Jest wiele tekstów o RODO (GDPR) takich jak ten, ale ten jeden jest mój*
*nawiązanie ‘My Rifle’ — “Full Metal Jacket”, Stanley Kubrick
Nie taki diabeł straszny, jak go malują. RODO, a właściwie GDPR to nowe, a raczej odświeżone prawo dotyczące ochrony oraz przechowywania danych osobowych. Ostatnia wersja pojawiła się w 1995 roku, co przy teraźniejszych skokach technologicznych wydaje się jakby to było lata świetlne temu.
Rozporządzenie RODO działa tylko dla strefy EU. Ale jak powszechnie wiadomo, internet nie ma stref, wiec wszyscy liczący się gracze na pewno będą się chcieli w miarę szybko dostosować do nowych reguł, zwłaszcza gdy mają klientów w Europie.
Jakie dane ?
Nowe prawo ujednolica sposób w jaki kategoryzujemy dane w bazach. Jeśli nie jesteś pewien które dane nazywamy osobistymi wg nowego prawa, to są to wszystkie informacje, na podstawie których możemy zidentyfikować osobę. W szczególności mowa tu o danych wrażliwych, jak dane osobowe, dane genetyczne, dane biometryczne, dane behawioralne.
Wymagana zgoda
Przede wszystkim, główną zmianą jest forma prośby do klientów o przyzwolenia na przechowywanie oraz przetwarzanie danych. Od końca maja musimy prostym językiem informować jak i do czego będziemy wykorzystywać ich dane.
Informujemy klienta jakie dane zbieramy i do czego je wykorzystujemy. Tłumacząc nie możemy używać długich formułek, musimy prosto, zrozumiale i zwięźle przedstawić klientowi w jaki sposób wykorzystujemy jego dane. Rozporządzenie wpływa także na dane, które już posiadamy. W razie braku zgody, musimy ponownie poprosić o nią wszystkie osoby, których dane przetwarzamy nie spełniając warunków RODO.
Privacy by design
Czyli zasada prywatności w fazie projektowania, jedna z najważniejszych zasad nowej legislacji. Już na etapie projektowania rozwiązań musi zostać uwzględniona ochrona danych osobowych klientów w każdym aspekcie i funkcjonalności. Warto zainwestować czas lub pieniądze i zaprojektować ścieżkę doświadczeń (UX/CX) przyjazną dla klientów zgodną z nowymi regulacjami, która wyraźnie informuje o konsekwencji działań.
Privacy by default
Zasada ‘privacy by default’ natomiast nakazuje nam kolekcjonować tylko te dane, które są niezbędne dla świadczonej przez nas usługi. Domyślnie możemy przetwarzać tylko te dane, które są niezbędne do osiągnięcia konkretnego celu ich przetwarzania. Dodatkowo klienci muszą zostać poinformowani w prosty sposób dlaczego przetwarzamy te informacje i w jakim celu, a także muszą mieć możliwość odwołania zgody na przetwarzanie.
Profilowanie
Profilowanie to zautomatyzowane przetwarzanie danych osobowych w celu dokonania oceny pewnych zachowań i preferencji oraz określonej analizy i prognozy statystycznej, które nas interesują np. preferencji zakupowych. W skrócie: wyciągamy wnioski o jednej z cech klienta na podstawie innych cech behawioralnych.
Prawo do zapomnienia — right to be forgotten
Dzięki RODO klienci mają też tak zwane “prawo do zapomnienia”, czyli prawo do trwałego usunięcia danych. Wiąże się to z udostępnieniem funkcji do trwałego usuwania danych klienta, kiedykolwiek sobie on zażyczy.
Istnieją jednak wyjątki: gdy dane służą nam w celach zapewnienia bezpieczeństwa, nie musimy ich usuwać na prośbę osoby zainteresowanej.
Prawo do przeniesienia danych
Klienci mogą skorzystać z tego prawa, gdy zmieniają firmę dostarczającą jakąś usługę. Najprostszym przykładem są operatorzy sieci komórkowych, jak i dostawcy internetu. Zamiast prosić o usunięcie danych (prawo do zapomnienia), klienci mogą zlecić operatorowi, z którym kończą współpracę przekazanie danych nowemu operatowi. Nawet gdy jest to rynkowy konkurent byłego operatora, przeniesienie danych musi zostać wykonane.
Zabezpieczenia — Programy kontenery, programy szyfrujące, Inspektor Ochrony Danych
Jednocześnie nowe prawo wymaga jakiejś formy zabezpieczenia przed ingerencją, tudzież kradzieżą danych i udostępnieniom ich osobom trzecim. Na rynku istnieje sporo rozwiązań, lepszych lub gorszych, przyjaznych lub uporczywych. Ale w większości przypadków CRM’y gotowe na RODO wraz z dwuetapowym logowaniem na różnych platformach w zupełności powinny wystarczyć (małe firmy).
Rozporządzenie także nakazuje administrowanie wszystkimi zmianami przez zarząd lub przez specjalnie do tego powołanego Inspektora Ochrony Danych. Ma on czuwać nad poprawnością przetwarzania danych oraz ich bezpieczeństwem. Wyznaczona osoba musi posiadać odpowiednie kwalifikacje zawodowe, wiedzę i umiejętności praktyczne w dziedzinie ochrony danych oraz prawa.
Kary i Skargi
W razie incydentu, zgłaszamy atak w ciągu 72 godzin w PUODO (zastępuje GIODO) oraz powiadamiamy osoby, których dane zostały naruszone. Warto wdrożyć zabezpieczenia, które ograniczą ryzyko coraz częstszych ataków hakerskich.
Grzywny administracyjne mają sięgać do 20 milionów euro lub 4 % globalnych przychodów firmy brutto, w zależności która kwota będzie wyższa.
W razie wycieku musimy przedstawić organom kontrolnym co zrobiliśmy, żeby zminimalizować szkodę i żeby jej zapobiec oraz czy szacowaliśmy ryzyko takiego zdarzenia. Odpowiedzi na te pytania będą wpływały na wysokość kary.
RODO dopuszcza również zgłaszanie skarg do PUODO odnośnie złych praktyk administratorów danych w firmach i instytucjach. Od decyzji tego nowego organu przysługuje odwołanie się w sądzie.
Podsumowanie
Pamiętaj, że te zmiany dotyczą wszystkich podmiotów gospodarczych, które posiadają i przetwarzają dane osobowe. Nie możesz gromadzić danych, które nie są ci niezbędne w prowadzeniu twojej usługi. A dla tych, których wymagasz, potrzebujesz świadomej i jednoznacznej zgody użytkowników od 25 maja obecnego roku.
W gruncie rzeczy RODO wprowadza dobre praktyki i dobre zmiany. Leadów będzie mniej, ale będą za to bardziej wartościowe oraz gotowe do konwersji (czego wszystkim życzę). Już nie będziemy się martwić jak gromadzić poprawnie dane klientów z rożnych krajów Unii Europejskiej, ponieważ rozporządzenie ujednolica tą kwestię dla wszystkich członków Wspólnoty.
Główną ideą stojącą za zasadą działania RODO/GDPR jest transparentność. Kto pokaże klientom co robi z ich danymi w jak najbardziej przejrzysty i prosty sposób, ten zdobędzie ich najwięcej.
