3 rzeczy o RODO, z których ucieszy się właściciel e-biznesu. Gdzie indziej tego nie czytałeś!

3 rzeczy o RODO, z których ucieszy się właściciel e-biznesu. Gdzie indziej tego nie czytałeś!

RODO z pewnością spędza sen z powiek niejednemu właścicielowi e-biznesu. Tymczasem zgodnie z powiedzeniem nie taki diabeł straszny jak go malują – oto trzy rzeczy, które nie tylko uświadomią Ci jakie zmiany przyniesie RODO, ale także upewnią Cię, że wcale nie trzeba się tak bardzo bać.

 

1. Możesz przetwarzać dane osobowe klientów na cele marketingowe

W internecie można napotkać informacje, że po wejściu w życie RODO, praktycznie wszelkie procesy przetwarzania danych osobowych w celach marketingowych będą wymagały zgody. To nieprawda.

Kiedy możesz przetwarzać dane osobowe?

W RODO nadal pozostaje aktualna zasada, iż podstawą do przetwarzania danych osobowych może być również „prawnie usprawiedliwiony interes” administratora. Zgodnie z RODO możesz zatem dokonywać przetwarzania danych osobowych, jeśli:

a) jest to konieczne do zapewnienia bezpieczeństwa IT (np. tworzenie kopii zapasowych);

b) dokonujesz marketingu bezpośredniego własnych produktów i usług do osób, które są już Twoimi klientami;

c) przetwarzanie danych jest niezbędne do wykonania umowy lub komunikacji przed jej zawarciem (odpowiedź na zapytanie klienta).

Co ze zgodami na przetwarzanie danych?

Pod formularzami kontaktowymi na Twojej stronie WWW nie musisz zatem umieszczać check-boxów dotyczących zgody na przetwarzanie danych osobowych „w celu kontaktu”.

Nie trzeba również zamieszczać w umowach czy regulaminach klauzul o tym, że klient wyraża zgodę na przetwarzanie jego danych osobowych „w celu wykonania zamówienia”.

Nie ulegaj więc niepotrzebnie „straszącym” komunikatom, wedle których rzekomo po wejściu w życie RODO będziesz musiał stosować mnóstwo check-boxów. Ilość check-boxów po RODO nie powinna ulec zmianie, bo nowe przepisy wcale nie wymagają większej ilości zgód niż stara ustawa. Musisz tylko zadbać o to, by zgody te były w pełni świadomie wyrażone przez użytkowników i by dobrze, w sposób zrozumiały, jak najprostszym językiem formułować komunikaty dotyczące danych osobowych.

Od osób, które są Twoimi klientami nie musiałbyś nawet odbierać zgody na przetwarzanie ich danych osobowych „w celach marketingowych” – gdybyś komunikaty handlowe przesyłał pocztą tradycyjną.

Istnieje natomiast inny niż RODO powód, dla którego w praktyce zapewne będziesz musiał postarać się – również od swoich klientów – o zgodę na przesyłanie treści marketingowych w formie elektronicznej.

Zgoda na przesyłanie treści w formie elektronicznej

Otóż zgoda na przesyłanie informacji handlowych poprzez e-mail jest wymagana inną ustawą, tj. ustawą o świadczeniu usług drogą elektroniczną. Jest to tzw. zakaz przesyłania SPAMu. Twoje mailingi marketingowe nie będą uznawane za „śmieciowe” tylko wtedy, gdy wcześniej uzyskasz wyraźną zgodę na ich otrzymywanie przez konkretną osobę. Tak samo jest w przypadku SMSów, przy czym wówczas wymóg uzyskania odrębnej zgody wynika z ustawy prawa telekomunikacyjnego. Kampanie SMSowe oraz tzw. cold calling możesz wykonywać tylko do osób, które uprzednio wyraziły na to zgodę.

Jest to jednak inny rodzaj zgody, niż zgoda na przetwarzanie danych osobowych. Nie mylmy więc pojęć i nie „zrzucajmy całej winy” na RODO. Ponadto jeden check-box czy klik, to zawsze mniej niż kilka check-boxów

 

2. RODO ułatwia proces pozyskiwania zgód marketingowych

Nie lubisz check-boxów prawda? Twoi użytkownicy także ich nie lubią? A skomplikowane polityki prywatności lub regulaminy, które trudno jest przeczytać, a co dopiero zrozumieć… czy ktokolwiek je czyta?

RODO jest „mądrą” ustawą i wie, że wymienione powyżej praktyki prawne wcale nie są najlepszymi z możliwych. RODO pozwala więc pozyskać zgodę na przetwarzanie danych osobowych nie tylko za pomocą tekstu pisanego (podpis na kartce zawierającej oświadczenie, kliknięcie komunikatu pisemnego wyświetlającego się na stronie WWW). RODO mówi, że zgodę można wyrazić również poprzez czynność. Jeśli tylko jest ona dostatecznie jednoznaczna – w sposób niewątpliwy wyraża przyzwolenie użytkownika na to, by przetwarzano jego dane osobowe w konkretnym celu.

Jak pozyskać zgodę?

Marketerzy mają więc tu pole do popisu – zgoda będzie mogła być wyrażona przez samo wpisanie adresu e-mail w odpowiednie okienko albo przez przescrollowanie komunikatu, który ma być zatwierdzony. Można też wyobrazić sobie przesunięcie jakiegoś suwaka czy kliknięcie obrazka. Musisz tylko zadbać o to, by taka czynność mogła być jednoznacznie rozumiana jako zgoda. Wszystko więc zależy od tego, co napiszesz w kreacji zachęcającej do pozostawienia swoich danych.

3. Profilowanie – wcale nie będzie zakazane

Nie jest prawdą, że RODO zakazuje profilowania i że będzie ono możliwe tylko za wyraźną zgodą użytkownika.

Profilowanie takie jak jest stosowane w większości procesów marketingowych, czyli dążące do wyświetlania użytkownikom spersonalizowanych reklam czy komunikatów marketingowych – będzie dozwolone bez zgody użytkownika, w ramach tzw. prawnie usprawiedliwionego celu, jakim jest marketing własnych usług i produktów. Nie będziesz musiał zbierać na to odrębnych zgód. Niemniej jednak konieczne będzie poinformowanie użytkowników o tym, że stosujesz wobec nich profilowanie.

Czego nie stosować?

Z drugiej strony zakazane będzie (chyba że użytkownik wyrazi zgodę) profilowanie służące do „automatycznego podejmowania decyzji, które wywołują skutki prawne lub inne podobne skutki”. Jest to trochę enigmatyczne stwierdzenie i ciężko z góry powiedzieć, czym są te „inne podobne skutki”. Chodzi jednak o kwestie poważne, wywołujące wpływ na sferę prywatności użytkowników lub na ich sytuację osobisto – ekonomiczną. Na pewno zakazane będzie:

  • profilowanie klientów, które prowadzi do dyskryminacji. Np. podejmowanie przez biuro nieruchomości automatycznych decyzji o tym, że tyko osobom o białym kolorze skóry oferowane są domy w konkretnej dzielnicy.
  •  automatyczne (oparte na profilowaniu) działanie, które prowadzi do wyświetlania różnym osobom ofert tego samego produktu, ale po różnej cenie (np. różna cena dla oferowanych noclegów w tym samym hotelu i w tej samej dacie, ale w zależności od tego, czy ktoś jest nowym użytkownikiem portalu czy powracającym gościem). Na takie czynności trzeba pozyskać zgodę użytkownika oraz zapewnić mu prawo sprzeciwu wobec profilowania.

Do powyższych „poważnych decyzji” nie kwalifikuje się natomiast automatyczny proces, który decyduje czy danemu klientowi sklepu wyświetlić reklamę niebieskiej czy zielonej koszulki. Takie profilowanie możesz nadal uprawiać po wejściu w życie RODO.

Agnieszka Grzesiek - Kasperczyk
Radca prawny z ponad 10-letnim doświadczeniem, współwłaściciel kancelarii MyLo. Najbardziej lubi przekuwać problemy prawne na łatwe rozwiązania. Pracuje głównie dla firm z branży interaktywnej. Upraszcza regulaminy, odczarowuje mity na temat danych osobowych, wdraża polityki zgodne z RODO bez uszczerbku dla procesów marketingowych, skutecznie broni kientów w kontrolach UOKiK.
Więcej artykułów tego autora