We understand, we deliver.

Hogyan készüljünk fel a GDPR-ra?



A 2018. május 25-ével életbe lépő új uniós jogszabály (679/2016 Általános Adatvédelmi Rendelet – GDPR) fontos adatvédelmi változtatásokat tesz szükségessé a természetes személyek adatait kezelő szervezeteknél, még akkor is, ha azok a jelenleg is hatályban lévő Info. törvény nemzetközi összehasonlításban is szigorú követelményeinek meg is felelnek. Alábbiakban a GDPR-hez fűződő legfontosabb információkkal kapcsolatban igyekszünk rövid áttekintést adni a könnyebb felkészülés érdekében.

Mi az a GDPR?

A személyes adatok védelme céljából az Európai Unió 2016. május 24-én rendeletet tett közzé. A szabályozás közvetlenül érvényes minden olyan szervezetre, amely személyes adatot kezel.

A GDPR a személyes adatok védelmére vonatkozó új uniós szabályokat összegzi, melyek 2018. május 25. napjától lépnek hatályba, és minden adatkezelést vagy adatfeldolgozást végző cégre nézve kötelező érvényűek az EU területén.

A rendeletben foglaltak be nem  tartásával nem csak jó üzleti hírnevünk sérül, hanem jogszabálysértést követünk el, amely jelentős pénzbírságot is von maga után.

eu_zászló_lakat_illusztráció

Hat fő különbség az Info. törvényhez képest

  1. Nyilvántartási kötelezettség: bár megszűnik az adatkezelők kötelező bejelentkezési kötelezettsége az adatvédelmi nyilvántartásba, de a hatályba lépéstől minden szervezetnek magának kell átláthatóan vezetnie (és akár a hatóság rendelkezésére bocsátania) személyes adatkezelési tevékenységei nyilvántartását. Ennek a feladatnak a felmérése, illetve jövőbeni biztosítása kiemelten erőforrásigényes, ezért időben érdemes megkezdeni az előkészületeket!
  2. Jogalapok változása: kiemelkedő szigorítások vonatkoznak a hozzájárulás alapú adatkezelés feltételeire, melynek során a hozzájárulásnak minden körülmény között önkéntesnek és visszavonhatónak kell lennie, ami az adatkezelés újfajta jogalapjának meghatározását teszi szükségessé több esetben is.
  3. Incidens bejelentési kötelezettség: a GDPR kötelezővé teszi a személyes adatokat érintő incidensek 72 órán belüli bejelentését a NAIH (Nemzeti Adatvédelmi  és Információszabadság Hatóság) felé, aminek biztosításához szükséges kereteket minden szervezetnek magának kell megteremtenie.
  4. Informatikai védelmi képességek erősítése: az előzőekből következik, hogy a rendelet közvetett célja az incidensek elkerülésének elősegítése a megfelelő információ biztonsági szabályozásba és adatvédelmi szempontból legoptimálisabb rendszerek kialakításába/meglétébe történő invesztálás révén.
  5. Adatvédelmi hatásvizsgálat: a rendelet hatályba lépésétől a valószínűsíthetően kockázatos új adatkezelési tevékenységre kötelezően előírt az adatvédelmi hatásvizsgálat elvégzése. Ezzel együtt minden szervezetnek saját jól felfogott érdeke, hogy ezeket a folyamatait rendre felülvizsgálja, így biztosítva a rá bízott személyes adatok védelmét, és az esetleges későbbi vizsgálatok támogatását.
  6. Bírságok: jóllehet a GDPR-nek nem célja a magas, akár 20 millió eurós, vagy az éves árbevétel 4%-át elérő büntetés révén a már működő cégek ellehetetlenítése, ezzel együtt jelentős kockázatot jelent mindazok számára, akik nem kellőképpen alaposan felkészültek az őket érintő változásokra.

A cégen belül érintett négy legfontosabb terület

A GDPR elvárásainak nem elegendő pusztán jogi oldalon megfelelni, hanem az érintett területek kellő felkészítésére is kiemelt hangsúlyt kell fektetnie a szervezeteknek.

Íme pár ötlet, amivel elejét vehetjük a későbbi kellemetlenségeknek, és könnyebben fel tudjuk készíteni a szervezetet a rendeletben foglalt elvárásoknak:

  • Marketing teendők: adatvédelmi hozzájárulások frissítése és megfelelő kezelése, automatizált döntéshozatal feltételeinek biztosítása, adatok hozzáférésének korlátozása, személyes adatok körültekintő kezelése (alias vagy anonim rendszer elemek alkalmazása), általános többcsatornás tájékoztatás, esetleges automatikus opt-in teljeskörű kiiktatása a weboldalakból, promóciós felületekről.
  • IT és információ-biztonsági feladatok: adathordozhatóság megvalósítása, adatkezelési folyamatok biztosítása, adatok hozzáférésének korlátozása, biztonsági monitorozás támogatása, információ biztonsági szempontok kiemelt figyelembevétele, alkalmazott rendszerek rendszeres biztonsági frissítése, etikus hackerekkel / információ biztonsági független tanácsadókkal folytatott vizsgálatok, auditok, tesztek lebonyolítása, webes tanúsítványok beszerzése, biztonságtudatosság fejlesztése, incidens kezelés biztosítása.
  • Ügyfélszolgálat felkészítése: jogosultságok meghatározása, felülvizsgálata, kommunikálása, változáskövetése, adatok elfeledtetéséhez való jog kommunikálása és biztosítása, folyamatos tájékoztatás, kapcsolattartás az érintettekkel.
  • HR szempontok: alkalmazottak adatvédelmi képzése vagy tudatosságra nevelése belső szabályozásokon keresztül, munkavállalói adatok kezelésének felülvizsgálata és javítása, adatok hozzáférhetőségének korlátozása, munkavállalók megfelelő tájékoztatása.

A GDPR online marketingre gyakorolt három legfontosabb hatása

Bár a rendelet betartása elsőre komoly kihívásnak tűnhet, különösen a kisebb vállalkozások számára, de valójában három fő terület van, ami elsősorban rendbe kell tenniük online marketing szempontból.

Ezek a következők:

  • adatkezelési hozzájárulás megfelelő kezelése,
  • adatokhoz való hozzáférés, rendelkezés biztosítása,
  • adatgyűjtés megfelelő fókusszal.

Az adatkezelési hozzájárulás megfelelő alkalmazására a hírlevél feliratkoztató űrlapok kínálnak kiváló példát. Az alábbi ábrán két különböző formátumot látunk, melyből az első nem felel meg a GDPR elvárásoknak, míg a másodikat azzal összhangban alakították ki. A legfontosabb követelmény, hogy a felhasználónak explicit nyilatkoznia kell róla, hogy szabad akaratából, konkrét célra, a megfelelő, egyértelmű tájékoztatást követően járult hozzá adatai megadásához.

gdpr_ürlap_példa_1

Nem felel meg a GDPR-nak

 

gdpr_ürlap_példa_2

Megfelel a GDPR-nak

Az adatok feletti rendelkezés jogának fontosságát mi sem mutatja jobban, mint hogy a másokról harmadik fél által tárolt személyes adatok megjelenítéséért a kereső motorok is felelősségre vonhatóak – így a Google is, akit korábban köteleztek bizonyos adatok törlésére a találati listáról. A felhasználónak képesnek kell lennie nem csak hozzáférni a róla tárolt adatokhoz, de azok végleges törlését is megtenni. Mint adatkezelő, az egyes cégek felelőssége, hogy az adatok törlésének teljes egészében eleget tegyenek, nem csak a weboldalak, de az azokhoz kapcsolódó háttérrendszerek esetében is (pl.: marketing automatizációs rendszer, CRM, hírlevélküldő rendszer). A különböző rendszerek integrációjakor így tehát kiemelt figyelmet kell ezeknek szentelni.

Az alábbi példa a Twitter által alkalmazott friss e-mail adatkezelési űrlapot szemlélteti ennek kapcsán:

gdpr_twitter_pelda_urlap

A harmadik legfontosabb terület, hogy indokolható legyen az adatok gyűjtése. Marketingesként hajlamosak vagyunk a kelleténél több adatot bekérni ügyfeleinktől, annak érdekében, hogy minél pontosabban tudjuk őket az egyes ajánlatainkkal megcélozni. Lényegében egyetlen fontos szempontot kell itt figyelembe venni: tényleg indokolt-e az adott adatok bekérése, vagy az inkább csak “nice to have”? Célszerű tehát a legszükségesebb adatok bekérésére szorítkozni.

Kik az online marketing szempontból leginkább érintettek?

Az értékesítési csatornák TOFU (értékesítési tölcsér felső) szakaszában használt eDM, hírlevél alkalmazása miatt az email marketing managerek azok, akiket leginkább érintenek a változások. A GDPR szabályozása mentén a vásárolt adatbázisok használatát, valamint az automatizáltan gyűjtött e-mail listákat mindenképpen javasolt kerülni. Ezek már csak a személyre szabott, onsite konverziós lehetőségek mentén gyűjtött releváns e-mail címekhez képest sem tekinthetők ma már értékesítési szempontból elsődleges jelentőségűnek, kivált a B2B szegmensben.

A meglévő listák további bővítése csak az ehhez kapcsolódó onsite aktivitások mellett elképzelhető továbbra is, semmint azok dinamikus begyűjtésével és utólagos opt-out lehetőséggel, így a jelenlegi best practice nem változik ezen a téren.

nő_laptoppal_illusztráció

A marketing automatizációs rendszerek szakértőinek még nagyobb körültekintéssel kell eljárniuk az egyes automatizmusok kidolgozásánál, hogy azok nehogy a rendeletbe ütközzenek. A CRM-el összekötött automatikus hírlevélkiküldés komoly problémát vethet fel adatvédelmi szempontból, ha valaki nem adott engedélyt saját e-mail címének bizonyos jellegű felhasználására, vagy explicit leiratkozott adott listáinkról. Ezért a jogosultságok rendszeres felülvizsgálata nélkülözhetetlen, ahogy a rendszerek folyamatos szinkronizálása is. De nem csak egy rendszerszintű hiba, hanem egy esetleges integrációból fakadó biztonsági rés is komoly kockázatot jelenthet. Ezért is javasolt kiemelt hangsúlyt fektetni a minél egyszerűbb rendszer architektúrára. Minél komplexebb egy online marketing folyamatokat kiszolgáló rendszeregyüttes, annál inkább indokolt külső tanácsadó bevonásával biztonsági auditot készíteni rendszereinkről.

Szerencsére a nagyobb marketing automatizációs rendszerek folyamatosan frissülő anyagokkal igyekeznek támogatni a cégeket a saját rendszerüket érintően (pl.: https://www.hubspot.com/data-privacy/gdpr)

Érdekesség, hogy az adatkezelési megkötések szempontjából a PR menedzserek is érintettek a sajtó megfelelő tájékoztatása révén, hiszen az újságírók elérhetőségeinek nyilvántartása, és azokra kiküldött e-mailes értesítések egy-egy új sajtóközleményről adott esetben szintén problémákat vehetnek fel. Éppen ezért érdemes PR és jogi szakértőkkel felülvizsgálni folyamataikat és szükség szerint kiszervezni bizonyos feladatokat PR ügynökségi partnerhez, illetve biztosítani a közvetlen elérést a weboldalon és social csatornákon publikált sajtóközleményekkel, ami által igény szerint szabadon felhasználhatóak a szervezetet érintő érdekességek.

adat_biztonság_illusztráció

A fentieken túl az egyéb direkt marketing tevékenység ellátása (pl.: online ügyfélszolgálat, call center feladatok, vagy akár nyereményjátékok, eseti promóciós aktivitások szervezése és kidolgozása) szintén alapos tervezést és felülvizsgálatot tesz szükségessé a vállalkozások számára, amennyiben a 2018-as rendeletnek meg kívánnak felelni. Szerencsére az előző terület érintettjeinek a DIMSZ (Direkt és Interaktív Marketing Szövetség) vonatkozó tájékoztatása már segít eligazodni ezek kapcsán: https://gdpr.dimsz.hu/.

Hét tipp a marketing folyamatok GDPR-hez való illesztésére

Ahogy az új rendelet több potenciális kockázatot hordoz azok számára, akik nem járnak el kellő körültekintéssel, úgy számos lehetőséget is rejt mindazok számára, akik marketing folyamataik további optimalizálásában gondolkodnak.

  1. Vizsgáljuk felül e-mail címlistáinkat,
  2. Auditáljuk jelenlegi adatgyűjtési folyamatainkat, és a lehetőségekhez mérten egyszerűsítsünk azokon,
  3. Készítsünk személyre szabott releváns tartalmakat, amely értéket képvisel a felhasználók számára, így teremtve lehetőséget az adatgyűjtésre (pl.: esettanulmány, letölthető e-book, eDM sorozat),
  4. Ha eddig nem tettük, használjunk jól támogatott, biztonságos on-site retargeting eszközöket kombinálva inbound tartalmainkkal,
  5. Igyekezzünk a közösségi média csatornák adta lehetőségeket kihasználni értékesítési célokra a direkt e-mail alapú megkeresések helyett,
  6. Vezessünk be CRM-et a központi adatkezelési folyamatok egyszerűsítéséhez,
  7. Határozzuk meg a már összegyűjtött adatok értékét, értsük meg jobban, mi az, amire ténylegesen szükségünk van!

Összegzés

A fentiekből is kitűnik, hogy a GDPR célja nem elsősorban a vállalati kommunikáció ellehetetlenítése, hanem annak optimalizálása, felelősségteljessé és nyomon követhetővé tétele. Célja, hogy az egyes érintettek személyes adataikat biztonságban tudhassák. Mindez magában hordozza azt a versenyelőnyt is a tudatos adatkezelést megvalósító cégeknél, amit egy megfelelően szűrt, biztonságosan tárolt adatbázis és az abban szereplő releváns adatok minőségi felhasználása képes nyújtani.

 

Cikkünk megírása óta számos friss információ jelent meg a GDPR-al kapcsolatos kérdésekben, melyek nyomonkövetéséhez összegyűjtöttük a leghasznosabb forrásokat, amelyeket az alábbi cikkünkben talál.

Címke:
slide_template:
default
essb_pc_facebook:
2
essb_pc_google:
3
essb_pc_linkedin:
1
essb_pc_twitter:
1

Több mint 10 éves digitális háttérrel és számos sikeres projekttel a háta mögött széleskörű online technológiai, projektmenedzsment és tanácsadási tapasztalattal bír. Célja, hogy a piac alakulását szem előtt tartva a partnerekkel és ügyfelekkel szoros együttműködésben olyan – a digitális kihívásokhoz illeszkedő – naprakész megoldásokat biztosítson az ügyfelek részére, amelyek képesek hatékonyan kiszolgálni akár legváltozóbb üzleti igényeket is.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.

KLIKKMANIA KFT.
 H-1061 Budapest
 Andrássy út 36.
 +36 (20) 777 8858
 KAPCSOLAT

CLICK2DIGITAL LTD.
 125 Wood Street
 London, EC2V 7AW
 +44 (0) 20 3540 7393
 hello@click2digital.com