25 maja 2018 r. wejdzie w życie nowe rozporządzenie Parlamentu Europejskiego ws. ochrony danych osobowych (po polsku nazywamy je RODO, po angielsku General Data Protection Regulation – GDPR), które zmieni przepisy prawne dotyczące zbierania i przetwarzania danych o użytkownikach. Rozporządzenie wprowadzi zmiany istotne dla wszystkich podmiotów zbierających dane osobowe i zajmujących się marketingiem bezpośrednim, w tym również komunikacją email.
Do zmian będą musiały się dostosować zarówno duże jak i małe firmy. Majowa data tylko z pozoru wydaje się odległa, bo wdrożenie procedur dostosowanych do nowych przepisów może zająć nawet kilka miesięcy.

 

Kogo dotyczy RODO?

 

RODO to rozporządzenie Parlamentu Europejskiego, tym samym dotyczy firm prowadzących działalność w Unii Europejskiej, niezależnie od tego, gdzie znajduje się siedziba firmy, ani gdzie faktycznie następuje proces przetwarzania danych. Oznacza to, że nawet amerykańska czy japońska firma dostarczająca narzędzia do email marketingu będzie musiała zastosować się do przepisów RODO jeśli z jej systemu korzystają klienci B2B znajdujący się w UE lub jeśli zarządza bazami danych, w której znajdują się Subskrybenci z UE. Podobnie rzecz się ma ze sklepem internetowym spoza Unii, który oferuje dostarczanie swoich produktów do krajów UE, takim jak np. Amazon.

 

Generalnie, nowe regulacje obejmą wszystkie firmy prowadzące działalność gospodarczą i przetwarzające dane osobowe. Przepisy dotyczą w równym stopniu dużych podmiotów co małych firm i osób prowadzących działalność gospodarczą. Nie ma znaczenia czy dane są przetwarzane elektronicznie czy na papierze. Regulacje RODO nie obejmą jedynie osób fizycznych przetwarzających dane osobiste na własny użytek.

 

Jakie nowe obowiązki nałoży RODO?

 

Wyraźna i dobrowolna zgoda na komunikację

 

RODO rozszerzy zakres obowiązków związanych z administrowaniem i przetwarzaniem danych osobowych. Zbieranie danych będzie wiązało się z obowiązkiem informowania każdej osoby, która udostępni swoje dane o :

 

• prawach, jakie jej przysługują,
• celu zbierania danych,
• administratorze danych oraz
• podmiotach, którym dane mogą być udostępniane.

 

W porównaniu do obecnie obowiązującej w naszym kraju Ustawy o Ochronie Danych Osobowych z 1997 r., RODO kładzie większy nacisk na to, by osoba udostępniająca swoje dane osobowe robiła to w pełni świadomie i dobrowolnie. Dlatego proces pozyskiwania zgód powinien być jak najbardziej przejrzysty. RODO stanowi, że zgoda na otrzymywanie wiadomości marketingowych powinna być jawna, świadoma, dobrowolna i potwierdzona. Dla właścicieli sklepów internetowych oznacza to, że proponując klientowi zapisanie się na newsletter, powinien uzyskać od niego zgodę na przetwarzanie danych do celów marketingowych, a proces pozyskiwania zgód powinien być jasny i klarowny. Tym samym zgoda nie może być ukryta w regulaminie, czy w jakikolwiek sposób domyślna ( np: w checkboxie który jest już z góry zaznaczony ). Właściciel sklepu internetowego nie może też uzależniać wykonania umowy sprzedaży od wyrażenia zgody na przetwarzanie danych osobowych na cele marketingowe. Zgodnie z RODO, zapytanie o zgodę musi być jasno sformułowane, aby było wiążące. Dlatego powinno wyraźnie odróżniać się od innych treści – być wyrażone jasnym, prostym językiem, a samą treść zgód należy umieszczać nad przyciskiem CTA (ang. Call To Action – wezwanie do działania) z komunikatem w rodzaju „Zarejestruj” lub „Tak, zapisz mnie”.
Dodatkowo, w porównaniu do obecnych przepisów, znacząco wzrośnie liczba informacji, które będzie trzeba przedstawić Subskrybentowi w czasie pozyskiwania zgód. Zarządzający bazą danych będzie zobligowany m.in.do:

 

• wskazania celów przetwarzania pozyskiwanych danych;

• informowania, czy dane będą przekazywane jakiemuś innemu podmiotowi;

• podania okresu, przez który będą przechowywane dane

• informowania czy dane będą wykorzystane do profilowania i jakie to może mieć konsekwencje dla użytkownika.

 

Do obowiązków firmy zbierającej dane będzie też należało podanie danych kontaktowych inspektora ochrony danych ( IOD ). Oznacza to, że w każdej firmie będzie konieczne wyznaczenie osoby odpowiedzialnej za ochronę danych osobowych, czyli administratora.
Warto zaznaczyć, że przy zbieraniu danych zgodny z RODO jest znany i zalecany model double-opt in. Polega on na tym, że na podany przy zapisie na newsletter adres mailowy, wysyłamy najpierw wiadomość z linkiem aktywacyjnym i prośbą o potwierdzenie zapisu. Dopiero w momencie, gdy potencjalny Subskrybent kliknie w link aktywacyjny, możemy włączyć go do swojej listy odbiorców i rozpocząć komunikację email marketingową. W przypadku, gdy nie potwierdzi zgody, nie możemy dołączyć go do naszej listy mailingowej.

 

Prawo do bycia zapomnianym

 

RODO wprowadzi prawo do bycia zapomnianym, które pozwoli każdej osobie udostępniającej swoje dane osobowe, żądać ich usunięcia w dowolnym momencie. W praktyce oznacza to, że wycofanie zgody na przetwarzanie danych musi być tak samo proste jak jej wyrażenie. Wymogi RODO będzie spełniał link wypisania z newslettera umieszczony na dole mailingu, powinien być jednak dobrze widoczny. Nie może być napisany małą czcionką lub mało kontrastowym kolorem.

 

Profilowanie

 

W ramach RODO zostaną też wprowadzone obostrzenia w zakresie profilowania (kategoryzowania użytkowników na podstawie różnych cech, np. demograficznych). Konieczne będzie szczegółowe informowanie każdej osoby, której dane będą mogły być wykorzystane w ten sposób, o kolejnych etapach postępowania administratora danych oraz ewentualnych konsekwencjach, jakie spoczywać będą na każdej ze stron. Użytkownik powinien uzyskać też prawo sprzeciwu wobec profilowania.

 

Privacy by design

 

W myśl tej zasady, którą wprowadzi RODO, każda firma projektując swój biznes czy nową usługę, powinna zastanowić się i zaprojektować skuteczną ochronę danych osobowych w ramach swojego biznesu lub usługi. Powinna przygotować procedury i wdrożyć rozwiązania, które zapewnią bezpieczeństwo danych osobowych w firmie. Wiele firm będzie zapewne musiało skorzystać w tej kwestii z usług profesjonalisty. Bez specjalistycznej konsultacji trudno im będzie bowiem ocenić, czy stosowane procedury są wystarczające do zapewnienia efektywnego bezpieczeństwa danych osobowych. Dla wielu firm, w praktyce może to oznaczać konieczność zatrudnienia specjalisty w dziedzinie ochrony danych osobowych lub zlecenie tej usługi firmie zewnętrznej.

 

Jakie obowiązki zniesie RODO?

 

RODO wprowadzi sporo nowych regulacji, ale jednocześnie przestaną obowiązywać niektóre przepisy obecnej Ustawy o Ochronie Danych Osobowych. Zniknie obowiązek rejestracji zbiorów w GIODO. Dotychczasowa procedura rejestracji i aktualizacji zbiorów często była uciążliwa dla administratorów i jednocześnie nie gwarantowała, że dany administrator prawidłowo przetwarza i zabezpiecza dane osobowe. Zniknie również obowiązek posiadania papierowej polityki bezpieczeństwa. Nie będzie konieczne wydawanie pisemnych upoważnień do przetwarzania danych, zniknie też obowiązek zmieniania haseł informatycznych co 30 dni. W ramach nowych przepisów, umowa powierzenia przetwarzania danych osobowych będzie mogła być zawarta w formie elektronicznej. Obecnie obowiązuje forma papierowa, co dla wielu firm jest utrudnieniem – np. jeśli wybieramy zagraniczny system do email marketingu, zawarcie na piśmie umowy z firmą zza oceanu może się okazać dość kłopotliwe. Dotychczas obowiązujący wymóg zawarcia umowy papierowej był również utrudnieniem m.in. dla dostawców rozwiązań informatycznych działających w chmurze. Sprzedając takie usługi zagranicę firmy były zobligowane do podpisania umów na piśmie. Od maja 2018 r. te problemy znikną ponieważ wystarczająca będzie forma elektroniczna.

 

Podsumowując RODO – nowe przepisy o ochronie danych osobowych oznaczają konieczność wprowadzenia zmian w zakresie zarządzania bazami danych w firmach. Nowe regulacje będą dotyczyć m.in. dobrowolności zgody na komunikację, prawa do bycia zapomnianym i profilowania. Firmy już teraz powinny wpisać przygotowanie się do RODO w swoje działania i dostosowywać procedury obowiązujące w firmie. Przy wprowadzaniu zmian warto skorzystać z pomocy prawników, dysponujących ekspercką na temat rozporządzenia Parlamentu Europejskiego.