W Awin ostatnie 9 miesięcy spędziliśmy budując fundamenty naszego podejścia do RODO i szykując się na sam moment wejścia największych w tym pokoleniu zmian w podejściu do zagadnienia dotyczącego prywatności danych.
Mając to na uwadze, uznaliśmy, że krótka aktualizacja dotycząca udoskonaleń jakie wprowadzamy w naszej sieci, pomoże zapewnić naszym partnerom dodatkową klarowność w obliczu złożoności jaką charakteryzuje się RODO.
1. Ocena
Tworzenie wewnętrznej grupy roboczej
Biorąc pod uwagę różnorodne funkcje, jakie firma wykonuje, wiemy, że osoby odpowiedzialne z całej grupy muszą zrozumieć znaczenie RODO. Dlatego też powołaliśmy grupę roboczą, która odzwierciedla różnorodność zespołów w całej firmie. Spotkania odbywają się co dwa tygodnie. Ponadto każdy rynek wyznaczył inspektora ochrony danych (Data Protection Officer), który będzie odpowiedzialny na poziomie lokalnym w celu zapewnienia zgodności. DPO będzie odpowiadać na zapytania klientów i wspierać inicjatywy szkoleniowe.
Privacy Impact Assessment (PIA)
Przygotowania do RODO mają wpływ na przedsiębiorstwa pod wieloma aspektami. W ramach procesu oceny ważne jest zidentyfikowanie osób odpowiedzialnych w całej firmie, w tym działach marketingu, technologii czy sprzedaży. Zestawianie sposobu, w jaki firma wykorzystuje dane w ramach szeregu usług i funkcji, powinno być nieodłączną częścią procedury due diligence w zakresie RODO.
Właśnie dlatego opracowaliśmy kompleksową ocenę wpływu na prywatność, która analizuje wszystkie obszary naszego trackingu, poczynając od tego podstawowego z wykorzystaniem ciasteczek, po cross-device tracking. Bierzemy również pod uwagę wpływ wtyczek, reklamacji dotyczących transakcji generowanych przez wydawców typu cashback i specyfikę naszych działań związanych z generowaniem leadów. W ocenie wszystkich tych aspektów odpowiadamy na pytania: co? dlaczego? jak? , ale również bierzemy pod uwagę to jak długo przechowywane są dane.
Podsumowanie przeprowadzonego przez nas Privacy Impact Assesment przedstawimy już niedługo.
Podstawa prawna i test bilansujący
Wybór podstawy prawnej dla korzystania z danych jest podstawą RODO.W naszym wypadku jest to uzasadniony interes. Przeprowadzając test bilansujący przy ocenie naszej technologii, stwierdziliśmy, że nasze podstawowe technologie śledzenia mogą być uzasadnione w ramach tej definicji.
Dodatkowe uwagi
Oceniając nasze technologie monitorowania, należy również uwzględnić przepisy danego kraju dotyczące Dyrektywy ePrivacy, które również muszą być wzięte pod uwagę. Podczas gdy RODO przewiduje kilka podstaw prawnych - zgoda jest jedną z nich- w ramach których można przeprowadzić przetwarzanie danych, ePrivacy zapewnia bardziej rygorystyczne standardy w odniesieniu do plików cookie i innych metod śledzenia wpływających na urządzenia użytkownika końcowego. Oznacza to, że w niektórych obszarach, na których obowiązuje RODO, wymagana będzie zgoda opt-in od użytkowników końcowych już od maja 2018.
2. Dokumentacja
Tworzenie wewnętrznych zasad
Po dokonaniu oceny wszystkiego, co jest zawarte w Privacy Impact Assessment, odnowiliśmy nasze zapisy dotyczące przetwarzania i polityki wewnętrznej zgodnie z wynikami tej oceny i wymogami RODO. Organizację będą musiały wdrożyć więcej procesów dotyczących powiadamiania o naruszeniu danych czy prośby o dostęp do danych.
Ustalenie naszej pozycji z klientami
Współpraca Awin z wydawcami, reklamodawcami i agencjami oraz z podmiotami trzecimi oznacza, że wiele z nich bedzie musiało wyjaśnić jaka jest pozycja ich firmy w odniesieniu do ustaleń dotyczących przetwarzania danych. Mieliśmy do czynienia z wieloma zapytaniami od klientów i zebraliśmy odpowiedzi w formie FAQ. Tworzymy właśnie bazę pytań i odpowiedzi, którą wkrótce opublikujemy. Będzie ona zawierać również przegląd narzędzi zewnętrznych naszych wydawców i informację na temat tego, czy działania prowadzone przez nich związane z przetwarzaniem danych mają niezbędne zabezpiecznia.
3. Przejrzystość i zwiększanie świadomości
Polityka prywatności
Ostatnim obszarem, z którym mamy do czynienia, jest komunikacja z naszymi partnerami biznesowymi, informowanie ich o zmianach, które wprowadzamy. Częścią tego będzie powiadomienie o uczciwym przetwarzaniu danych, które pokazuje, w jaki sposób postępujemy z danymi.
Ogólna komunikacja
Oprócz wszystkich wyzwań logistycznych i prawnych, które należy rozwiązać, komunikacja i edukacja są kluczem do RODO. Podnoszenie świadomości i prowadzenie otwartej dyskusji na temat RODO wraz z aktualizacjami, kiedy i jak to się dzieje, jest czymś, do czego zobowiązujemy się jako firma. Dlatego uruchomiliśmy dedykowany portal RODO, który będzie zawierać jak najwięcej informacji, których potrzebujesz jako nasz partner.
Świadomość pracowników
Poza komunikacją zewnętrzną, RODO nakłada na firmy obowiązek zapewnienia, by pracownicy byli świadomi i wyszkoleni w zakresie RODO. Tu znowu pomaga firmom podejście „privacy by design” oparte na uwzględnianiu ochrony prywatności na wczesnym etapie, przy projektowaniu narzędzi i technologii a także ułatwia pracownikom ich codzienne zadania. Dlatego też, nasza grupa interesariuszy jest w trakcie budowania programu szkoleniowego dla pracowników Awin.
4. Kolejne kroki
Jak opisano powyżej, wciąż mamy kilka trwających projektów, nad którymi pracujemy wewnętrznie aby zagwarantować że nasza firma będzie działać zgodnie z RODO od momentu jego wejścia w życie. W związku z tym nasi partnerzy wkrótce uzyskają dostęp do:
- podsumowania naszego Privacy Impact Assessment
- Przewodnika dla wydawców opisującego zmiany dotychczasowych warunków umowy, w tym szablonu umowy przetwarzanie danych osobowych
- Rozwiązania dotyczące uzyskiwania zgody, które mogą być wykorzystywane przez naszych wydawców. Awin chce zapewnić naszym partnerom jak najbardziej odpowiednią i elastyczną technologię. affilinet wdrożył juz takie narzędzie i Awin również opracował wtyczkę w odpowiedzi na wymogi dyrektywy ePrivacy. Są one teraz poddawane ocenom aby mieć pewność że jest to najlepsze rozwiązanie w odniesieniu do innych narzędzi tego typu.
- FAQ dotyczące działań związanych z prztwarzaniem danych aby zagwarantować naszym klientom dobre zrozumienie tego, co Awin robi z danymi
- Politykę prywatności zgodną z RODO, na którą reklamodawcy i wydawcy mogą sie powoływać w ramach własnej polityki prywatności
Powyższe informacje będą opublikowane na naszym portalu poświęconym RODO, dostępnym tutaj.