Marketing online a RODO

Dowiedz się, jak prowadzić kampanię marketingową, realizując zapisy rozporządzenia RODO

W jaki sposób prowadzić kampanię marketingową, żeby działać zgodnie z zapisami RODO?

Z poniższego tekstu dowiesz się, m.in.:

  • w jaki sposób prowadzić kampanię online zgodnie z prawem,
  • jak posługiwać się bazami danych w działaniach związanych z e-mail marketingiem,
  • w jaki sposób prowadzić zapisy do bazy newsletterowej,
  • jak zbudować formularz kontaktowy na stronie internetowej.

Podstawową regułą prowadzenia działań w marketingu online jest poinformowanie użytkowników o podstawie prawnej, na bazie której dane są zbierane. Co więcej – konsumenci muszą wiedzieć, jak długo, w jaki sposób i w jakim celu ich dane zostaną przetwarzane. W sytuacji, gdy podmiot przetwarzający chce przekazać dane innemu podmiotowi, musi zakomunikować użytkownikom ten fakt oraz uzyskać odrębną zgodę. Osoby, których dane zostały powierzone posiadają określone ustawą prawa:
– mogą żądać wglądu do danych, które są wykorzystywane w procesie działań internetowych,
– mają możliwość przeniesienia,
– zmiany (prawo do sprostowania),
– całkowitego usunięcia (prawo do bycia zapomnianym).
Użytkownicy, którzy uznali, że ich dane są wykorzystywane w niewłaściwy sposób lub ich prawa nie są respektowane, mają możliwość wniesienia skargi do organu nadzorującego.

Respektowanie zapisów RODO

Podmiot może zbierać tylko te dane, które są mu potrzebne do prowadzenia określonych działań. Istotny jest fakt, że RODO wymusza minimalizację. Każde pozyskanie danych musi mieć swoje uzasadnienie. Rozporządzenie RODO jasno rozdziela cele – zgoda na przesyłanie ofert handlowych jest inną zgodą niż zgoda na zapis do newslettera. Istotny jest fakt, że użytkownik, którego dane są wykorzystywane, powinien wyrazić na to świadomą zgodę lub jej odmówić. Poinformowanie oraz uzyskanie zgody od użytkowników wymaga profilowanie, które uniemożliwia identyfikację. Google Analytics, którego celem jest profilowanie zachowania anonimowych użytkowników, nie wymaga uzyskania zgody użytkowników.

E-mail marketing a zapisy rozporządzenia

Subskrybenci newslettera muszą wyrazić zgodę na działania marketingowe. Zgoda użytkownika powinna być wyrażona dobrowolnie, świadomie i bezpośrednio. Wyrażenie zgody nie może budzić wątpliwości, że osoba chce i zgadza się udostępnić swoje dane, otrzymywać newsletter lub też oferty handlowe. Aby mieć pewność, że użytkownik świadomie zgadza się na otrzymywanie wiadomości, stosuje się double opt-in, czyli model wysyłania podwójnych wiadomości potwierdzających. Podwójna weryfikacja ma na celu potwierdzenie chęci otrzymywania wiadomości, zanim użytkownik zostanie dodany do listy odbiorców. Użytkownik wykonuje akcję – klika w link weryfikacyjny znajdujący się w potwierdzeniu przesłanym na adres e-mail. Jeśli użytkownik nie potwierdzi chęci otrzymywania wiadomości, wtedy nie będzie otrzymywał kolejnych e-maili. A tym samym firma ma pewność, że nie łamie uwarunkowań RODO.

Zasady otrzymywania i rezygnacji z przesyłania wiadomości

RODO dodatkowo reguluje zasady otrzymywania i rezygnacji z otrzymywania wiadomości, za pomocą których podmioty przetwarzają i wykorzystują dane osobowe. Ważne jest, aby możliwość rezygnacji z otrzymywania wiadomości z ofertami była równie intuicyjna jak zgoda na ich przesyłanie. Informacja, która umożliwia rezygnację z otrzymania wiadomości, powinna znajdować się w każdej wiadomości. Ważne jest, aby użytkownicy nie otrzymywali skomplikowanych komunikatów zarówno podczas wypełniania formularza kontaktowego, jak i w codziennej komunikacji.

O czym warto pamiętać, prowadząc działania związane z przetwarzaniem danych online?

  1. Użytkownicy na bazie zapisów RODO otrzymali określone w rozporządzeniu prawa, m.in. prawo do bycia zapomnianym (prawo umożliwiające usunięcie danych osobowych z systemu), prawo do edycji danych (zmiana danych, które posiada podmiot przetwarzający) oraz prawo do przeniesienia danych do innego administratora danych.
  2. Profilowanie użytkowników uległo zmianie, ponieważ pewne cechy uznano za dane wrażliwe, na bazie których zautomatyzowane przetwarzanie danych jest niemożliwe.
  3. Minimalizowanie przetwarzania danych – podmioty powinny przetwarzać dane osób, które są im niezbędnie potrzebne. W szczególności dotyczy to popularnego zjawiska SPAMu oraz przesyłania wiadomości, które są niedostosowane do potrzeb odbiorców.
  4. Wprowadzono dwie nowe zasady – privacy by design i privacy by default.
  5. Należy respektować prawa osób, których dane dotyczą.
  6. Naruszenia bezpieczeństwa danych należy bezwzględnie zgłaszać w terminie do 72 h po wystąpieniu, zgodnie z procedurą zgłaszania incydentów RODO.
  7. Zgodnie z RODO należy prowadzić wymagane rejestry dot. zbiorów danych osobowych.
  8. Zapisy Rozporządzenia podtrzymują konieczność upoważnienia pracownika do przetwarzania danych – z jednoczesnym zobowiązaniem do zachowania tajemnicy i należytej ochrony informacji.

Privacy by design (zasada prywatności w fazie projektowania)

Reguła privacy by design to obowiązek przewidywania i przeciwdziałania możliwym problemom w zakresie ochrony danych, zanim one powstaną. Chodzi o uwzględnienie na etapie projektowania, monitorowania, testach bezpieczeństwa oraz etapach nadawania uprawnień użytkownikom w systemach, aplikacjach lub procesach oraz etapie wykorzystania odpowiednich środków technicznych i organizacyjnych problemów, a nie dopiero gdy staną się faktem. Co ważne – wszystkie te etapy należy właściwie udokumentować. Jeśli użytkownik zmieni minimalną ilość udostępnianych danych – zrobi to świadomie.

Privacy by default (zasada prywatności w ustawieniach domyślnych)

Regułę privacy by default określa art. 25 ust. 2 RODO. Administratora zobowiązano, by wdrożył środki techniczne i organizacyjne, aby domyślnie przetwarzano wyłącznie dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu. Dotyczy to w szczególności ilości danych, które zbieramy, ich zakresu oraz okresu przechowywania i sposobu udostępniania.

Zarówno privacy by design, jak i privacy by default wymagają, by odpowiednio wcześnie podjąć określone działania. Szczególnie dotyczy to przeprowadzenie oceny ryzyka czy zdefiniowania procesów przetwarzania danych.

Zapisy RODO a wyrażenie zgody na otrzymywanie wiadomości

Ważne jest jednak, aby w formularzu przed takimi elementami jak np. pole alternatywnego wyboru z opcjami „zgadzam się” lub „nie zgadzam się” (w których użytkownik musi wykonać określoną akcję – zaznaczenie właściwego pola), poinformować użytkownika o wszystkich elementach, na które wskazuje art. 13 RODO:
1. Tożsamość i dane kontaktowe administratora, jego przedstawiciela oraz inspektora ochrony danych osobowych.
2. Prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią (zgodnie z art. 6 ust. 1 lit. f).
3. Określenie celu przetwarzania.
4. Podanie odbiorców danych osobowych lub kategorii, jeżeli istnieją.
5. Czas przechowywania danych oraz kryteria ustalenia tego okresu.
6. Informację o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie) oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony. W przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit 2, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
7. Prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu, a także o prawie do przenoszenia danych.
8. Jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informację o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
9. Możliwość wniesienia skargi do organu nadzorczego.
10. Informację, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, została zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
11. Zakres, w jakim dane zostaną wykorzystane do automatycznego podejmowania decyzji, w tym do profilowania, o którym mowa w art. 22 ust. 1 i 4 oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Formularz kontaktowy – zasady pozyskiwania danych zgodne z RODO

RODO z całą pewnością nie definiuje tego, w jaki sposób ma wyglądać komunikat o przetwarzaniu danych na stronie internetowej. Jednakże ważne są poniższe kwestie:
•   Właściciele i administratorzy stron lub portali powinni pamiętać, że ich obowiązkiem jest wykazanie, że dysponują odpowiednią podstawą prawną do przetwarzania danych. I co ważne – w razie wątpliwości – administrator musi wykazać, że taką zgodę uzyskał. Administratorzy Tworząc bazy danych użytkowników, należy zarchiwizować dane dot. zakresu, zgodnie z którymi przetwarzamy dane. W rzeczywistości dotyczy to szczególnie tego, kiedy i w jakim zakresie osoba wyraziła zgodę na przetwarzanie jej danych.
•   Podmiot musi uzyskać osobną zgodę na różne cele przetwarzania danych. Przede wszystkim rejestrowanie użytkowników w celach marketingowych wymaga innej zgody niż zgoda na kontakt z biurem obsługi.
•   Użytkownik, który podaje swoje dane w formularzu, niewątpliwie musi wyrazić zgodę na ich przetwarzanie w sposób świadomy i czynnie, np. poprzez zaznaczenie odpowiedniego pola. Działanie musi wykonać użytkownik, nie można stosować domyślnie zaznaczonych checkboxów.
•   Komunikat (napisany w sposób jasny, zrozumiały i precyzyjny) powinien znajdować się w pobliżu formularza kontaktowego. Musi wskazywać, kto jest administratorem danych oraz jaki jest cel przetwarzania.
•   Należy poinformować użytkownika o możliwości wycofania zgody na dalsze przetwarzanie.
•   Użytkownik udziela zgody tylko w ustalonym zakresie. Ponadto zgoda na kontakt do biura obsługi musi być inna niż zgoda na zarządzanie danymi w celach marketingowych.

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!