GDPR implementacija je laka za razumevanje, i malo teža za implementiranje. Suština je da veoma menja marketing procese i kvalitet podataka, što na kraju rezultuje radom sa ograničenim setom podataka.
Kao prvo – nismo advokati. Samo advokati mogu pričati o detaljima i tumačiti zakone. Mi se bavimo tehnologijama koje treba da omoguće rad kompanijama u skladu sa GDPR-om.
Kao drugo – sve što iznosimo apsolutno ne morate da implementirate. Niti da uzmete u obzir. Naš posao je da iznesemo metode, načine i probleme koji se javljaju u tehničkoj implementaciji i šta sve to nosi sa sobom.
Treće – ako smatrate da se GDPR ne odnosi na vas, verovatno ste u pravu. Ali, odnosi se na vaše posetioce iz EU. Možete da odlažete stvari za domaće posetioce i korisnike i da se prilagodite stranim posetiocima ili možete sve vaše korisnike da tretirate na pravi način. Vaš izbor.
Napomena: u našem slučaju celokupna obrada podataka će biti u skladu sa GDPR-om od 25. maja.
Šta je to GDPR?
GDPR je regulativa Evropske unije ili opšta uredba o zaštiti podataka i reguliše zaštitu podataka i privatnost osoba unutar Evropske unije. Glavni cilj GDPR-a je vraćanje kontrole građanima nad sopstvenim podacima i pojednostavljenje pravnog okruženja za međunarodne korporacije ujednačavanjem propisa u celoj Evropskoj uniji.
Ključna stvar ove uredbe je termin data subject ili grubo prevedeno podaci o ličnosti.
Subjekat
Najgrublje i najefikasnije objašnjenje je da lični podaci i zaštita tih podataka postaje (ili će postati) opšte ljudsko pravo (sve ide ka tome).
Sa druge strane, svaka država štiti svoje stanovnike ili državljane zakonima, regulativom, međudržavnim sporazumima, tj. pruža zaštitu kako svi ti ljudi plaćaju poreze i za uzvrat dobijaju sigurnost. Termin subject ili subjekat ima puno značenja s tim da je u ovom slučaju prikladno sledeće objašnjenje:
A person who owes allegiance to a government and lives under its protection / Osoba koja duguje vernost vladi i živi pod njenom zaštitom
Drugim rečima, svako društvo ili vlada upravlja subjektima i pruža im zaštitu. U ovom slučaju EU štiti podatke svojih subjekata (ili ličnosti).
Koliko daleko je EU spremna da ide
Samim donošenjem regulative, EU je spremna da ode veoma daleko. Ona postoji godinama (od 2016) i 2018. stupa na snagu.
Svako ko obrađuje podatke o ličnostima iz EU mora da poštuje pravila po kojima EU štiti svoje stanovnike. Glavno pitanje koje se postavljalo je da li se to odnosi i na kompanije koje nemaju sedište u EU. Setite se – EU je spremna da se bori za svoje stanovnike (subjekte). Google i Facebook rade intenzivno da se usklade sa regulativom kako veliki broj njihovih korisnika dolazi sa ove teritorije.
Čemu sve to?
Recimo da je industrija digitalnog oglašavanja otišla predaleko. Preveliki broj kompanija je masovno sakupljao podatke sa web sajtova i aplikacija u cilju pravljenja profila ljudi, prateći ih sa sajta na sajt, stvarajući tzv. meta podatke koje su agencije i kompanije koristile za bolje (pametnije i preciznije) oglašavanje.
Da li su to radile u skladu sa GDPR-om? Ne baš. Sa druge strane, do aktiviranja GDPR-a drugi zakoni su na snazi i većina radi unutar tih pravnih okvira, koji nisu do kraja eksplicitni o tome šta pokrivaju.
Tu temu smo pokrili ranije.
Problemi sa GDPR-om
Dok ima zakona, biće i rupa. To znači da će mnogi probati da iskoriste rupe u regulativi i opravdaju sakupljanje podataka (za potrebe programatik oglašavanja) nekom vrstom opšteg prihvatanja (kao u slučaju IAB-a).
Ključ regulative
Svaki pojedinac (subjekat) mora dati eksplicitnu i pojedinačnu saglasnost svakom sakupljaču informacija o tom pojedincu ponaosob!
Drugim rečima, ako web sajt ima 5 sistema za sakupljanje podataka koji pomažu u marketingu, praćenju efikasnosti, email marketingu i slično, osoba unutar tog browser-a mora dati 5 saglasnosti.
Za svaki sistem mora postojati objašnjenje kakve se informacije sakupljaju, koliko dugo se čuvaju, gde se podaci nalaze i zbog čega se sakupljaju. Svakoj osobi mora biti omogućeno da po želji zatraži brisanje podataka o sebi iz svih 5 sistema.
Ovo su u kratkim crtama tehnički zahtevi koje svako kome prilazi EU posetilac (putem web sajta) mora da omogući.
Prava subjekta:
- informisanje o tome šta se prati uz pomoć kojih alata
- mogućnost izmene pristanka za praćenje
- pristup informacijama koje su sakupljene
- informacije o tome kako se i da li se sakupljene informacije prenose negde
- mogućnost davanja prigovora na obradu informacija
- mogućnost brisanja informacija iz sistema koji su sakupili informacije
- pravo za dopunu podataka koji su sakupljeni (i nisu kompletni)
- …
Za šta vam ne treba saglasnost
Saglasnost vam ne treba onda kada imate legitiman interes. Ovde možete pročitati kako da definišete legitimni interes, napišete i stavite javno da bude dostupan svim posetiocima.
Google analitika sa veoma ograničenim opsegom sakupljanja podataka može biti deo legitimnog interesa ili Piwik.Pro, ali samo jedan alat za sakupljanje podataka o ponašanju na web sajtu uz ograničeni set informacija koji ne uključuje lične podatke.
Samo uz saglasnost se mogu aktivirati sledeći elementi
- potpuno sakupljanje informacija o IP adresi
- aktiviranje remarketing funkcija za oglašavanje
- jedinstvena identifikacija korisnika (userId)
- sakupljanje i praćenje dodatnih informacija (dimenzije)
GDPR implementacija – Tehnički dug i obim posla
Zamislite da imate platformu za publikovanje sadržaja i da imate ručno namešteno aktiviranje skripti za analitiku, oglašavanje, programatik mreže, merenje opterećenja sajta, itd. Ovo je tehnički dug ručno pravljenih CMS-ova. Taj dug je došao na naplatu.
Sa druge strane, postoje standardni CMS-ovi koji imaju mogućnost lake adaptacije kroz ekstenzije, plugin-ove i sl, stim da predstoji posao analize svih ugovora sa pružaocima usluga, pravljenje šeme sakupljanja podataka, provera sa pravnicima i tehnička implementacija legitimnog interesa i sistema za prikupljanje saglasnosti.
Većina posla se da izvesti, ali zahteva angažovanje i multidisciplinarni tim.
Primer implementacije i situacija koje čekaju kreatore sadržaja
Sisteme treba preraditi i kreirati onaj koji će na pravi način sakupljati informacije o posetiocima.
Najpraktičniji primeri i objašnjenja procesa zaštite ličnih podataka o posetiocima kao i budućim sistemima (koje ćemo morati da implementiramo) možete pročitati na:
- Šta čeka kreatore sadržaja (sadržaj je iza PayWalla koji zaobilazite uz pomoć ovog linka – ne brinite sve je legalno i u skladu sa plaćenim sadržajem)
- Koliko je velik GDPR za kreatore sadržaja i šta to znači za budući biznis
- Praktična objašnjenja sistema za prikupljanje saglasnosti (za svakog vendor-a) na jednom web sajtu
Kako će to promeniti digitalni marketing?
Sistemi na koje ste se oslanjali za bolje oglašavanje, remarketing, demografiju i sl će prestati da rade ukoliko se ne sakupljaju podaci na pravi način.
Tehnička GDPR implementacija će apsolutno narušiti MarTech i AdTech arhitekture koje su kompanije gradile tokom godina, kako bi bolje funkcionisale u sferi digitalnog marketinga i oglašavanja. Biće to nalik prinudnom gladovanju.
Cena tj trošak pravilne implementacije, u nekim slučajevima nije isplativa i pojedine kompanije odustaju od pružanja usluga posetiocima iz EU.
Agencije imaju pune ruke posla i sigurno ne stižu da pokriju sve aspekte koje tehnička GDPR implementacija zahteva. Kreatori sadržaja drže ključeve onlajn oglašavanja u svojim rukama, kako najveća količina saobraćaja prolazi kroz ove sajtove/aplikacije. Na taj način, postaju prvi korak u sakupljanju podataka. Velika odgovornost ali i velika vrednost koju kreatori sadržaja stvaraju u ekosistemu oglašavanja.
Update: još detalja o praktičnoj implementaciji kao i alatima koji mogu pomoći u proceni uticaja GDPR-a na poslovanje.