Jak w zgodzie z prawem eksportować dane klientów na zewnętrzne platformy

Prawo dla marketera

W pracy marketera codziennością jest dzielenie się danymi klientów z „kimś” z zewnątrz – nie ma w tym nic złego. Mimo to niechętnie przyznają się oni do takich działań – co więcej, wielu nawet nie zdaje sobie sprawy, że do tak się dzieje. Dlaczego? Oczywiście – prawo. Niejasności w tym zakresie powodują, że „lepiej siedzieć cicho”. W niniejszym artykule spróbuję rozplątać te niejasności.

A co ciekawe, pojawiają się one szybko – już na etapie „zewnętrzności” platform. Czy podmiotami zewnętrznymi są przykładowo dostawca hostingu albo naszej poczty mailowej? Albo – co jest danymi klientów?

POLECAMY

Na dobry początek

Już o tym wspominałem w poprzednich artykułach, ale na wszelki wypadek – ustalmy, które dane klientów są „osobowe”. W uproszczeniu mamy z takimi do czynienia, gdy bez jakiegoś nadmiernego wysiłku, dysponując tym zestawem cech, możemy przypisać go konkretnej osobie. Zidentyfikować ją. Łatwiej nam będzie, gdy będziemy mieli jej imię z nazwiskiem i adres domowy, a może być trudniej, gdy mamy tylko adres maila w domenie Wirtualnej Polski. Prawie niemożliwe będzie to zaś przy informacji „osoba, która o tej porze była na stronie”. 
A co z tą zewnętrznością? W zasadzie ma miejsce częściej, niż można by na pierwszy rzut oka zobaczyć. Przykładowo, jeśli piszesz do mnie jako prawnika mail i wysyłasz całą historię rozwodu – liczysz się z tym, że podzieliłem się nią ze swoim dostawcą poczty. Podobnie zresztą np. przy formularzu kontaktowym na stronie czy szerzej – zostawianiu na niej danych przez usera.

Kiedy jeszcze eksportujemy dane?

Tutaj przede wszystkim będziemy się kręcić wokół jednego słowa – remarketing. Jeśli jakiś człowiek „wpada” w Twój CRM – np. z formularza kontaktowego czy telefonu – to przecież podzieliłeś się tymi danymi z twórcą CRM-a. Jeśli wrzucasz maile do Facebooka, by stworzyć grupę odbiorców – to też dzielisz się tymi danymi. 
Tym bardziej widoczne jest to przy rozsyłaniu newslettera. Zakładam, że jako marketer, nie robisz tego ręcznie, lecz wspierasz się narzędziem, takim jak MailerLite, MailChimp czy Freshmail. To naturalne, że wobec tego eksportujesz adresy mailowe do zewnętrznej firmy – w tym wypadku dostawcy usługi wysyłki wiadomości. 
Sytuacja wygląda analogicznie przy rozwiązaniach dla SMS-ów pokroju SMS API czy łączących wszystkie te możliwości różnego typu kombajnach, jak GetResponse. Zachęcam Cię do zweryfikowania tematu – niezależnie od tego, jak to nazwiesz. Może to być górnolotnie określony „audyt”, a może po prostu „rachunek sumienia – spójrz na nowo na temat tego, z kim się dzielisz danymi klientów. Niektóre rozwiązania są tak do nas przywiązane, oczywiste i „od zawsze”, że nie przyjdą Ci w pierwszej chwili do głowy – dlatego zdecydowałem się powyżej dla naprowadzenia podawać prawdziwe nazwy popularnych rozwiązań. 

Co zrobić? – relacja z klientem

Podejść do sprawy uczciwie. A więc, przede wszystkim poinformować o tym klienta. A najlepiej dostać wyraźną zgodę. Co mam na myśli?
Wyobraź sobie, że – jako klient – podałem Ci swój adres mailowy. Mam prawo wiedzieć, do kogo prócz Ciebie trafi. I ewentualnie odmówić – czyli jednak adresu nie podać albo „wycofać podanie”. A wiedzieć mam oczywiście z jakiegoś Twojego dokumentu, najczęściej polityki prywatności. 
Zadbaj zatem o to, by osoba powierzająca Ci swoje dane, które na pewno trafią na zewnętrzną platformę, wiedziała o tym. To jest nie tylko uczciwe, ale też stanowi dla Ciebie po prostu formę zabezpieczenia na zasadzie: „ale przecież mówiłem”. W dokumencie omawiającym warunki przetwarzania przez Ciebie danych wspomnij o tym, w jakich okolicznościach, po co i z kim się nimi dzielisz – a także w jakim zakresie. Jeśli to możliwe, odpowiedz też na pytanie: „jak długo?”. 
A będąc przy tym, że jest to zabezpieczenie także dla Ciebie – zwróć uwagę, że najlepiej mieć jak najbardziej „udowadnialną” zgodę na te warunki. A zatem, przykładowo: zamiast domniemywać jej otrzymanie przez to, że ktoś używa strony i milcząco zaakceptował cookies, dostać na nie wyraźną zgodę kliknięciem. Albo: zamiast przed wysyłką newslettera gdzieś tam po cichu przemycić link do polityki prywatności ze wspomnieniem o zewnętrznych platformach, mówić o nich otwarcie na etapie checkboxa, pop-up’u czy wiadomości double opt-in.
I jeszcze jedno, choć to teoretycznie bardziej informatyczne zagadnienie. Ale tylko teoretycznie. Przemyśl najczarniejszy scenariusz w rodzaju „udowodnić zgodę po 3 latach” – czy jesteś w stanie technicznie wykazać ten klik po takim czasie? Jeśli nie wiesz, to porozmawiaj o tym np. z osobą odpowiedzialną za Twój landing.

Co zrobić? – relacja z platformą

Ten podrozdział zacznę od tego samego hasła, co poprzedni – uczciwość. Jeśli powierzam Ci swoje dane, a Ty je przekazujesz z kolei komuś trzeciemu, to dopilnuj wiarygodności tego podmiotu. Sam na moim miejscu wolałbyś jakiś sprawdzony podmiot niż „firmę-krzak”, prawda? 
Firmę zewnętrzną trzeba zobowiązać do dbania o powierzone dane na właściwym poziomie – przydaje się tutaj tzw. umowa powierzenia. I tu uwaga – wbrew odruchowem...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • 6 drukowanych wydań magazynu Online Marketing
  • Dodatkowe artykuły niepublikowane w formie papierowej
  • Dostęp do czasopisma w wersji online
  • Dostęp do wszystkich archiwalnych wydań magazynu oraz dodatków specjalnych
  • ... i wiele więcej!
Sprawdź szczegóły

Przypisy