Tényleg el fogja veszíteni meglévő listáját a GDPR miatt? Ellentmondásos kérdések tisztázása az újra feliratás szükségességéről
A GDPR-ral kapcsolatos egyik legnagyobb félelem sok vállalkozás online marketingesében, hogy mi lesz az eddig nagy fáradsággal gyűjtött email listájával. Az ezzel kapcsolatos félreértéseket igyekszünk tisztázni ebben a bejegyzésben.
A múlt héten tartott SalesAutopilot – GDPR webináriumon mi is kitértünk erre a kérdésre, és még vége sem lett a webináriumnak, már meg is kaptam az egyik ismert adatvédelmi szakjogásztól emailben, hogy “Balázs, te tényleg azt mondtad egy webináriumon, hogy…”
Nem hittem a szememnek! Egy szóval sem mondtam!
De mit is?
Kezdjük azzal, hogy mit mondtam – méghozzá az újra feliratás szükségességéről, – és utána térjünk rá, hogy mi volt a félreértés!
Íme amit mondtam:
#start-video#pfmejeh6ju#end-video#
Tehát világos: Tökéletesen megfelel a május 25 előtt beszerzett hozzájárulás – azaz NEM kell újra feliratni –, HA az megfelel a GDPR-nak.
Tehát akkor mégsem kell újrafeliratni?
Háát, ezt sem mondtam!
A GDPR egyik nagyon fontos eleme ugyanis az, hogy az adatkezelőé a bizonyítási teher, és a „becsszó ez így meg úgy volt”, az nem lesz elég egy esetleges vizsgálat során. Arra van szükség, hogy bizonyítani tudja, hogy mi is volt a szövege.
…éppen ezért nagyon fontos, ami az előző rész UTÁN hangzott el:
#start-video#fbxdosedx4#end-video#
Mi a lényeg tehát?
Hacsak nem áll rendelkezésre valamilyen megbízható, és bizonyító erejű formában, hogy pontosan hogyan is nézett ki a beleegyező nyilatkozat (értsd: feliratkozó űrlap), mégiscsak szükség lesz a beleegyezések újra beszerzésére.
DE!
„Ahh, már megint egy de…” – mondhatná…
Nem kell annyira sietni, mert amit nagyon sokan elfelejtenek, hogy ez a kérdés a jogalapokkal kezdődik. Hiszen csak akkor kell beleegyező nyilatkozat egyáltalán, ha a jogalap a hozzájárulás. Ha a jogalap valami más (pl. szerződés teljesítése), akkor nem, nem is kellett beleegyező nyilatkozat, tehát újrafeliratásra sem lesz szükség. Mire lesz szükség ilyenkor? A jogalap alátámasztására, tehát hogy pl. a „jogos érdek”, vagy a „szerződés teljesítése” mint jogalap valóban fennáll.
És van még egy fontos gondolat, amire a webinárium időpontjában magam sem gondoltam: a beleegyező nyilatkozat megfelelő bizonyítására nem csak olyan bizonyíték lehet alkalmas, amit Ön készített. Lehet ez BÁRMILYEN olyan informatikai állomány, ami hitelt érdemlően bizonyítja, hogy a nyilatkozat tényleg ilyen vagy olyan tartalommal létezett az illető feliratkozó(k) feliratkozásának pillanatában.
Huhh, mit jelent ez a gyakorlatban? Jelentheti például azt, hogy ha a feliratkozási oldal egy korábbi verziója látható a www.archive.org archívumában, vagy egy valami más célból készült képernyőmentésen, látványterven, stb., akkor az akár elég is lehet annak bemutatásra, hogy mi volt a pontos beleegyező nyilatkozat.
Zárójelben jegyzem meg, hogy SalesAutopilot felhasználók számára a fenti megoldást támogatja meg, hogy amennyiben ezt beállította (egy ideje már alapértelmezetten be van állítva), akkor minden egyes feliratkozóhoz elmentésre került az is, hogy a saját rendszerén belül melyik űrlapon iratkozott fel az illető, sőt, az is el van mentve, hogy az adott űrlapnak pontosan melyik URL-re kihelyezett verzióján iratkozott fel.
#start-blue#
Mit mond az adatvédelmi jogász az újrafeliratásról és a beleegyező nyilatkozat tartalmának igazolásáról?
Dr. Kulcsár Zoltán, a www.ppos.hu és a www.adatvedelmirendelet.hu oldalak szerzője, elismert adatvédelmi szakértő az alábbiakat írta nekünk emailben arról, hogy hogyan kell igazolni a beleegyező nyilatkozat korábbi időpontokban fennálló tartalmát (az üzenetváltás közölve Dr. Kulcsár Zoltán írásos engedélyével):
CsB (ez esetben az ördög ügyvédje): „A gond ugyebár abból adódik, hogy az egy dolog, hogy én tudom, hogy már a feliratkozáskor is az volt nyilatkozat (értsd feliratkozó űrlap) tartalma, mint most, de nem tudom bemutatni archív módon.
A probléma gyökere, hogy az ügyfelünk akár naponta megváltoztathatta az űrlap tartalmát, és egészen két héttel ezelőttig nem voltak mentve az egyes űrlap verziók.
Így kicsit világosabb a kép?
Nagyon kíváncsiak vagyunk amúgy, hogy mit gondolsz a helyzetről!”
KZ: „Bizonyítani valóban tudni kell. A bizonyításnak persze számtalan módja van, nincs fenn ilyen web archive szolgáltatásokon? Ha Nektek nincs is meg…
Vagy akár egy e-mail, látványtervvel, sok minden jó lehet, de tény, hogy valamilyen formában bizonyítani kell.”
CsB: „Itt még hadd legyen egy kérdésem. Tegyük fel fellelem egy internet archívumban a weboldal és a beleegyezés szövegének egy másolatát, mint például ez itt:
Ha arra gondolok, hogy nincs rá garancia, hogy meddig fogják ezeket tárolni, akkor nem lenne hasznos mondjuk közjegyző által lementetni ezeket, hogy biztosan legyen igazolásom, hogy tényleg hogyan nézett ki az oldal ekkor meg akkor?”
KZ: „A több, mindig jobb. De ha ezt kinyomtatod/elmented, és ketten aláírjátok, az teljes bizonyító erejű magánokiratnak számít. Tény, hogy a közokirat magasabb szintű védelmet biztosít, de ha nem tudja a hatóság bizonyítani az ellenkezőjét, akkor a teljes biz. magánokirat is kellő védelmet ad.”
#end-blue#
Akkor most végülis kell újrafeliratni a listámat a GDPR miatt?
A fentieket átgondolva jelen megértésünk szerint a teendők helyes sorrendje némi egyszerűsítéssel a következő:
- Készít egy listát az összes adatkezeléséről. Ezzel kapcsolatban hatalmas segítséget fog nyújtani Önnek ingyenesen elérhető cikkünk, melyben bemutatjuk azt a GDPR kompatiblis marketing tervezési módszertanunkat, melyet mi magunk is alapozásként használunk adatkezeléseink feltérképezése során. Klikk a cikkre: A Ténylegesen Önműködő Marketing és Értékesítés Stratégiája.
- Megvizsgálja, hogy melyik adatkezelésnek mi a jogalapja, és megjelöli azokat, ahol a jogalap a hozzájárulás.
- …persze itt sem aggódni kell, hanem:
- feltérképezni, hogy tudja-e igazolni BÁRMIVEL, hogy mi volt a beleegyező nyilatkozatok tartalma a meglévő lista esetében
- ha van olyan listája, ahol szükség van az újrafeliratásra, ott marketinges aggyal kitalál egy megfelelő megfogalmazást, mint ez itt, amit éppen ezen blogbejegyzés írása közben kaptam:
#start-blue#
Külföldi cége van? Érdemes megvizsgálnia, más országokban hogyan értelmezik a GDPR „legkínosabb” szabályait!
Némileg véletlenül botlottam bele annak jeleibe, hogy mintha Angliában és ezáltal az USA-ban lazábban értelmeznék a GDPR némely szabályát. Kicsit mélyebbre ásva valóban úgy tűnik számomra, hogy a magyar értelmezés szigorúbb.
Csak két egyszerű példa:
(i) Hallottam olyan angol adatvédelmi jogászt, aki az ügyfeleknek küldött marketing emailt simán ellátta a „jogos érdek” jogalappal, így az ő értelmezése szerint nem kell beleegyezés ahhoz, hogy valakinek marketing emailt küldjön vásárlás után.
(ii) Ha csak megnézzük a fenti emailt, akkor látszik, hogy ők sem bonyolították túl. Van egy email, és van benne egy link. Amit egészen pontosan nem tudok megmondani, hogy milyen részletességgel logolja az Infusionsoft (a szoftver, amivel a fenti levelet elküldték nekem), hogy amikor kattintottam, akkor éppen mi volt az adott levél aktuális verziójának tartalma. Mindenesetre úgy tűnik számomra, hogy az angolszász hozzáállásnak nem része, hogy „a delikvens tuti csal, úgyhogy jól meg kell fi…ni”.
A fenti, általunk vélelmezett jogértelmezési különbség miatt mind a saját adatkezeléseinknél, mind az ügyfeleink számára készített SalesAutopilot funkcióknál egy szigorúbb mentési / logolási rendet alakítunk ki, ami szerintünk a hazai szigorúbb gyakorlatnak is meg fog felelni.
Szeretné jobban ismerni az angolszász jogértelmezést? Íme Suzanne Dibble adatvédelmi jogász, akivel a napokban jelent meg interjú a DigitalMarketer oldalán (klikk a képre, az interjú új ablakban nyílik):
Nincs külföldi cége, de JÓL ÉRT ANGOLUL, és szeretne minél egyszerűbben felkészülni?
Rendkívül üdítő segítséget találtunk az angol adatvédelmi hatóság, az ICO honlapján a felkészüléshez, amit angolul jól értő olvasóként bárki kiválóan fel tud használni a felkészüléshez. Íme a legfontosabb anyag, amit találtunk:
- Guide to the General Data Protection Regulation (GDPR) (ELLENŐRZŐLISTÁKKAL)
#end-blue#
SalesAutopilot GDPR funkció előzetes a GDPR webináriumról…
A következő napokban elérhetővé teszünk több olyan funkciót, amelyek átveszik Öntől a bizonyításra alkalmas informatikai állomány létrehozásának feladatát.
Egyszerűbben: a szoftver automatikusan menteni fog mindent, amit kell.
Erről van szó ebben a webinárium videó részletben:
#start-video#wfm7rxtrbu#end-video#
SalesAutopilot funkciók, amelyek támogatják Önt a megfelelő GDPR szabályok betartásában
Az alábbiakban megtalálja azon SalesAutopilot funkciók listáját, amelyek támogatni fogják Önt a GDPR betartásában.
1.) Beleegyező nyilatkozat mentésének három fő esete
- Feliratkozó űrlap tartalmának mentése a feliratkozóhoz
- Feliratkozó űrlapon található pipák feliratkozáskori állapotának mentése a feliratkozóhoz
- Kettős optin megerősítés kérő email (megszemélyesített) tartalmának mentése feliratkozóhoz
- Adatmódosító űrlap tartalmának mentése a feliratkozóhoz
- Adatmódosító űrlap adattartalmának mentése a feliratkozóhoz
3.) Megismerés / hozzáférés joga
- Kitöltött hozzájáruló nyilatkozat linkjét behelyettesítő mezőkód
- Kitöltött újra beleegyező nyilatkozat linkjét behelyettesítő mezőkód
- Kettős optin levél tartalmának linkjét megjelenítő mezőkód
- Csak a kitöltött adatokat megjelenítő adatmódosító űrlap
- Adott feliratkozó adatainak exportálása listánként
5.) Elfelejtés joga (végleges törlés)
- Űrlap műveletként: ha a „Felejts el” gombot rárakja egy adatmódosító űrlapra, amit be tud linkelni számos helyre
- Lista művelethez (pl. leiratkozáshoz, ismétlődő ellenőrzéshez)
6.) Javítás / pontosság joga
- ld. Megismerés / hozzáférés
Ahogy a fenti funkciók, valamint a kapcsolódó Tudásbázis Bejegyzések elérhetővé válnak, folyamatosan belinkeljük őket a fenti listában, Ön pedig még időben be tudja állítani fiókjában, hogy minden a megfelelő módon történjen!
Eredményes munkát kívánunk!