RODO w marketingu internetowym – 8 pytań i odpowiedzi
18 maj 2018 | Kategoria: E-commerce, E-marketing, Prawo w sieciProwadzisz sklep internetowy, mały biznes online albo stronę internetową firmy i nie chcesz narazić się na przykre konsekwencje prawne i finansowe? W każdym z tych przypadków na pewno drżysz na myśl o 25 maja 2018 roku i wchodzącym wtedy w życie tajemniczym RODO. Czym jest i jak się z tym uporać? Co można, a czego nie i jak się do tego wszystkiego przygotować? Poniżej znajdziesz 8 pytań o RODO, które pewnie wciąż sobie zadajesz. Z samymi znakami zapytania Cię jednak nie zostawimy – w tym tekście rozwiejemy Twoje największe wątpliwości.
Co to jest RODO?
RODO wyskakuje w 2018 roku z każdego zakamarka internetu i właściwie trudno się temu dziwić. Każdy, kto w jakikolwiek sposób przetwarza dane osobowe, musi się z nim zmierzyć i do 25 maja 2018 roku wdrożyć nowe procedury. RODO, znane także jako GDPR, to Ogólne Rozporządzenie o Ochronie Danych Osobowych. Dokument ten ma na celu unifikację zasad dotyczących pozyskiwania i przetwarzania danych osobowych w krajach członkowskich Unii Europejskiej. W Polsce wejście w życie RODO oznacza też koniec obowiązku zgłaszania zbiorów danych do GIODO, czyli Generalnego Inspektora Ochrony Danych Osobowych. Jednocześnie znika instytucja Administratora Bezpieczeństwa Informacji (ABI), która zostanie zastąpiona przez IODO, czyli Inspektora Ochrony Danych Osobowych. Dotychczas, jeśli samodzielnie zgłosiło się zbiory do GIODO, nie trzeba było powoływać ABI – każdy mógł wybrać między jednym i drugim rozwiązaniem. IODO będzie zaś wymagany prawem jedynie przy dużym ryzyku związanym z przetwarzaniem informacji.
Kogo obejmuje RODO?
Jak już zostało wspomniane, RODO dotyczy wszystkich przetwarzających dane osobowe i naprawdę nie ma w tym żadnej przesady. Każdy podmiot dostarczający produkty lub usługi obywatelom Unii Europejskiej jest zobowiązany do stosowania zasad wynikających z tego rozporządzenia. Niezależnie od tego, czy jesteś agentem ubezpieczeniowym, właścicielem sklepu internetowego, przedsiębiorcą wysyłającym newslettery czy nawet kosmetyczką lub fryzjerem zapisującym numery telefonów klientów w zeszycie – jeśli przetwarzasz czyjeś dane, podlegasz przepisom RODO.
Samo rozporządzenie powstało z dwóch powodów – po pierwsze dlatego, że prawo już dawno nie nadążało za postępem technologicznym i trzeba było uregulować kwestie związane z pozyskiwaniem danych osobowych. Po drugie dlatego, że coraz potrzebniejsze stawało się ujednolicenie przepisów obowiązujących w poszczególnych krajach. Mimo strachu, który towarzyszy wprowadzaniu RODO, większość przedsiębiorców uznaje to za krok w dobrą stronę, bo przy prowadzeniu biznesu międzynarodowego nie będzie już konieczności lawirowania między ustawami różnych państw. Harmonizacja zasad dotyczących danych osobowych w całej wspólnocie w dobie swobodnego przepływu dóbr i usług oraz kapitału jest naturalną koleją rzeczy. Jednocześnie trzeba podkreślić, że Unia Europejska zostawiła swoim członkom pewną dowolność i poszczególne kraje mogą, według własnego uznania, w drobnym stopniu dostosować RODO do swoich potrzeb.
Jakie dane osobowe przetwarza się na stronie internetowej?
RODO to niemałe wyzwanie dla całej branży marketingu internetowego. Jest to przecież gałąź, która powstała na gruncie danych osobowych – nie bez przyczyny mówimy o tym, że informacja jest obecnie najcenniejszym aktywem. Nowe rozporządzenie oznacza, że bez zgody użytkownika na przetwarzanie jego danych, nie można zrobić absolutnie niczego. Newslettery, zakupy internetowe, formularze kontaktowe, ciasteczka, remarketing czy nawet przechowywanie danych w chmurze i rejestracja użytkowników – to wszystko bez niej nie ma racji bytu. Na stronie internetowej każde działanie użytkownika mogło być dotychczas obserwowane i wykorzystywane do ewaluacji promocji czy udoskonalania treści dostarczanych klientom. Dziś będą musieli być o tym wyraźnie poinformowani.
Co oznacza profilowanie według RODO?
Jednym z najbardziej bolesnych ciosów dla marketingowców jest jednak obowiązek pozyskania zgody konsumenta na profilowanie. Czym jest profilowanie i dlaczego RODO w tym kontekście śni się po nocach administratorom stron www? Można to zdefiniować jako zautomatyzowane przetwarzanie danych osobowych, którego zadaniem jest obserwowanie i analiza zachowań oraz preferencji użytkownika. Głównym jego celem jest lepsze dostosowanie oferty do konsumenta, badanie grupy odbiorców i ewentualne zastosowanie właściwych działań remarketingowych.
Poradnik RODO – jak branża e-commerce powinna przygotować się do zmian?
W całym tym zamieszaniu najwięcej obaw mają zapewne administratorzy sklepów internetowych. Siłą rzeczy branża e-commerce została wypchnięta na pierwszą linię frontu w zmaganiach z RODO i prawdopodobnie będzie pierwszym obszarem, na który wejdą organy kontrolne. Dlaczego? Istnieją ku temu trzy przesłanki: po pierwsze, i dość oczywiste, dlatego, że gromadzi ona dane użytkowników; po drugie, przekazuje te informacje dalej – najczęściej do firm kurierskich; po trzecie, jest to gałąź szczególnie narażona na ataki przestępców, a co za tym idzie, ryzyko wycieku danych jest stosunkowo wysokie. Na szczęście wprowadzenie zmian nie jest wcale wyzwaniem, któremu jedynie nieliczni i najsilniejsi podołają. Tak naprawdę wszystko sprowadza się do dwóch rzeczy – poinformowania użytkownika jak najdokładniej o swoich zamierzeniach i uzyskania od niego zgody na przetwarzanie danych w opisany sposób. Słowem – nadchodzą czasy pełnej transparentności, w której konsument będzie miał nad swoimi danymi władzę, co trzeba przyznać, może być dla niego całkiem miłą wiadomością.
Zgoda na przetwarzanie danych osobowych – jak powinna wyglądać?
Dużo już było w tym tekście o tym, że użytkownik musi wszystko zatwierdzić i być w pełni świadomym tego, co się dzieje z jego danymi. Całe RODO można by opisać słowami ZGODA, ZGODA, ZGODA, bo właśnie do tego wszystko się sprowadza. Pytanie jednak, jak pytać, by nie zbłądzić? Nowe rozporządzenie kładzie nacisk na przejrzystość i prostotę przekazu – mają skończyć się czasy, gdy użytkownik klika “zgadzam się”, po bezmyślnym przeklikaniu 6 stron regulaminu napisanego zupełnie niezrozumiałym językiem. Tzw. obowiązek informacyjny to, obok zachowania poufności i zwiększenia bezpieczeństwa przechowywania danych, najważniejszy wniosek nasuwający się po lekturze rozporządzenia. Po 25 maja 2018 roku konieczne będzie udzielanie użytkownikowi znacznie dokładniejszych informacji o tym, po co zbierane są jego dane, do czego będą wykorzystywane i przez kogo (tu trzeba pamiętać, że dane te niemal zawsze są w jakimś stopniu przekazywane osobom trzecim i o tym trzeba wspomnieć w treści zgody!). RODO nie daje konkretnych wytycznych, jak powinna wyglądać zgoda na przetwarzanie danych osobowych, bo ustawodawcy założyli, że każdy przedsiębiorca musi dostosować ją do swoich potrzeb. Grunt to trzymać się następujących zasad: zgoda musi zostać pozyskana już podczas zbierania danych oraz być dobrowolna i w pełni zrozumiała dla użytkownika. Istotne jest również wyróżnienie podmiotów, które będą tymi danymi zarządzać. Konieczne jest także poinformowanie o tym, że konsument może swoje dane zmienić, a zgodę odwołać, gdy tylko będzie miał na to ochotę.
Czym jest prawo do bycia zapomnianym?
Mówi się, że w internecie nic nie ginie – RODO to zmieni, za co niektórzy będą mu pewnie bardzo wdzięczni. Rozporządzenie wprowadza tzw. prawo do bycia zapomnianym. Dzięki niemu użytkownik może zażądać, by administrator usunął wszystkie jego dane. Co więcej, ów administrator ma obowiązek przesłać życzenie konsumenta wszystkim podmiotom, którym wcześniej przekazał jego dane, aby wszelkie informacje zniknęły również z innych rejestrów. Kiedy konsument może skorzystać z prawa do bycia zapomnianym? Zawsze wtedy, gdy jego dane nie są już potrzebne, cofnie on zgodę na przetwarzanie danych i nie ma już ku temu żadnej podstawy prawnej albo gdy dane były pozyskane lub przetwarzane niezgodnie z prawem.
Co oznacza prawo do przenoszenia danych?
Na koniec dwie małe ciekawostki. Pierwsza to fakt, że RODO daje użytkownikom prawo do przenoszenia danych. Oznacza to ni mniej, ni więcej, że będzie można wystąpić do administratora z prośbą o przesłanie danych do innej firmy. Jednocześnie, sam konsument ma prawo otrzymać zapis danych o sobie, co jest niemal dowodem na to, że nadchodzą czasy, w których internauta odzyskuje kontrolę nad tym, jak firmy wykorzystują informacje o nim. Drugim interesującym zapisem jest to, że RODO nakłada na przedsiębiorców obowiązek zgłaszania faktu naruszenia danych osobowych w ciągu 72 godzin. Dotychczas wycieki i ataki hakerskie wychodziły na jaw często dopiero po wielu tygodniach czy nawet miesiącach, co było bardzo niezmiernie frustrujące dla opinii publicznej i podkopywało wiarygodność największych firm.
Choć niektórzy mogą w tym momencie prychnąć z oburzeniem, to trzeba przyznać, że, mimo wszystko, nie ma się czego bać. Po pierwsze, te wszystkie przerażające opowieści o milionowych karach za złamanie przepisów RODO są mocno przesadzone – najchętniej wspomina się o największych przewinieniach. Nikt za to nie wspomina, że wysokość sankcji będzie adekwatna do wielkości ewentualnych błędów. Po drugie, mówienie o nowych zasadach jak o nadchodzącym końcu świata jest kolejnym wyolbrzymieniem. Fakt, RODO wymaga solidnych przygotowań, ale nie trzeba wcale tworzyć od nowa sklepów internetowych albo budować firmy od początku – wystarczy, z drobną pomocą bardziej obeznanych w prawie, przysiąść nad polityką prywatności i sposobem rejestrowania danych. Podsumowaniem tego wszystkiego niech więc będzie powiedzenie: nie taki diabeł straszny, jak go malują.
Jeśli potrzebujesz pomocy związanej z wdrożeniem RODO w swojej firmie,
skontaktuj się z nami.