„Iz Bruxellesa s ljubavlju“: GDPR i email marketing
GDPR I E-MAIL MARKETING
Opća uredba o zaštiti osobnih podataka (GDPR) stupa na snagu kroz par tjedana i donosi tektonske promjene u načinu na koji tvrtke prikupljaju i obrađuju osobne podatke, uključujući i drakonske kazne za neusklađenost koje u najgorim slučajevima dosežu i do 20 milijuna eura ili 4% godišnjeg prometa grupacije/tvrtke. Jedno od područja digitalnog marketinga direktno zahvaćenog uredbom je e-mail marketing. Iako uredba ne spominje pojam „e-mail marketinga“, oni koji se njime bave jako dobro znaju da raditi e-mail marketing znači u nekom trenutku obrađivati osobne podatke, počevši od e-mail adrese pretplatnika pa do raznih vrsta osobnih podataka koje sakupljamo o svojim pretplatnicima i koristimo za kasniju segmentaciju.
Neki od glavnih izazova s kojima se tvrtke danas susreću u e-mail marketingu u sklopu usklađivanja s uredbom je struktura njihovih prijava na newsletter (privola) te kako realizirati prava svojih pretplatnika prema GDPR-u.
NJEZINO „VISOČANSTVO“ PRIVOLA
E-mail marketing „živi“ u carstvu privole (consent) jer da biste slali newslettere morati prvo dobiti dozvolu osobe, što nije nikakva novost i već odavno postoji kao obveza u nacionalnom zakonodavstvu. Međutim, velika većina tvrtki koje su to do sada radile pravilno susrest će se sa problemom neusklađenosti svojih privola prije GDPR-a s postroženim zahtjevima koje uredba nameće krajem svibnja. Tu se primarno misli na dosadašnje prakse poput jednostavnih formi za prijavu na newsletter bez navođenja svrhe, stapanja newsletter prijave s registracijom na web shop, unaprijed poklikane kućice za newsletter prijavu i sl.
Tvrtke imaju pred sobom dva izbora: ići u ponovno traženje privole usklađene s GDPR-om (tzv. re-consent kampanja) do 25.5., zbog čega će izgubiti i do 80% mailing liste, ili pokušati pronaći drugi pravni temelj za obradu, a to će najčešće biti legitimni interesi voditelja obrade u svrhu direktnog marketinga (Recital 47 GDPR-a).
U slučaju legitimnog interesa treba biti jako oprezan jer će se morati prvo napraviti procjena postoji li legitiman interes voditelja obrade, a koji istovremeno ne narušava prava ispitanika, te obavijestiti pretplatnike o svrhama obrade i njihovim pravima. Problem kod oslanjanja na taj pravni izvor za obradu je što se još uvijek radi o relativno „neistraženom teritoriju“ u smislu pravnog tumačenja EU regulatora i sudskih presuda, iako su se neki regulatori (poput britanskog ICO-a) i Europska komisija ipak očitovali o samom fenomenu. Pitanje je isplati li se ići u takav rizik i posjeduje li tvrtka dovoljno znanja i pravnog umijeća da ostvari sve preduvjete za taj temelj obrade.
Kada govorimo o obnavljanju privole, tu je ipak situacija uvjetno rečeno jednostavnija. Tvrtke će morati poslati newsletter na postojeću mailing listu, za koju nisu sigurni je li usklađena sa zahtjevima uredbe, u kojem će morati navesti sve zahtjeve uredbe: svrhu obrade, omogućiti osobama slobodan izbor za potvrdu privole (unos e-mail adrese i klik na potvrdni call-to-action gumb), navesti kako se osoba može odjaviti te staviti link na politiku privatnosti u kojoj će biti detaljnije raspisana prava ispitanika i ostale informacije o tvrtki. Međutim, prije same newsletter kampanje, trebalo bi analizirati sve izvore pretplatnika i načine na koje su pretplatnici bili sakupljani. Primjerice, veća je vjerojatnost da će ljudi potvrditi svoju privolu u slučaju kada su se prijavili preko standardne web forme, nego kroz neki oblik soft opt-ina (npr. prilikom registracije za kupovinu na web trgovini), tako da bi bilo dobro prilagoditi tekst i vizuale za newsletter kampanju prema obje ciljne skupine.
ŠTO S PRAVIMA ISPITANIKA NAKON SVIBNJA 2018.?
Prema uredbi, tvrtke su obvezne ispuniti sva prava ispitanika: pravo prigovora direktnom marketingu (opt-out), pravo na brisanje, ispravak, pristup podacima, informiranje, ograničavanje obrade i prijenos podataka drugom voditelju obrade. Ovdje je ključno koristiti softver za e-mail marketing koji ima razrađene funkcionalnosti za ostvarenje tih prava i posloženu pravnu situaciju (primjerice, fizička lokacija servera na kojima se skladište osobni podaci). Uz to, stručnjaci za e-mail marketing, bilo unutar tvrtke ili vanjski, morat će znati kako te tehničke funkcionalnosti primjeniti u datom trenutku, uz uvjet da posjeduju određena znanja oko zahtjeva uredbe vezano uz direktni (e-mail) marketing.
Primjerice, korisnici našeg softvera MailPlus u svakom trenutku mogu svojim pretplatnicima omogućiti uvid u njihove osobne podatke koji se obrađuju za e-mail marketing, dati im mogućnost ispravka ili ograničavanja obrade te na zahtjev i obrisati sve podatke, dok su naši serveri locirani u Europskoj uniji (Nizozemska). Isto tako, mi s klijentima potpisujemo direkno ugovor o obradi osobnih podataka koji stvara pravni okvir za poslovnu suradnju koji je usklađen sa zahtjevima iz uredbe.
JE LI GDPR LOŠ ILI DOBAR ZA E-MAIL MARKETING?
Tvrtke koje su do sada radile e-mail marketing kvalitetno te odgovorno upravljale s opt-in procesom i osobnim podacima, uz dobar softver, brzo će pronaći pravi model za usklađivanje s uredbom te nastaviti ostvarivati dobre rezultate u tom kanalu. Istovremeno, uredba će uvesti jednaka pravila igre za sve tvrtke što je dobro za nas i kao privatne osobe jer bi se neodgovornim praksama poput spam pošte bez privole ili trgovanja našim osobnim podacima kroz mailing liste, napokon trebalo stati na kraj. Prema tome, iako će biti posla oko usklađivanja (i financijskih izdataka), u konačnici ćemo profitirati svi – tvrtke, ali i mi kao pojedinci.