
2. Vzhledem k vysokému riziku vyžaduje "výslovný"
souhlas. Jiné právní důvody, např. oprávněný zájem,
nelze uplatnit.
3. Toto profilování / automatizované zpracování je
tedy porovnáno se speciálními (rizikovými, citlivými)
kategoriemi osobních údajů upravenými v čl. 9
GDPR, pro které bude požadován "výslovný" souhlas.
Profilování
podle GDPR —
vše je
ztraceno
15
17. WP29 rozlišuje* zda-li je profilování systematické
a extenzivní, takže signifikantně ovlivňuje práva (způsobuje
vysoké riziko) jednotlivce a uvádí příklad, profilování, které
riziko nezpůsobuje:
„Webové stránky, které zobrazují reklamy na náhradní díly
automobilů na základě omezeného profilování, které vychází
z minulého nákupního chování v určitých částech těchto
webových stránek”.
Není to zcela jasné, ale min. personalizace obsahu
a reklamy v rámci jednoho webu není extenzivní profilování.
Zdroj:
http://ec.europa.eu/newsroom/document.cfm?doc_id=44137
Profilování
podle GDPR —
není vše
ztraceno
16
18. 1. Používání nové technologie jako je AI (nebo ÍÁ)
2. Časový faktor – délka uchování dat v profilech.
3. Rozsáhlý objem zpracovávaných údajů – jakože
velká data
4. Párování a kombinace datasetů (data z Heureky už si
prosím nekupujte)
Příklad:
„Shromažďování veřejně dostupných dat z profilů
v sociálních sítí, které mají být použity soukromými
společnostmi pro vytváření kontaktních seznamů
profilů.”
Znaky
systematického
a extenzivního
profilování
17
19. 1. Ať už je profilování jakékoliv, bude nezbytné získat souhlas
(odvolatelný).
2. Pravidla pro získání souhlasu pro 3rd
party cookies nejsou jasná a
budou upravena v nařízení e-Privacy, které je přesune na stranu
prohlížeče – (Safari už je zakázalo by default).
3. Extenzivní profilování bude podléhat stejným pravidlům jako
nakládání s citlivými údaji a je tak prakticky vyloučeno.
4. Existuje možnost, že by bylo neextenzivní profilování zahrnuto pod
základní souhlas tzn. – oprávněný zájem provozovatele webu,
e-shopu – spíše pro personalizaci nabídky, retargeting, možná čistě
on-line profilování bez kombinace s offline daty (např. CRM, externí
datové zdroje atd.).
„Správci mohou mít legitimní zájem poznat preference svých zákazníků,
aby mohli lépe přizpůsobit svou nabídku a nabídli produkty a služby,
které lépe odpovídají potřebám a přáním zákazníků.” WP29
Praktické
dopady na
behaviorální
cílení reklamy
18
21. 1. Země EU si vykládají pravidla různě.
2. Německo je konzervativní a zastává extenzivní
výklad pravidel. Firmám je doporučováno získání
souhlasu i pro webovou analýzu.
3. Česko se snaží, jako ve všem co přichází z EU, o
vlastní měkčí výklad, ale...
4. Nikdy nevíte, zdali uživatel přicházející na váš web
není náhodou Němec či Francouz, nevíte ani zdali
případný měkčí výklad pravidel v ČR nenapadnou
zahraniční firmy, které dostanou výraznou pokutu za
něco, co bude v ČR považováno za bagatelní.
5. Proto se připravte na konzervativní variantu...
Různý výklad
pravidel
implementace
GDPR v
členských
zemínch RU.
17