Spis treści
3…2…1… Niejeden marketer drży na miesiąc przed wprowadzeniem w życie Rozporządzenia o Ochronie Danych Osobowych. Zastanawia się: jak nowe rozporządzenie wpłynie na możliwość realizowania kampanii SMS i e-mail? Czy wciąż może wykorzystywać zebrane do tej pory bazy do wysyłki, jak gromadzić bazy w sposób zgodny z nowymi przepisami, o czym informować, a o czym nie? Opowiadamy na pytania!
O tym, że RODO to nie rewolucja, pisaliśmy w poprzednim wpisie na blogu: Nie-rewolucja RODO – co zmieni się w ochronie danych?. Przedstawiliśmy podstawowe założenia rozporządzenia. Czas na konkrety!
Zasady RODO
Dotychczasowa UODO wskazuje na pięć zasad przyjmowanych w ochronie danych osobowych: legalności, celowości, merytorycznej poprawności, niezbędności i ograniczeniom czasowym. Do niedawna dla marketera były to główne wyznaczniki w myśleniu o ochronie danych klientów.
Z perspektywy RODO temat ochrony danych jest traktowany nieco szerzej. Rozporzązeniu przyświeca siedem nowych zasad RODO:
- ograniczenia celu,
- minimalizacji danych,
- prawidłowości (przetwarzania prawidłowych danych i w razie potrzeby uaktualniane ich, a w przypadku niemożliwości sprostowania – usuwanie),
- ograniczenia przechowywania,
- integralności,
- poufności (dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem),
- rozliczalności oraz zgodności z prawem, rzetelności i przejrzystości.
To podejście bardzo bliskie obowiązującemu do tej pory. Różnica pojawia się w odniesieniu do planowania przetwarzania danych. Proces przetwarzania danych ma opierać się dodatkowo o dwa pojęcia: “privacy by design” oraz “privacy by default”.
Pierwsze z określeń odnosi się do prywatności w fazie projektowania. Chodzi o to, że jeszcze przed przystąpieniem do przetwarzania danych osobowych administrator będzie musiał zaprojektować adekwatne do przewidywanego ryzyka środki bezpieczeństwa.
Drugie sformułowanie dotyczy założenia, że ochrona prywatności ma być spełniona automatycznie (chyba, że klient nie będzie tego chciał). Jako przykład praktyczny wskażmy checkboxy, które w myśl zasady privacy by default nie mogą być domyślnie zaznaczone przez administratora danych. Trzeba więc myśleć o ochronie danych całościowo, już w trakcie planowania akcji marketingowych (a nawet planowania nowego produktu).
Bazy danych pod lupą
Zarysowane zmiany prawne są umiarkowane, ale w branży panuje duże poruszenie, zwłaszcza w e-mail i sms marketingu. Powód jest prosty – najważniejsza w tych dwóch obszarach jest baza wysyłkowa, stanowiąca klucz do sukcesu kampanii.
Według naszego badania “Komunikacja SMS w firmach”, 94 proc. przedsiębiorstw samodzielnie przygotowuje swoje bazy. Z perspektywy marketingowej to najlepsze podejście – w bazie znajdują się klienci firmy lub osoby nią zainteresowane, więc jej efektywność jest większa niż w bazie zakupionej. Po wejściu w życie RODO własnoręczne tworzenie baz opłaci się także w inny sposób.
Podmiot tworzący bazę jest jej administratorem i ma pewność, że dopełnił wszystkich obowiązków nałożonych przepisami rozporządzenia, więc przetwarzanie pozyskanych danych będzie legalne. Osoba, której dane będą przetwarzane musi m.in. obejmować wszystkie podmioty, które będą korzystać z danych.
W przypadku baz kupionych, jeśli ich właściciel nie będzie w stanie przewidzieć, jakie konkretnie firmy kupią od niego bazę, to zgodnie z nowym prawem korzystanie z niej będzie utrudnione. Do tej pory nie było wymagane na etapie tworzenia bazy wskazywanie wszystkich podmiotów, które w przyszłości ją wykorzystają. Warto, więc rozważyć opłacalność zakupu bazy danych.
Dodatkowo, wszystkie podmioty zaangażowane w przetwarzanie danych mają znaczenie z perspektywy technologicznej. Projekt zakłada istnienie w procesie przetwarzania danych tzw. procesora. To podmiot, który przetwarza bazę jako np. wytwórca oprogramowania, którego używa klient-właściciel bazy. Np. to właśnie my (jako SMSAPI) jesteśmy procesorami danych, które są wysyłane przez naszą platformę przez klientów. Taka relacja wymaga podpisania Umowy Powierzenia Przetwarzania Danych, którą podpisujemy z obecnymi klientami.
RODO przyznaje szereg praw użytkownikowi, który przekazuje firmie swoje dane . Ma on dostęp do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu. Ma także możliwość uzyskania ich kopii oraz prawo do przenoszenia danych.
Użytkownik może także cofnąć zgodę wyrażoną administratorowi w dowolnym momencie. Administrator bazy musi to uwzględnić także na poziomie technologicznym – czyli tworzyć na tyle elastyczne systemy, które pozwolą skutecznie realizować powyższe prawa. Oprócz wskazanego katalogu praw, w przypadku gdy administrator będzie naruszał przepisy RODO, osoba, której dane są przetwarzane ma prawo wniesienia skargi do organu nadzorującego.
Co zrobić ze starą bazą?
Wytyczne RODO i na poziomie ogólnym, i na bardziej szczegółowym mają jak widać znaczenie dla firm. Co natomiast z efektem dotychczasowej pracy – czy wcześniej uzyskane zgody będą nieważne? Odpowiedź na to pytanie daje motyw 171 preambuły RODO, który mówi o dwóch możliwościach:
Pierwsza, gdy zgoda została zebrana zgodnie z przepisami UODO jednocześnie spełniając oczekiwania stawiane przez RODO, to bardzo prawdopodobne, że nie będzie potrzebna aktualizacja takiej zgody.
Druga sytuacja, gdy jednak zgoda zupełnie nie spełnia tych założeń lub nie można jej odszukać – wtedy administrator bazy do 25 maja 2018 r. tj. do wejścia w życie RODO na uregulowanie tych zobowiązań lub nie będzie mógł korzystać z danego kontaktu.
Nowa baza zgodna z RODO
Tworzenie nowej bazy nie będzie już wymagało zgłaszania jej do organu nadzoru (było to GIODO, na gruncie nowej ustawy o ochronie danych osobowych PIODO). Sam administrator będzie prowadził rejestr czynności przetwarzania (z obowiązku prowadzenia rejestru czynności przetwarzania zwolnione będą podmioty zatrudniające mniej niż 250 pracowników), w którym będzie rejestrował przetwarzane przez siebie zbiory danych osobowych.
Już na etapie tworzenia nowych rozwiązań, trzeba będzie mieć na uwadze dłuższą perspektywę pracy z danymi osobowymi, przewidzieć ryzyko i zaprojektować adekwatne do niego środki techniczne organizacyjne, które pozwolą nam zabezpieczyć bazę.
Ten tok myślenia będzie także obowiązywał w projektowaniu przyszłych działań biznesowych – nie będzie można np. zbierać danych “na zapas”. Zgodnie z zasadami celowości i minimalizacji danych, zbieraniu podlegają tylko te informacje, które są niezbędne do realizacji danego celu. Przykładowo, gdy planowana jest kampania SMS, to potrzebne są do niej numery telefonów, ale ulubiony gatunek muzyczny już niekoniecznie.