Nova evropska uredba o varstvu osebnih podatkov prinaša vrsto sprememb za podjetja. Predstavljamo vam ključne spremembe te uredbe, priporočila za zakonito upravljanje zbirk podatkov in konkretne nasvete za učinkovito neposredno komuniciranje s strankami.

1. Kako se izogniti napakam s piškotki?

Spletni piškotki omogočajo podjetjem, da do potankosti spoznajo navade in želje potrošnikov ter jih ciljano nagovorijo. A piškotke omejuje želja potrošnikov po zasebnosti in zakonodaja, kar za podjetja pomeni predvsem zmanjšano učinkovitost analize vedenja uporabnikov in trženja z oglasi. Kot pojasnjuje Matjaž Drev, državni nadzornik za varstvo osebnih podatkov, je pravna podlaga za regulacijo piškotkov v Sloveniji Zakon o elektronskih komunikacijah (ZEKom-1). 157. člen ZEKom-1 od upravljavcev spletnih strani zahteva:

  1. Obvestilo o piškotkih in seznam piškotkov.
  2. Privolitev pred nameščanjem piškotkov, bodisi domnevno ali izrecno.

Nadzor nad spoštovanjem teh zahtev izvaja Informacijski pooblaščenec. Matjaž Drev pojasnjuje, da so slovenske oblasti v primerjavi z drugimi državami EU pri zakonodaji bolj zahtevne in dosledno izvajajo nadzor. V izogib težavam s piškotki podjetjem svetuje naslednje:

  • Če je mogoče, ne uporabljajte piškotkov. Na ta način se izognete vsem zahtevam 157. člena ZEKom-1.
  • Če jih uporabljate, sta v vsakem primeru nujna obvestilo in seznam uporabljenih piškotkov.
  • Za uporabo piškotkov je potrebna privolitev uporabnika – razen če uporabljate „nujne piškotke“.
  • Če uporabljate lastno analitiko ali osnovno Google analitiko, zadošča domnevna privolitev. Enako velja za piškotke valutnih raziskav. Domnevna privolitev pomeni, da se piškotek namesti, vendar jih ima uporabnik možnost odstraniti v primeru, da jih ne želi.
  • Če uporabljate kakršne koli druge piškotke tretjih strani (napredna analitika, Facebook in Twitter vtičniki, oglasne piškotke), potrebujete izrecno privolitev. Enako velja za oglaševalske piškotke, lastne ali tuje. Z izrecno privolitvijo se piškotek pred potrditvijo (npr. gumb “v redu” ali “strinjam se”) ne sme namestiti. Kot primer dobre prakse je izpostavil spletno stran AKOS.  

Ena od novosti, ki jo prinaša nova uredba, je tudi uvedba kodeksa o varstvu osebnih podatkov in možnost certificiranja podjetij. Nekatere institucije, ki bodo izpolnjevale pogoje, bodo lahko izdajale certifikate. Pridobitev certifikata bo pomenila, da podjetje izkazuje višjo raven skladnosti z uredbo. Poudarja pa, da to še ne pomeni, da je podjetje rešeno nadzora inšpekcij, vendar pa je to pozitivno pri presoji, ali je njihovo zavarovanje osebnih podatkov ustrezno.

Uredba prinaša še naslednje novosti:

  • Podjetja svojih zbirk podatkov ne bodo več rabila prijavljati Informacijskemu pooblaščencu, ta ne bo več vodil registrov zbirk, bodo pa zato strožja pravila za vodenje internih evidenc zbirk podatkov v podjetjih.
  • V organizacijah, kjer upravljajo z večjimi zbirkami podatkov, bodo morali imenovati pooblaščeno osebo za varstvo osebnih podatkov in to sporočiti Informacijskemu pooblaščencu.
  • V primeru ugotovitve zlorabe podatkov bo potrebno to prijaviti Informacijskemu pooblaščencu, če bo iz tega izhajalo veliko tveganje za osebne podatke posameznikov,  ki so bili tarča zlorabe, pa o tem obvestiti tudi njih.
  • Pripraviti bo potrebno oceno tveganja pri varstvu osebnih podatkov, mnenje o tem bo na zahtevo podjetja moral dati tudi Informacijski pooblaščenec.

Na spletnih straneh Informacijskega pooblaščenca lahko najdete vrsto SMERNIC z različnih področij, npr.:

Matjaž Drev, državni nadzornik za varstvo osebnih podatkov, Informacijski pooblaščenec RS

2. Poskrbite, da ne kršite nove evropske uredbe

"Vsak, ki karkoli dela z osebnimi podatki (razen za strogo osebno uporabo), bo moral spoštovati Uredbo. Izjem ni," pravi Matija Jamnik (Odvetniška pisarna Jamnik), ki je predstavil, kaj vse prinaša nova ureditev in kje se podjetja pogosto znajdejo v težavah.

1. Privolitev

Glavna sprememba je to, da mora biti privolitev posameznika za obdelavo osebnih podatkov izrecna, informirana in nedvoumna – namen obdelave podatkov mora biti točno določen, privolitev pa ne sme biti skrita v neko drugo besedilo (npr. v splošne pogoje). Določena je tudi spodnja starostna meja, ko lahko posameznik privolitev da samostojno, in sicer 16 let, za mlajše pa se zahteva privolitev staršev.

2. Dopolnjena definicija osebnih podatkov

Vanjo so izrecno vključeni tudi podatki o lokaciji in spletni identifikatorji (IP, MAC idr.).

3. Pravica do pozabe

Uporabnik ima pravico kadarkoli zahtevati izbris osebnih podatkov, potreben pa je seveda zakonit razlog. V primeru, da so bili podatki objavljeni, mora upravljalec od vseh zahtevati, da morebitne povezave do osebnih podatkov in njihove kopije izbrišejo. Pri podatkih mladoletnih se ta pravica upošteva brezpogojno.

4. Novosti pri pogodbeni obdelavi osebnih podatkov

Upravljavec mora navodila glede njihove obdelave dokumentirati, prav tako pa mora predhodno izdati pisno dovoljenje za morebitno podpogodbeno obdelavo osebnih podatkov in podpogodbenega obdelovalca seznaniti z zahtevami iz pogodbe, sklenjene med njim in upravljavcem osebnih podatkov.

5. Pooblaščeno osebo za varstvo osebnih podatkov (interni »informacijski pooblaščenec«) je potrebno imenovati:

  • v primeru javnega sektorja,
  • če je potrebno zaradi narave, obsega in/ali namenov zbiranja osebnih podatkov posameznike, na katere se nanašajo ti podatki, redno in sistematično obsežno spremljati in/ali
  • če gre za obsežno obdelavo občutljivih osebnih podatkov.

Dobra novica je, da je interni pooblaščenec lahko tudi zunanji pogodbeni sodelavec (podjetje).

Matija Jamnik poudarja, da se bo čez leta današnji odnos do varovanja osebnih podatkov premaknil iz strahu pred inšpekcijami v smer družbene odgovornosti – podjetja bodo želela imeti urejeno varstvo osebnih podatkov, saj v primeru varnostnih incidentov tvegajo izgubo ugleda in posledično škodo, ki je lahko eksponentno večja od predpisanih glob (čeprav se tudi te z novo uredbo zvišujejo).

3. Kako zakonito tržiti na spletu?

Mag. Albin Poljanec (AKOS, Agencija za komunikacijska omrežja in storitve RS) pojasnjuje, kako se trženja z uporabo sredstev elektronskih komunikacij lotiti zakonito – predvsem v povezavi z e-mailom in telefonsko prodajo. Albin Poljanec pravi, da lahko že podjetje samo veliko naredi, da stvari olajša in jih naredi pravilno ter tako olajša delo tudi inšpekcijskim organom.

Komercialno sporočilo“ je vsaka oblika posredne ali neposredne promocije blaga, storitev ali podjetja (ki opravlja trgovski, obrtni, industrijski ali reguliran poklic), pri čemer podatki, ki omogočajo dostop do njene dejavnosti (npr. ime domene, elektronski naslov, sporočilo), sami po sebi še niso komercialno sporočilo.

Neposredno trženje s sredstvi elektronskih komunikacij v Sloveniji urejajo:

  • Zakon o varstvu potrošnikov ZVPot (45.a člen),
  • Zakon o elektronskem poslovanju na trgu ZEPT (6. člen),
  • Zakon o elektronskih komunikacijah ZEKom-1B (ZEKom-1B, 150. in 158. člen) in
  • Zakon o varstvu osebnih podatkov (ZVOP-1).

45. člen ZVPot pravi, da mora pri telefonskih pogovorih oseba, ki v imenu podjetja vzpostavi telefonski stik s potrošnikom z namenom sklenitve pogodbe na daljavo, na začetku pogovora predstaviti podjetje in njegov sedež ter potrošnika seznaniti o komercialnem namenu klica. Dopolnjuje ga 6. člen ZEPT, ki poleg imena pravne ali fizične osebe, v imenu katere je komercialno sporočilo poslano, zahteva jasno razpoznavno komercialno sporočilo, jasne in nedvoumne pogoje za sprejem ponudb in sodelovanje v igrah. Prav tako je potrebno upoštevati pravila o soglasju prejemnika skladno z ZEKom-1.

ZEKom med drugim določa tudi, da mora uporabnik ali naročnik soglašati z vsako uporabo samodejnih klicnih in komunikacijskih sistemov, telefaksov in elektronske pošte za namen neposrednega trženja. Podjetje lahko e-naslov svojih obstoječih strank uporabi za neposredno trženje svojih podobnih izdelkov/storitev le pod pogojem, da kupcem ponudi možnost zavrnitve uporabe njihovega e-naslova takrat, ko so podatki pridobljeni in ob vsakem nadaljnjem sporočilu v primeru, da do zavrnitve ne pride.

Uporaba drugačnih sredstev (npr. govorni telefonski klic) je dovoljena le s soglasjem naročnika ali uporabnika, zavrnitev soglasja pa mora biti brezplačna. Naročniki morajo vedno imeti možnost, da prepovedo uporabo svojih osebnih podatkov za klic, ki imajo komercialni ali raziskovalni namen. Nekoliko drugače je z e-poštnimi naslovi – če ta elektronski naslov pravna oseba javno objavi kot svoj kontaktni e-poštni naslov, je v tem primeru pošiljanje z namenom neposrednega trženja dovoljeno, saj se šteje kot kontakt poslovnega subjekta.

Mag. Albin Poljanec (AKOS, Agencija za komunikacijska omrežja in storitve RS)

4. Kako zgraditi e-mail bazo?

“Po tujih raziskavah 77 % potrošnikov preferira e-mail promocije bolj kot kateri koli drugi tržni kanal. E-mail je tako izjemno močno prodajno orodje – lahko generira do 30 % direktne in do 60 % indirektne prodaje,“ pojasnjuje Mojca Lukan (Studio Moderna), ki svetuje, da e-mail naslove zbirate, kjerkoli imate možnost, saj prinašajo veliko dodano vrednost. Pridobite jih lahko na različne načine: s prijavnimi obrazci na spletnih straneh, ob nakupu, z nagradnimi igrami in nespletno akvizicijo (trgovine, sejmi …).

A če želite, da vam stranke izročijo svoje osebne podatke, jim boste morali nekaj ponuditi v zameno; na primer nagrade v obliki izdelkov, potovanj ipd., brezplačno e-revijo ali e-knjigo, vodič, katalog, svetovanje, video nasvete … “Tako posameznik, ki vam zaupa e-mail, dobi občutek, da je dobil ogromno v zameno,” pravi Mojca Lukan.

Različni načini grajenja e-mail baze imajo svoje prednosti in slabosti. Prijavni obrazci na spletnih straneh vam recimo omogočajo, da zgradite relevantno bazo potencialnih kupcev. Postavite jih lahko na vidno mesto in dodatno spodbudite prodajo (na primer s popusti). Vendar pa znajo biti prijavni obrazci tudi zelo moteči – na primer, ko zavzamejo celotno stran, po drugi strani pa skritih obrazcev ljudje ne opazijo. Ker so obrazci kratki, imate manj prostora za razlago prednosti, prinesejo pa tudi manjšo bazo.

Drugi način je pridobivanje e-mailov pri kupcih – bodisi fizično v trgovini ali v spletni trgovini. Ta način je najenostavnejši, saj prinese bazo, ki jo najbolje poznate in pri kateri je možnost ponovnega nakupa največja. A hkrati je ta baza dokaj majhna in lahko predstavlja veliko dodatnega dela za zaposlene v trgovini, kupci v spletnih trgovinah pa pogosto s tem sploh niso seznanjeni.

Nagradne igre prinesejo največjo bazo in možnost širokega znamčenja. Vendar pa je taka baza pogosto nerelevantna, neaktivna in slabše kvalitete (nepravi e-mail naslovi).

Zadnje čase zelo popularen je način pridobivanja e-mailov prek Facebooka, in sicer z oglasi, ki omogočajo boljše segmentiranje, doseganje novih potencialnih kupcev in dober engagement. Zanimive so tudi Facebook aplikacije, saj so zabavne, kreativne in prinesejo več podatkov. Imajo pa tudi nekaj slabosti – potrebna je na primer integracija s Facebookom za prenos baz. Vrednost e-mailov je, podobno kot pri prejšnji točki, vprašljiva, hkrati pa dodaten problem predstavlja to, da se vse dogaja znotraj Facebooka.

Najnovejši način pridobivanja e-mailov, ki se je izkazal kot prodajno najbolj uspešen, je kolo sreče, ki v zameno za osebne podatke ponuja enega od popustov na kolesu sreče. Ker kupci popust prejmejo na e-mail naslov, je baza relevantna, obenem pa je kupcem tak način zbiranja podatkov zabaven, saj je spremenjen v igro. Sicer prinese manjše število e-mailov, pogosto pa so sodelujoči le “lovci na popuste”. Pazljivo je treba ravnati tudi pri nastavitvah, saj se je izkazalo, da ljudje neradi sodelujejo, če je v kolesu veliko majhnih popustov.

Ko že imamo bazo,  je treba kupcem zagotoviti obljubljeno in nato preko pridobljenih podatkov z njimi začeti gradnjo razmerja.

‍Mojca Lukan (Studio Moderna)

5. Trženjsko raziskovanje in direktni marketing se lahko dobro povezujeta

Vsako trženjsko raziskovanje je povezano z zbirkami podatkov in je komuniciranje s kupci, pojasnjuje Meta Arh (Arhea). Pomembna je tudi učinkovitost – kaj bomo dobili za denar, ki ga vložimo. Zato podjetja iščejo optimalno kombinacijo med raziskavami, ki jih naročajo pri zunanjih specialistih in tistimi, ki jih izvajajo sama. Zadnje čase se njihova uporaba povečuje. pri izvajanju pa so podjetjem lahko v pomoč Smernice varstva osebnih podatkov pri internih tržnih raziskavah. Z njihovo pomočjo podjetja delujejo znotraj zakonskih meja, hkrati pa imajo vseeno veliko možnosti za svoje (direktno-marketinške) aktivnosti.

Smernice prinašajo priporočila za ravnanje v petih konkretnih situacijah iz prakse, med drugim tudi v naslednjih primerih:

1. Oblikovanje zbirke ljudi, zainteresiranih za sodelovanje v tržnih raziskavah

Kljub temu da taka zbirka prinaša veliko prednosti, je večina podjetij v Sloveniji še ne uporablja. Sploh tista, ki imajo klube ugodnosti in je že v njihovih splošnih pogojih navedeno, da uporabnik sodeluje tudi v raziskavah. Vendar z uporabo take zbirke ne obremenjujemo nazainteresiranih strank, sodelujočim pa skrajšamo čas, ki ga porabijo za raziskavo. Za podjetje pomeni hitrejše in učinkovitejše zbiranje podatkov, relevantnejše odgovore in boljši vpogled v stranke preko analiziranja medsebojnih povezav različnih tematik.

2. Povezovanje podatkov raziskave s podatki članstva v klubu ugodnosti 

Če imamo klub ugodnosti, lahko pridobljene podatke iz tržne raziskave povežemo s podatki o nakupih članov, kar nam lahko prinese koristne informacije in omogoči boljše trženje. Trgovci bodo tako na primer poleg tega, kako pogosto stranke zahajajo k njim in kaj kupujejo, izvedeli tudi, pri katerih drugih trgovcih kupujejo in kakšne so njihove nakupne navade tam. Podjetjem to prinaša boljši vpogledv stranke in konkurenčni kontekst ter natančnejše podatke. Identificirajo lahko nove priložnosti in nevarnosti. Strankam pa lahko ponudijo bolj prilagojene ponudbe, vprašalniki pa so krajši.

Tako pri gradnji zbirke kot pri povezovanju podatkov je treba paziti na transparentnost. Glede na namen uporabe podatkov je potrebno pridobiti ustrezno soglasje strank in korektno urediti hranjenje podatkov, hkrati pa je ključno spoštovanje pravice preklica privolitve stranke. Za konec Meta Arh svetuje še, naj podjetje razmisli, katere podatke res potrebuje. “Ne delajte na pamet, temveč vedno naredite načrt.”

‍Meta Arh (Arhea)

6. Dobra prilagojena ponudba je najboljši oglas za zbiranje privolitev za ciljno trženje

Goran Žarić in Andreja Možina na primeru Mercatorja pojasnjujeta segmentiranje in komuniciranje na velike baze. Mercator je podjetje z najbolj prepoznavnim in uspešnim programom zvestobe v Sloveniji, Pika kartico, ki spremlja in se prilagaja potrebam trga že 17 let.

Osebni podatki so v Mercatorju ločeni od kontaktnih podatkov in so šifrirani. Kombinirajo jih z podatki o nakupih in jih nato uporabljajo v namen komunikacije promocije prek elektronskih sporočil, SMS-ov, spleta, direktne pošte, POS terminala in blagajne. Z leti so poskušali centralizirati baze podatkov na enotni platformi – gre za integracijo različnih sistemov, cilj pa je t. i. omni channel, ki prinaša najboljšo uporabniško izkušnjo. Ta enotna platforma za upravljanje podatkov združuje:

  1. Spremljanje off-line nakupov in prenos v PS
  2. Podpora on-line procesom (prenos v PS in enotno platformo za CRM)
  3. CRM analiza promocij in kampanj, priprava segmentov
  4. Prenos info o odzivnosti na promocije v enotno platformo CRM
  5. Priprava, izvedba in spremljanje on-line ter off-line promocij in kampanj

Mercator je tako ustvaril celoto iz različnih kanalov, ki jih uporabljajo za pridobivanje podatkov: e-trgovina, spletna stran, costumer care, social media, mobilna aplikacija ter POS in blagajna. S tem ko lahko podatke pridobivajo in analizirajo prek različnih kanalov, lahko pridobivajo nove in inovativne rešitve in storitve ter tako ustvarjajo prihodke. Večina podjetij se sooča s težavo pridobivanja podatkov – Mercator se sooča z obilico podatkov. Pojavlja se izziv, kako vse podatke izkoristiti na najbolj optimalen način. Njihova platforma zbira nepredstavljivo količino podatkov, v 17 letih je bilo izdanih kar 1,7 milijonov Pika kartic.

S ciljem zadržati kupce in povečati promet uporabljajo različne vrste segmentacije, pogosta je recimo segmentacija glede na vrsto nakupa (to-go, stock up, top up), klube, fazo nakupnega procesa, nivo izdelkov (budget/value for money/premium), RFM in indikatorje za značilnosti življenjskega stila kupcev.

Kupcem želijo ponuditi njim prilagojene ugodnosti in ponudbe. Slednje pripravljajo za imetnike kartice, ki dovolijo uporabo svojih podatkov. Na pristopnem obrazcu imetniki Pika kartice namreč označijo privolitev za neposredno in ciljno trženje. Ker v začetnih letih Pika kartice privolitev ni bila potrebna, so se soočili z izzivom, kako te privolitve za uporabo podatkov pridobiti naknadno. Preizkusili so številne metode: vhodni in izhodni klici, portal Moja pika, darilo na POS, oglas v letaku in e-mailing. Kot najbolj uspešen način se je izkazalo ciljanje kupca na blagajni. Če je kupec želel dati privolitev, je blagajnik natisnil obrazec s prostorom za e-mail in označili privolitev,  obrazci pa so bili prek interne pošte poslani v Kontaktni center. Kupec je v elektronskem sporočilu nato dobil popust.

Po pridobitvi privolitev Mercator naslovi kupca z dobro prilagojeno ponudbo, ki je po njihovem mnenju najboljši oglas za zbiranje privolitev za ciljno trženje. Za take kupce pripravljajo direktno pošto, e-pošto in izpis na koncu računa. Njihovi dobavitelji oz. partnerji so s CRM odzivi zadovoljni, testiranje kombinacije kanalov pa je pokazalo, da je optimalna tiskana direktna pošta + POS izpis. Pravijo, da se bodo v prihodnje soočali z izzivi, kot je recimo, kako še bolje izkoristiti bazo podatkov in še naprej ustvarjati zveste kupce.

7. Pravila obdelave osebnih podatkov

Pri direktnem marketingu je pravilna obdelava podatkov ključnega pomena. Eva Kalan (Informacijski pooblaščenec RS) poudarja, da splošna zakonska pravila za neposredno trženje vključujejo:

  • opt-in oziroma aktivna potrditev prijave za prejemanje e-pošte in SMS;
  • opt-out oziroma odjava za navadno pošto (če bo v veljavi ostal predlog novele ZEKom-1 tudi za telefon);
  • zagotavljanje informacij (72. in 19. člen ZVOP-1);
  • pravica do preklica/prepovedi uporabe osebnih podatkov – to mora biti navedeno v samem oglasnem sporočilu (tudi če gre za SMS);
  • veljaven naslov in transparentnost identitete pošiljatelja.

Izpostavlja nekaj najpogostejših primerov kršitev:

  • pomanjkanje dokazila o načinu pridobitve osebnih podatkov,
  • nezakonito posredovanje ali ustvarjanje adrem,
  • nespoštovanje pravice do preklica,
  • neobveščanje posameznika o njegovih pravicah (tudi do odjave od prejemanja trženjskih sporočil) in
  • pošiljanje sporočil z razkritimi naslovniki.

Problematično pri direktnem marketingu je recimo snemanje telefonskih klicev. Eva Kalan poudarja, da mora biti posameznik obveščen o obstoju in namenu snemanja (zakonit namen je zgolj namen zagotavljanja dokaza o tržni transakciji ali drugi poslovni komunikaciji, ki se nanaša na sklenitev, spremembo ali prekinitev posla) ter trajanju hrambe posnetka. Privolitev služi kot osnovna podlaga za obdelavo osebnih podatkov v zasebnem sektorju. Na zakonit, pošten in transparenten način pridobljena privolitev je tako bistvenega pomena pri ugotavljanju odgovornosti glede morebitnih kršitev varstva osebnih podatkov. Ko uporabnike obveščamo o varstvu osebnih podatkov, moramo navesti, kateri podatki se zbirajo, kdo jih zbira in v katere namene.

V kolikor uporabljamo oblak, je v tem primeru upravljalec sam odgovoren, da izbere ponudnika, ki spoštuje slovensko zakonodajo. Pazljivi moramo biti na pogodbeno obdelavo, zavarovanje podatkov in prenos podatkov v tretje države (Privacy Shield).

Dogodek se je zaključil z okroglo mizo, ki je imela osrednje vprašanje Kakšna zakonodaja lahko pospeši razvoj direktnega marketinga? Na okrogli mizi so sodelovali: Albin Poljanec (AKOS), Matjaž Drev (IPRS), Matija Jamnik (Odvetniška pisarna Jamnik), Petra Knez Bahor (Zavarovalnica Triglav) ter Goran Žarić in Andreja Možina (Mercator).

Fotografije: Bojan Stepančič

Celotno fotogalerijo si lahko ogledate v DMS Facebook galeriji.

Zapis je nastal na podlagi predavanj na Dnevu direktnega marketinga v oktobru 2016.

VČLANI SE

Drugi zapisi na temo

O NAS

Več kot

600

članov
Več kot

400

STROKOVNIH zapisov
Več kot

50

dogodkov letno
Društvo za marketing Slovenije skrbi za umeščanje in razvoj marketinga kot stroke in znanosti v slovenskem ter širšem družbenem in gospodarskem prostoru v Sloveniji.
pridružite se nam