Dołącz do czytelników
Brak wyników

10 praktycznych pytań last minute dotyczących RODO

Artykuł | 8 listopada 2018 | NR 40
96

 

1. Jak mam poinformować użytkowników o gromadzeniu i przetwarzaniu cookies na stronie, by ustrzec się kar, które nakładają przepisy związane z RODO? Czy istnieją gotowe wzorce postępowania?

Od jakiegoś czasu sytuacja z plikami cookies jest żywo dyskutowana. Pojawiają się różne poglądy i zapatrywania, które można podsumować w taki sposób:

  • dla stosowania cookies służących do prawidłowego działania strony oraz do podstawowej analityki bez dodatkowych funkcji zapewnianych np. przez Google Analytics (demografia, zainteresowania, remarketing) wystarczające jest poinformowanie o cookies i nie trzeba odbierać dodatkowej zgody,
  • dla cookies dalej idących (analityka wzbogacona o dodatkowe funkcje, pixel Facebooka, systemy typu AdWords, AdSense itp.) użytkownik powinien wyrazić zgodę na załadowanie takich plików cookies, a przynajmniej móc się nie zgodzić.

W praktyce rekomendowane jest rozwiązanie techniczne, które pozwoli użytkownikowi zarządzać plikami cookies z poziomu strony. 

Przykład to //swoo.sh/2LPUahS, gdzie przy pierwszej wizycie pojawia się okno pytające o cookies. Możliwe jest kliknięcie w przycisku prowadzącego do szczegółowych ustawień cookies i wyłączenie np. plików cookies marketingowych. 

Dostępne są na rynku narzędzia pozwalające zaimplementować proces zarządzania cookies, np. //bit.ly/2kEdmCP. Pojawiają się również wtyczki do popularnych systemów zarządzania treścią, szczególnie dla WordPressa, pozwalające na wdrożenie takiego rozwiązania, np. //bit.ly/2H9qZTz.

Opinie na temat koniecznej zgody na cookies są różne. W mojej ocenie, jeżeli chodzi o cookies wykorzystane we własnych celach reklamowych, można oprzeć się nie na zgodzie, ale na uzasadnionym interesie administratora i dać użytkownikowi możliwość sprzeciwu. Rozwiązałbym to w ten sposób, że w ramach standardowego paska z cookies pojawia się informacja o celach ich wykorzystywania, ktoś może kliknąć

„Akceptuję”, ale może również wybrać przycisk „Ustawienia” i ustawić, że np. na piksel Facebooka się nie godzi. To takie kompromisowe rozwiązanie, które nie zabije biznesu, a jednocześnie da użytkownikowi kontrolę nad cookies.

2. Jak w praktyce zachować się ma mój serwis WWW/sklep internetowy, gdy użytkownik odmówi zgody na przetwarzanie informacji? Co znaczy w praktyce śledzić użytkownika (choćby w minimalnym stopniu dzięki Google Analytics)?

Google Analytics w wersji podstawowej może działać bez zgody użytkownika. Użytkownik ma mieć możliwość nie zgodzić się na narzędzia marketingowe itp., ale na pewne podstawowe cookies nie może nie wyrazić zgody.

3. Czy od 25 maja nadal będę mógł wysyłać mailingi reklamowe i newslettery do własnej bazy adresów e-mail pozyskanej przed wejściem RODO na podstawie dotychczas pozyskanych zgód?

Jeżeli chodzi o dotychczas zgromadzoną bazę, to o ile od początku zbierane były zgody w sposób prawidłowy i realizowany był obowiązek informacyjny, nie ma konieczności ponawiania tych działań. Doświadczenie pokazuje jednak, że najczęściej są jakieś uchybienia przy zbieraniu danych. 
Jeżeli uchybienie polega wyłącznie na niezrealizowaniu obowiązku informacyjnego, to proponuję przesłać wiadomość dobrze opracowaną wizerunkowo w stylu: „Dbam o Twoją prywatność, dlatego pragnę przekazać Ci najważniejsze informacje związane z przetwarzaniem przeze mnie Twoich danych osobowych”. W e-mailu oczywiście pełna klauzula informacyjna plus możliwość wypisania się z listy. 
Jeżeli uchybienia dotyczyły nie tylko obowiązku informacyjnego, ale również sposobu zbierania zgody, np. w ogóle nie była odbierana zgoda, a mimo to osoby trafiały na listę mailingową, albo zgoda była odbierana w sposób nieprawidłowy, np. w sposób wymuszony, poprzez połączenie z innymi zgodami albo przy błędnej treści zgody, to postępowanie powinno być dalej idące i zmierzać do uzyskania poprawnych zgód. Swoim klientom proponuję następującą ścieżkę postępowania: 

  1. stworzenie landing page z możliwością wyrażenia prawidłowej zgody lub zgód, jeżeli potrzeba ich więcej niż jednej, 
  2. wysłanie do osób znajdujących się w bazie wiadomości w stylu: „Dbam o Twoją prywatność, dlatego daję Ci możliwość aktualizacji Twoich danych znajdujących się w mojej bazie, w tym możliwość zadecydowania, czy chcesz nadal otrzymywać ode mnie wiadomości”, w takiej wiadomości podajemy użytkownikowi link kierujący do landing page, gdzie może wyrazić prawidłową zgodę albo zażądać usunięcia swoich danych,
  3. ten kto wyrazi prawidłową zgodę – zostaje w bazie; ten kto zażąda usunięcia – zostaje usunięty; ten, kto nie zrobi nic, w założonym czasie, dostanie ponownie wiadomość z prośbą – jeżeli znowu nie zrobi nic, zostaje usunięty. 

Oczywiście, przy takim rozwiązaniu istnieje ryzyko, że będzie wiele osób, które nie zrobią nic. Jeżeli jednak wcześniej nie była od tych osób odebrana prawidłowa zgoda, to w obliczu obecnie braku działania, powinniśmy te osoby z bazy usunąć, bo nie mamy zgody prawidłowej pozwalającej na dalsze przetwarzanie danych. 

Bardziej liberalny wariant przewiduje, że wysyłamy do bazy wiadomość z pełną klauzulą informacyjną oraz linkiem pozwalającym na usunięcie się z bazy. Przyjmujemy wtedy, że jeżeli ktoś się nie usunie, to mamy jego zgodę na dalsze przetwarzanie. Jednak to podejście jest ryzykowne, ponieważ godzi w zasadę rozliczalności, zgodnie z którą administrator musi móc wykazać udzieloną zgodę. Tutaj naszą zgodę opieramy na braku sprzeciwu. 

W tym miejscu dochodzimy do kolejnej kwestii, czyli właśnie możliwości wykazania zgody. Najlepszą praktyką jest taka, że zaznaczona przez użytkownika zgoda w ramach formularza zostaje odnotowana w bazie.

Nie wystarczy stwierdzenie, że wypełnienie formularza nie byłoby możliwe bez zaznaczenia zgody. Powinniśmy dążyć do tego, by zgoda była odnotowywana w bazie. 

Jeżeli zatem wcześniej nie odbieraliśmy prawidłowo zgód, to nie powinniśmy opierać się na mechanizmie sprzeciwu, lecz dążyć do tego, by użytkownik aktywnie wyraził nową, prawidłową zgodę i by ta zgoda została zapisana w naszej bazie. Jeżeli nie mamy do tego możliwości technicznych, możemy zrobić to w sposób bardziej tradycyjny, czyli przesłać wiadomość ze sformułowaną zgodą i zapytać użytkownika, czy wyraża taką zgodę – powinien odpowiedzieć TAK lub NIE. Odpowiedzi TAK – zostaje w bazie. Odpowiedzi NIE – jest usunięty z bazy. Brak działania – ponowienie wiadomości za jakiś czas, a w razie braku ponownego działania – usunięcie z bazy. W takim wariancie wiadomości z TAK należy archiwizować jako dowód udzielenia zgody. 

4. Co mam w praktyce wykonać, gdy użytkownik/klient zażąda, bym go trwale usunął z moich baz, powołując się na prawo do zapomnienia?

Jeżeli podstawą przetwarzania jest zgoda marketingowa, ma prawo żądać bezwzględnego usunięcia. Jeżeli podstawą jest np. wykonanie umowy, to w okresie realizacji umowy nie może żądać usunięcia. Tak samo po realizacji umowy do czasu upływu przedawnienia roszczeń. Po wykonaniu umowy najczęściej przetwarzamy dane w celach statystycznych i archiwalnych. Wtedy użytkownik może złożyć sprzeciw i musimy go usunąć.

5. Czy i w jaki sposób powinienem zmienić formuły zgód w procesie rejestracji do baz mailingowych i generowania leadów za pośrednictwem moich stron WWW i landing pages?

Zapisując się do newslettera, użytkownik podaje swoje dane osobowe. Najczęściej jest to imię oraz adres e-mail, ale nawet jeżeli podaje wyłącznie adres e-mail, to i tak mamy do czynienia z danymi osobowymi, ponieważ sam adres e-mail w większości przypadków będzie zaliczany do kategorii danych osobowych.

Prowadzenie newslettera to jeden z przykładów przetwarzania danych osobowych. W związku z tym, by móc przetwarzać dane osobowe na potrzeby newslettera, trzeba mieć do tego odpowiednią podstawę prawną. Wynika to z tego, że przetwarzanie danych osobowych dopuszczalne jest tylko wtedy, gdy zachodzi jedna z podstaw przetwarzania danych osobowych.

W przypadku newslettera podstawą do przetwarzania danych osobowych jest zgoda użytkownika. Ta zgoda wynika z przepisów o ochronie danych osobowych.

Oprócz tego mamy jeszcze ustawę o świadczeniu usług drogą elektroniczną oraz ustawę Prawo telekomunikacyjne. 

Ustawa o świadczeniu usług drogą elektroniczną przewiduje obowiązek posiadania zgody na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej. 

Prawo telekomunikacyjne przewiduje natomiast, że wymagana jest zgoda na użycie telekomunikacyjnego urządzenia końcowego dla celów marketingu bezpośredniego. 

Biorąc pod uwagę, że urządzeniem telekomunikacyjnym jest każde urządzenie podłączone do internetu, to zarówno samo wysłanie e-maila, jak i SMS-a, czy połączenie telefoniczne w celu marketingowym będzie wymagało zgody nie tylko z ustawy o świadczeniu usług drogą elektroniczną, ale również z prawa telekomunikacyjnego

Artykuł 6 RODO

  1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest, co najmniej jeden z poniższych warunków: 
  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; 
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; 
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; 
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. 

 

Artykuł 10 ustawy o świadczeniu usług drogą elektroniczną

  1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
  2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

 

Artykuł 172 ustawy Prawo telekomunikacyjne

Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

 

Co to wszystko oznacza? Jeżeli chcemy wysyłać użytkownikowi newsletter, to musimy mieć jego zgodę. Pytanie, ile takich zgód powinniśmy odebrać? Po pierwsze, potrzebujemy zgody na przetwarzanie danych osobowych w celach marketingowych. Dodatkowo potrzebujemy jeszcze zgody na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej oraz zgody na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingowych. 

Checkboxy

Teraz pojawia się najważniejsza kwestia, czyli sposób formułowania takich zgód. W tym zakresie pojawia się kilka podejść. Podejście najbardziej tradycyjne i najbardziej rygorystyczne to odbieranie każdej zgody oddzielnie. Według tej szkoły w formularzu zapisu na newsletter musielibyśmy mieć oddzielny checkbox ze zgodą na przetwarzanie danych osobowych w celach marketingowych, oddzielny na przesyłanie informacji handlowych oraz oddzielny na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego. Oczywiście, jest to najbardziej bezpieczne rozwiązanie, ale jednocześnie mało praktyczne.

Poniżej przykłady trzech oddzielnych zgód:

Wyrażam zgodę na przetwarzanie moich danych osobowych w celu przesyłania mi newslettera.

Wyrażam zgodę na przesyłanie mi informacji handlowych za pomocą środków komunikacji elektronicznej.

Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

Jak łatwo się domyślić, wprowadzenie trzech zgód może być niewygodne. Co, gdy użytkownik wyrazi tylko jedną? Najczęściej będzie to zapis bezwartościowy, ponieważ newsletter to w końcu narzędzie marketingowe i często wysyłane są w nim informacje handlowe. Dlatego pojawiło się też drugie podejście, które zakłada, że zgody marketingowe możemy łączyć, kierując się jedną, podstawową zasadą – na każdy środek komunikacji musimy mieć oddzielną zgodę, a użytkownik zawsze musi mieć pełną wiedzę, na co się godzi. 

Odnosząc powyższe rozważania do newslettera, uważam, że można zapis na newsletter ograć jednym checkboxem, np.:

Chcę zapisać się do newslettera, a co za tym idzie – wyrażam zgodę na przesyłanie na mój adres e-mail informacji o nowościach, promocjach, produktach i usługach pochodzących od Jana Kowalskiego, ul. Piekarnicza 27/9, 91-546 Łódź. Wiem, że w każdej chwili będę mógł wycofać zgodę. 

Checkbox ze zgodą na newsletter powinien być domyślnie odznaczony, a jego zaznaczenie powinno być całkowicie dobrowolne. 

Większość dostawców systemów mailingowych umożliwia obecnie wprowadzenie do formularza zapisu do newslettera checkboxa. W przypadku systemu MailChimp efekt ten można uzyskać dzięki korzystaniu z wtyczki do WordPressa o nazwie Easy...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Masz już prenumeratę? Zaloguj się, aby przeczytać artykuł.
Zaloguj się
Nie masz jeszcze prenumeraty? Nic straconego! Dołącz do grona stałych Czytelników już dziś i miej pewność, że żadne treści już Cię nie ominą.
Co zyskasz, kupując prenumeratę?
  • 6 drukowanych wydań magazynu Online Marketing
  • Dodatkowe artykuły niepublikowane w formie papierowej
  • Dostęp do czasopisma w wersji online
  • Dostęp do wszystkich archiwalnych wydań magazynu oraz dodatków specjalnych
  • ... i wiele więcej!
Sprawdź szczegóły

Przypisy