RODO w E-mail marketingu

1. Kogo dotyczą zmiany?

Jedną z najistotniejszych zmian wynikających z RODO jest wprowadzenie surowych sankcji za naruszenie zasad przetwarzania danych osobowych (kary administracyjne mogą dochodzić do 20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa). Każdy przetwarzający będzie więc musiał ochronę danych osobowych traktować bardzo poważnie (z czym dotychczas bywało różnie). W tym kontekście można powiedzieć, że zmiany dotyczą wszystkich przetwarzających dane osobowe – choćby przetwarzali tylko dane swoich pracowników. Oczywiście najbardziej narażone na naruszenia i sankcje są podmioty przetwarzające duże ilości danych, przetwarzające dane sensytywne, nabywające lub udostępniające bazy danych osobowych oraz podmioty przechowujące dane osobowe poza EOG.

2. Jak trzeba będzie chronić bazy wg. nowych wytycznych?

Nowe wytyczne nakładają nowe obowiązki nie tylko na zbiory przechowujące dane osobowe np. bazy klientów ale również, wszystkie systemy je przetwarzające. Wprowadzane zmiany wychodzą z założenia, że niemożliwym jest zapewnienie ochrony prywatności jedynie poprzez przepisy prawa. Zamiast tego organizacje powinny uwzględniać ochronę danych osobowych na każdym etapie swojej działalności od strategii biznesowej po systemy IT. W branży kreatywnej powszechnie stosowane jest podejście design-thinking, w którym projektujemy z myślą o człowieku, podobnie powinniśmy myśleć o ochronie danych osobowych.

3. Ile czasu potrzeba na wdrożenie, czy to będzie kosztowny proces dla firm?

Wdrożenie RODO jest procesem dość złożonym. Wymaga w pierwszej kolejności identyfikacji przetwarzanych danych osobowych i sposobów ich przetwarzania, analizy procesów i procedur oraz weryfikacji dokumentacji i systemów informatycznych. Kolejnym krokiem jest zaprojektowanie dokumentów, procesów i procedur realizujących wymagania RODO i odpowiadających potrzebom przedsiębiorstwa oraz zastosowanie ich w bieżącej działalności (co zwykle wiąże się z koniecznością przeszkolenia pracowników, a niekiedy także z koniecznością istotnej modyfikacji procesów biznesowych i systemów informatycznych). W zależności od wielkości przedsiębiorstwa wdrożenie trwa zwykle od dwóch do sześciu miesięcy i kosztuje od kilku do kilkuset tysięcy euro.

4. Co zyskają użytkownicy?

Podstawową korzyścią dla użytkowników będzie to, że przetwarzający – ze względu na potencjalne sankcje – zaczną poważniej traktować ich prywatność. Poza tym RODO daje podmiotom danych szereg nowych uprawnień, takich jak prawo do bycia zapomnianym (budzące wątpliwości na przykład w kontekście przechowywania kopii zapasowych), prawo do przenoszenia danych (uprawniające podmiot danych do otrzymania danych na jego temat w „ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”), czy też prawo do otrzymania informacji na temat okresu retencji danych (co zmusi niektórych administratorów do wprowadzenia procedury okresowego usuwania starych rekordów).

5. Jak zgodnie z przepisami budować własną bazę danych e-mail. Obostrzenia prawne – co można, czego nie.

Podstawowe warunki legalności mailingu marketingowego to dysponowanie zgodą podmiotu danych oraz udzielenie podmiotowi danych stosownych informacji.

Już uzyskanie zgody może być problematyczne. Wysyłanie informacji marketingowych pocztą elektroniczną jest obecnie regulowane w kilku aktach prawnych – w ustawie o ochronie danych osobowych, w ustawie o świadczeniu usług drogą elektroniczną i w Prawie telekomunikacyjnym. Każdy z nich przewiduje konieczność uzyskania zgody podmiotów danych, a orzecznictwo i organy stoją na stanowisku, że każda z tych zgód powinna być wyrażona odrębnie. Skutkuje to bardzo obszernymi i niezbyt zrozumiałymi formularzami zgód. Nie jest jasne, w którym kierunku pójdzie praktyka po wejściu w życie RODO, ustawa o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne mogą bowiem pozostać w mocy. Ponadto, jeśli dane mają być przekazywane innym podmiotom, zgoda powinna obejmować również fakt przekazywania oraz zakres przetwarzania dokonywanego przez odbiorców.

Wykonanie obowiązku informacyjnego też może nastręczać trudności. Obecnie obowiązująca ustawa nakazuje przekazanie podmiotowi danych kilku informacji (m.in. adresu administratora, informacji o prawie dostępu do danych, etc.). RODO wymienia już kilkanaście, wymagając jednocześnie, aby wszelkie komunikaty były przedstawione „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. Co więcej, gdy przetwarzane są dane dzieci, wszelkie informacje powinny być tak jasne i proste, aby dziecko mogło je bez trudu zrozumieć. Niespełnienie któregokolwiek z tych kryteriów może prowadzić do bezskuteczności zebranych zgód i konieczności usunięcia zgromadzonych danych.

6. Jak powinna wyglądać procedura zbierania danych i kogo obowiązuje (jak stworzyć zgodny z prawem formularz internetowy, jak zarejestrować się w GIODO).

Jedną ze zmian wprowadzanych przez RODO jest rezygnacja z konieczności rejestracji zbiorów danych osobowych w GIODO. Zamiast rejestracji zbioru w GIODO pojawia się konieczność prowadzenia rejestru czynności przetwarzania danych osobowych.  Dobrze przygotowany rejestr nie tylko usprawni proces zbierania, klasyfikowania oraz przechowywania danych, ale także umożliwi terminowe rozliczanie się z regulatorem, czy dopełnienie obowiązków wobec podmiotów, których dane są przetwarzane. Pomoże też uniknąć kar, które zostaną nałożone za niestosowanie się lub nieodpowiednie stosowanie się do zapisów rozporządzenia.