GDPR – uredba, zaradi katere si v lase skačejo pravniki in marketingarji

Andreja GregorkaGDPR

52, 51, 50 … Kamorkoli pogledam, vidim odštevalnike časa, ki odštevajo čas do dne, ko se začne uporabljati uredba GDPR. Občutek imam, da je reforma v nas prebudila podobno nelagoden občutek kot pred 18 leti milenijski hrošč. Medtem ko čakamo na GDPR, ne vemo točno, kaj pričakovati, saj bo šele praksa razkrila dejanska pravila igre. Bo res treba pobrisati obstoječe kontakte? Bo inšpekcija res pisala milijonske kazni?

Čeprav nekatera podjetja upajo, da se iz uredbe tako kot iz milenijskega hrošča po čudežu ne bo izcimilo nič, da si bo Evropa premislila in rekla, ah ne, saj tega vam pa ni treba urediti, lahko z gotovostjo rečem: Ignoriranje uredbe GDPR enostavno ne pride v poštev.

Praksa je znova dokazala, da je strožja obdelava osebnih podatkov potrebna. Sredi marca je v časopisni hiši The Guardian to dokazala zgodba o tem, kako so milijone Facebook profilov v ZDA izkoristili v politične namene, in vzbudila vprašanja, kako se v resnici uporabljajo naši podatki.

Uredba GDPR ni nekaj, kar želite povsem prepustiti pravnikom!

Pred kratkim smo v FrodXu organizirali še eno izobraževanje ali recimo temu predstavitev praks, ki smo jih izoblikovali v FrodXu v povezavi z zahtevami GDPR za marketingarje in prodajnike. Pogosto sicer slišimo, da je GDPR »težava«, s katero naj se ukvarjajo pravniki (in IT-jevci). Le malo marketingarjev in prodajnikov pa je tako daleč, da vedo, da bodo morali uredbo naštudirati tudi sami in da se bodo morali s pravniki slej ko prej kdaj tudi »spreti«, da bodo lahko obdržali svoje cilje.

Rešitve, ki si jih ponavadi začrtajo pravniki, so varne (kar je ok!), hkrati pa tudi zelo toge in neživljenjske. Pravnikov, jasno, ne zanima uporabniška izkušnja, o kateri sem pisala v prejšnjem blogu. Prav tako vam radi povedo, da se nekaj enostavno ne da ali ne sme in da si zato to izbijte iz glave. Prosim, ne verjemite jim na prvo besedo, marsikaj se da rešiti z malenkost zavzetosti. Poglejmo nekaj primerov.

Marketingarji proti pravnikom prvič:
1 namen, 1 kljukica. 10 namenov, 10 kljukic. »Prosim, uščipnite me. Ali GDPR res zahteva to?«

Res. In povzetek namenov morate strniti na stran ob obrazec, kar pomeni, da jih ne smete zapakirati v eno gmoto in skriti pod povezavo, kot smo to počeli doslej. To pomeni tudi, da na primer od posameznikov za sodelovanje v nagradni igri lahko kot obvezno zahtevate strinjanje s pogoji nagradne igre, ne morete pa jim kot obvezno vsiliti tudi soglasja za pošiljanje e-pošte z ugodnostmi vašega podjetja, telefonsko prodajo in kaj tretjega. No, vsaj ne tako enostavno kot doslej.

Primer, kako je bil videti eden od naših obrazcev prej in kako je videti zdaj (moramo priznati, da v tem trenutku vseh še nismo uredili).

Hkrati to ni trenutek, ko vržete puško v koruzo. Privolitve lahko pridobite tudi ob naslednjem stiku oz. koraku, kot na primer tako, da posameznike:

  • povabite v klub ugodnosti (ki vključuje popuste, nagrade in predstavitev produktov),
  • povabite na družabna, izobraževalna ali druge vrste srečanja (na katerih skrbite za povezovanje, deljenje izkušenj in tudi predstavitev storitev),
  • obljubite uporabne in koristne vsebine (nasvete, rešitve, vodiče, uporabna poročila, webinarje …),
  • za soglasja prosite sproti in personalizirano glede na posameznikovo zanimanje prek pametnega pop-up orodja (o tem malo kasneje).
Tu velja opozoriti, da posameznikov ne morete spraševati kar vsega povprek, ampak samo po podatkih in privolitvah za obdelavo tistih podatkov, ki so za namen obdelave relevantni. Če mi ponujate priročnik o dobrih poslovnih praksah, mi boste težko »prodali« vprašanje o številu družinskih članov v mojem gospodinjstvu. Se razumemo?

Marketingarji proti pravnikom drugič:
»Naš pravnik pravi, da ker nismo granularno (za vsak namen posebej) pridobili soglasij za obdelavo osebnih podatkov, jih moramo s 25. majem pobrisati. Je to res?«

Načeloma je, sicer boste v prekršku. To se zdi najbolj nesmiselno vsem, ki so uporabnike podrobno obveščali o tem, za katere namene zbirajo njihove osebne podatke in za kako dolgo, niso pa ob tem navedli (karikiram) 15 ločenih kljukic.

GDPR namreč zapoveduje, da mora biti soglasje podano prostovoljno, izrecno in nedvoumno, mora biti informirano in dokazljivo. Privolitev mora biti specifična in jasno dana za vsak namen obdelave podatkov posebej.

Nekateri zato že nekaj časa pošiljajo prošnje uporabnikom, da bi posodobili soglasja, na manj vsiljiv način, brez nepotrebnega nadlegovanja strank pa se lahko zbiranja soglasij lotite z rešitvijo, kot je Alpheid Pro. Ta pri obiskovalcu vaše spletne strani preveri, katere podatke hranite o njem, nato pa jih v obliki pop-up ali div okna prosi za izbrane privolitve. To morate seveda urediti pred 25. majem.

Marketingarji proti pravnikom tretjič:
»Na sejmu mi je dal vizitko. Naš pravnik pravi, da to ni nič in da potrebujem še soglasje.«

Zdi se nesmiselno, ampak če pomislite … Kako naj bi recimo inšpektor vedel, da vam ni vizitke dal nekdo drug ali pa ste jo pobrali s tal? Tudi če vam je posameznik dal ustno soglasje za pošiljanje marketinških obvestil, tega ne morete dokazati. Potrebujete torej jasno privolitev, jasen opt-in za specifičen namen in čas trajanja obdelave podatkov na vizitki.

GDPR namreč pravi, da morate podatke osebe, ki vam je dala vizitko, iz svojih sistemov izbrisati v trenutku, ko »poteče« namen obdelave njenih osebnih podatkov. Če vam nekdo na sejmu pomoli vizitko z namenom, da bi od vas pridobil ponudbo, za katero se na koncu ne odloči, bi morali takrat njegove osebne podatke iz svojih sistemov izbrisati.

Zdaj pa k izzivu: Če želite pridobiti takšno privolitev, je pomembno, da na primer osebi čim prej pošljete prošnjo za pošiljanje novic vašega podjetja. Na »kraju zločina«. Dlje kot odlašate, večja je verjetnost, da vam nekdo privolitve ne bo dal. Nekaj ljudi si bo vmes premislilo, nekaj jih bo navdušenje nad vami minilo ali pa bodo sploh pozabili, komu so v resnici potisnili vizitko.

V FrodXu smo nekaterim strankam predlagali rešitev z aplikacijo za skeniranje vizitk, ki jo povežemo z marketing automationom. Ko vizitko skenirate, označite še, kakšno personalizirano opt-in sporočilo želite osebi poslati, ki se nato v roku 15 minut tudi pošlje. To je seveda ena od rešitev.

Marketingarji proti pravnikom četrtič:
»Ali moramo stranki, ki zahteva vpogled v osebne podatke, ki smo jih zbrali o njej, res povedati tudi, da je v naši evidenci zaveden kot »cepec«?«

GDPR uporabnikom daje pravico do dostopa do osebnih podatkov ter pravice do popravka, pozabe, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Uredba torej predvideva, da moramo v primeru zahteve za vpogled v osebne podatke posameznika temu predložiti VSE zbrane podatke. Na nek način bi to lahko bile tudi oznake v CRM ali drugem sistemu; vroča stranka; pozor, cepec; prodaj mu artikel #1 … Na nek način. Vendar so lahko izjema podatki, ki ste jih o stranki ustvarili sami in jih torej niste zbrali o stranki. V tem primeru bi namreč tehtali argumenta – pravico posameznika do vpogleda v zbrane osebne podatke in vašo pravico do nerazkrivanja poslovnih skrivnosti. Kdo bi ali bo zmagal, bo pokazala praksa.

 

andreja.gregorka@frodx.com

 

P. S. Če imate dodatna vprašanja, nam ga lahko 11. aprila zastavite na naslednjem dogodku o GDPR, ki bo seveda namenjen marketingarjem in prodajnikom.

O avtorju

Andreja Gregorka

Andreja v FrodXu kot vodja projektov pomaga strankam, da uresničijo svoje zamisli, cilje in načrte. Zadnja leta pred prihodom na Frodx se je ukvarjala predvsem z vprašanjem, kako ljudem skozi dejstva, emocije ali drugače pokazati vrednost v izdelkih ali storitvah, ki jih morda še ne poznajo. Delala je v kreativni produkciji in marketingu, sicer pa tudi v novinarstvu in na področju organizacije.