GDPR v eHUB a změna VOP
O GDPR slyšíte v poslední době víc než dost. Pojďme si postupně projít, co jsme v souvislosti s GDPR v eHUBu řešili.
O GDPR slyšíte v poslední době víc než dost. Z pohledu využívání našeho systému se však nemusíte ničeho bát – nic zásadního se nemění, ve většině případů od vás není požadovaná jakákoliv interakce a vaše výsledky nebudou ovlivněny vynucením nepotřebného souhlasu uživatelů. Pojďme si ale postupně projít, co jsme v souvislosti s GDPR v eHUBu řešili.
eHUB jako správce osobních údajů svých uživatelů
Provozovatel affiliate sítě je správce osobních údajů směrem k registrovaným partnerům do sítě. Registrované uživatele tedy musíme informovat o tom, jaké osobní údaje o nich držíme, proč (resp. že jsou to jen ta nejnutnější data, která potřebujeme), jakým dalším zpracovatelům osobních údajů mohou být tyto data přístupná (inzerenti, účetní, Mailchimp…) a na základě čeho dochází k vymazání těchto údajů. Celá tato problematika je zakotvena v nové verzi VOP, která bude platit od 25.5.2018, kde mimo jiné tedy zavádíme pojem aktivního uživatele a definujeme lhůtu „neaktivity“, po které publisherský účet automaticky mažeme.
eHUB jako zpracovatel osobních údajů – cookies tracking
Z hlediska trackování je provozovatel affiliate sítě zpracovatel osobních údajů (o koncových uživatelích), ale cookies, které za účelem trackování, využíváme spadají do definice oprávněného zájmu dle GDPR. Skrze cookies je uložen pouze údaj, který nám následně umožní spárovat objednávku s partnerem naší sítě, který zákazníka reálně přivedl. Zákazník nám tedy při redirectu na web inzerenta nemusí dávat jakýkoliv souhlas! Tento výklad podporuje i nové doporučení ÚOOÚ, které mimo jiné uznává jako souhlas nastavení prohlížeče samotného zákazníka.
Proč CJ takový souhlas vyžaduje a eHUB ne?
Přesně se k tomu asi ještě vyjádří CJ, resp. VIVnetworks, ale domnívám se, že jde o komplexnost technologie – CJ musel přijít s globálním přístupem k GDPR a VIVnetworks s tím moc nezmůžou. Technologie CJ umožňuje i docela pokročilé profilování zákazníků (mimo jiné pro retargetingové partnery) a asi to musí být plošně ošetřené. I když si umíme představit, že 95 % trafficu mezi českými inzerenty a partnery je realizovatelných přes stejný (základní) tracking jako třeba u nás (a na který takový souhlas potřeba není).
Zpátky ke změnám v našich VOP – naši partneři nám v nich nově dávají souhlas k označkování zákazníků skrze cookies (a tedy zpracování osobních údajů) a my deklarujeme, že tato data uchováváme jen pro nezbytně nutnou dobu (v tomto případě až 3 roky).
Leadgen v eHUB a GDPR
Nově ve VOP také deklarujeme, že leady zaznamenané našim systémem jsou uloženy pouze po nezbytně nutnou dobu k přenesení dat směrem k inzerentovi, že s nimi kterak dále nenakládáme a nikdo kromě administrátorů k nim nemá přístup. Všechny leadgenové formuláře vygenerované v našem systému nově obsahují informační povinnost, komu je lead následně předán. Pokud partneři pracují se zaznamenanými osobními údaji jakkoliv nad rámec této formy spolupráce, přechází informační povinnost i problematika samotné správy osobních údajů na ně.
Nutné kroky ze strany inzerentů?
S novými inzerenty už uzavíráme nové znění smlouvy včetně té zpracovatelské (opět dostáváme souhlas zpracovávat data o zákaznících, resp. objednávkách). Se stávajícími inzerenty budeme smlouvy aktualizovat v průběhu léta – v tuto chvíli čekáme ještě na nové výklady a předpokládaný termín platnosti ePrivacy. Jinak z výše uvedeného je patrné, že u základního trackingu není ani ze strany inzerentů potřebný nějaký další krok nebo urgentní změna podmínek.