Jak nejjednodušeji vyřešit GDPR na blogu

Jak nejjednodušeji vyřešit GDPR na blogu

Reading Time: 6 minutes

Na úvod jen velmi jednoduše: nejsem právník, nejsem GDPR specialista, který by se vyznal v každém detailu. Jsem jen člověk, který GDPR řešil, a který se nehodlal vzdát budování emailové databáze.

Vím, že někteří blogeři vzdali sbírání emailů kvůli složitosti GDPR a přijde mi to jako hrozná škoda. Já si nějak GDPR na blogu vyřešil a tady vám ukážu, jak. Zkusím to napsat tak jednoduše, jak to půjde. Pokud budete využívat stejné nástroje jako já, nebude to vůbec složité. Prostě zkopírujete moje nastavení.

Pro ty, koho by zajímaly detaily, nebo má specifičtější případ, doporučím web gdpr.cz Evy Škorničkové, konzultantky právní ochrany osobních údajů. Na ostatní GDPR šamany se vyprdněte a obecně nejlíp uděláte, když si to nařízení prostě přečtete. Není to jaderná fyzika.

Není to plugin, nejde to „zapnout“

Bylo by fajn si taky na začátku uvědomit, co to vlastně je. Že nemůžete hledat nejlepší „GDPR plugin“. Není to něco, co nahrajete na web a hotovo. Není to něco, co by šlo jen tak zapnout. Jde o nařízení, které určuje přístup, chování, informování, zacházení s daty, poskytování možností návštěvník a podobně. To se nedá stáhnout a aktivovat. Jak může existovat plugin, který zajistí, jak se budete chovat? Můžou pouze existovat nástroje, které vám s tím trochu pomohou.

Pochopením, co GDPR vlastně je, také pochopíte, že forma je na vás. Nikdo nenařizuje, jak má vypadat okno, lišta, fajfka souhlasu. Dodržte chování, zacházení, informování, dejte lidem možnosti a pak bude na vás, jak to uděláte. Je na vás, jak je třeba informujete. Co dělají ostatní, je možná jen obecně rozšířená praktika, ale ne povinnost.

Kontakt, provozovatel, Zásady o ochraně osobních údajů

Tohle jsou podstránky webu, které už asi máte, nebo byste měli mít. Pokud ne, rychle si je vyrobte. Do stránky provozovatel vyplňte sebe jako fyzický nebo právnický subjekt se všemi podrobnostmi. Zásady o ochraně osobních údajů zkopírujte klidně z mého blogu. Změníte v nich provozovatele, kontaktní email, účel zpracování (ten mám dost na míru) a někde na konci ještě jednou zmiňuju v textu provozovatele. Pozorně si je přečtěte a případně upravte, co máte u sebe jinak. Můj blog není váš blog. Můžete třeba jinak dlouho zpracovávat osobní údaje atd.

Každý odstavec mých zásad má nadpis a každý ten nadpis je vlastně povinnost, kterou máte. Ať už něco dodržovat, nebo jen informovat. I proto si to přečtěte, ať víte, co slibujete a co musíte plnit.

Zpracovatelská smlouva

S tímhle dodržováním mi pomáhá nástroj Smart Emailing (do 200 kontaktů zdarma), což je právně „Osoba s přístupem k vašim osobním údajům“.

Je extrémně důležité si najít vhodného partnera na rozesílání emailů. Ten musí sám GDPR dodržovat a taky s vámi musí mít sjednanou Zpracovatelskou smlouvu. V případě Smart Emailingu (dál už mu budu říkat jen SE) jsem se nemusel starat o to, co musí smlouva obsahovat a měl jsem jí na 3 kliky. Zpracovatelskou smlouvu musíte mít s každým, s kým sdílíte osobní údaje svých uživatelů.

V SE si snadno založíte seznam kontaktů, kterých můžete mít neomezeně. Třeba seznam „Stáhli si ebook pod článkem“. Pak půjdete do formulářů a vyrobíte si formulář na sběr kontaktů. Buď si ho naklikáte, nebo ti zkušenější vezmou jen čistý html kód, kterému dodají vlastní vzhled. K formuláři přiřadíte seznam, který jste si vytvořili. Pomocí copy-paste vložíte kód formuláře na blog a je to. U formuláře se musí nacházet souhlas. Napíšete větičku, že návštěvník souhlasí s těmi zásadami, které jsme vytvořili. Souhlas musí být dobrovolný a nemůže být podmínkou pro stažení něčeho zdarma. Nejsnadněji to uděláte tak, že fajfka nebude povinná. Pak ale na takové lidi, kteří nesouhlasili, raději nic neposílejte. I když výjimky existují.

Taky ta povinnost fajfku zakliknout nebo ne, to se dá udělat i jiným způsobem. Vy zkrátka máte jen povinnost, abyste umožnili technicky způsob získání E-Booku i bez souhlasu. Jak to umožníte, je opět na vás, nemusí to být takhle.

Účel zpracování

SE pro tohle má funkci odděleného „účelu zpracování“ u každého kontaktu zvlášť. Snadno pak můžete odesílat maily pouze těm s konkrétním účelem zpracování.

GDPR nařizuje evidovat souhlasy podle účelů zpracování zvlášť. Takže pokud jich máte víc, SE dobře poslouží k jejich oddělenému uchovávání. Já mám jen marketingové zpracování, takže to nemusím komplikovat. Celé to možná zní složitě, ale díky SE nemusím na nic z toho moc myslet.

Dokončení

Takže máte:

• podstránku se zásadami,
• Smart Emailing možná i zdarma, pokud máte málo kontaktů,
• máte vyrobený seznam kontaktů,
• formulář k jejich sběru
• a větičku s fajfkou, díky které uživatel může souhlasit se zásadami.

Teď si ještě:

• vyrobte email s odkazem na E-Book, pokud ho nabízíte
• vytvořte autoresponder v sekci Smart kampaně, kde vyberete svůj seznam kontaktů a email, který má rozeslat E-Book
• nastavte čas odeslání na ihned po přidání do seznamu kontaktů

Oprávněný zájem

Pokud nemáte E-Book a nabízíte jen newsletter, tak podle mého přesvědčení ani souhlas nepotřebujete, protože jde o takzvaný „oprávněný zájem“. To je výjimka, díky které se nemusíte ptát na souhlas, když bez něj nejde dělat to, o co uživatel žádá. V tomto případě bez souhlasu s rozesílkou mailů nemůže být odběratelem newsletteru.

Pokud je ale newsletter součástí něčeho jako je stažení E-Booku nebo nákupu (prodej vlastního produktu na blogu), pak potřebujete mít souhlas. I bez něj totiž uživatelé mohou dostat, co si žádají. Tady je to ale sporné. Existuje výklad, a naše ÚOOÚ se podle něj zřejmě bude chovat, který uvádí souhlas s newsletterem u staženého E-Booku jako nepovinný. (Zdroj.) Údajně stačí dát uživateli jasně vědět, co budete posílat, a že to budete posílat. Samozřejmostí je pak možnost se odhlásit.

Nic nepokazíte, když ten souhlas budete sbírat.

Další výjimkou, ke které nepotřebujete souhlas, protože to jinak nejde, je třeba mailové potvrzení k vygenerování zapomenutého hesla. To se týká blogerů s členskou sekcí.

U prodeje, třeba té členské sekce, potřebujete ještě obchodní podmínky.

Co jsme dokázali?

Když si to vyzkoušíte zapracovat spolu s článkem, zjistíte, že jsme toho vlastně tak moc neudělali.

• Vyrobili jsme podstránky, v zásadách jsme upravili drobnosti podle své situace,
• založili jsme si Smart Emailing a nastavili ho,
• na pár kliků jsme s nimi elektronicky podepsali smlouvu,
• umístili jsme formulář na web.

Splnili jsme tím ale dost povinností GDPR. Konkrétně:

• Informovali jsme své návštěvníky o rozsahu zpracování jejich osobních údajů,
• informovali jsme své návštěvníky o účelu zpracování jejich osobních údajů,
• zajistili jsme přes SE bezpečnost skladování osobních údajů,
• zajistili jsme přes SE evidenci, archivaci a oddělení souhlasů se zpracováním jejich osobních údajů,
• zajistili jsme přes SE evidenci, archivaci a oddělení účelů zpracování jejich osobních údajů,
• informovali jsme své návštěvníky, na jakém právním základu zpracováváme jejich osobní údaje,
• informovali jsme své návštěvníky o době zpracování jejich osobních údajů,
• informovali jsme své návštěvníky o možnosti a způsobu odvolání jejich souhlasu,
• umožnili jsme návštěvníkům přes SE odvolání souhlasu (SE vám ani nedovolí poslat mail bez možnosti odhlášení, dá ho tam automaticky),
• získali jsme díky SE možnost na žádost návštěvníka upravit, doplnit či smazat osobní údaje konkrétního návštěvníka,
• informovali jsme své návštěvníky o subjektech, které mohou mít přístup k jejich osobním údajům,
• zajistili jsme si s těmito subjekty zpracovatelskou smlouvu se všemi náležitostmi,
• informovali jsme své návštěvníky o tom, jak s těmito daty budou osoby s přístupem nakládat,
• informovali jsme své návštěvníky o tom, jak dlouho budou s těmito daty osoby s přístupem nakládat,
• informovali jsme své návštěvníky o tom, v jakém rozsahu budou s těmito daty osoby s přístupem nakládat,
• informovali jsme své návštěvníky o kontaktních údajích správce osobních údajů a jeho zákonných možnostech,
• informovali jsme své návštěvníky o jejich právech zejména odvolat či upravit svůj souhlas, vznést námitku či stížnost, práva na výmaz atp.,
• informovali jsme své návštěvníky o jejich právech podat stížnost u dozorového úřadu a kontaktech, kde mohou stížnost podat.

Možná to ani není kompletní výčet. GDPR je především o zpracování, informování, poskytnutí možností a zabezpečení kolem osobních údajů. To se nám touto cestou daří.

Nad rámec

Osobně dělám to, že když rok neotevřete žádný můj mail, tak vaše osobní údaje přestanu zpracovávat a smažu je. K tomu mě nic nenutí, ale já nemám zájem někoho otravovat něčím, co ho nezajímá. Nesnažím se získat souhlas nějak skrytě či násilně. Lidé, kteří o vaše maily nemají zájem, vám nepřinesou užitek. Jen je naštvete.

Cookie lišta (netýká se GDPR)

S GDPR je často spojena diskuze o takzvané Cookie liště. Ta s GDPR ale nemá, co dělat. Opět jde o nařízení (o dost starší), které ukládá dávat návštěvníkům nějaké možnosti a informovat o nich. Tuším, že jediný, kdo říká něco o nějaké liště, je Google ve svých podmínkách. Tak nařízení pochopil a přenáší ho na své uživatele. Pokud tedy neumístíte lištu, zřejmě porušujete obchodní podmínky Googlu, ale ne nařízení o povinnostech kolem Cookies. Ještě jsem neslyšel, že by za to Google někoho potrestal. Asi chtěl být jen z obliga, kdyby něco.

Podle ÚOOÚ k dodržení stačí možnosti moderních internetových prohlížečů. Osobně tedy žádnou lištu nemám a ani se k tomu nechystám.