Jak na GDPR, díl III.: Nakládání s daty
Třetím a posledním tématem, na které se na našem blogu zaměříme, je nakládání s daty.
Data nejčastěji sbíráme právě za účelem jejich dalšího zpracování. Například segmentování pro nastavení cílené komunikace nebo vytváření sestav za účelem získání podkladů pro kvalifikované rozhodování.
V prvním díle jsme zmínili, že pro zpracování osobních údajů potřebujete od subjektů souhlas (rovněž jsme vás informovali o výjimkách, kdy souhlas není potřeba). Od května již nebude možné získávat souhlas se zpracováním dat obecně „pro marketingové účely“. Co dalšího by vás mělo zajímat?
V komerčním sektoru firmy používají pro rozšíření svého záběru cross-selling. Na cross-sell kampani se mohou domluvit dvě firmy, jejichž produkty si nekonkurují, naopak se navzájem doplňují. V takovém vztahu jsou například výrobci automobilů s výrobci pohonných hmot. Pokud by ovšem výrobce pohonných hmot oslovil svou obchodní nabídkou zákazníky automobilky, porušil by rázem Nařízení GDPR. Nedisponuje totiž svolením těchto zákazníků a nelze využít ani zákaznické výjimky. Pro neziskový sektor platí stejné pravidlo. Mějte to na paměti, pokud se vám někdy naskytne příležitost oslovit dárce partnerské neziskové organizace nebo například zákazníky firmy, která je vaším donorem.
GDPR v článku 4 definuje zpracování takto: jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Pro naše účely je důležité si říci, jakým způsobem budete v Salesforce své dárce strukturovat a vytvářet z nich homogenní skupiny pro cílené kampaně. A také jaké parametry budete u kampaní sledovat a vyhodnocovat (otevření newsletteru, prokliky na web, konverze,…).
Praktické je namapovat si webové rozhraní vaší organizace a sepsat si všechna pole, do kterých vstupují osobní údaje, nebo kde se osobní údaje vyskytují. Například kontaktní formuláře, registrace na volnočasové aktivity, sběr emailových adres pro zasílání newsletteru, formulář pro darování aj. Při mapování je dobré zakreslit si datové toky. Zjistit, kam výstupy z formulářů posíláme, do jakých systémů tečou, kde se ukládají atd. Pomůže nám to udělat si obrázek o poskytovatelích služeb, se kterými musíme ošetřit vztahy.
Po namapování je potřeba u každého formuláře/pole zrevidovat, zda skutečně sbíráme pouze nezbytně nutná data. Například při odběru newsletteru nepotřebujeme vědět, kolik je odběrateli let. V praxi se toto nazývá princip minimalizace osobních údajů. Formuláře je potřeba vybavit zatržítkem pro sběr souhlasů a splnit informační povinnost. Především sdělit, za jakým účelem data sbíráme, zda je předáváme někomu dalšímu či jak dlouho je budeme zpracovávat.
Na webu nebo v propagačních materiálech se zase mohou vyskytovat fotografie/videa zaměstnanců, klientů, či dárců. Podívejte se i na případné obchodní podmínky, právní doložky či stránku s politikou ochrany osobních údajů, zda splňuje veškeré náležitosti (v tomto případě doporučujeme využít advokátních služeb).
V případě softwarů, které máte nasazené kvůli měření návštěvnosti na webu typu Google Analytics, teplotní mapy s vyplou funkcí sledování formulářů, měřicí pixely atp. se v drtivé většině jedná o softwary, které nepracují s osobními údaji návštěvníků webu. V jejich reportech vidíte agregovaná anonymizovaná data, a proto je z pohledu GDPR nemusíte řešit.
U rozesílky newsletterů musí všechna vámi odeslaná obchodní sdělení splňovat následující kritéria:
- musí z nich jednoznačně vyplývat, že se jedná o obchodní sdělení, nesmí tedy působit nijak klamavě,
- musí obsahovat jasnou a zřetelnou možnost odmítnout jejich další zasílání,
- musí být jasná totožnost odesílatele,
- musí být poslána z adresy nebo obsahovat adresu, na kterou se dá přímo odpovědět,
- musí obsahovat odkaz na odhlášení,
- měl by být uveden důvod, proč jsou zasílány, jaký k tomu má odesílatel právní důvod (souhlas/zákaznická výjimka – oprávněný zájem, není to povinné, ale je to praktické).
Soulad napříč organizací
Aby do sebe vše zapadlo tak, jak má, důkladně zaškolte zaměstnance napříč organizací. Vaši lidé musí být s novou legislativou seznámeni, procesy nastaveny, pravidla stanovena. Selhání lidského faktoru nezabrání sebedokonaleji připravený systém. Co ale může udělat, je značně omezit jeho riziko.
Prvním krokem v případě práce se CRM systémem je zmiňované školení. Na téma GDPR nabízí Salesforce dostatek materiálů na svém portálu Trailhead. Druhým krokem je práce s právy uživatelů. Pouze proškolení a kompetentní uživatelé by měli mít v Salesforce udělena práva například k rozesílce kampaní. Snížíte tak riziko, že newsletter odejde na někoho, kdo vám nedal souhlas nebo nebude ve správném formátu (viz výše). Pokud používáte pro rozesílku newsletterů Mailchimp, nebo jiného dodavatele, platí de facto to samé.
Rovněž přístup k osobním údajům klientů nebo zaměstnanců by měl být dostatečně ošetřen. Třetím krokem je kontrola. Doporučujeme nastavit reporting kampaní tak, aby bylo možné průběžně kontrolovat, jaká komunikace na jaké skupiny dárců odešla a kdy. V případě selhání dokážete včas reagovat.
Dostáváme se tím k závěrečnému tématu a tím je porušení zabezpečení osobních údajů ve smyslu nařízení GDPR. Tím je míněno porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
I pro tyto případy stanovuje nařízení jasný postup. Jakékoliv porušení ochrany údajů musí být Úřadu pro ochranu osobních údajů oznámeno bez zbytečného odkladu, pokud možno do 72 hodin od objevení. V případě, že v této lhůtě nebylo možné porušení nahlásit, poskytněte úřadu společně s hlášením zdůvodnění pozdějšího zaslání.
Pro CRM pro neziskovky sepsáno ve spolupráci s Klárou Kunovou.