Co to jest zgodność z RODO? Oto najmniej, co musisz wiedzieć

RODO , czyli ogólne rozporządzenie o ochronie danych dla wszystkich użytkowników w Europie, wchodzi w życie dzisiaj. Ma niefortunną kombinację bycia NIEZWYKLE WAŻNYM, a TRUDNY DO ZROZUMIENIA.

Większość ekspertów od konwersji, sprzedawców e-maili i ogólnych sprzedawców internetowych nie będzie miała czasu na przedzieranie się przez prawo, ale nadal będzie musiała wydostać się ze strefy wybuchu.

Ten artykuł ma być punktem wyjścia dla tych marketerów.

Nie zastąpi to porady Twojego zespołu prawnego – zdecydowanie powinieneś spotkać się z zespołem ds. bezpieczeństwa informacji i zespołu prawnego, aby sfinalizować strategię. Powinno to jednak wskazać ci właściwy kierunek i pomóc, jeśli chcesz uzyskać szczegółowe informacje na temat RODO w prostym języku.

Minimalizacja danych – brak syndromu „chciwego marketera”

Jednym z głównych powodów, dla których UE wdraża RODO, jest sposób gromadzenia danych przez marketerów. Kiedy prosisz o informacje w dowolnym miejscu na świecie, możesz poprosić w zamian o nieproporcjonalną ilość informacji. Twój współczynnik konwersji prawdopodobnie spadnie z tego powodu, ale nie ma prawnego powodu, dla którego nie możesz tego zrobić.

RODO to zmienia.

Oto odpowiednia część artykułu 5 , dotyczącego zasad przetwarzania danych osobowych .

Dane osobowe będą:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w stosunku do osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
• zbierane w oznaczonych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalszego przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, zgodnie z art. 89 ust. 1 nie uznaje się za niezgodne z pierwotnymi celami („ograniczenie celu”);
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w jakich są przetwarzane („minimalizacja danych”);

Oznacza to, że masz jeszcze więcej powodów, aby zbierać tylko te dane, których potrzebujesz .

• Potrzebujesz tego adresu e-mail, aby przekazać użytkownikowi plik PDF, o który prosił
• Potrzebujesz numeru telefonu, firmy, w której pracują, wielkości firmy i adresu fizycznego, aby zbudować ich profil w Twoim systemie automatyzacji marketingu

Te dodatkowe rzeczy, których chcesz? Nie są już uczciwą grą, jeśli masz użytkowników w Europie.

Musisz jasno określić, do czego będziesz używać danych, i zbierać od użytkownika tylko te dane, których potrzebujesz.

Zgoda na opt-in – brak domyślnych subskrypcji

Niektórzy marketerzy grają w te gry polegające na wyrażaniu zgody z odwiedzającymi:

• Użytkownicy mogą zrezygnować podczas wypełniania formularza, ale pole wyboru zgody jest wstępnie zaznaczone
• Użytkownicy są automatycznie włączani, a użytkownicy muszą ręcznie powiadomić firmę, że nie chcą korzystać z określonego programu
• Język w programie do wyrażania zgody jest na tyle nieprecyzyjny, że użytkownicy mogą rejestrować się w wielu rzeczach, nie zdając sobie z tego sprawy

Wszystkie te gry narażą organizacje na ryzyko niezgodności. Oto odpowiednie części artykułu 7, warunki wyrażenia zgody :

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator jest w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Jeżeli zgoda osoby, której dane dotyczą, jest wyrażona w kontekście pisemnego oświadczenia, które dotyczy również innych spraw, wniosek o wyrażenie zgody należy przedstawić w sposób wyraźnie odróżniający się od innych spraw, w zrozumiałej i łatwo dostępnej formie, z zastosowaniem jasnej i zwykły język. Jakakolwiek część takiego oświadczenia, która stanowi naruszenie niniejszego Regulaminu, nie jest wiążąca.

Dla Ciebie oznacza to, że jeśli masz użytkowników w Europie, te gry polegające na wyrażaniu zgody nie są już opłacalne.

Musisz jasno określić, na co decydują się użytkownicy. Jeśli chcesz, aby zapisali się do Twojego newslettera ORAZ chcesz im pokazać promocje produktów, musisz wyrazić zgodę na obie rzeczy osobno i musisz to wyraźnie zaznaczyć.

Zapamiętaj te cztery rzeczy:

• Zgoda powinna być aktywnie wyrażona
• Użytkownicy powinni być informowani o tym, na co się rejestrują, w jasnym języku
• Milczenie i wstępnie zaznaczone pola nie liczą się jako zgoda
• Zgoda na jedną czynność nie jest równoznaczna z wyrażeniem zgody na inne czynności

Wycofanie zgody – brak zmuszania odwiedzających do przeskakiwania przez obręcze

Kolejną rzeczą, nad którą musisz popracować, jest umożliwienie użytkownikom rezygnacji z Twoich programów. Artykuł 7 kontynuuje:

Osobie, której dane dotyczą, przysługuje prawo do wycofania zgody w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Przed wyrażeniem zgody osoba, której dane dotyczą, zostanie o tym poinformowana. Wycofanie zgody będzie równie łatwe, jak wyrażenie zgody.

Jeśli wysyłasz wiadomości e-mail w formie promocji produktów lub biuletynów, zawsze powinny one mieć jasne sposoby, aby ludzie mogli zrezygnować z Twoich programów. A te powinny być na widoku.

Kiedyś lepiej było mieć w bazie danych tylko te osoby, które CHCĄ tam być. To też jest lepsze z prawnego punktu widzenia.

Stos technologiczny – bez zabezpieczeń, bez nazw

Jeśli grasz szybko i luźno z czymkolwiek, co zawiera informacje umożliwiające identyfikację, lepiej szybko wzmocnij swój stos technologii. Oznacza to, że nie możesz mieć poufnych informacji o klientach i budowania profilu bez przepisów dotyczących pseudonimizacji lub powiązanych technologii.

Pliki Excela pływające w firmie z rzeczywistymi nazwami i poufnymi informacjami zawsze powinny być nie do przyjęcia, ale teraz masz więcej powodów, aby temu zapobiec.

Artykuł 25, ochrona danych w fazie projektowania i domyślna , zawiera przepisy, które są dość trudne dla firm o niskim poziomie bezpieczeństwa:

Uwzględniając stan techniki, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także zagrożenia dla praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze, jakie stwarza przetwarzanie, administrator: zarówno w momencie ustalenia sposobów przetwarzania, jak i w momencie samego przetwarzania wdrażać odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, które służą realizacji zasad ochrony danych, takich jak minimalizacja danych, w skutecznym sposób oraz włączyć do przetwarzania niezbędne zabezpieczenia w celu spełnienia wymogów niniejszego rozporządzenia i ochrony praw osób, których dane dotyczą.

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla każdego określonego celu przetwarzania. Obowiązek ten dotyczy ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, aby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Podsumowując, jeśli chcesz przechowywać informacje umożliwiające identyfikację, musisz wziąć udział w tym, aby zapewnić bezpieczeństwo tych informacji.

Zgodność z RODO: złożona bestia

Unikaj trafienia karami. Jeśli masz opóźnienia w pracy w zakresie zgodności z RODO, musisz co najmniej…

• audyt ile danych zbierasz i czy potrzebujesz minimalizować dane,
• przegląd sposobu, w jaki przekształcasz dane osobowe w dane anonimowe, oraz
• przegląd tego, na ile wyraźnie wyrażasz zgodę na wykorzystanie danych odwiedzających