Czy ogólne rozporządzenie o ochronie danych, czyli RODO, które wejdzie w życie 25 maja 2018 r., zmieni zasady zbierania danych osobowych w marketingu? Nowe przepisy podkreślą znaczenie ochrony danych, egzekwowanie surowszych zasad dotyczących prywatności i wzmocnienie wymagań dotyczących zgody na ich wykorzystanie. Dzięki temu konsument zyska większą kontrolę na tym, co dzieje się z przekazanymi przez niego danymi osobowymi.
Marketing a dane osobowe
Przetwarzanie danych osobowych stanowi podstawę prowadzenia działań marketingowych. Organizacje potrzebują danych o klientach, ich zachowaniach zakupowych, preferencjach i historii zakupów, aby odpowiednio kreować i analizować kampanie reklamowe. Z tego powodu marketingowcy proszą obecnych i potencjalnych klientów o zgody na wykorzystanie przekazanych im danych osobowych. Pozyskiwanie informacji o klientach jest tak znaczące, że prowadzone są specjalne kampanie promocyjne i konkursy, których celem jest uzyskanie jak największej ilości informacji dotyczących potencjalnych odbiorców produktów lub usług danej firmy.
Wiele firm wciąż zwleka z przygotowaniem się na wejście w życie przepisów RODO, choć prawdopodobnie tylko niewielka ich część będzie w stanie spełnić wymogi rozporządzenia bez konieczności wprowadzania zmian. Oto niektóre z najważniejszych obszarów, które przemyśleć powinny osoby kierujące działami marketingu, aby zapewnić zgodność z nadchodzącymi przepisami.
Przejrzyj istniejące procesy
Mimo, że RODO wprowadza nowe wymagania i wzmacnia te już istniejące, jego postanowienia są podobne do aktualnie obowiązujących przepisów o ochronie danych. Jeśli już dzisiaj przestrzegasz przepisów, będziesz miał punkt wyjścia do zbudowania procesów spełniających wymogi RODO.
Przystępując do porównania zgodności aktualnie stosowanych procedur, instrukcji i procesów marketingowych w firmie, porównaj wymogi rozporządzenia w zakresie m.in. przepisów o klauzulach informacyjnych i wymogach informacyjnych wobec konsumentów z aktualnymi przepisami w tym obszarze. Zaznaczyć też warto, że w dobie nowych przepisów zlikwidowany zostanie obowiązek rejestrowania zbiorów danych osobowych w GIODO.
Większe znaczenie zyskuje za to „marketing za przyzwoleniem”. Co przez to rozumieć? Procesy zbierania wyraźnych i dobrowolnych zgód na komunikację. To one w świetle przepisów RODO zyskają jeszcze większe znaczenie. Chociaż obowiązek pozyskiwania zgody nie jest nowy, to ilość informacji przekazywanych w nim znacząco wzrośnie.
Co będą musiały zawierać klauzule informacyjne w RODO?
- dane kontaktowe administratora danych
- dane kontaktowe inspektora ochrony danych, jeśli taki został powołany, np. e-mail inspektora
- cel przetwarzania danych
- podstawę prawną przetwarzania
- informację czy dane osobowe będą przekazywane innym podmiotom
- informację czy dane osobowe będą przekazywane poza obszar Unii Europejskiej (np. do USA, jeśli firma wprowadza je do programu MailChimp albo Facebook)
- okres przechowywania danych
- informację o prawie dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania
- informację o prawie do przenoszenia danych
- informację o możliwości wniesienia skargi do odpowiednika GIODO, czyli Urzędu Ochrony Danych Osobowych
- informację o możliwych konsekwencjach niepodania danych
- informację czy pozyskane dane będą profilowane i jakie mogą być tego konsekwencje dla użytkownika.
Jak przetwarzać zebrane dane osobowe?
Przepisy rozporządzenia podkreślają, że organizacje powinny zbierać, przetwarzać i przetrzymywać dane adekwatnie do potrzeb. Oznacza to, że działy marketingu nie powinny zbierać i przetwarzać danych osobowych, które nie są im niezbędne do wykonania działań reklamowych i marketingowych. Dane powinny być gromadzone tylko dla określonego celu, używane tylko w tym celu i przechowywane tylko, dopóki spełniany jest ten cel.
Całkowicie zmienia to sposób myślenia marketingowców, ponieważ w obliczu zmian RODO powszechna praktyka gromadzenia jak największej ilości danych, które kiedyś mogą zostać wykorzystane, będzie trudna do uzasadnienia. Na przykład organizacja, która zyskuje adresy e-mail osób zapisujących się do newslettera firmy, często wykorzystuje je w innym celu, niż zostały one przekazane. Takie praktyki, już teraz nieprawidłowe, w kontekście nadchodzących zmian w 2018 r. będą narażały organizację na znacznie wyższe niż obecnie kary finansowe.
Zagrożenie dla Big Data
Zmianą jest też konieczność informowania o tzn. profilowaniu danych. Każdą osobę, której dane będą mogły zostać wykorzystane trzeba będzie poinformować o tym do czego jej dane osobowe mogą zostać wykorzystane, w jaki sposób będą przetwarzane i o związanych z tym konsekwencjach. Wpłynie to z pewnością na firmy stosujące rozwinięte systemy automatycznie profilujące klientów. Stosowanie narzędzi Big Data w tym obszarze stanie się trudniejsze.
Profilowanie danych, czyli ich automatyczne przetwarzanie, możliwe będzie wyłącznie po spełnieniu tych kryteriów:
- gdy dopuszcza je prawo UE lub prawo krajowe, np. jeśli dopuszcza je prawo innego niż RODO aktu prawnego,
- jeśli jest to niezbędne do zawarcia lub wykonania umowy między administratorem danych a osobą, której dane są zbierane,
- gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
W 2018r. może się okazać, że dane profilowane wyłącznie pod kątem marketingowym nie spełnią powyższych kryteriów i nie będzie dozwolone prawnie.
W praktyce znaczy to, że firmy będą musiały pozyskiwać dodatkowe zgody konsumentów na automatyczne profilowanie danych.
Dodatkowo odbiorcy zyskają rozszerzone prawo do bycia zapomnianym. Administrator będzie musiał poinformować każdego, którego dane dotyczą, o możliwości wycofania zgody na profilowanie. Inaczej niż obecnie, gdy dane często profilowane były bez wyraźnych zgód ich właścicieli.
Jak tego uniknąć?
Sugerujemy jasno i wyraźnie informować konsumentów o korzyściach, które będą wynikały dla nich z wyrażenia zgody na profilowanie ich danych.
Dobrą wiadomością jest też to, że w rozporządzeniu stwierdzono, iż przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za działania prowadzone z prawnie uzasadnionym celem.
Upewnij się, że pracownicy marketingu są świadomi nadchodzących zmian w przepisach
Wszyscy pracownicy, którzy zajmują się danymi osobowymi w organizacji powinni być świadomi wejścia w życie zmian wprowadzonych przez RODO oraz swoich obowiązków z tym związanych. Wystarczy czasami niewiedza tylko jednego pracownika, który będzie nieprawidłowo przetwarzał dane osobowe, aby naruszono przepisy i cała firma stanęła w obliczu związanych z tym konsekwencji.
Szkolenie pracowników z nadchodzących zmian powinno być istotnym elementem przygotowania pracowników działów marketingu do nowych przepisów, które bezpośrednio wpłynął na ich pracę. Świadcząc usługę ABI u naszych klientów kładziemy nacisk na odpowiednie przygotowanie pracowników pod tym względem.