SlideShare una empresa de Scribd logo
1 de 22
Descargar para leer sin conexión
Co znamená GDPR pro
digitální marketing v EU
hrozby & příležitosti
1. Platné „Obecné nařízení o ochranně osobních
údajů”.
2. Vztahuje se na subjekty zpracovávající osobní
údaje občanů EU.
3. Subjekty musí být v souladu s GDPR od
25. května 2018.*
4. Obsahuje absurdně vysoké pokuty za porušení
z něho vyplývajících povinností (20 mil.
v evropských na stole nebo 4 % ročního obratu).
5. Zavádí nové subjekty v procesu zpracování dat
(data officer).
GDPR —
General Data
Protection
Regulation
01
*zároveň mělo začít platit EU e-Privacy nařízení, ale zřejmě se nestihne přijmout, což může
přinést chaos.
1. GDPR = Nezbytný předpis zajišťující ochranu
osobních údajů občanů EU.
2. GDPR = Pomsta právníků IŤákům za léta příkoří
a ponížení.
3. GDPR = Hlava XXII (prakticky plně
neimplementovaltený často sebepopírající
a nejasný předpis).
4. GDPR = Problém pro celou digitální ekonomiku
EU, který snižuje její konkurenceschopnost
a zvyšuje provozní náklady.
5. GDPR = Příručka, podle které se EU při svém boji
s americkými internetovými giganty střelila do
vlastní nohy.
Co je to
GDPR
02
1. Data processor / zpracovatel dat – kdokoliv kdo
zpracovává osobní data za Data controllera
(typicky cloudové služby poskytující webovou
analytiku, ale i účetní a fakturační systémy,
platební brány nebo dopravní společnosti).
2. Data controller / správce dat – ten, kdo data
v reálu využívá, tedy například e-shop nebo
webová stránka.
3. Data subject / uživatel – jakákoliv osoba, která
používá e-shop či web Data controllera, který
zpracovává její osobní údaje.
Role v GDPR
03
*osobní data nejsou definována výčtem. Kombinace dvou údajů, které samy o sobě nejsou
osobním údajem může být osobním údajem. Osobní údaj není totéž co Citlivý údaj.
1. Právo být informován o zpracování
2. Právo na přístup k datům – Art. 15
3. Právo na opravu/doplnění dat – Art. 16
4. Právo na výmaz čili právo být zapomenut – Art. 17
5. Právo na zákaz/omezení zpracování dat* – Art. 18
6. Právo na přenositelnost dat – Art. 20
7. Právo vznést námitku proti zpracování** – Art. 21
Jaká práva
má dle GDPR
uživatel
04
*pokud už data nejsou potřeba nebo již požádali o jejich vymazání...
**přímo se vztahuje na direct marketing a behaviorální profilování...
1. Zdali, proč a jak dlouho bude zpracovatel údaje
zpracovávat a ukládat.
2. Jaké kategorie dat zpracovává.
3. Zdali bude správce sdílet údaje se třetími
stranami, a pokud ano, kdo jsou tyto třetí strany.
4. Zdali je použito automatizované zpracování dat,
které má na ně významný vliv.
Uživatelé
mají právo
vědět
05
tyto body jsou podstatné pro získávání 360 stupňového pohledu na zákazníka a jeho
automatického zpracování. Úplné znění nařízení včetně recitálů: https://gdpr-info.eu
1. Na jakékoliv zpracování osobních údajů (a to
mohou být i cookies) je potřeba jasný
a odvolatelný* souhlas uživatele** – potvrzení
obchodních podmínek kliknutím na button “ANO”
by mohl stačit, ale výklady si různí.
2. Na jakékoliv zpracování citlivých údajů (rasa,
sexuální orientace, vyznání, atd.) nebo
automatické zpracování dat potřebujeme
explicitní souhlas – potvrzení musí zahrnovat
potvrzující akci, například zatrhnutí checkboxu.
Dopady
GDPR pro
digitální
marketing
06
* opt-in / opt-out princip
** například pokud uživatelům personalizujeme nabídku produktů a služeb na základě jejich
předchozích interakcí na webu nebo v kampaních.
Souhlas je potřeba pro každé jedno využití dat, není
možné požádat o generální souhlas.
1. Nezbytné pro funkci webové služby (přihlašování,
korektní zobrazení, atd.) – vztahuje se na ně
oprávněný zájem Data controllera.
2. Nezbytné pro webovou analytiku a statistiku (při
hyperkorektním výkladu je potřeba požádat
i o souhlas s přenosem dat do Google Analytics
a jiných analytických SW, včetně kompletní
identifikace třetích stran) – může, ale nemusí se na
něj vztahovat oprávněný zájem Data controllera.
3. Nezbytné pro digitální reklamu (retargeting,
trackování, automatické profilování) – zde v rámci
přípravy e-Privacy nařízení probíhá bouřlivá debata.
Souhlas se
zpracováním
07
Víceúrovňový
souhlas
08 Testy přijímání víceúrovňového potvrzení souhlasu již proběhly
a nedopadly dobře.
Jako návštěvník webových stránek, kterou z možností byste vybral/a po
zobrazení této zprávy?
NE ANO
79 %
21 %
Abychom se dozvěděli, které nabídky by vás mohli zajímat, rádi
bychom vaše brouzdací zvyky na naší webové stránce sdíleli s Brand
Name a jejich partnery pro analýzu.
Tyto údaje budou smazány po 6 měsících. Vaše svolení můžete
kdykoliv odvolat v sekci My Data. Chcete se dozvědět víc?
Pop-up zpráva
Průzkum Pagefair, zahrnoval cca 300 respondentů, ukázal, že v případě
extrémní implementace GDPR by digitální marketing přišel o 80 % dat.
1. Informační systémy SaaS – cloudové (třeba
Fakturoid, atd.)
2. Interní informační systémy – databáze a logy
3. Servery a sítě (logy) – vzhledem k tomu, že IP může
být osobní údaj, na serverech a routerech se loguje
a uživatel nemá právní vztah s providerem
provozovatele webu, měl by i o tom informovat
uživatele.
Souhlasy
mimo digitální
marketing, ale
podstatné pro
provoz
09
1. Musíte být schopni dokázat (i zpětně) získání souhlasu (celý
souhlas, nejen IP a čas potvrzení).
2. Musíte vědět, kde ukládáte data, ale také kde ukládají data vaši
partneři, kterým data na základě souhlasu předáváte (i k tomuto
předávání potřebujete souhlas). Data musí být ukládána v EU.
3. Být schopni na žádost zajistit výmaz dat nejen u vás, ale
i u třetích stran, kterým jste data předali (např. dopravci,
ale i poskytovatelé digitální reklamy atd.)
4. Vést záznamy také o zpracování dat a na vyžádání data předat
v přenositelné formě uživateli.
Souhlas ve
světle práv
uživatelů dle
GDPR*
10
Již tyto body mohou být problematické pro většinu reklamních sítí
a cloudových služeb.
*Highlights – pěkné shrnutí co upravit v obchodních podmínkách např. zde:
https://wecompose.co.uk/blog/uncategorised/gdpr-mean-digital-marketing
1. Všechna opendata již nejsou opendata obsahují-li osobní údaje
(např. služby využívající veřejné rejstříky, jako daty.cz mohou
mít problém, bez souhlasu automaticky zpracovávají osobní
data).
2. Využívání různých cloudových služeb, do kterých jsou
přenášeny osobní údaje, bude problematické a bude vyžadovat
informování a souhlas.
3. Klade nároky na ochranu a anonymizaci osobních údajů
předávaných třetím stranám zajišťujícím služby (např.
doprava) a zvyšuje náklady na zabezpečení a zpracování dat.
4. Komplikuje situaci v oblasti digitálního marketingu omezení
3rd
 party cookies.
5. Fakticky podporuje oligopolní postavení Googlu a Facebooku
a snižuje konkurenceschopnost EU firem.
Obecné
dopady GDPR
na digitální
ekonomiku EU
11
Krátce k
anonymizaci
12 1. Anonymizováná data – nelze z nich žádným způsobem
identifikovat osobu, které se týkají, protože jsou z nich
odstraněny osobní identifikátory (anonymizovat lze
nahrazením, agregací, zašuměním). GDRP se jich netýká.
2. Pseudoanonymizovaná data – nejsou zcela zbaveny osobních
identifikátorů, ale znemožňují snadné spojení
pseudoanomizovaných dat s původními daty bez dodání dalších
informací (hashování).
Neanonymní data Pseudoanonymizovaná data
777 777 776
777 777 777
777 777 778
Facf4d63e94b7e814cd6c54a9b6e9bf6e
40f0bc01a381565d5104f63368199cf
50e79aab6fdeff4d9b755e8e652400372
37178fad711de01c43a3875e8c6c4fe
d99408ff2e5ac1004c91eec6735be4fa3
463c394fad0dfd7ebfb2a1e89327af0
Hashfce.*
*špatné hashování je snadno prolomitelné slovníkovým útokem.
EU pracovní skupina pro ochranu dat WP29 definuje
behaviorální reklamu následovně:
13
Dopady
GDPR na
behaviorální
cílení a
personalizaci
digitální
reklamy
„Sledování uživatelů při
jejich průchodu internetem
a budování profilů jejich
chování, které jsou později
využity k doručení reklamy
odpovídající jejich zájmům.”
1. Kontextová reklama: reklamní obsah vybraný na základě
aktuálně zobrazovaného obsahu uživatele. Nevyžaduje
profilování. Např. pro vyhledávače obsah odvozený z:
a. klíčových slov pro vyhledávání nebo
b. IP adresy uživatele, pokud je připojen ke geografické
poloze.
2. Segmentová reklama: reklamní obsah vybraný na základě
známých vlastností subjektu údajů (věk, pohlaví, umístění
atd.), které subjekt údajů poskytl při registraci.
Nevyžaduje profilování.
3. Behaviorální reklama: reklamní obsah vybraný na základě
zájmů uživatele odvozených z jeho chování. Zahrnuje
profilování.
Skupina WP29
rozlišuje
mezi:
14
1. Art. 22 rovněž aktualizuje čl. 15 směrnice o ochraně
údajů přidáním "profilování" mezi operace
zpracování, které obsahují automatizovaná
rozhodnutí – zavádí potřebu explicitního souhlasu
jako nový právní základ pro automatizované
zpracování.
2. Vzhledem k vysokému riziku vyžaduje "výslovný"
souhlas. Jiné právní důvody, např. oprávněný zájem,
nelze uplatnit.
3. Toto profilování / automatizované zpracování je
tedy porovnáno se speciálními (rizikovými, citlivými)
kategoriemi osobních údajů upravenými v čl. 9
GDPR, pro které bude požadován "výslovný" souhlas.
Profilování
podle GDPR —
vše je
ztraceno
15
WP29 rozlišuje* zda-li je profilování systematické
a extenzivní, takže signifikantně ovlivňuje práva (způsobuje
vysoké riziko) jednotlivce a uvádí příklad, profilování, které
riziko nezpůsobuje:
„Webové stránky, které zobrazují reklamy na náhradní díly
automobilů na základě omezeného profilování, které vychází
z minulého nákupního chování v určitých částech těchto
webových stránek”.
Není to zcela jasné, ale min. personalizace obsahu
a reklamy v rámci jednoho webu není extenzivní profilování.
Zdroj:
http://ec.europa.eu/newsroom/document.cfm?doc_id=44137
Profilování
podle GDPR —
není vše
ztraceno
16
1. Používání nové technologie jako je AI (nebo ÍÁ)
2. Časový faktor – délka uchování dat v profilech.
3. Rozsáhlý objem zpracovávaných údajů – jakože
velká data
4. Párování a kombinace datasetů (data z Heureky už si
prosím nekupujte)
Příklad:
„Shromažďování veřejně dostupných dat z profilů
v sociálních sítí, které mají být použity soukromými
společnostmi pro vytváření kontaktních seznamů
profilů.”
Znaky
systematického
a extenzivního
profilování
17
1. Ať už je profilování jakékoliv, bude nezbytné získat souhlas
(odvolatelný).
2. Pravidla pro získání souhlasu pro 3rd
party cookies nejsou jasná a
budou upravena v nařízení e-Privacy, které je přesune na stranu
prohlížeče – (Safari už je zakázalo by default).
3. Extenzivní profilování bude podléhat stejným pravidlům jako
nakládání s citlivými údaji a je tak prakticky vyloučeno.
4. Existuje možnost, že by bylo neextenzivní profilování zahrnuto pod
základní souhlas tzn. – oprávněný zájem provozovatele webu,
e-shopu – spíše pro personalizaci nabídky, retargeting, možná čistě
on-line profilování bez kombinace s offline daty (např. CRM, externí
datové zdroje atd.).
„Správci mohou mít legitimní zájem poznat preference svých zákazníků,
aby mohli lépe přizpůsobit svou nabídku a nabídli produkty a služby,
které lépe odpovídají potřebám a přáním zákazníků.” WP29
Praktické
dopady na
behaviorální
cílení reklamy
18
Největší výzvy
pro digitální
reklamu
vyplývající
z GDPR
19
Data governance Získání souhlasu
Zabezpečení dat Jak cílit na neznámé
uživatele
1. Země EU si vykládají pravidla různě.
2. Německo je konzervativní a zastává extenzivní
výklad pravidel. Firmám je doporučováno získání
souhlasu i pro webovou analýzu.
3. Česko se snaží, jako ve všem co přichází z EU, o
vlastní měkčí výklad, ale...
4. Nikdy nevíte, zdali uživatel přicházející na váš web
není náhodou Němec či Francouz, nevíte ani zdali
případný měkčí výklad pravidel v ČR nenapadnou
zahraniční firmy, které dostanou výraznou pokutu za
něco, co bude v ČR považováno za bagatelní.
5. Proto se připravte na konzervativní variantu...
Různý výklad
pravidel
implementace
GDPR v
členských
zemínch RU.
17
Děkuji za pozornost.
Dotazy?
janca@gaussalgo.com

Más contenido relacionado

Similar a Co znamená GDPR pro digitální marketing v EU

Co přinese GDPR?
Co přinese GDPR?Co přinese GDPR?
Co přinese GDPR?Frank Bold
 
Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!
Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!
Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!Taste
 
Soumrak session based analytiky
Soumrak session based analytikySoumrak session based analytiky
Soumrak session based analytikyTaste Medio
 
Webtop100 - Co nás čeká ve výkonnostní reklamě
Webtop100 - Co nás čeká ve výkonnostní reklaměWebtop100 - Co nás čeká ve výkonnostní reklamě
Webtop100 - Co nás čeká ve výkonnostní reklaměMarkéta Kabátová
 
Data Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.cz
Data Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.czData Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.cz
Data Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.czTaste
 
Monitorování zaměstnanců a vliv GDPR
Monitorování zaměstnanců a vliv GDPRMonitorování zaměstnanců a vliv GDPR
Monitorování zaměstnanců a vliv GDPRPIERSTONE
 
Prezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiPrezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiIuridicum Remedium
 
Data Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsy
Data Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsyData Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsy
Data Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsyTaste
 
Data Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - KeynoteData Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - KeynoteTaste
 
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajů
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajůHlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajů
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajůIuridicum Remedium
 
12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky
12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky
12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně praktickyColpirio.com s.r.o.
 
Reklama online, regulace, soutěže
Reklama online, regulace, soutěžeReklama online, regulace, soutěže
Reklama online, regulace, soutěžeaks LEGAL
 
Datarestart - Big Data v praxi
Datarestart - Big Data v praxiDatarestart - Big Data v praxi
Datarestart - Big Data v praxiProfinit
 
Proč selhávají BigData a AI projekty a jak se tomu vyhnout
Proč selhávají BigData a AI projekty a jak se tomu vyhnoutProč selhávají BigData a AI projekty a jak se tomu vyhnout
Proč selhávají BigData a AI projekty a jak se tomu vyhnoutGauss Algorithmic
 
Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...
Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...
Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...Taste
 
Net-mix - Bezpečnost a soukromí na internetu
Net-mix - Bezpečnost a soukromí na internetuNet-mix - Bezpečnost a soukromí na internetu
Net-mix - Bezpečnost a soukromí na internetuSun Marketing
 
Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...
Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...
Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...eMan s.r.o.
 
Digitalizace v malých a středních podnicích jako reakce na COVID-19
Digitalizace v malých a středních podnicích jako reakce na COVID-19Digitalizace v malých a středních podnicích jako reakce na COVID-19
Digitalizace v malých a středních podnicích jako reakce na COVID-19Cognito.cz
 

Similar a Co znamená GDPR pro digitální marketing v EU (20)

Co přinese GDPR?
Co přinese GDPR?Co přinese GDPR?
Co přinese GDPR?
 
Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!
Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!
Data Restart 2022: Jan Tichý - Keynote: Analytika je mrtvá. Ať žije analytika!
 
Soumrak session based analytiky
Soumrak session based analytikySoumrak session based analytiky
Soumrak session based analytiky
 
Webtop100 - Co nás čeká ve výkonnostní reklamě
Webtop100 - Co nás čeká ve výkonnostní reklaměWebtop100 - Co nás čeká ve výkonnostní reklamě
Webtop100 - Co nás čeká ve výkonnostní reklamě
 
Data Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.cz
Data Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.czData Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.cz
Data Date #2: Jakub Novotný - Jak pracují s cookies v Seznam.cz
 
Monitorování zaměstnanců a vliv GDPR
Monitorování zaměstnanců a vliv GDPRMonitorování zaměstnanců a vliv GDPR
Monitorování zaměstnanců a vliv GDPR
 
Prezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiPrezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxi
 
Data Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsy
Data Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsyData Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsy
Data Restart 2021: Jan Tichý - Legislativní rámec cookie apokalypsy
 
Moodlemmot18 gdpr
Moodlemmot18 gdprMoodlemmot18 gdpr
Moodlemmot18 gdpr
 
Data Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - KeynoteData Restart 2021: Jiří Štěpán - Keynote
Data Restart 2021: Jiří Štěpán - Keynote
 
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajů
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajůHlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajů
Hlavní kontroverze i přínosy návrhu unijní úpravy ochrany osobních údajů
 
12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky
12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky
12. Affiliate konference / Lukáš Balek_Jak na GDPR maximálně prakticky
 
PSD 2 bez PSD2
PSD 2 bez PSD2PSD 2 bez PSD2
PSD 2 bez PSD2
 
Reklama online, regulace, soutěže
Reklama online, regulace, soutěžeReklama online, regulace, soutěže
Reklama online, regulace, soutěže
 
Datarestart - Big Data v praxi
Datarestart - Big Data v praxiDatarestart - Big Data v praxi
Datarestart - Big Data v praxi
 
Proč selhávají BigData a AI projekty a jak se tomu vyhnout
Proč selhávají BigData a AI projekty a jak se tomu vyhnoutProč selhávají BigData a AI projekty a jak se tomu vyhnout
Proč selhávají BigData a AI projekty a jak se tomu vyhnout
 
Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...
Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...
Data Restart 2022: David Voráček - Příprava mediálního domu na dobu po konci ...
 
Net-mix - Bezpečnost a soukromí na internetu
Net-mix - Bezpečnost a soukromí na internetuNet-mix - Bezpečnost a soukromí na internetu
Net-mix - Bezpečnost a soukromí na internetu
 
Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...
Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...
Žhavé trendy v mobilním marketingu v roce 2015 (rozšířená verze prezentace z ...
 
Digitalizace v malých a středních podnicích jako reakce na COVID-19
Digitalizace v malých a středních podnicích jako reakce na COVID-19Digitalizace v malých a středních podnicích jako reakce na COVID-19
Digitalizace v malých a středních podnicích jako reakce na COVID-19
 

Co znamená GDPR pro digitální marketing v EU

  • 1. Co znamená GDPR pro digitální marketing v EU hrozby & příležitosti
  • 2. 1. Platné „Obecné nařízení o ochranně osobních údajů”. 2. Vztahuje se na subjekty zpracovávající osobní údaje občanů EU. 3. Subjekty musí být v souladu s GDPR od 25. května 2018.* 4. Obsahuje absurdně vysoké pokuty za porušení z něho vyplývajících povinností (20 mil. v evropských na stole nebo 4 % ročního obratu). 5. Zavádí nové subjekty v procesu zpracování dat (data officer). GDPR — General Data Protection Regulation 01 *zároveň mělo začít platit EU e-Privacy nařízení, ale zřejmě se nestihne přijmout, což může přinést chaos.
  • 3. 1. GDPR = Nezbytný předpis zajišťující ochranu osobních údajů občanů EU. 2. GDPR = Pomsta právníků IŤákům za léta příkoří a ponížení. 3. GDPR = Hlava XXII (prakticky plně neimplementovaltený často sebepopírající a nejasný předpis). 4. GDPR = Problém pro celou digitální ekonomiku EU, který snižuje její konkurenceschopnost a zvyšuje provozní náklady. 5. GDPR = Příručka, podle které se EU při svém boji s americkými internetovými giganty střelila do vlastní nohy. Co je to GDPR 02
  • 4. 1. Data processor / zpracovatel dat – kdokoliv kdo zpracovává osobní data za Data controllera (typicky cloudové služby poskytující webovou analytiku, ale i účetní a fakturační systémy, platební brány nebo dopravní společnosti). 2. Data controller / správce dat – ten, kdo data v reálu využívá, tedy například e-shop nebo webová stránka. 3. Data subject / uživatel – jakákoliv osoba, která používá e-shop či web Data controllera, který zpracovává její osobní údaje. Role v GDPR 03 *osobní data nejsou definována výčtem. Kombinace dvou údajů, které samy o sobě nejsou osobním údajem může být osobním údajem. Osobní údaj není totéž co Citlivý údaj.
  • 5. 1. Právo být informován o zpracování 2. Právo na přístup k datům – Art. 15 3. Právo na opravu/doplnění dat – Art. 16 4. Právo na výmaz čili právo být zapomenut – Art. 17 5. Právo na zákaz/omezení zpracování dat* – Art. 18 6. Právo na přenositelnost dat – Art. 20 7. Právo vznést námitku proti zpracování** – Art. 21 Jaká práva má dle GDPR uživatel 04 *pokud už data nejsou potřeba nebo již požádali o jejich vymazání... **přímo se vztahuje na direct marketing a behaviorální profilování...
  • 6. 1. Zdali, proč a jak dlouho bude zpracovatel údaje zpracovávat a ukládat. 2. Jaké kategorie dat zpracovává. 3. Zdali bude správce sdílet údaje se třetími stranami, a pokud ano, kdo jsou tyto třetí strany. 4. Zdali je použito automatizované zpracování dat, které má na ně významný vliv. Uživatelé mají právo vědět 05 tyto body jsou podstatné pro získávání 360 stupňového pohledu na zákazníka a jeho automatického zpracování. Úplné znění nařízení včetně recitálů: https://gdpr-info.eu
  • 7. 1. Na jakékoliv zpracování osobních údajů (a to mohou být i cookies) je potřeba jasný a odvolatelný* souhlas uživatele** – potvrzení obchodních podmínek kliknutím na button “ANO” by mohl stačit, ale výklady si různí. 2. Na jakékoliv zpracování citlivých údajů (rasa, sexuální orientace, vyznání, atd.) nebo automatické zpracování dat potřebujeme explicitní souhlas – potvrzení musí zahrnovat potvrzující akci, například zatrhnutí checkboxu. Dopady GDPR pro digitální marketing 06 * opt-in / opt-out princip ** například pokud uživatelům personalizujeme nabídku produktů a služeb na základě jejich předchozích interakcí na webu nebo v kampaních.
  • 8. Souhlas je potřeba pro každé jedno využití dat, není možné požádat o generální souhlas. 1. Nezbytné pro funkci webové služby (přihlašování, korektní zobrazení, atd.) – vztahuje se na ně oprávněný zájem Data controllera. 2. Nezbytné pro webovou analytiku a statistiku (při hyperkorektním výkladu je potřeba požádat i o souhlas s přenosem dat do Google Analytics a jiných analytických SW, včetně kompletní identifikace třetích stran) – může, ale nemusí se na něj vztahovat oprávněný zájem Data controllera. 3. Nezbytné pro digitální reklamu (retargeting, trackování, automatické profilování) – zde v rámci přípravy e-Privacy nařízení probíhá bouřlivá debata. Souhlas se zpracováním 07
  • 9. Víceúrovňový souhlas 08 Testy přijímání víceúrovňového potvrzení souhlasu již proběhly a nedopadly dobře. Jako návštěvník webových stránek, kterou z možností byste vybral/a po zobrazení této zprávy? NE ANO 79 % 21 % Abychom se dozvěděli, které nabídky by vás mohli zajímat, rádi bychom vaše brouzdací zvyky na naší webové stránce sdíleli s Brand Name a jejich partnery pro analýzu. Tyto údaje budou smazány po 6 měsících. Vaše svolení můžete kdykoliv odvolat v sekci My Data. Chcete se dozvědět víc? Pop-up zpráva Průzkum Pagefair, zahrnoval cca 300 respondentů, ukázal, že v případě extrémní implementace GDPR by digitální marketing přišel o 80 % dat.
  • 10. 1. Informační systémy SaaS – cloudové (třeba Fakturoid, atd.) 2. Interní informační systémy – databáze a logy 3. Servery a sítě (logy) – vzhledem k tomu, že IP může být osobní údaj, na serverech a routerech se loguje a uživatel nemá právní vztah s providerem provozovatele webu, měl by i o tom informovat uživatele. Souhlasy mimo digitální marketing, ale podstatné pro provoz 09
  • 11. 1. Musíte být schopni dokázat (i zpětně) získání souhlasu (celý souhlas, nejen IP a čas potvrzení). 2. Musíte vědět, kde ukládáte data, ale také kde ukládají data vaši partneři, kterým data na základě souhlasu předáváte (i k tomuto předávání potřebujete souhlas). Data musí být ukládána v EU. 3. Být schopni na žádost zajistit výmaz dat nejen u vás, ale i u třetích stran, kterým jste data předali (např. dopravci, ale i poskytovatelé digitální reklamy atd.) 4. Vést záznamy také o zpracování dat a na vyžádání data předat v přenositelné formě uživateli. Souhlas ve světle práv uživatelů dle GDPR* 10 Již tyto body mohou být problematické pro většinu reklamních sítí a cloudových služeb. *Highlights – pěkné shrnutí co upravit v obchodních podmínkách např. zde: https://wecompose.co.uk/blog/uncategorised/gdpr-mean-digital-marketing
  • 12. 1. Všechna opendata již nejsou opendata obsahují-li osobní údaje (např. služby využívající veřejné rejstříky, jako daty.cz mohou mít problém, bez souhlasu automaticky zpracovávají osobní data). 2. Využívání různých cloudových služeb, do kterých jsou přenášeny osobní údaje, bude problematické a bude vyžadovat informování a souhlas. 3. Klade nároky na ochranu a anonymizaci osobních údajů předávaných třetím stranám zajišťujícím služby (např. doprava) a zvyšuje náklady na zabezpečení a zpracování dat. 4. Komplikuje situaci v oblasti digitálního marketingu omezení 3rd  party cookies. 5. Fakticky podporuje oligopolní postavení Googlu a Facebooku a snižuje konkurenceschopnost EU firem. Obecné dopady GDPR na digitální ekonomiku EU 11
  • 13. Krátce k anonymizaci 12 1. Anonymizováná data – nelze z nich žádným způsobem identifikovat osobu, které se týkají, protože jsou z nich odstraněny osobní identifikátory (anonymizovat lze nahrazením, agregací, zašuměním). GDRP se jich netýká. 2. Pseudoanonymizovaná data – nejsou zcela zbaveny osobních identifikátorů, ale znemožňují snadné spojení pseudoanomizovaných dat s původními daty bez dodání dalších informací (hashování). Neanonymní data Pseudoanonymizovaná data 777 777 776 777 777 777 777 777 778 Facf4d63e94b7e814cd6c54a9b6e9bf6e 40f0bc01a381565d5104f63368199cf 50e79aab6fdeff4d9b755e8e652400372 37178fad711de01c43a3875e8c6c4fe d99408ff2e5ac1004c91eec6735be4fa3 463c394fad0dfd7ebfb2a1e89327af0 Hashfce.* *špatné hashování je snadno prolomitelné slovníkovým útokem.
  • 14. EU pracovní skupina pro ochranu dat WP29 definuje behaviorální reklamu následovně: 13 Dopady GDPR na behaviorální cílení a personalizaci digitální reklamy „Sledování uživatelů při jejich průchodu internetem a budování profilů jejich chování, které jsou později využity k doručení reklamy odpovídající jejich zájmům.”
  • 15. 1. Kontextová reklama: reklamní obsah vybraný na základě aktuálně zobrazovaného obsahu uživatele. Nevyžaduje profilování. Např. pro vyhledávače obsah odvozený z: a. klíčových slov pro vyhledávání nebo b. IP adresy uživatele, pokud je připojen ke geografické poloze. 2. Segmentová reklama: reklamní obsah vybraný na základě známých vlastností subjektu údajů (věk, pohlaví, umístění atd.), které subjekt údajů poskytl při registraci. Nevyžaduje profilování. 3. Behaviorální reklama: reklamní obsah vybraný na základě zájmů uživatele odvozených z jeho chování. Zahrnuje profilování. Skupina WP29 rozlišuje mezi: 14
  • 16. 1. Art. 22 rovněž aktualizuje čl. 15 směrnice o ochraně údajů přidáním "profilování" mezi operace zpracování, které obsahují automatizovaná rozhodnutí – zavádí potřebu explicitního souhlasu jako nový právní základ pro automatizované zpracování. 2. Vzhledem k vysokému riziku vyžaduje "výslovný" souhlas. Jiné právní důvody, např. oprávněný zájem, nelze uplatnit. 3. Toto profilování / automatizované zpracování je tedy porovnáno se speciálními (rizikovými, citlivými) kategoriemi osobních údajů upravenými v čl. 9 GDPR, pro které bude požadován "výslovný" souhlas. Profilování podle GDPR — vše je ztraceno 15
  • 17. WP29 rozlišuje* zda-li je profilování systematické a extenzivní, takže signifikantně ovlivňuje práva (způsobuje vysoké riziko) jednotlivce a uvádí příklad, profilování, které riziko nezpůsobuje: „Webové stránky, které zobrazují reklamy na náhradní díly automobilů na základě omezeného profilování, které vychází z minulého nákupního chování v určitých částech těchto webových stránek”. Není to zcela jasné, ale min. personalizace obsahu a reklamy v rámci jednoho webu není extenzivní profilování. Zdroj: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 Profilování podle GDPR — není vše ztraceno 16
  • 18. 1. Používání nové technologie jako je AI (nebo ÍÁ) 2. Časový faktor – délka uchování dat v profilech. 3. Rozsáhlý objem zpracovávaných údajů – jakože velká data 4. Párování a kombinace datasetů (data z Heureky už si prosím nekupujte) Příklad: „Shromažďování veřejně dostupných dat z profilů v sociálních sítí, které mají být použity soukromými společnostmi pro vytváření kontaktních seznamů profilů.” Znaky systematického a extenzivního profilování 17
  • 19. 1. Ať už je profilování jakékoliv, bude nezbytné získat souhlas (odvolatelný). 2. Pravidla pro získání souhlasu pro 3rd party cookies nejsou jasná a budou upravena v nařízení e-Privacy, které je přesune na stranu prohlížeče – (Safari už je zakázalo by default). 3. Extenzivní profilování bude podléhat stejným pravidlům jako nakládání s citlivými údaji a je tak prakticky vyloučeno. 4. Existuje možnost, že by bylo neextenzivní profilování zahrnuto pod základní souhlas tzn. – oprávněný zájem provozovatele webu, e-shopu – spíše pro personalizaci nabídky, retargeting, možná čistě on-line profilování bez kombinace s offline daty (např. CRM, externí datové zdroje atd.). „Správci mohou mít legitimní zájem poznat preference svých zákazníků, aby mohli lépe přizpůsobit svou nabídku a nabídli produkty a služby, které lépe odpovídají potřebám a přáním zákazníků.” WP29 Praktické dopady na behaviorální cílení reklamy 18
  • 20. Největší výzvy pro digitální reklamu vyplývající z GDPR 19 Data governance Získání souhlasu Zabezpečení dat Jak cílit na neznámé uživatele
  • 21. 1. Země EU si vykládají pravidla různě. 2. Německo je konzervativní a zastává extenzivní výklad pravidel. Firmám je doporučováno získání souhlasu i pro webovou analýzu. 3. Česko se snaží, jako ve všem co přichází z EU, o vlastní měkčí výklad, ale... 4. Nikdy nevíte, zdali uživatel přicházející na váš web není náhodou Němec či Francouz, nevíte ani zdali případný měkčí výklad pravidel v ČR nenapadnou zahraniční firmy, které dostanou výraznou pokutu za něco, co bude v ČR považováno za bagatelní. 5. Proto se připravte na konzervativní variantu... Různý výklad pravidel implementace GDPR v členských zemínch RU. 17