Kontakt
Jarosław Kamiński

Adwokat
Associate Partner
Phone: +48 22 244 00 27
E-Mail

25 maja 2018 r. wiele zmieniło się w procesach przetwarzania danych osobowych. Tego dnia weszło w życie długo oczekiwane i bardzo nagłaśniane Ogólne rozporządzenie o ochronie danych osobowych (RODO), które ma odmienić zasady przetwarzania danych osobowych. Czy RODO naprawdę zrewolucjonizowało procesy przetwarzania danych i czy znacząco wpłynęło na pracę działów marketingu? 

Nie ulega wątpliwości, że działy marketingu w codziennej pracy przetwarzają dużą ilość danych osobowych. Pozyskują nowe leady, utrzymują kontakt z klientem lub kontrahentem, promują działalność firmy na portalach społecznościowych. Osoby pracujące w marketingu otrzymują i przetwarzają różnego rodzaju dane, począwszy od adresu e-mail, przez telefon kontaktowy, na wizerunku kończąc. Aby przetwarzanie było zgodne z RODO, a zarazem bezpieczne, należy dokonać analizy wielu czynników. Część z nich omawia niniejszy artykuł.

Podstawa przetwarzania danych w marketingu

Przede wszystkim działy marketingu powinny sprawdzić, czy posiadają odpowiednią podstawę do przetwarzania danych osobowych. Najczęściej będzie to zgoda. Na gruncie RODO zgoda nie różni się zasadniczo od tej, określonej w dotychczasowej ustawie o ochronie danych osobowych. Pytanie o zgodę powinno odróżniać się od pytań o inne kwestie ( np. postanowień umownych), być napisane w sposób przystępny, jasnym i prostym językiem, a pytana osoba musi wyrazić zgodę dobrowolnie. Dlatego też, jeżeli decydujemy się na stworzenie zgody samodzielnie bądź też przy wykorzystaniu płatnego wzorca, zanim umieścimy ją na stronie internetowej, przeczytajmy jej treść kilka razy i oceńmy, czy sami jesteśmy w stanie ją zrozumieć. W żadnym wypadku nie warto korzystać ze skomplikowanego języka prawniczego. Dodatkowo, wyrażenie zgody powinno być efektem działania użytkownika. Dlatego niewłaściwym jest domyślne zaznaczenie okienka zgody licząc na to, że użytkownik nie zauważy, że podjęliśmy działanie za niego. Lepiej także zdecydować się na wizualne efekty, które przyciągną uwagę użytkownika, ale jednocześnie nie będą zbyt nachalne. 

Proces przetwarzania danych w marketingu

Kiedy pozyskamy zgodę użytkownika lub będziemy posiadali inną podstawę do przetwarzania jego danych (np. umowa z kontrahentem, która zakłada przetwarzanie danych osobowych), należy w rzetelny sposób poinformować go o procesie przetwarzania danych osobowych. W klauzuli informacyjnej, bo o niej mowa, powinno być wskazane przede wszystkim, kto jest administratorem danych, jakie są cele i podstawy przetwarzania, jakie dokładnie dane są przetwarzane, kto jest odbiorcą tych danych oraz jakie prawa przysługują osobie, której dane dotyczą. Podobnie jak zgoda, informacje te powinny być przekazane w jasny i przystępny sposób, w szczególności należy opisać je prostym językiem. Warto również pomyśleć o wizualnym aspekcie polityki prywatności widocznej na stronie – powinna być ona przejrzysta, a oprócz zwykłego tekstu można zastosować infografiki lub łatwą w odbiorze formę pytań i odpowiedzi (Q&A). Istotny jest również dostęp użytkownika do polityki prywatności. Oprócz przesłania powyższych informacji podczas pierwszego kontaktu z użytkownikiem, wskazane jest, aby polityka prywatności zawsze znajdowała się w widocznym miejscu na stronie internetowej. Jeżeli użytkownik będzie korzystał z aplikacji mobilnej, taką politykę powinien znaleźć zgodnie z zasadą dwóch kliknięć.

Zakup baz danych a RODO

W codziennej pracy działów marketingu dosyć powszechną praktyką jest, że dane użytkownika nie są pozyskiwane bezpośrednio od niego. Często marketingowcy decydują się na zakup baz danych. Po wejściu w życie RODO jest to działanie dosyć ryzykowne. GIODO (a obecnie Prezes Urzędu Ochrony Danych) wskazuje, że zakup takich baz danych nie jest bezwzględnie zakazany, jednak dodaje, że musi istnieć podstawa prawna do pozyskania bazy oraz należy niezwłocznie (maksymalnie do miesiąca) spełnić obowiązek informacyjny wobec użytkownika. Podstawą prawną do przetwarzania baz danych będzie najczęściej zgoda użytkownika, który pozwolił na sprzedaż swoich danych przez innego administratora danych. Jednakże organ nadzorczy uważa, że zgodnie podstawowymi cechami, które mają charakteryzować zgodę – dobrowolnością i świadomym wyrażeniem zgody, przy formułowaniu zapytania o jej udzielenie, nabywca musi zostać jasno wskazany i nie może być określony szeroką kategorią „podmiotów współpracujących” lub „podmiotów trzecich”. Dlatego decydując się na zakup baz danych od innego administratora danych, warto sprawdzić sposób, w jaki pozyskał on dane naszych potencjalnych klientów. Nie bójmy się również dowiadywać, czy bazy są odpowiednio zabezpieczone oraz jakie kategorie danych się w niej znajdują.

Zabezpieczenie danych marketingowych – strona techniczna

Myśląc o RODO warto mieć na uwadze nie tylko wymogi prawne, czy obowiązek informacyjny. Należy zwrócić również szczególną uwagę na środki techniczne i organizacyjne, o których mówi RODO, a które mają służyć wysokiemu poziomowi ochrony danych, na co nacisk kładzie rozporządzenie. Niestety RODO nie wskazuje przykładów takich środków i mówi jedynie, że od administratora danych lub podmiotu przetwarzającego należy dobór zabezpieczeń. Dlatego warto zlecić wykonanie profesjonalnego audytu prawno-technologicznego w firmie, dzięki któremu dowiemy się, jakie obszary ryzyka występują w naszej działalności, co warto ulepszyć i zmienić. 

Należy również we własnym zakresie przeanalizować dane, jakie są przez nas zbierane. Jeżeli tworzymy bazy danych klientów, warto je pogrupować w logiczny sposób – stwórzmy oddzielne bazy dla danych, które pozyskaliśmy dzięki różnym podstawom prawnym. Podobnie w przypadku zgody na przesyłanie informacji marketingowych oraz na przekazywanie informacji handlowych drogą elektroniczną – te dwie zgody różnią się podstawą prawną, warto więc zgromadzić pozyskane dzięki nim dane w odrębnych bazach. Trzeba pamiętać o szyfrowaniu i pseudonimizacji danych – krąg podmiotów, które mają dostęp do konkretnych baz danych powinien być ściśle ograniczony. W przypadku wyżej omawianych baz, powinien być to wyłącznie dział marketingu, a nie wszyscy pracownicy, którzy mogą mieć wgląd w dane w wirtualnej chmurze. 

Należy również pamiętać o zasadzie minimalizacji danych, która mówi, że kiedy decydujemy się na przetwarzanie danych dla określonych celów, możemy pobrać od użytkownika tylko te dane, które są niezbędne do realizacji tego celu. Dlatego też jeżeli chcemy pozyskać dane od klienta celem przekazywania newslettera, powinniśmy uzyskać tylko adres e-mail oraz ewentualnie imię i nazwisko odbiorcy. Prośba o podanie adresu korespondencyjnego lub nr PESEL jest jak najbardziej zbędna i stanowi naruszenie zasady minimalizacji.

RODO a media społecznościowe

W kolejnym kroku warto dokonać analizy działalności firmy na portalach społecznościowych. Oczywiście takie portale jak Facebook, Twitter czy LinkedIn posiadają przygotowane polityki prywatności oraz regulaminy świadczenia usług. Niemniej należy pamiętać, że w wielu przypadkach uzyskując dane od użytkownika portalu społecznościowego (np. przy użyciu reklamy kontaktowej FB) stajemy się ich odrębnymi administratorami. Nie jest dobrą strategią poleganie wyłącznie na działaniach podjętych przez media społecznościowe, gdyż w przypadku kontroli naszej firmy przez organ nadzorczy, UODO będzie badał nasze zabezpieczenia oraz analizował, czy to my w pełni wypełniliśmy zasadę rozliczalności.

Jeśli są Państwo zainteresowani szczegółowym omówieniem zagadnienia lub audytem prawno-technologicznym w przedsiębiorstwie, eksperci Rödl & Partner pozostają do dyspozycji. Nasi adwokaci jak i radcowie prawni oferują doradztwo prawne także w innych dziedzinach. Są dostępni dla Państwa w biurach Rödl & Partner: Gdańsk, Gliwice, Kraków, Poznań, Warszawa, Wrocław.

3.07.2018