fot. unsplash.com
W pewnym sensie królikiem doświadczalnym będzie e-biznes, dlatego tuż przed godziną zero postanowiliśmy uporządkować najważniejsze zmiany RODO, które zostały narzucone firmom.
Na początku informacja dla zapominalskich: RODO, a więc Ogólne Rozporządzenie o Ochronie Danych Osobowych, które przyklepała Unia Europejska, wejdzie u nas w życie 25 maja. Nowe prawo ma uporządkować politykę ochrony danych, bo obecnie w wielu przypadkach panuje tu wolna amerykanka.
Pod koniec maja można spodziewać się sporego zamieszania, bo jak jeszcze w marcu informował „Dziennik Gazeta Prawna”, według badań PwC zaledwie 3 proc. polskich przedsiębiorstw oceniało, że jest w pełni przygotowanych do nowych regulacji. Połowa przyznała, że w 30 proc., a jedna piąta, że jeszcze w ogóle nie zaczęła przygotowań. A przypomnijmy, RODO dotyczy i dużych, i małych.
Przedsiębiorcy straszeni są karami w wysokości 4 proc. rocznego obrotu czy nawet 20 mln euro, ale tutaj radzimy się nieco uspokoić. To bardziej górna granica dla największych graczy i sygnał, żeby mieli się na baczności. Dziś tak naprawdę trudno ocenić, na ile kary będą faktycznie egzekwowane. Chociaż okresu przejściowego nie będzie.
Dobrze, przejdźmy więc do uporządkowania najważniejszych zmian w kontekście e-commerce. Te należy podzielić na dwie kupki: obowiązki nałożone na firmę oraz prawa, jakie zyska użytkownik.
Dostosowanie RODO do firmy
Zacznijmy od rejestru czynności przetwarzania danych osobowych. Mówiąc najprościej, rejestr ten zastąpi obowiązek zgłaszania zbiorów danych do GIODO. Jak wyjaśnia Ministerstwo Cyfryzacji (oni też są pewnie przerażeni) wspomniany wykaz będzie musiał być sporządzany wewnątrz przedsiębiorstwa, a dokumentacja z rejestru pozwoli wytłumaczyć się w przypadku kontroli.
Dalej mamy zmiany w regulaminach i zasadach uzyskiwania zgód użytkowników na przetwarzanie ich danych (zarówno tych tradycyjnych typu nazwisko czy PESEL, jak i wrażliwych, czyli tego, czego szukamy w necie).
Najczęściej zadawanym pytaniem przez marketerów i osoby prowadzące swoje firmy jest „Czy uzyskana wcześniej przeze mnie zgoda, jest zgodna z RODO?”. Tu należy jasno podkreślić, że GIODO wskazuje, że jest, ale pod warunkiem, że spełnia wymagania, jakie RODO przed nią stawia. Czyli uzyskana wcześniej (przed obowiązywaniem RODO) zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.
Nowe regulaminy będą musiały jasno informować chociażby o tym, w jakim celu firma będzie „obracać” danymi klienta oraz przez jaki czas. Zupełnie zmieni się też zasada uzyskiwania zgód od użytkowników, którzy obecnie najczęściej wszystko potwierdzają hurtowo korzystając z checkboxa. Od maja firma będzie musiała dysponować oddzielnymi formularzami np. z informacją o przetwarzaniu danych na potrzeby realizacji zamówienia, na potrzeby działań marketingowych czy o udostępnianiu ich osobom trzecim. Klient ma być bardziej świadomy, na co faktycznie się pisze.
Po trzecie, przysłowiowy sklep internetowy będzie miał obowiązek informowania o ewentualnym wycieku danych osobowych. Administrator będzie musiał po prostu dokumentować przypadki naruszenia ochrony danych. Co ważne, według wytycznych RODO, taką wpadkę trzeba będzie bezwzględnie zgłosić w ciągu 72 godzin od stwierdzenia naruszenia.
Założenia RODO a użytkownik
Teraz czas na drugą stronę barykady, czyli klienta. Tutaj zmiany dotyczą oczywiście przede wszystkim tego, gdzie Kowalski powie „stop” w przetwarzaniu jego danych.
Pierwsza najważniejsza zmiana dotyczy profilowania, a więc automatycznej oceny użytkownika pod kątem jego zachowań na stronie, która jest później podstawą doboru reklam. Według RODO, klient będzie miał prawo odmówić profilowania. Mówiąc bardziej obrazowo, kiedy nasz Kowalski wejdzie na stronę sklepu z butami i w regulaminie zaznaczy wszystko oprócz odrębnej zgody na profilowanie, skrypt powinien z automatu wyłączyć kody śledzące. I za Kowalskim nie będą później ciągle biegały banery z butami do joggingu. Tak przynajmniej wygląda teoria.
Część największych serwisów, także informacyjnych, już jakiś czas temu wzięło to sobie do serca. Na pewno to zauważyliście. Do tej pory administratorzy musieli co najwyżej informować o wykorzystaniu plików cookies, ale RODO nakłada obowiązek grzecznego pytania: „Czy mogę?”.
Kolejny zapis, z którego od 25 maja będą mogli skorzystać klienci branży e-commerce, to tzw. prawo do bycia zapomnianym. Użytkownik zyska dzięki temu dwa uprawnienia:
- będzie mógł zażądać usunięcia swoich danych przez administratora strony,
- będzie mógł zażądać przekazania tej informacji innej firmie, jeśli jej także administrator przekazał dane (wtedy ta firma też będzie musiała je usunąć).
Kiedy będzie można skorzystać z prawa do bycia zapomnianym? Chociażby w sytuacji, kiedy klient zakończy zakupy w danym sklepie i nie będzie już chciał mieć z nim nic więcej wspólnego. Argumentem przemawiającym za usunięciem pozostawionych danych będzie to, że informacje nie są już niezbędne firmie do celów, do których je zebrano. Bo zakupy zostały już zrobione.
Ciekawą nowinką jest też prawo do przenoszenia danych. Mówiąc prościej, użytkownik będzie mógł wystąpić do administratora o udostępnienie własnych danych, którymi dysponuje firma, gdyby sam chciał przekazać je innej. Druga opcja jest taka, że klient będzie mógł domagać się bezpośredniego przesłania swoich danych z systemów informatycznych administratora, któremu je pierwotnie przekazała, do „nowej” firmy. Dzięki temu klient będzie miał większą kontrolę nad swoimi danymi.
Osławione RODO niesie ze sobą oczywiście znacznie więcej zmian, ale te powyższe z perspektywy e-biznesu wydają się być najważniejsze. Niektóre z nich mogą być bolesne, bo w pewnych obszarach polityka zarządzania danymi osobowymi zostanie wywrócona do góry nogami, ale trzeba przez to przejść.
Powodzenia!
–
Łukasz Dudko
Założyciel agencji interaktywnej Bloomnet
Od 2009 r. zajmuje się wspieraniem startupów w budowaniu aplikacji, tworzeniu marek oraz prowadzeniu działań wizerunkowych. Wcześniej na Cyprze projektował systemy informatyczne dedykowane branży finansowej.