GDPR je nové nařízení EU, které se dotkne všech webů.
Ve zkratce, co znamená zkratka GDPR?
GDPR (General Data Protection Regulation) není další z chatovacích akronymů, jako například LOL, WTF nebo ROFL. Jedná se o revoluční změnu legislativy na ochranu osobních údajů na internetu. Revoluční proto, že od 25. května 2018, kdy oficiálně vstoupí GDPR v platnost, se opět trochu zkomplikuje provozování webových stránek a o slovo se přihlásí byrokraté a právníci.
Kdy vstoupí GDPR v planost?
25. května 2018
Koho se GDPR týká?
Všech organizací, institucí, online služeb a jednotlivců, kteří zpracovávají data uživatelů. Pokud tedy provozujete web, e-shop, mobilní nebo webovou aplikaci, rozhodně se tak týká i vás.
Proč potřebujeme GDPR?
GDPR má zásadně zvýšit ochranu osobních údajů občanů EU. Alespoň slovy tvůrců této legislativy.
Co hrozí za porušení GDPR?
Astronomické pokuty až do výše 20 000 000 EUR, nebo do výše 4 % z obratu firmy (vyšší z obou). Tato maximální pokuta může být udělena jak malé firmě s 5 zaměstnanci, tak obrovské korporaci.
Jaké nejčastější úpravy webu se vás v rámci GDPR budou týkat?
Právo být zapomenut z vaší databáze
Pokud například sbíráte osobní data uživatelů v rámci svého redakčního systému, GDPR vás nutí uživatelům poskytnout právo být zapomenut, tedy na vyžádání tyto uživatele vymazat z vaší databáze. Často se setkáváme se sběrem osobních údajů o uživatelích například u modulu newsletter.
Řešením je tato data posílat rovnou aplikacím třetích stran (například MailChimp), které stejně jako jiní velcí poskytovatelé budou mít, nebo již mají GDPR vyřešené. Pokud provozujete e-shop, platí pro vás to samé, a to nejen u registrací uživatelských účtů, přihlášení k newsletteru, ale i pro samostatné objednávky, které obsahují osobní údaje.
Cookies lišta se musí změnit
Než přišlo GDPR, stačilo zobrazit na stránkách lištu s oznámením, že používáním tohoto webu souhlasíte s užitím cookies. Nadále to již neplatí. Uživateli budete nyní muset nabídnout i možnost využívání cookies odmítnout, a přesto jej nechat dál procházet na vašich stránkách. Hovoří se ale o tom, že by toto mělo nyní být řešeno více user-friendly přístupem, například přímo v prohlížeči při jeho instalaci, kde vás daný software bude informovat a dotáže se vás, zda chcete povolit sbírání cookies třetím stranám.
Výjimku naštěstí dostává sbírání cookies pro měření návštěvnosti na webu. Takže se nemusíte bát, že přijdete o cenná data z vašich Google Analytics nebo jiných měřících systémů.
Horší už to bude s daty a cookies pro remarketing a cílení reklamy. Na jednu stranu se o souhlas s ukládáním těchto dat nejspíše nebudeme muset zaobírat, protože si to v rámci kódu na vašich stránkách vyřeší sám Google, popřípadě jiná reklamní služba třetí strany. Nicméně přijdeme jistě o určitou část dat, protože ne všichni uživatelé budou souhlasit s tím, aby byly cookies sbírány.
Šifrování dat a HTTPS protokol?
Někde jsem viděl informaci, že po zavedení GDPR budeme muset povinně mít všichni SSL certifikáty a používat zabezpečený protokol HTTPS. To naštěstí není pravda. V GDPR je uvedeno, že šifrování je považováno za vhodné opatření, ale o povinnosti se zde nehovoří.
Pověřte svého DPO (Data Protection Officera)
GDPR bude po velkých společnostech a webových službách, které spadají do několika nešťastných kategorií, požadovat vytvoření pozice officera pro ochranu dat. Tento parkinsonský požadavek se vás ale naštěstí s největší pravděpodobností netýká, pokud nespadáte do některé z následných kategorií:
- Jste data zpracovatelský orgán veřejné moci s výjimkou soudů
- Jste třeba zdravotní pojišťovna, nebo chcete-li rigidnější výklad: hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
- Jste třeba advokátní kancelář – hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.
DPO by neměl být ve střetu zájmů GPDR a své pozice ve vaší organizaci. Nemůžete tedy jako DPO jmenovat třeba marketingového ředitele.
Budete muset vyžadovat souhlas u všech formulářů
Pokud máte na webu třeba poptávkové formuláře, ve kterých po uživatelích chcete vyplnit jejich jméno, telefon nebo jiné osobní údaje, budete si muset (například checkboxem s odkazem na podmínky zpracování ochrany osobních údajů) vyžádat jejich souhlas.
Co se tedy po nástupu GDPR změní?
GDPR přináší převážně tyto novinky. Evropská unie dostává do ruky další bič s možností astronomických postihů nejen na velké korporace, které nebudou chtít hrát její hru, ale i na malé a střední podniky. Mnoho firem bude muset více času věnovat byrokracii a sledování regulací namísto toho, aby se věnovaly důležitým inovacím a zlepšování svých služeb.
PPCčka zdraží!
GDPR také pravděpodobně zdraží internetovou reklamu, alespoň tu smysluplnou. Pokud tedy uživatelé budou odmítat zpracování svých cookies pro reklamní účely, zúží se množství přístrojů, na které budeme moci relevantní reklamu cílit. Protože se pravděpodobně nesníží poptávka po lépe cílené inzerci, nižší nabídka logicky zvýší cenu za klik a nastane biddovací válka.
Hlavně to bude platit u reklamy, která pracuje s cookies, jako je například RLSA, retargeting, nebo CAU (Custom Affinity Audience). To samozřejmě bude nahrávat inzerentům, kteří reklamu budou umět správně zacílit a webům s dobrými konverzními poměry, protože dražší reklama vyřadí ze hry firmy se špatnými weby nebo se špatně nastavenými PPCčky. Obecně se dá říci, že na GDPR vydělají webaři a marketéři, protože stoupne poptávka po technických úpravách webů, e-shopů a po efektivnějším nastavení výkonnostního marketingu.
Druhá skupina, která na GDPR vydělá, jsou právníci, kterým již plynou příjmy z příprav, školení a analýz implementace. Třetí skupina, která na GDPR vydělá, budou úředníci, kteří opět vytvoří nová pracovní místa, a vláda spolu s EU, které rozšíří své působnosti, moc a kompetence. Radovat se mohou i paranoidní uživatelé, kteří možná nyní získají pocit, že jejich data někdo více chrání. Pro všechny ostatní bude GDPR prohra a zbytečnost.