Dopad GDPR na inzerci v PPC systémech a práci v Google Analytics

Vyjádření ÚOOÚ ohledně používání cookies

ÚOOÚ vydal 22. 5. 2018 vyjádření k používání cookies na webu:

"Pokud na svém webu používáte cookies pro cílenou reklamu, měl by být pro tento účel udělen souhlas. Souhlas ale lze odvodit z nastavení prohlížeče, a proto (za podmínky, že na svém webu, například v nějaké podzáložce o zpracování osobních údajů, splníte informační povinnost o tom, pro co cookies používáte, označíte užívanou platformu, její způsob zpracování cookies a budete mít s platformou uzavřenou smlouvu nebo jiný „dostatečně GDPR bezpečný dokument“) můžete cílenou reklamu spouštět už po příchodu návštěvníka na váš web."

Ve stručnosti

• nastavení prohlížeče uživatele lze považovat za souhlas se zpracováním osobních údajů
• musíte informovat uživatele o použití cookies např. v Zásadách ochrany osobních údajů
• u nástrojů 3. stran budete mít uzavřenou zpracovatelskou smlouvu nebo jiný dokument, který deklaruje zacházení s osobními údaji vašich uživatelů

Odkazy na zpracovatelské smlouvy i návod na nastavení prohlížeče najdete v našem článku na blogu SOVA NET.

PPC systémy AdWords a Sklik a GDPR

>> Sklik

Jako první se podíváme na jediného českého zástupce. Seznam na svém blogu nedávno ujistil, že je na GDPR připraven. Seznam na svém blogu uvedl, že společnost Seznam.cz bude  pro účely online reklamy po nabytí účinnosti GDPR využívat pouze taková data, která neidentifikují konkrétní fyzické osoby nebo prostřednictvím nichž není možné konkrétní fyzické osoby identifikovat. Pro účely behaviorálního cílení a retargetingu Sklik nebude využívat IP adresy uživatelů. Navíc narozdíl od Google AdWords a Facebook Ads nepracuje Sklik se jmény, adresami nebo telefonními čísly.

I po zavedení GDPR bude nadále možné využívat jak retargeting, tak i dynamický retargeting. Důvod je jednoduchý. V Skliku lze cílit na určité publikum pouze za předpokladu, že obsahuje více než 30 uživatelů. V takovém počtu pak již nelze identifikovat jedince. Publika zde navíc nejdou kombinovat se seznamy e-mailů zákazníků. Stejně tak bude možné i nadále využívat behaviorálního cílení (nformace o tom, že je někdo žena, ve věku 30-40 let se zálibou v horolezectví totiž ještě nevede k identifikaci konkrétní osoby a nejedná se tak o osobní údaje). 

Pokud používáte retargeting, nedochízí ke zpracování osobních údajů - není tedy nutné vyžadovat od návštěvníků souhlas se zpracováním osobních údajů.

Jediné opatření, které je tedy pro využívání retargetingu v Skliku jako doposud nutné, je uvedení informace o nasazení retargetingového kódu na webu v Zásadách ochrany osobních údajů. Oznámení může mít např. následující podobu:

“Naše webové stránky využívají technologie retargetingu od služby Sklik provozované společností Seznam.cz, a.s. Ta nám umožňuje ukázat návštěvníkům, kteří již projevili zájem o naše produkty, naše reklamy v reklamní síti společnosti Seznam.cz, a.s.“

Všechny potřebné informace naleznete na blogu Seznamu, kde najdete i odpovědi na vybrané otázky. Seznam navíc vše shrnul do jednoho přehledu. 

>> Google AdWords

Vliv na inzerci bude mít GDPR i v systému AdWords. Vzhledem k povaze personalizovaných reklam Google stanovil standardy zásad, které platí navíc vedle standardních zásad AdWords. Tyto zásady plaítí pro inzerenty, kteří využívají  remarketing, publikum podle zájmů, vlastní publikum podle zájmů, publikum s pravděpodobným zájmem o koupi, podobné segmenty publika, demografické a geografické cílení a reklamy v Gmailu. Google definuje zakázané kategorie, pro které není možné použít personalizované reklamy.

Společnost Google může uživatelům zobrazovat šítek s oznámením, které upozorní na personalizovanou reklamu nebo že je uživatel vedený v remarketingových seznamech.

Pokud využíváte remarketing nebo podobná publika, musíte v zásadách ochrany soukromí na webu uvést několik věcí - popis způsobu, jakým tyto funkce používáte při online inzerci, informaci, že dodovatele třetích stran zobrazují vaše reklamy na různých webech a využívají k tomu soubory cookie, a že se uživatelé mohou odhlásit. 

Společnost Google usiluje o to, aby uživatelé měli snadný přístup k informacím, které shromažďuje skrze personalizované reklamy - uživatelé si tyto informace mohou zobrazit, zkontrolovat a případně se odhlásit.

• Přihlášení uživatelé mohou v Google účtu zkontrolovat nastavení, což jim dává kontrolu nad údaji o aktivitách na webu, v aplikacích a personalizaci reklam.

Přímo v Google AdWords je nutné přijmout upravené smluvní ujednání. Pokud si nejste jisti, zda jste ho již přijali, postupujte následovně:

•       Přihlašte se do svého účtu AdWords, vpravo nahoře klikněte na ikonku klíče.
•       Ve sloupci Nastavení klikněte na možnost Nastavení.
•       Ve spodní části Pravidla a podmínky již potom vidíte, zda a kdy byla pravidla přijata.

Určité funkce v AdWords také nově vyžadují, abyste poskytli kontaktní údaje na primární kontakt, pracovníka pro ochranu dat a zástupce pro EU. Tyto položky jsou nepovinné.

Srovnávače Zboží.cz a Heureka a GDPR

>> Zboží.cz

Zásada je jednoduchá - ukládejte jen osobní údaje, které musíte držet, nebo u kterých máte svolení. Nepochybně potřebujete adresu zákazníka, abyste mohli doručit zásilku poštou. Předávání osobních údajů zákazníků externí hodnotící službě je však jiná věc - to již k vyřízení objednávky nepotřebujete. Jak na to? Podrobnosti najdete v článku na blogu Seznamu.  

Zboží.cz v souvislosti s GDPR přišel s novými smluvními podmínkami služby Pokročilé měření konverzí a dále je třeba vyřešit zpracovatelskou smlouvu. Dokumenty je třeba odsouhlasit v administraci Zboží.cz (Správa provozovny/Měření konverzí). Pokud tak neučiníte, bude vám automaticky vypnut pokročilý konverzí kód.

Od zákazníků budete potřebovat souhlas se zpracováním osobních údajů pro účely sběru hodnocení (typicky zaškrtávacím políčkem). Seznam připravil podrobný popis i vzorové texty.

Pokud vám  zákazník nedá souhlas pro využití emailu pro hodnocení, neposílejte jej do pokročilého konverzního kódu Zboží.cz. Smazání osobních dat je třeba nahlásit, což bude možné přes administraci Zboží.cz. 

>> Heureka 

Princip služby Ověřeno zákazníky zůstává stejný a Heureka uvádí, že obchodník na základě oprávněného zájmu není povinnen vyžadovat souhlas s předáním osobních údajů Heurece. Heureka, která pošle žádost o hodnocení jménem obchodníka, zůstává zpracovatelem dat a eshop je správcem. 

Obchodník je povinnen zákazníky informovat o předání jejich údajů Heurece jako zpracovateli osobních údajů, což je vhodné uvést v dokumentu o ochranně osobních údajů jednoduchým textem. Další povinností je umožnit zákazníkům odmítnout obchodní sdělení včetně dotazníků Ověřeno zákazníky - Heureka doporučuje opt-out checkbox na konci poptávkového procesu s doporučeným textem "Nesouhlasím se zasláním dotazníku spokojenosti v rámci programu Ověřeno zákazníky, který pomáhá zlepšovat vaše služby", což bude u obchodníků kontrolovat. Jiné chceckboxy formou opt-in budou v rozporu s pravidly služby Ověřeno zákazníky

Změnou prošly Obchodní podmínky pro Ověřeno zákazníky, Heureka Košík i Všeobecné obchodní podmínky užívání portálu Heuréka.cz pro obchodníky. Nejde však o významné změny.

Problematiku GDPR a Heurece řeší i článek na blogu APEK.

Facebook Ads a GDPR

Cílení na základě socio-demografických a behaviorálních dat, které je na Facebooku tak oblíbené, je z hledisla GDPR problematické. Facebook proto chystá celou řadu změn.

Facebook se stává zpracovatelem, pokud používáte vlastní okruhy uživatelů (pokud data z CRM spáruje FB s databází), měření a analytiku, Workplace od Facebooku.

Při použití Custom Audiences nahráváte údaje o svých zákaznících (email, tel. číslo...) a zákaznící by s tím měli souhlasit. Pokud vytváříte Lookalike publikum na základě kontaktů, které předáváte Facebooku, potřebujete jejich souhlas.

Na shromažďování údajů o uživatelích pro účely měření (monitoring výkonu webu, mapování průchodu webem, fáze objednávky...) nepotřebujete souhlas, stačí informovat uživatele. Pro vytváření remarketingových okruhů je třeba získat od uživatele souhlas. Získání souhlasu je možné řešit vytvořením vlastní události. Uložte si pro případnou kontrolu Facebook ID uživatele, IP adresu, čas udělení souhlasu a záznam, jak vypadal souhlas. FB pixel není možné umístit na jinou než vaši stránku, pokud to Facebook neschválí.

Problém nastává také u Lead Ads. Pokud můžete obsah doručit jinak, nemáte právo vyžadovat kontakt. Uživatel by měl mít možnost získat obsah i bez vložení dat (což aktuálně Lead Ads neumožňuje). Vyřešit to můžete tím, že informujete uživatele, že si mohou soubor stáhnout/koupit jinde (na webu).

Facebook zavádní také nové Zásady na ochranu soukromí na Facebooku. Facebook připravil článek, kde shrnuje informace pro firmy. Podrobný článek o marketingu na Facebooku najdete na m-journa.cz.

Google Analytics a GDPR

Na rozdíl od výše zmíněných PPC systémů se v Google Analytics příliš změn neudává. Smluvní podmínky Google Analytics zakazují odesílat službě Google Analytics údaje, které umožňují zjistit totožnost (např. jméno, email, fakturační údaje apod.). Nedochází tak k využívání osobních údajů. 

Pokud pracujete s IP adresami a cookies uživatelů, máte povinnost informovat uživatele, že toto děláte. Pokud používáte pokročilou analytiku - User ID, napojování na CRM systém a pod., je třeba získat aktivní souhlas.

Novinkou je uchovávání údajů, jež umožňuje nastavit, jak dlouho budou údaje o uživatelích a událostech na serverech uloženy. Lze zvolit období 14/26/38/50 měsíců nebo bez omezení a toto nastavení se projeví po 25. 5. 2018. Doba uchovávání platí pro údaje týkající se uživateů a událostí spojené se soubory cookie, identifikátory uživatelů (např. User ID) a identifikátory pro účely reklamy. Standardní agregované přehledy GA ovlivněny nejsou. Nastavení  najdete na úrovni služby v kolonce Údaje o měření>Uchovávání údajů.

Kromě toho vyžaduje Google také přijetí nového smluvního ujednání. To lze přijmout takto:

•       Přihlásíme se do Google Analytics, v levém dolním rohu klikneme na ozubené kolo SPRÁVCE.
•       Vybere účet, ve kterém chceme ujednání přijmout, a kliknete na Nastavení účtu.
•       Sjedeme dolů k části Dodatek ohledně zpracování údajů a rozklikneme obdélníček Aktualizovaný dodatek.
•       Zobrazí se smluvní ujednání, které přijmeme. Nakonec vše uložíme.

Vlastníci webových stránek i uživatelé si můžou vybrat, jak bude služba Google Analytics shromažďovat jejich údaje. Je k tomu možné využít:

• Doplněk prohlížeče pro odhlášení ze služby Google Analytics, který dá kódu JavaScript pokyn, aby zakázal odesílání informací do GA. Doplněk je k dispozici pro většinu moderních prohlížečů. 
• Vlastníci webových stránek mohou na konkrétní stránce měření vypnout, aniž by museli odstraňovat fragment kódu JavaScript GA.

Podrobný článek o GDPR a Google Analytics najdete v nápovědě.

Hotjar a Smartlook

Pamatujte na vyřešení GDPR i u nástrojů jako je Hotjar nebo Smartlook. Je třeba informovat uživatele, jak používáte tyto služby a že sbíráte data pomocí software 3. strany, např. Hotjar nebo Smartlook. Doporučujeme přidání upozornění do obchodních podmínek nebo do prohlášení o ochraně osobních údajů, které může pro Smartlook vypadat např. takto: “Používáním tohoto webu může docházet k ukládání Vašich osobních údajů námi nebo třetími stranami, mezi které patří Smartsupp.com, s.r.o., DIČ CZ03668681.” 

Zpracovatelské smlouvy naleznete na stránkách jednotlivých nástrojů (Hotjar, Smartsupp).

Ve Smartlooku doporučujeme v nastavení vypnout nahrávání obsahu formulářů. Více informací najdete na blogu Smartlook.

GDPR v online marketingu

GDPR řeší zpracování osobních údajů, což není jen jméno a příjmení, email nebo telefonní číslo, ale jakákoli informace, která může vést k identifikaci dané osoby. Je tedy třeba dávat si velký pozor i v content marketingu. Může jít o video rozhovor, ale i fotky sdílené na sociálních sítích.

Problém je i využití materiálů s reálnými lidmi (fotky z firemní akce, konference, školení...) - pokud je možné osoby identifikovat, potřebujete jejich souhlas. Problematické je i označování lidí na sociálních sítích a social pluginy na webu. 

Nastavení vztahu klient - agentura by mělo být řešeno zpracovatelskou smlouvou. Z pohledu GDPR je klient správce osobních údajů, agentura je v pozici zpracovatele. Stále však zůstává povinnost upozornit správce, pokud existuje podezření na nesprávné nakládání s osobními údaji.

Co závěrem?

Pokud potřebujete řešit GDPR více do hloubky, podívejte se na nabídku kurzů a workshopů od společnosti SOVA STUDIO. 

Více o GDPR se také dozvíte v dalších článcích:

• GDPR aneb revoluce v ochraně osobních údajů
• Co musíte vědět o GDPR
• GDPR a úpravy na webu z pohledu online marketingu
• GDPR a e-mail marketing