Logowanie

Czym jest RODO i co jego wprowadzenie oznacza dla branży marketingowej?

Autor

25 maja 2018 roku zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych. Przepisy RODO, zwane także GDPR (General Data Protection Regulation), będą dotyczyć wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Dotyczy to także branży reklamowej ze szczególnym uwzględnieniem działań online. Nowe przepisy zakładają, że dane wykorzystywane w reklamie internetowej nie powinny być traktowane jako anonimowe, a jednocześnie określają kwestie uzyskania zgody na ich użycie oraz ich przechowywania. To największa od dwudziestu lat zmiana w przepisach dotyczących tej tematyki.

Nowe prawo obejmie przede wszystkim firmy, które w ramach swojej działalności gromadzą
i przetwarzają dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje, jak na przykład firmy ubezpieczeniowe czy instytucje finansowe, ale także niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny – mówi Mateusz Łukianiuk, Dyrektor Zarządzający Awin.

Nowe rozporządzenie ujednolici prawo na obszarze całej Unii, obejmując nie tylko instytucje publiczne i europejskich przedsiębiorców, ale też tych spoza Europy, którzy świadczą usługi obywatelom UE chociażby przez internet. Zasadniczym celem zmian jest ochrona praw jednostki w sieci.

Rozporządzenie obejmie ochroną wszystkie, nawet fragmentaryczne informacje, które mogłyby doprowadzić do identyfikacji osoby. Są to między innymi nazwisko, adres, wszelkie numery identyfikacyjne, adresy mailowe, adres IP, pliki cookies, dokumentacja zdrowotna, a nawet informacje o poglądach politycznych czy orientacji seksualnej.

Dane, o których mowa w  ramach rozporządzenia, to także informacje, takie jak parametry demograficzne, geolokalizacyjne, behawioralne oraz kontekstowe, a więc wszystko co można określić jako Big Data. Tego rodzaju dane są szczególnie istotne z punktu widzenia targetowania reklamy online, a więc samego performance marketingu. Dzięki nim można określić preferencje zakupowe użytkowników i na ich podstawie budować profile probabilistyczne. Bez tego rodzaju działań, które obecnie są naturalne i powszechnie stosowane, aby dotrzeć do klienta z jak najbardziej optymalnym przekazem, cofniemy się w dziedzinie reklamy o jakieś dwadzieścia lat, do prezentacji ogólnych ofert, nie mających nic wspólnego z oczekiwaniami klientów – komentuje Mateusz Łukianiuk, Dyrektor Zarządzający Awin.

Wyjątkami, które nie podlegają nowym przepisom RODO, są organizacje zajmujące się kwestiami bezpieczeństwa narodowego, organy ścigania, sądy i instytucje dyplomatyczne.  

Odpowiedzialność

Nowe przepisy w całości przerzucają odpowiedzialność za wdrożenie procedur ochrony danych na przedsiębiorców. To po ich stronie leżeć będzie również kwestia wprowadzenia odpowiedniego zabezpieczania zbioru, które powinno być współmierne do zakresu przetwarzania danych.

Awin z racji międzynarodowego charakteru aktywności, dokłada wszelkich starań, aby realizowane działania były transparentne oraz zgodne z aktualnymi przepisami prawa. Przygotowania do RODO, a więc w tym momencie już nieuniknionej zmiany w zakresie przetwarzania danych, dotyczą również nas. Obecnie prowadzimy aktywne prace, aby dostosować się do oczekiwań nowej dyrektywy, a nawet wyjść poza nią, zrobić więcej. Mamy nadzieję, że do czasu jej wdrożenia uda się nam stworzyć i zaprezentować nową formę mierzenia aktywności oraz sprzedaży online. Na ten moment jeszcze za wcześnie mówić o szczegółach - Mateusz Łukianiuk, Dyrektor Zarządzający Awin.

Według nowych zapisów, wszystkie organizacje, które będą przetwarzać dane z innych firm podczas świadczenia dla nich usług, np. firmy hostingowe, ponoszą całkowitą odpowiedzialność za złamanie zapisów Rozporządzenia, co wiąże się z często nieporównywalną do przewinienia karą finansową.

Dodatkowo organizacje, które zajmują się gromadzeniem, przetwarzaniem czy kontrolowaniem danych, będą musiały wyznaczyć w swoich strukturach Inspektora Ochrony Danych Osobowych, który będzie dysponować wiedzą ekspercką w zakresie ich ochrony. 

Zarządzanie danymi

Nowe obowiązki dotyczą przede wszystkim sposobów zarządzania zebranymi informacjami. Według ustaleń RODO, od maja tego roku gromadzenie danych będzie wymagało poinformowania w sposób zwięzły i zrozumiały każdej osoby, która takie dane udostępni. Przedsiębiorcy będą zobowiązani do informowania o celu zbierania danych, ich administratorze i podmiotach, którym dane mogą zostać udostępnione oraz prawach, jakie tej osobie w związku z tym przysługują. Wszystkie zgody i informacje muszą być opisane w zrozumiały, prosty i  logiczny sposób, bez użycia branżowego żargonu.

Ponadto, wszystkie firmy, które kontrolują i przetwarzają dane, będą miały obowiązek przygotowania i wprowadzenia wszechstronnych baz. Między innymi mają one zawierać: powody przetwarzania danych, kategorie, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.

Dodatkowe obostrzenia pojawią się także w obszarze profilowania, czyli zautomatyzowanego przetwarzania danych osobowych, polegającego na wykorzystaniu tych danych w np. celu analizy preferencji, czy też zachowań danej osoby. Profilowanie wykorzystywane jest np. w działaniach marketingowych.

Profilowanie będzie legalne jedynie wtedy, gdy administrator danych wykaże, że ma podstawę prawną do takiego działania - np. wyraźną zgodę. Konieczne będzie również szczegółowe informowanie każdej osoby, której dane mogą zostać wykorzystane do profilowania, o poszczególnych etapach działań oraz ich możliwych konsekwencjach.

Samo rozporządzenie zwiększy nacisk na edukowanie użytkowników oraz uzyskanie potwierdzeń możliwości wykorzystania udostępnianych przez nich danych. Te będą mogły być wykorzystane tylko w konkretnym celu, do których zostały zebrane. Chęć ich użycia w innym celu, będzie już wymagać osobnej zgody, a więc skutkować to będzie znacznie dłuższą listą odrębnych zgód, odnoszących się do poszczególnych zakresów danych - zauważa Mateusz Łukianiuk, Dyrektor Zarządzający Awin. Brak uzyskania zgody skutkować będzie brakiem możliwości wykorzystania danych lub złamaniem prawa w zakresie ich przetwarzania. W obu przypadkach może to stanowić dotkliwy cios dla branży reklamy online, a tym samym jej efektywnej części realizowanej przez agencje performance marketingu, takie jak Awin. Szacowany spadek aktywności wydawców w tym zakresie wynosi ok. 20-30%. Duże podmioty, posiadające działy prawne oraz developerskie, nie powinny mieć problemu z dostosowaniem. Nie oznacza to, że nie wpłynie to negatywnie na ich przychody. Mniejsze podmioty, nie dysponujące podobnymi możliwościami, będą musiały liczyć się z zaprzestaniem działalności lub operowaniem w szarej strefie, w której działania w przypadku wykrycia nadużyć mogą okazać się bardzo kosztowne – dodaje

Zgłaszanie naruszeń i kary  

Firmy, które będą gromadzić dane według nowych przepisów, zobowiązane zostaną do zgłaszania w ciągu 72 godzin wszelkich naruszeń bazy danych. Podmiotom, które nie dopilnują obowiązków związanych z RODO, będą grozić wysokie kary pieniężne, sięgające 20 mln euro lub 4 procent rocznego obrotu firmy. Ustawodawcy twierdzą, że tak wysokie grzywny są odzwierciedleniem tego, jak ważne są dane osobowe w XXI wieku.

Nowe prawa obywateli

Rozporządzenie o Ochronie Danych Osobowych wprowadza także szereg zmian oznaczających większą ochronę wszystkich danych osób fizycznych. Dzięki wprowadzeniu RODO, możliwe będzie skorzystanie z tzw. „prawa do bycia zapomnianym”, dającego możliwość usunięcia przez administratora wszystkich danych użytkownika z baz portalu czy instytucji. Zostało one wyraźnie określone w Rozporządzeniu i stanowi odzwierciedlenie najnowszego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej.

Osoba fizyczna będzie miała również prawo do żądania przeniesienia danych, czyli będzie mogła otrzymać od administratora swoje dane w ustrukturyzowanej formie, a także nakazać przesłanie ich innemu administratorowi. Zostanie również wzmocnione prawo dostępu i wglądu obywatela w zgromadzone informacje.

Bardzo istotnym zapisem RODO z punktu widzenia branży marketingowej, jest wprowadzenie prawa do sprzeciwu wobec przetwarzania danych osobowych. Osoby fizyczne będą miały prawo do zakazania marketingu bezpośredniego z wykorzystaniem ich danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce tychże danych – stwierdza Mateusz Łukianiuk, Dyrektor Zarządzający Awin.

Rozporządzenie daje również osobom fizycznym prawo do składania skarg na działania administratorów i firm przetwarzających dane. Skargę będzie można złożyć do organu nadzoru (w Polsce to GIODO) w państwie pobytu lub pracy osoby fizycznej lub w państwie popełnienia naruszenia. Od decyzji organów nadzoru przysługiwać będzie odwołanie do sądu.

W odpowiedzi na rozwój

Wprowadzenie RODO we wszystkich krajach Unii Europejskiej wynika z potrzeby unowocześnienia regulacji o ochronie danych osobowych. Ostatnie zmiany w tym obszarze zostały wprowadzone w 1995 roku. RODO zdaje się być logicznym krokiem w stronę zagwarantowania bezpieczeństwa w sieci w dobie powszechnej digitalizacji życia.