Dokładnie 943 tys. zł kary będzie musiała zapłacić pewna firma z Warszawy, która złamała przepisy RODO. Czym zawiniła? Gromadząc dane użytkowników, które były dostępne w internecie, przetwarzała je, nie informując ich o tym w odpowiedni sposób. To pierwsza kara w Polsce związana z zagadnieniem RODO, które weszło w życie 25 maja 2018 roku. Najwyższą karą  w Europie, bo aż 50 milionów euro za szereg złamanych przepisów może niechlubnie pochwalić się Google. Na co zwracać szczególną uwagę w kwestii danych osobowych jeśli prowadzimy działania marketingowe offline i online?

RODO w marketingu

Przepisy RODO w marketingu głównie opierają się na przetwarzaniu danych, które można zbierać w rozmaity sposób. Pobierz ebooka z case study – zostaw maila, chcesz dostać kupon rabatowy w sklepie internetowym – zostaw maila, imię i datę urodzenia. W przeszłości, uzyskane dane mogły być wykorzystywane w nieodpowiedni sposób – np. sprzedawane innym firmom. Od 25 maja 2018 najważniejsze zmiany to: obowiązek informacyjny, obowiązek zgłaszania nieprawidłowości, rejestr czynności przetwarzania danych, a także privacy by design i privacy by default.

Po wejściu w życie RODO każdy klient lub użytkownik internetu przed pozostawieniem swoich danych musi zostać poinformowany:

  • jakie dane są od niego zbierane i dlaczego,
  • o dobrowolnym udostępnieniu danych.

Kwestie te powinny zostać wykazane dokumentem, który powinna posiadać firma. Zawarte w nim informacje powinny dokładnie określać:

  • jakie dane są zbierane przez firmę,
  • w jaki sposób dane są chronione,
  • źródło pochodzenia danych,
  • kto jest administratorem danych i ma do nich dostęp (może również wykreślać osoby z bazy).

Istotną zmianą jest powszechne zgłaszanie wszelkich nieprawidłowości wobec firm, które zasady RODO nie przestrzegają. Zgłoszenia te można wysyłać do PUODO (dawniejsze GIODO).

W przypadku marketingowych działań internetowych, po wejściu RODO dodano 2 ważne typy obowiązków:

  • privacy by design, czyli domyślna ochrona danych od samego początku projektowania serwisu, strony, sklepu internetowego, landing page – nawet, jeśli nie jest jeszcze opublikowany,
  • privacy by default, czyli ochrona wszelkich danych niezbędnych do realizacji procesu zamówienia (w sklepie online), korzystania z aplikacji, serwisu czy usługi. Obowiązek ten zabrania marketerom budowania baz z danymi, które mogą wykorzystać po jakimś czasie w innym celu (w skrócie: brak możliwości zbierania danych “na zapas”).

Co ważne, firmy mogą nadal profilować użytkowników (firmy e-mail marketingowe lub zajmujące się kierowaniem reklam profilowanych). Muszą jednak one poinformować użytkowników o stosowaniu profilowania. Jeśli użytkownik nie będzie chciał podlegać profilowaniu- musi mieć możliwość zaznaczenia takiej opcji w informacji zwrotnej lub pop-upie.

Jak wdrożyć RODO w działaniach marketingowych?

Jak informować o przetwarzaniu danych osoby, które nie mają wykształcenia prawniczego lub informatycznego? Tutaj jest duże ułatwienie – RODO wręcz nakazuje, aby komunikaty były pisane prostym i zrozumiałym dla każdego językiem. Długie formułki oraz mała czcionka z odniesieniami do Dziennika Ustaw nie są mile widziane.

Czy obowiązek informacyjny wymaga od właścicieli stron internetowych umieszczenia niezliczonej ilości boxów i pop-upów ze skomplikowanymi formułkami z prośbą o akceptację? I tak, i nie. Zalecane jest wskazanie użytkownikom informacji, gdzie można znaleźć niezbędne zapisy. Bardzo ostrożne osoby mogą wdrożyć check-box informujący o przetwarzaniu danych w celach umożliwiających funkcjonowanie serwisu z przekierowaniem do polityki prywatności.

Podsumowując – wdrożenie RODO miało na celu wzmocnienia i ujednolicenia prawa w kwestii  przetwarzania danych osobowych na terenie całej Unii Europejskiej. Choć marketerzy byli mocno straszeni zmianami, mają one jasne przesłanie – lepiej dbać o jakość danych, które są obecnie cenną walutą w marketingowym świecie.