Co je GDPR v marketingu – co musíte vědět jako marketér

GDPR (General Data Protection Regulation) je evropské nařízení o ochraně osobních údajů, které zásadně změnilo pravidla hry v marketingu. Od května 2018 musíte mít právní základ pro každé zpracování osobních údajů – od sběru e-mailů přes remarketing až po analytické cookies. Nedodržení hrozí pokutami až do 20 milionů eur nebo 4 % ročního obratu. V Česku na dodržování dohlíží ÚOOÚ (Úřad pro ochranu osobních údajů).

GDPR (General Data Protection Regulation) je evropské nařízení o ochraně osobních údajů, které zásadně změnilo pravidla hry v marketingu. Od května 2018 musíte mít právní základ pro každé zpracování osobních údajů – od sběru e-mailů přes remarketing až po analytické cookies. Nedodržení hrozí pokutami až do 20 milionů eur nebo 4 % ročního obratu. V Česku na dodržování dohlíží ÚOOÚ (Úřad pro ochranu osobních údajů).

GDPR a marketing – pravidla pro zpracování osobních údajů v digitálním marketingu

Co se změnilo pro marketing

Před GDPR? Sebrali jste e-mail, přidali do databáze, posílali nabídky. Nikdo se moc neptal.

Po GDPR? Potřebujete právní základ. Musíte vědět, proč data sbíráte, jak dlouho je budete uchovávat a musíte to lidem říct. A ti mají právo data smazat, přenést nebo zpracování odmítnout.

Zní to jako byrokracie. Částečně je. Ale také to vyčistilo trh od spammerů, kteří posílali miliony nevyžádaných e-mailů. A firmám, které to dělají správně, to paradoxně pomohlo – pracují s menší, ale kvalitnější databází lidí, kteří o komunikaci skutečně stojí.

Dva hlavní právní základy v marketingu

Souhlas

Nejčistší cesta. Člověk aktivně zaškrtne checkbox nebo klikne na tlačítko, čímž souhlasí se zpracováním svých údajů. Souhlas musí být:

  • Svobodný – nesmí být podmínkou služby (žádné „pro stažení e-booku musíte souhlasit s newsletterem”)
  • Konkrétní – pro jasně definovaný účel
  • Informovaný – člověk ví, k čemu souhlasí
  • Jednoznačný – žádné předvyplněné checkboxy

A hlavně: souhlas musíte umět doložit. Pokud ÚOOÚ zaklepe na dveře a zeptá se „Kde máte souhlas od tohohle člověka?”, potřebujete odpověď. Uchovávejte datum, čas, způsob udělení a znění souhlasu.

Legitimní zájem

Alternativa k souhlasu. Můžete zpracovávat data bez explicitního souhlasu, pokud máte oprávněný zájem a ten převažuje nad právy subjektu. Typický příklad: existující zákazník – můžete mu posílat nabídky souvisejících produktů, protože u vás už nakoupil.

Ale legitimní zájem není bianco šek. Musíte provést balanční test – zdokumentovat, proč váš zájem převažuje nad právy toho člověka. V praxi to znamená krátký interní dokument, který si založíte pro případ kontroly.

E-mail marketing a GDPR

Tohle je oblast, kde se chybuje nejvíc.

Nový kontakt – potřebujete souhlas. Double opt-in (potvrzení přihlášení kliknutím v e-mailu) není v GDPR povinný, ale je nejlepší praxe. Dokazuje, že souhlas je skutečný.

Existující zákazník – můžete posílat nabídky obdobných produktů nebo služeb na základě legitimního zájmu. Ale musíte nabídnout jednoduchou možnost odhlášení v každém e-mailu. A pozor – „obdobných”. Zákazník si koupil boty? Můžete nabídnout ponožky. Nemůžete nabídnout hypotéku.

Nakoupené databáze – zapomeňte. Posílat e-mail marketing na nakoupenou databázi je porušení GDPR. A navíc to nefunguje – bounce rate je obrovský, doručitelnost padá a skončíte na blacklistu.

Tip: v newsletteru vždy mějte odkaz na odhlášení a informaci o tom, proč kontakt e-maily dostává. Není to jen slušnost – je to povinnost.

Cookies a GDPR

Cookies jsou jedním z nejviditelnějších dopadů GDPR na marketing. Podrobně se tomu věnuji v článku o cookie consent, ale základy:

Nezbytné cookies – fungování webu, přihlášení, košík. Nepotřebují souhlas.

Analytické cookiesGoogle Analytics, heatmapy. Potřebují souhlas (nebo legitimní zájem – záleží na implementaci a jurisdikci).

Marketingové cookies – remarketing, Facebook Pixel, Google Ads conversion tracking. Vždy potřebují souhlas.

V praxi to znamená: dokud návštěvník neudělí souhlas, nesmíte spustit analytické ani marketingové skripty. GA4 Consent Mode tohle řeší elegantně – sbírá anonymizovaná data i bez souhlasu a po udělení souhlasu je doplní.

Remarketing a GDPR

Remarketing – zobrazování reklam lidem, kteří navštívili váš web – je jedním z nejefektivnějších nástrojů PPC reklamy. Ale GDPR ho zkomplikovalo.

Aby remarketing fungoval, potřebujete souhlas s marketingovými cookies. A tady je ten háček: část návštěvníků souhlas neudělí. U českých webů typicky 30–50 % lidí cookies odmítne nebo lištu ignoruje.

To znamená, že vaše remarketingové publikum je menší, než by mohlo být. Řešení? Investujte do toho, aby cookie lišta byla transparentní, ale ne odrazující. A pracujte s first-party daty – e-mailové seznamy, CRM data – které máte na základě souhlasu nebo legitimního zájmu.

Pokuty v Česku – příklady od ÚOOÚ

ÚOOÚ neukládá jen teoretické pokuty. Pár příkladů:

  • 2023: Firma posílala obchodní sdělení bez souhlasu – pokuta 300 000 Kč
  • 2022: Společnost nezajistila odhlášení z newsletteru – pokuta 50 000 Kč
  • 2021: Nedostatečné informování o zpracování osobních údajů – pokuta 200 000 Kč

Kompletní přehled rozhodnutí najdete na webu ÚOOÚ. Nejde o milionové částky jako v západní Evropě, ale pro malou firmu to bolí.

A pozor – ÚOOÚ řeší stížnosti. Stačí, aby jeden nespokojený člověk podal podnět, a úřad se začne zajímat. Viděl jsem to u klienta – bývalý zaměstnanec podal stížnost na nevyžádané e-maily a firma řešila kontrolu ÚOOÚ tři měsíce.

Právo být zapomenut

Člověk vám napíše: „Smažte všechny mé údaje.” A vy to musíte udělat. Do 30 dnů.

V praxi to znamená smazat kontakt z CRM, z e-mailové databáze, z analytických nástrojů (pokud ho tam máte identifikovaného). A ze všech záloh? Tady to komplikují technické limity – GDPR to chápe a přijímá rozumný přístup. Ale aktivní databáze musíte vyčistit.

Tip: mějte připravený proces. Vědět, kdo to ve firmě řeší, kde všude se data nacházejí a jak je smazat. Když přijde žádost, nechcete to řešit poprvé.

Praktický checklist pro marketing v souladu s GDPR

  • Cookie lišta s možností granulárního souhlasu (nezbytné / analytické / marketingové)
  • Double opt-in pro přihlášení k newsletteru
  • Odkaz na odhlášení v každém obchodním e-mailu
  • Zásady zpracování osobních údajů na webu – srozumitelné, ne 30stránkový právnický text
  • Balanční test pro případy, kdy se opíráte o legitimní zájem
  • Evidence souhlasů – kdo, kdy, jak, s čím souhlasil
  • Proces pro vymazání údajů – kdo to řeší, do kdy, odkud
  • DPO (Data Protection Officer) – povinný pro velké firmy a firmy zpracovávající citlivé údaje; pro malé firmy nepovinný, ale doporučený kontakt na zodpovědnou osobu

Často kladené otázky

Potřebuji souhlas pro posílání e-mailů stávajícím zákazníkům?

Ne vždy. Pokud zákazník u vás nakoupil a nabízíte mu obdobné produkty nebo služby, můžete se opřít o legitimní zájem. Ale musíte nabídnout jednoduchou možnost odhlášení a provést balanční test.

Můžu používat Google Analytics bez souhlasu?

S GA4 Consent Mode můžete sbírat anonymizovaná data i bez souhlasu. Plná analytika (s cookies) ale vyžaduje souhlas. Consent Mode je rozumný kompromis – máte alespoň základní data, i když část návštěvníků souhlas neudělí.

Co je GDPR pokuta v Česku?

ÚOOÚ může uložit pokutu až do 20 milionů eur nebo 4 % ročního obratu. V praxi se české pokuty pohybují v řádech desítek tisíc až stovek tisíc korun. Ale reputační škoda může být větší než samotná pokuta.

Jak GDPR ovlivňuje Facebook reklamu?

Potřebujete souhlas s marketingovými cookies pro Facebook Pixel. Bez souhlasu nemůžete trackovat konverze ani budovat remarketingová publika. Řešením je Conversions API, které posílá data server-to-server.

Nejste si jistí, jestli váš marketing splňuje GDPR? Ozvěte se mi – projdeme to spolu a dáme věci do pořádku.

Zdroje