Mezi podnikatele, kteří nejvíce doplatí na nástup GDPR, tedy nového nařízení pro nakládání s osobními údaji, patří e-shopy. Se svými zákazníky totiž komunikují převážně elektronicky. Emailové adresy zákazníků však patří mezi osobní údaje, jejichž používání GDPR reguluje. Od 25. května, kdy začne GDPR platit, hrozí za neoprávněné používání e-mailů vysoké pokuty.
Pro e-shopy a další obchodníky proto nařízení znamená komplikaci i v zasílání reklamních e-mailů, newsletterů a jiných obchodních sdělení, které jsou důležitou součástí jejich marketingu. GDPR totiž stanovuje přísné podmínky pro práci s osobními údaji a jejich využití. Řada z nich sice platila v email marketingu již dříve, ale mnoho podnikatelů je obcházelo.
„Obchodníci budou muset nově být ve vztahu ke klientům zcela transparentní. To znamená, že je budou muset přesně informovat o rozsahu zpracovávaných údajů a jejich využití. A od konce května tak nebude možné obchodní sdělení zasílat nikomu, kdo neposkytne souhlas s využitím svého osobního údaje – v tomto případě e-mailové adresy – k tomuto konkrétnímu účelu,“ říká Kateřina Fišerová, manažerka aplikace SmartEmailing.
Obecný souhlas už neplatí
Doposud byl hojnou praxí jen velmi obecný souhlas se zpracováním, což by bylo v rozporu s GDPR, a to hned v několika bodech. Dotaz k získání osobních údajů totiž musí být jasný a srozumitelný a musí obsahovat všechny formy využití dat. Souhlas musí být zároveň jednoznačný a ničím nepodmíněný a musí být udělen aktivně.
„Obchodníci tedy budou povinni uvést přesný výčet konkrétních účelů, za nimiž se data zpracovávají. Zároveň nesmějí udělením souhlasu se zpracováním osobních údajů pro účel zasílání obchodních sdělení podmínit například uzavření kupní smlouvy či odeslání objednávky. Nesmí být dokonce ani vloženo do obchodních podmínek. Aktivní souhlas pak znamená, že políčko se souhlasem k zasílání obchodních sdělení musí být prázdné a je jen na uživateli, aby ho vědomě odkliknul,“ vysvětluje Kateřina Fišerová.
Obchodníci, kteří doposud využívali aktivního souhlasu při sběru kontaktů, budou moci po květnu 2018 současné databáze i nadále využívat. Naproti tomu ti, kdo kontakty sbírali pomocí pasivního či podmíněného souhlasu, dané kontakty nebudou moci k rozeslání obchodního sdělení použít. A léta pracně budované databáze kontaktů, které mnohdy představují významnou část celkové hodnoty konkrétního e-shopu, skončí v koši.
Podle odborníků to však neznamená, že o ně musí přijít za všech okolností. „Zachránit databázi lze například prostřednictvím reaktivační kampaně, která již bude dle požadavků GDPR a v níž firmy své zákazníky osloví s žádostí o potvrzení souhlasu se zpracováním osobních údajů pro účel zasílání obchodních sdělení,“ doplňuje Kateřina Fišerová ze SmartEmailing.
Podle odborníků se však ani po nástupu GDPR zasílání reklamních newsletterů českými e-shopy nezhroutí. „Výjimkou nejsou případy, kdy až 80 procent zákazníků daného obchodu dostává reklamní sdělení s týdenní frekvencí. Zařazeni do rozesílání byli jen na základě jednoho nákupu. Přestože nová směrnice upravuje zacházení s osobními údaji, což se částečně týká právě rozesílání reklamních sdělení, tak i přes různé obavy o dopadech kolem implementace tohoto nařízení nelze očekávat, že by lidem chodilo méně těchto emailů,“ upozornil Miroslav Uďan, ředitel společnosti Shoptet.
Problém pro e-shopovou velmoc
Česko je e-shopovou velmocí a výrazná část obchodů začíná právě v emailové schránce zákazníka. „Newslettery pro zákazníky jsou důležitým marketingovým nástrojem, bez kterého se velká část tuzemské e-commerce neobejde. Podílejí se v nemalé míře na celkovém obratu, většinou v nižších desítkách procent. Samozřejmě záleží na specializaci daného obchodu,“ komentuje účinnost newsletterů Miroslav Uďan.
Data Shoptetu, na jehož platformě funguje celá čtvrtina českých online obchodů, například ukazují, že reklamní sdělení posílaná emailem tvoří v průměru až 25 procent obratu společností.
Dlouhodobě udržitelným řešením získávání nových kontaktů je zavedení takzvaného double opt-in, tedy dvojitého souhlasu se zasíláním obchodních sdělení. „Nejedná se o žádnou novinku a mezi řadou obchodníků je pokládán za zavedenou praxi již nyní. Přesto se o této metodě nejvíc mluví hlavně v poslední době. V e-mailingu se totiž stane nejvhodnějším způsobem, jak GDPR vyhovět,“ vysvětluje Kateřina Fišerová.
Double opt-in v emailingu funguje právě jako dvojité potvrzení souhlasu se zasíláním obchodních sdělení. Pokud zájemce o newsletter potvrdí svůj souhlas pouze v rámci webového formuláře, jedná se o takzvaný jednoduchý, single opt-in. Double opt-in zahrnuje ještě jeden krok navíc – budoucí příjemce newsletteru obdrží potvrzovací e-mail s odkazem. Jeho souhlas tak firma získává teprve ve chvíli, kdy na tento odkaz klikne.
Krokem navíc však získá jistotu, že souhlas dostala opravdu od člověka, jehož e-mail byl zadán do formuláře. „Tímto způsobem se nejlépe zabrání situacím, kdy příjemce začne dostávat e-maily, o které nikdy nepožádal. Stává se tak třeba ve chvíli, kdy ho k odběru přihlásil někdo jiný – ať už schválně, nebo třeba nechtěně kvůli překlepu ve vlastní e-mailové adrese,“ popisuje rozdíl mezi oběma metodami Kateřina Fišerová s tím, že podle výsledků podzimní ankety mezi českými podnikateli a marketéry metodu double opt-in nepoužívalo celých 81,5 procent dotázaných.
Dvojité potvrzení má vedle vyhovění podmínkám GDPR ještě jednu výhodu. Díky nutnosti provést dvě vědomé akce se do databáze kontaktů dostávají jen lidé, kteří o obchodní a jiné e-maily opravdu mají zájem. Tím se zvedá doručitelnost a často i proklikovost všech kampaní a celý e-mail marketing je tak efektivnější.
Obří pokuty pro kupované kontakty
GDPR rovněž výrazně zamíchá s cenou marketingových dat o zákaznících. Ta byla v minulosti předmětem čilého obchodu mezi e-shopy, případně dalšími webovými stránkami, a specializovanými marketingovými agenturami. GDPR však ovlivní nakládání s marketingově cennými daty a zákazníkům přinese výrazné posílení práv v oblasti ochrany osobních údajů.
„Lidé budou snadněji uplatňovat požadavek na jejich výmaz nebo omezovat nakládání s těmito daty. Budou také lépe informováni o tom, kdo jejich osobní údaje zpracovává a za jakým účelem,“ říká Jakub Kejval z poradenské společnosti Bureau Veritas.
Nařízení GDPR vejde v platnost 25. května 2018 a citelně zpřísňuje požadavky na získání souhlasu se zpracováním osobních údajů, ovlivní tak i práci marketérů. „Předávání či prodávání marketingových databází sice není možné již nyní, ale díky GDPR a vysokým pokutám si to firmy rozmyslí o dost pečlivěji. Zatímco dosud Úřad pro ochranu osobních údajů uděloval pokuty maximálně 10 milionů korun, nyní bude hříšníkům hrozit postih až do výše 500 milionů korun,“ upozorňuje Jakub Kejval.
Nová právní úprava dává spotřebitelům právo vznést námitku proti zpracování osobních údajů, například pro účely přímého marketingu. „Pokud občan vznese námitku proti zpracování pro účely přímého marketingu, není již možné osobní údaje pro tyto účely zpracovávat a je třeba je vymazat,“ uvádí Lucie Radkovičová z právní kanceláře Next Legal.
Svobodné rozhodnutí namísto triků
„Udělení souhlasu se zpracováním osobních dat by se tak mělo stát svobodným rozhodnutím, nikoliv trikem schovaným ve všeobecných podmínkách či nějakém formuláři. Týká se to například situací, kdy lidé uzavírají smlouvu přes internet s bankou nebo telefonním operátorem a pro úspěšné vyřízení celého procesu je nutné zaškrtnout políčko se souhlasem k zpracování osobních údajů,“ doplňuje Jakub Kejval.
Podle Bureau Veritas se GDPR se dotkne všech firem, kterých je v Česku zhruba 450 tisíc. U živnostníků, kterých je registrováno skoro 1,5 miliónu, Jakub Kejval odhaduje, že povinnost dopadne minimálně na jednu třetinu z nich, tedy 500 tisíc. „Pokud k tomu připočteme část veřejné správy, zasáhne GDPR celkově více jak milion subjektů. Implementace nového nařízení o ochraně osobních údajů si vyžádá odhadem zhruba 6 miliard korun,“ uzavírá Jakub Kejval. Hospodářská komora spočítala náklady podnikatelů na zavedení opatření souvisejících s GDPR dokonce na 25 miliard korun.
Dalibor Dostál