RODO w marketingu i sprzedaży – dane osobowe
Wśród naszych usług w ofercie można znaleźć właśnie RODO. Co robimy, czym się zajmujemy w tym obszarze? Otóż pod hasłem „RODO” kryje się głównie tworzenie przez nas treści polityk prywatności stron i sklepów internetowych, ich regulaminów, odpowiednich zgód do pozyskiwania i przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa. Te działania są niezbędne, aby przedsiębiorca posiadający w Internecie stronę lub sklep spełnił obowiązki m.in. informacyjne nałożone na niego przez RODO. Ponadto RODO wprowadza nowe podejście do przetwarzania danych osobowych. Od początku tworzenia nowych stron i sklepów internetowych musimy mieć na uwadze ochronę danych osobowych. Zasady prywatności i ochrony danych osobowych powinny być uwzględniane w fazie projektowania i wdrażania. Tworząc strony i sklepy internetowe już na etapie projektów uwzględniamy konieczność zamieszczenia tych treści w odpowiednich miejscach – powinny być widoczne i łatwe do znalezienia, dostępne. Następnie na kolejnym etapie, programując i wdrażając również pamiętamy, by wszystkie aspekty formalne związane z pozyskiwaniem i przetwarzaniem danych osobowych mogły być w praktyce realizowane, czyli np. w przypadku newslettera odpowiednie narzędzie do obsługi maili, odpowiednio skonfigurowane (Double Opt In – dodatkowa weryfikacja=bezpieczeństwo).
Przygotowujemy dla naszych klientów odpowiednie dokumenty do zamieszczenia na ich stronach internetowych. Wcześniej poznajemy specyfikę firmy, działalności, gromadzimy odpowiednią bazę informacji.
To, czym się zajmujemy i oferujemy, to dokumenty zewnętrzne, czyli takie, które są przeznaczone do opublikowania w Internecie, są kierowane do naszych klientów w celu poinformowania ich o ich prawach, obowiązkach dotyczących ich danych osobowych, środkach bezpieczeństwa itp. – zgody marketingowe, polityki prywatności, klauzule informacyjne, regulaminy.
Należy jednak pamiętać, że RODO nakłada na przedsiębiorców posiadanie i prowadzenie wielu dokumentów wewnętrznych, czyli takich, których nie przedstawiamy w Internecie, nie publikujemy, są tylko i wyłącznie do wglądu w siedzibie firmy i np. dostępne tylko dla określonych osób – upoważnienia do przetwarzania danych osobowych, zgody na upublicznianie wizerunku, rejestr czynności przetwarzania danych osobowych, rejestr uprawnień, standardy zabezpieczeń itd.
Skąd zamysł i zmiany wprowadzane przez RODO?
Na przestrzeni kilku lat badań okazało się, że konsumenci mieli dużą nieufność do firm i instytucji zbierających dane użytkowników. Badania wykazały, że blisko 60% osób padło ofiarą nieodpowiedniego wykorzystania udostępnionych danych, 50% miało podejrzenia, że pozyskane od nich dane zostały potem sprzedane innym podmiotom, a 30% wymieniało jako ogromny problem przejrzystość i jasność przepisów.
W związku z tym RODO w swym założeniu ma za zadanie zwiększyć zaufanie klientów do firm i organizacji, które zbierają ich dane osobowe, a zaostrzone przepisy dotyczące ochrony danych osobowych mają dać obywatelom większą kontrolę nad ich danymi osobowymi. Ponadto RODO to rozporządzenie wewnątrzwspólnotowe, więc obowiązuje w całej UE w taki sam sposób. Takie ujednolicenie przepisów dla wszystkich firm przetwarzających dane w UE ma ułatwiać prowadzenie działalności gospodarczej na terenie UE. RODO jest aktem prawnym, które stosujemy bezpośrednio. To znaczy, że jeżeli przedsiębiorca chce sprawdzić, jakie obowiązki w zakresie przetwarzania danych osobowych nakłada na niego RODO, to powinien spojrzeć bezpośrednio do tego aktu, a nie polskiej ustawy. Jest to jeden z nielicznych przypadków, gdzie instytucje unijne zdecydowały się na uregulowanie kwestii prawnych w rozporządzeniu, a nie dyrektywie, która wymaga implementacji do polskiego porządku prawnego.
RODO ma zapewnić bezpieczeństwo i spójność przetwarzania danych osobowych.
Nakłada ono na administratora danych osobowych szereg obowiązków, w tym właśnie konieczność spełnienia wobec osób, których dane osobowe są przetwarzane, obowiązków informacyjnych, czyli poinformowanie ich, co administrator danych osobowych będzie robił z zebranymi od nich danymi osobowymi.
Dane osobowe i ich przetwarzanie
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Danymi osobowymi są poszczególne informacje, które w połączeniu z daną osobą mogą prowadzić do zidentyfikowania tożsamości tej osoby (imię, nazwisko, płeć, pesel, wizerunek, mail, adres IP komputera, inf. dot. stanu zdrowia). Przykład: adres e-mail: misiaczek123@gmail.com – nie ma imienia, nazwiska, firmy – to nie jest dana osobowa, bo nie mamy możliwości zidentyfikowania osoby. Jeśli mamy TYLKO taki mail. Gdyby był do tego maila nr tel. to już jest dana osobowa, ponieważ możemy ją wtedy zidentyfikować.
Adresy IP i identyfikatory plików cookie – to identyfikatory internetowe, które są przypisywane użytkownikom i generowane są przez ich urządzenia, aplikacje, protokoły itd. To także skutkuje zostawianiem śladów, które w połączeniu z innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób. Należy o tym pamiętać.
Przetwarzanie danych osobowych to wszelkie operacje wykonywane na danych osobowych od momentu ich pozyskania do usunięcia, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, pobieranie, modyfikowanie, opracowywanie i zmienianie, udostępnianie i rozpowszechnianie, usuwanie i niszczenie. Umieszczenie wizerunku w sieci np. na FB to także przetwarzanie danych osobowych. Musimy mieć oczywiście zgodę na takie działanie – na udostępnienie wizerunku i przetwarzanie danych osobowych.
Główne zasady przetwarzania danych osobowych:
- zgodność z prawem, rzetelność, przejrzystość,
- ograniczenie celu,
- minimalizacja danych,
- prawidłowość,
- ograniczenie przechowywania,
- integralność i poufność,
- rozliczalność.
RODO na stronach i sklepach – z czym się spotykamy?
RODO zarówno na stronach, jak i sklepach ma spełniać jedną zasadniczą rolę – budować zaufanie i dawać poczucie bezpieczeństwa. I strony, i sklepy powinny o to dbać. I na stronach, i na sklepach powinna znajdować się polityka prywatności lub przynajmniej klauzula informacyjna. W przypadku sklepów internetowych, platform sprzedażowych obowiązkowo MUSI być regulamin zawierający m. in. definicje, dane o administratorze, opisujący zasady działania platformy, zasady sprzedaży, składania zamówień, rejestracji/zakładania konta, zasady reklamacji, informacje o danych osobowych (tutaj można zawrzeć część informacji z polityki prywatności – to, co najważniejsze), w przypadku newslettera lub subskrypcji również zasady korzystania z nich etc. Jeśli na platformie sprzedażowej przedsiębiorca/administrator danych osobowych organizuje jakiekolwiek promocje, konkursy, to również powinny być opisane w regulaminie lub dołączone jako oddzielna zakładka – odrębna informacja z opisem konkretnego konkursu lub promocji.
Regulamin na stronie internetowej nie jest potrzebny, jeśli nie sprzedajemy i nie organizujemy promocji oraz konkursów.
Na stronach i sklepach często spotykamy formularze kontaktowe oraz formularze zamówień, które wypełniane są w trakcie składania zamówienia. O ile do kontaktu zwrotnego z użytkownikiem i wysłania zapytania przez formularz kontaktowy potrzebujemy zgody świadomie wyrażonej przed wysłaniem maila, to w przypadku formularza zamówienia i danych adresowych do wysyłki nie jest taka zgoda wymagana. W przypadku formularza zamówień przesłanką/podstawą do pozyskania i przetwarzania danych osobowych jest realizacja umowy sprzedaży – prawnie uzasadniony interes administratora.
Zgoda jest potrzebna tylko tam, gdzie nie ma innej podstawy do przetwarzania danych. Najlepsze jest kierowanie się zasadą 1cel = 1 zgoda.
Jeśli więc sprzedawca/ administrator będzie chciał po zakończonej transakcji wykorzystać dane konsumenta/użytkownika do celów marketingowych, to wtedy wymagana będzie dodatkowa zgoda.
Przykład: „Wyrażam zgodę na otrzymywanie informacji handlowych o produktach dostępnych na stronie …..”
Komunikaty marketingowe powinny być wyraźnie oznaczone i powinny wskazywać na tożsamość przesyłającego lub osoby/firmy, w imieniu której są przesyłane. Należy również użytkownikowi umożliwić łatwe wycofanie zgody na kierowanie treści marketingowych np. newsletter – opcja rezygnacji w wysyłanych mailach poprzez kliknięcie w link).
Zgoda na przetwarzanie danych osobowych musi być zrozumiała, dobrowolna, jednoznaczna, świadoma i konkretna. Osoba, która jej udziela musi znać dane administratora, cel i zakres przetwarzania danych, okres ich przechowywania, znać swoje prawa, informacje o udostępnianiu jej danych.
To z czym jeszcze najczęściej spotykamy się korzystając z serwisów internetowych to pliki cookies. RODO nie zmieniło zasad korzystania z plików cookies, czyli plików zapisywanych na urządzeniach elektronicznych użytkowników w celu śledzenia ustawień i aktywności dotyczącej stron internetowych. Ciasteczka mogą – i są – nadal wykorzystywane pod warunkiem, że nie umożliwiają identyfikacji konkretnej osoby. Jeśli umożliwiają, to jest to już przetwarzanie danych i należy uzyskać na to zgodę.
Pliki cookies to małe pliki tekstowe, które instalują się na wykorzystywanych przez nas urządzeniach, gdy odwiedzamy strony internetowe i pozwalają hostującym je serwerom rozpoznać dane urządzenie. To właśnie one zapamiętują nasze preferencje, liczą ruch na stronie i pozwalają administratorom na bieżąco sprawdzać statystyki stron www. To wszystko to tzw. first-party cookies, czyli ciasteczka, które dostarczają nam użytkownikom różnego rodzaju funkcjonalności. Istnieją także tzw. third-party cookies, które dostarczają administratorom danych osobowych różnego rodzaju funkcjonalności związanych z funkcjonowaniem ich stron www. Te pliki analizują zachowanie użytkownika w sieci poza serwisem, na którym są zainstalowane ciasteczka, po to, żeby stworzyć jego możliwie najdokładniejszy profil i móc dostarczać mu spersonalizowaną treść, opartą o szeroki zasób danych na temat jego preferencji, zainteresowań i aktywności. Dzięki tym właśnie plikom możliwy jest remarketing (statyczny lub dynamiczny) – rodzaj kampanii prowadzonej w ramach programu reklamowego Google AdWords, który polega na powtórzeniach przekazu reklamowego użytkownikom, którzy odwiedzili daną stronę danej firmy lub produktu. W uproszczeniu wygląda to tak:
- użytkownik wchodzi na stronę internetową A, aby obejrzeć produkt B,
- Google umieszcza ciasteczka w przeglądarce, że dana osoba odwiedziła stronę internetową A (dodaje do listy remarketingowej),
- użytkownik opuszcza stronę i przegląda strony będące w sieci reklamowej AdSense (mogą to być różne serwisy, o różnej tematyce),
- ciasteczka uruchamiają wyświetlanie reklam w sieci internetowej AdSense po to, aby docelowo użytkownik powrócił na stronę A i zdecydował się na zakup produktu B.
Użytkownik według RODO ma prawo podjęcia decyzji, czy zgodzi się na ciasteczka (first-party i third-party). Użytkownik musi zatem mieć wiedzę i informację o ciasteczkach na naszej stronie internetowej i musi mieć możliwość świadomego podjęcia decyzji, czy się na to godzi. Obowiązkiem administratora jest informowanie o przetwarzaniu w związku z tym danych, celu, zakresu, udostępnienia danych itd.
Oprócz RODO mamy rozporządzenie, które także dba o naszą prywatność i dodatkowo wprowadza odgórną zasadę, że wszystkie dane pochodzące z łączności elektronicznej mają być domyślnie traktowane jako dane poufne.To ePrivacy i dotyczy poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej. Celem rozporządzenia jest wzmocnienie ochrony użytkowników urządzeń końcowych (telefonów, komputerów, tabletów) przed nadmierną ingerencją w sferę prywatności. ePrivacy zabrania – bez uzyskania wcześniejszej zgody – wykorzystywania danych do innego celu, niż do tego, dla jakiego pierwotnie zostały zebrane dane użytkownika. A taka sytuacja ma miejsce właśnie wtedy gdy osoby trzecie bez użytkownika monitorują odwiedzane przez niego strony internetowe (-third-party cookies). Jakakolwiek ingerencja w urządzenia końcowe użytkownika (np. instalowanie na jego laptopie plików śledzących) jest dozwolona jedynie za jego zgodą oraz w konkretnych i jasnych celach.
Wyjątkiem od obowiązku uzyskania zgody dostępu do informacji przechowywanych w urządzeniu końcowym są sytuacje, które nie wiążą się z ingerencją w prywatność użytkownika.
Możliwość udzielenia zgody na third-party cookies powinien zapewnić użytkownikowi dostawca używanej przez niego przeglądarki internetowej. Zgodnie z zasadą privacy by default (domyślna ochrona prywatności) wyjściowe ustawienia przeglądarki powinny zapewniać najszerszą możliwą ochronę przed śledzeniem, a więc blokować third-party cookies. Dopiero użytkownik sam świadomie może zmienić te ustawienia.
Zatem ważne jest świadome podejmowanie decyzji dotyczących ustawień naszych urządzeń i oprogramowania, abyśmy wiedzieli, z czym się to wiąże, jakie może mieć skutki.
O czym warto pamiętać?
RODO a GDPR – to nazwy określające to samo rozporządzenie. RODO to polski skrót Rozporządzenia ochrony danych osobowych, a GDPR – to z kolei angielski skrót The General Data Protection Regulation. Jest to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., obowiązujące od 25 maja 2018 r.
Komentarze (0)