Jak prowadzić kampanie w zgodzie z przepisami. Czy można kupować bazy adresowe. Jak zabezpieczyć już posiadane. Jak stosować e-mail marketing zgodnie z prawem. Jak prowadzić zapisy na newsletter. Jakich danych zbierać nie wolno.

Jak prowadzić kampanie w zgodzie z przepisami. Czy można kupować bazy adresowe. Jak zabezpieczyć już posiadane. Jak stosować e-mail marketing zgodnie z prawem. Jak prowadzić zapisy na newsletter. Jakich danych zbierać nie wolno. Jak zmienią się zasady telemarketingu. Do kogo mogą dzwonić telemarketerzy. Jak umawiać spotkania biznesowe zgodnie z prawem. Jak należy chronić bazę z numerami telefonów. Takie pytanie powinien zdać sobie każdy pracownik marketingu. Czy każdy to robi?

 

Pobierz darmowy raport o RODO w pdf

 

Informowanie to praktyka, która musi wejść w krew wszystkim marketerom. Poza własnymi danymi kontaktowymi przedsiębiorca wciąż musi informować o podstawie prawnej, która pozwala mu zbierać informacje. To jednak nie wszystko. Konsumenci muszą być świadomi tego, przez jaki czas, w jaki sposób oraz w jakim celu i zakresie firma przetwarza i wykorzystuje ich dane osobowe. Jeśli przedsiębiorca zamierza przekazać te dane innemu podmiotowi, również musi to jasno zakomunikować i uzyskać odrębną zgodę. 

Powierzający swoje dane muszą też zostać poinformowani o przysługujących im prawach. Mieć świadomość, że zawsze mogą zażądać wglądu do tego, jakie dane są wykorzystywane w handlu internetowym, posiadać możliwość ich przeniesienia, zmiany (tzw. prawo do sprostowania), a nawet całkowitego ich usunięcia (słynne prawo do bycia zapomnianym). 

W każdej chwili również mają prawo wycofać się ze zgody na przetwarzanie tych informacji lub zmiany ich zakresu. Na dodatek, w razie, gdyby klient uznał, że jego dane są niewłaściwie wykorzystywane, albo prawa nie są respektowane - ma możliwość wniesienia skargi do organu nadzorującego. 

RODO wymusza minimalizację 

Zbierać można tylko te dane, które są nam faktycznie potrzebne. Przy ewentualnej kontroli można się spodziewać pytania o to, do czego dana informacja przedsiębiorcy jest potrzebna. Wówczas trzeba mieć sensowny argument potwierdzający zasadność pozyskiwania takiej informacji o kliencie.  

Dobrym przykładem będzie zbieranie daty urodzin klienta przy składaniu zamówienia w e-sklepie. Ciężko uzasadnić zbieranie tego typu informacji do celów jego realizacji. A cele marketingowe to inna kwestia. W myśl przepisów RODO powinny być w tym momencie rozdzielone. Rozporządzenie wymaga bowiem dodatkowej zgody na przesyłanie ofert handlowych, a osobnej na zapis do newslettera. Użytkownik musi też zostać poinformowany o profilowaniu jego danych i wyrazić na nią świadomą zgodę - albo jej odmówić. 

Ważne jest jednak to, że zgody wymaga jedynie profilowanie danych, które umożliwiają identyfikację. Zgodnie z RODO wykorzystywanie narzędzi, które bazują na profilowaniu zachowania anonimowych użytkowników - jak choćby popularny Google Analytics - to ono nie obowiązuje. 

Bezpieczeństwo i zabezpieczenia a RODO

RODO wprowadziło tzw. procedurę autodenuncjacji.

Przedsiębiorca ma obowiązek poinformować w ciągu 72 godzin o wycieku danych

i podjętych krokach zapobiegawczych organ nadzorujący, a w razie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, także osobę, której dane dotyczą.

Choć RODO nie zwalnia przedsiębiorcy z odpowiedzialności, to może mieć znacznie przy ustalaniu zakresu odpowiedzialności. Nowe przepisy dają swobodę w kształtowaniu zabezpieczeń przez firmę, które jednak powinny być adekwatne do zagrożeń. Należy pamiętać, że po stronie firmy jest obowiązek dowodowy.

Kontrolerzy badając zgodność z przepisami RODO, będą pytać, jak zabezpieczane są dane i dlaczego stosowane są takie, a nie inne zabezpieczenia w kontekście ryzyka, jakie mogą wystąpić. Zawsze można się także próbować powoływać na brak winy w wyborze.  

Dobuble opti-in czyli zasada permission marketingu 

Subskrybent jakiejkolwiek usługi w internecie musi wyrazić zgodę na działania marketingowe dobrowolnie, świadomie i w sposób bezpośredni, tak by nie było żadnych wątpliwości, że dana osoba, chce i zgadza się udostępnić swoje dane, otrzymywać newsletter i oferty handlowe. 

Mechanizmem, który będzie zgodny z rozporządzeniem i da firmie pewność, że zgoda została wydana świadomie i dobrowolnie, może być tzw. model podwójnych maili potwierdzających - dobuble opti-in.  To proces, który wymaga potwierdzenia chęci otrzymywania wiadomości przez daną osobę, zanim zostanie dodana ona do listy odbiorców. Takie potwierdzenie może odbywać się poprzez kliknięcie w link, który zostaje wysłany do odbiorcy w wiadomości.

Jego brak automatycznie oznacza, że tej zgody nie ma. Tym sposobem firma ma jasność i pewność, że nie łamie postanowień RODO. 

Prosta rezygnacja W ramach pozyskiwania zgód w kampaniach e-mail marketingowych konieczne jest umożliwienie klientowi rezygnacji i wycofania się z udostępnienia wszelkich pozwoleń na przetwarzanie i wykorzystywanie danych osobowych.  Trzeba jednak pamiętać, że musi być to równie łatwe, co ich zatwierdzenie. To znaczy, że specjalny przycisk dezaktywujący np. newsletter powinien być umieszczony w każdym mailingu. Klient nie powinien musieć go szukać. Jego rozmiar, kolor czy grafika powinna być nieodbiegająca od linków aktywujących. RODO wymaga też, aby komunikować się z klientami w sposób prosty i zrozumiały, co oznacza zmiany również we wszelkich formularzach.    

Najważniejsze zasady RODO: 

•    Firmy przetwarzające dane osobowe muszą bezdyskusyjnie umożliwić klientowi korzystanie z szeregu praw, które wprowadza RODO. Mowa między innymi o prawie do bycia zapomnianym (a więc wykreślenia wszelkich danych z bazy na żądanie), prawie do zmiany informacji albo ich przeniesienia do innego administratora danych (na dodatek na ujednoliconym nośniku, tak aby nie pojawiła się trudność z ich odczytaniem w nowym miejscu); 

•    utrudnione jest profilowanie, czyli zautomatyzowane przetwarzanie danych osobowych, kończące się niekiedy tym, że niektórzy konsumenci mogli zostać wykreśleni z grupy osób, którym należy się kredyt, bowiem „z automatu” zadecydowały o tym pewne ich cechy; 

•    wprowadzona zostaje zasada minimalizacji przetwarzanych danych, a to oznacza, że firmy powinny gromadzić i posługiwać się tylko niezbędnym do funkcjonowania minimum tego rodzaju informacji. W związku z tym RODO rozprawia się również ze spamem i niechcianymi zapytaniami ofertowymi, składanymi na przykład przez telemarketerów; 

•    zmienia się kształt umów o powierzeniu i podpowierzeniu danych, a więc dotyczących sytuacji, kiedy administrator danych osobowych korzysta z pomocy innej firmy i udostępnia jej tego rodzaju informacje. Umowy są więc dokładniejsze, bardziej rozbudowane, a niepoprawne ich przygotowanie skutkuje nawet otrzymaniem bardzo wysokich kar;  

•    wprowadzone zostają dwie zupełnie nowe zasady – privacy by design i privacy by default, które mają ogromny wpływ na to, jak przetwarzane będą dane osobowe w firmach. Po pierwsze, odtąd już na etapie kreowania nowych systemów lub technologii, trzeba mieć na uwadze wymaganą przez RODO ochronę danych. Myślenie o bezpieczeństwie tego rodzaju informacji jest wpisane w prace nad każdym projektem, który wiąże się z przetwarzaniem danych osobowych. Po drugie, w automatycznych ustawieniach konieczne jest ustawienie ochrony danych. Zmiana wymaga aktywnej i świadomej działalności osoby, której te informacje dotyczą;  

•    firmy są zachęcane do tego, by korzystać z takich rozwiązań ułatwiających ochronę danych osobowych, jak: personalizacja, pseudonimizacja albo szyfrowanie;

•    zapytania o zgody na przetwarzanie danych osobowych muszą przestrzegać szeregu reguł – na przykład być napisane, inaczej, niż dotąd, przystępnym językiem, zrozumiałym dla odbiorcy i wyjaśniającym sposób oraz cel tego przetwarzania; 

•    niektóre z firm muszą przeprowadzić ocenę skutków dla ochrony danych osobowych aby udowodnić, że jak najlepiej przygotowały firmę do wejścia w życie rozporządzenia; 

•    w przypadku naruszenia bezpieczeństwa danych osobowych firmy mają obowiązek reagować w czasie do 72 godzin po wydarzeniu, w przeciwnym razie grożą im poważne kłopoty. A jak powinny reagować? RODO dokładnie opisuje procedurę oraz konstrukcję zgłoszenia, przekazywanego GIODO; 

•    zmienia się również podejście do samych zbiorów danych osobowych. Dotąd należało je zarejestrować w GIODO. Zamiast tego trzeba jednak prowadzić rejestr czynności przetwarzania danych;  •    zamiast dotychczasowego administratora bezpieczeństwa informacji, którego obecność była dobrowolna, pojawia się inspektor ochrony danych. W niektórych, ściśle określonych firmach, jego wyznaczenie jest obowiązkowe, w przeciwnym razie znów – grożą bardzo wysokie kary; 

•    RODO podtrzymuje konieczność upoważniania wybranych pracowników do przetwarzania danych osobowych, opartego między innymi na zobowiązaniu do zachowania tajemnicy i należytej ochronie tego rodzaju informacji; 

•    przepisy wprowadzone przez RODO obejmują również firmy spoza Unii Europejskiej, jeśli przetwarzają one dane osobowe ludzi przebywających na terenie Wspólnoty oraz ich wykorzystanie jest związane z monitorowaniem zachowania tych osób oraz z oferowaniem im różnego rodzaju usług lub towarów.     

Privacy by design i privacy by default 

Po wejściu w życie RODO nie wystarczy wprowadzenie odpowiedniego rozwiązania zmierzającego do ochrony danych osobowych w istniejących już technologiach. Trzeba będzie mieć je na uwadze już na etapie tworzenia nowych. A to nie wszystko, co powinieneś wiedzieć na temat nowych zasad wprowadzonych przez RODO.  Wraz z nowym rozporządzeniem, w polskim systemie prawnym pojawią się dwie, zupełnie nowe zasady, związane z ochroną danych osobowych privacy by design oraz wynikająca z niej privacy by default. 

W rozporządzeniu czytamy: 

„uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”. 

Oznacza to, że odtąd na każdym etapie projektowania nowego systemu albo technologii, służących do przetwarzania danych osobowych, zasady ochrony tych informacji będą musiały być respektowane. Innymi słowy, privacy by design (inaczej: zasada prywatności w fazie projektowania) wymaga, aby zawsze istniały narzędzia służące do odpowiedniego przetwarzania danych osobowych oraz do ich ochrony.  Privacy by default, zwana również zasadą prywatności w ustawieniach domyślnych wymaga, aby każdy system w domyślnych ustawieniach miał przypisaną ochronę danych osobowych.

Rozporządzenie posiada bowiem następujący zapis:  

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.” 

Wynika z tego, że z automatu można będzie pozyskiwać jedynie całkowite minimum informacji, dotyczących użytkownika. Aby się to zmieniło, potrzebne będzie działanie jego samego.  Z powyższymi zasadami ściśle wiąże się mechanizm Privacyimpactassessment, również wprowadzony przez RODO. Opisuje on kolejny, bardzo ważny obowiązek administratora:

„jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. 

Jak wynika z rozporządzenia, wywiązywanie się z powyższych obowiązków będzie można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji. Sama certyfikacja ma być dobrowolna i nie wpływać na obowiązki administratora, wynikające z RODO. Dokonywać jej będzie wyznaczony w danym europejskim kraju podmiot certyfikujący albo organ nadzorczy. Udzielana ma być na trzy lata, jednak możliwe będzie jej przedłużenie.   

Czas na inspektorów ochrony danych 

Do tej pory w Polsce działali administratorzy bezpieczeństwa informacji (ABI), jednak z wejściem w życie RODO w ich miejsce wprowadzeni zostaną inspektorzy ochrony danych (IOD). Funkcje podobne, jednak o ile obecność w firmie ABI nie była obowiązkowa, o tyle nowego inspektora w niektórych przypadkach już owszem. I znów przestroga – przedsiębiorstwo, które obowiązku nie dopełni, będzie się musiało liczyć z karami. 

Rozporządzenie w artykule 37. wskazuje trzy grupy administratorów i podmiotów przetwarzających dane osobowe, którzy będą do tego zobowiązani.  W pierwszej mowa o organach lub podmiotach publicznych, ”z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości”. W drugiej o firmach, w których „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”. Jest też trzecia grupa.

To firmy, w których „główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, takich jak ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzające dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby, jak również dane osobowe dotyczące wyroków skazujących i naruszeń prawa”.  Co to dokładnie oznacza? Przepisów wykonawczych jak dotąd brak. Głowią się więc nad tym zagadnienie kancelarie prawne wielu korporacji.  Co ciekawe, IOD nie będzie najprawdopodobniej ponosił żadnych odpowiedzialności, bo za przetwarzanie danych, odpowiada ich administrator, ewentualnie podmiot, któremu administrator powierzył te dane. W małych i średnich firmach faktycznie odpowiedzialność skoncentruje się więc na zarządzie. 

Formularze internetowe zgodne z RODO

Zapytaliśmy u źródła, czyli w Urzędzie Ochrony Danych Osobowych, jak powinny one wyglądać. Właściciel lub administratorzy strony i portali internetowych (w tym także firmowych) powinni pamiętać o tym, że to na nich ciąży obowiązek wykazania, że dysponują odpowiednią podstawą prawną do przetwarzania danych osobowych swoich użytkowników, np. kiedy wysyłają im newslettery. W razie wątpliwości administrator danych musi wykazać, że taką zgodę uzyskał. Dlatego jeśli firma buduje bazę danych użytkowników, to powinna archiwizować w niej dane o tym, kiedy i na jaki zakres przetwarzania wyraziła zgodę dana osoba. 

Zgoda na przetwarzanie danych musi być wyrażona dobrowolnie i świadomie, w drodze jednoznacznej, potwierdzającej czynności. RODO mówi wyraźnie: milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Użytkownik podający swoje dane na stronie internetowej musi wyrazić ją świadomie i czynnie, na przykład poprzez zaznaczenie odpowiedniego pola - tak zwanego checkboksa. Nie wystarczy zatem wyświetlić użytkownikowi informację o tym, że firma będzie przetwarzała jego dane osobowe, nie można też stosować checkboksów, które są domyślnie zaznaczone.  

Jeśli dane osobowe są zbierane w różnych celach, to przedsiębiorca musi pozyskać osobne zgody na każdy z nich. Przykładowo, jeśli chcemy rejestrować użytkowników z zamiarem wykorzystania ich danych do celów marketingowych oraz w celu opracowywania danych, powinno być to zapisane w odrębnych formułach zgód, które zostaną wyświetlone obok zgody na przetwarzanie danych. Użytkownik powinien zaznaczyć każdą z nich z osobna. 

Jak więc powinien wyglądać formularz zapisu na newsletter zgodny z RODO?

Na pytanie Interaktywnie.com odpowiedziała Agnieszka Świątek-Druś, rzecznik prasowy Urzędu Ochrony Danych Osobowych: RODO nie stawia żadnych konkretnych wymagań co do wyglądu formularza, który miałby służyć do wyrażania zgody na przetwarzanie danych w określonym celu. Nie można zatem wskazać jednoznacznie, jak taki formularz powinien wyglądać.

Ważne jest jednak, aby w formularzu takim przed takimi elementami jak np. pola alternatywnego wyboru z opcjami "zgadzam się" lub "nie zgadzam się", za pomocą których osoba może poprzez akcję, którą musi wykonać (zaznaczenie właściwego pola), była poinformowana o wszystkich tych elementach na które wskazuje art. 13 RODO, tj. o:

•    tożsamości i danych kontaktowych administratora oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych jego przedstawiciela;

•    gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;

•    celu przetwarzania danych osobowych, oraz podstawie prawnej ich przetwarzania;

•    jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią;

•    informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

•    gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;

•    okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

•    prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; 

•    jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; 

•    prawie wniesienia skargi do organu nadzorczego;

•    czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; 

•    czy dane wykorzystywane będą do zautomatyzowanego podejmowania decyzji, w tym do profilowania, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Pobierz ebook "Jak otworzyć sklep internetowy - ebook z poradami dla firm"