Dane pod szczególną ochroną. Co RODO zmienia w afiliacji?

By in ,
Dane pod szczególną ochroną. Co RODO zmienia w afiliacji?

25 maja dla niemal wszystkich przedsiębiorców będzie dniem „zero”. Od tego momentu zaczną być egzekwowane przepisy zawarte w Rozporządzeniu o ochronie danych osobowych – RODO. Nowe, bardziej restrykcyjne od obecnie obowiązujących, regulacje w dużej mierze dotyczą branży e-commerce oraz samej afiliacji. Co się zmienia? Jak przystosować powinni się reklamodawcy, sieci afiliacyjne i sami wydawcy?

 Celem RODO (anglojęzyczna nazwa to General Data Protection Regulation – GDPR), jest ujednolicenie ochrony i bezpieczeństwa danych osobowych w całej Unii Europejskiej. Zmianie ulegają obowiązki podmiotów pozyskujących, przetwarzających, magazynujących dane osobowe.

 

Nowa jakość myślenia o przetwarzaniu danych

Wprowadzone zostają dwie zupełnie nowe zasady: privacy by design i privacy by default, które mają ogromny wpływ na to, jak przetwarzane będą dane osobowe w firmach. Obecnie żaden akt prawa polskiego ani unijnego nie definiuje tych pojęć. Pierwszą zasadę określić można „zasadą prywatności w fazie projektowania”, drugą „zasadą prywatności w ustawieniach domyślnych”. Ich treść oraz zakres są ustalane poprzez wskazanie funkcji, jakie spełniać powinny wprowadzane do użytku programy (systemy) przetwarzające dane osobowe.

Podstawowym celem zasady privacy by design jest ochrona prywatności w każdej okoliczności przetwarzania danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową.

Privacy by default zakłada ochronę prywatności jako domyślne ustawienie każdego programu (systemu), a zmiana takiego ustawienia powinna następować jedynie na wyraźne żądanie użytkownika programu.

Odtąd już na etapie kreowania nowych systemów lub technologii, trzeba mieć na uwadze wymaganą przez RODO ochronę danych. Myślenie o bezpieczeństwie tego rodzaju informacji jest wpisane w prace nad każdym projektem, który wiąże się z przetwarzaniem danych osobowych. Ponadto w automatycznych ustawieniach konieczne jest uwzględnienie ochrony danych, przy czym zmiana wymaga aktywnej i świadomej działalności osoby, której te informacje dotyczą.

Firmy przetwarzające dane muszą umożliwić klientowi korzystanie z szeregu praw, między innymi z prawa do bycia zapomnianym, a więc wykreślenia wszelkich danych nie tylko z bazy, ale również z wszelkich innych nośników, jak serwery pocztowe czy dyski komputerów, w tym ze smartfonów pracowników firmy, jeśli tam są np. w programie pocztowym.

Zasada minimalizacji przetwarzanych danych zakłada, że firmy powinny gromadzić i posługiwać się tylko minimalnym zakresem informacji. Utrudnione też ma być profilowanie, czyli zautomatyzowane przetwarzanie danych osobowych.

W przypadku naruszenia bezpieczeństwa danych firmy mają obowiązek reagować. 72 godziny – tyle będzie miał administrator na zgłoszenie wydarzenia, czyli poinformowanie prezesa Urzędu Ochrony Danych Osobowych. W przeciwnym razie grożą poważne restrykcje.

Nowe życie w sieci bez drobnego druczku
Co szczególnie ważne w nowych przepisach, to właśnie fakt, że użytkownik internetu zyskuje narzędzia do świadomego zarządzania swoimi danymi osobowymi.

RODO reguluje także kwestie zarządzania danymi biometrycznymi – liniami papilarnymi, skanami źrenic czy twarzy. Coraz częściej te unikalne kody wykorzystywane są jako klucze autoryzujące dostęp do sprzętu IT.

Istotne jest też, że każdy ma prawo uzyskać od administratora informacje o tym, jakie dane są przetwarzane, w jakim celu, jak zostały pozyskane oraz w oparciu o jaką przesłankę legalizującą odbywa się ten proces.

I jeszcze jedno w tej rewolucji jest kluczowe: w realizacji praw ma pomóc język, w jakim formułowane będą wszelkie komunikaty kierowane do użytkowników. Używanie trudnych, specjalistycznych sformułowań będzie zabronione, tak samo jak utrudnianie zapoznania się z ważnymi informacjami, np. stosowania w komunikatach tzw. metody „drobnego druczku”.

Prawo dla wielkich i małych
Co wydawca, nawet najmniejszy, musi zrobić, aby zgodnie z nowymi przepisami chronić dane osobowe?

– Nowe regulacje nakładają na podmioty, które przetwarzają dane osobowe, w tym na wydawców, niezależnie od tego, jaka jest forma prawna prowadzonej przez nich działalności gospodarczej, obowiązek przedsięwzięcia odpowiednich środków technicznych i organizacyjnych w celu należytego i zgodnego z obowiązującymi przepisami przetwarzania i ochrony danych osobowych – tłumaczy Sebastian Wilk, publisher manager, Awin. – Określony wydawca powinien dążyć do zweryfikowania ryzyka wycieku danych osobowych oraz stosowania odpowiednich zabezpieczeń. Ponadto każdy podmiot przetwarzający dane osobowe powinien kierować się określonymi zasadami zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności.

Kto pilnuje?
Czy po wypełnieniu formularza na stronie wydawcy za ochronę danych potencjalnego klienta odpowiada wydawca, sieć afiliacyjna, czy reklamodawca?

– W tym przypadku za ochronę danych jest odpowiedzialny reklamodawca – nie ma wątpliwości Arkadiusz Fornagiel, head of sales department w Confronter – Porównywarka Finansowa. – Należy pamiętać, że wszystkie reklamy umieszczone na stronie wydawcy kierują pośrednio przez sieć afiliacyjną do strony reklamodawcy, tak więc zarówno wydawca, jak i sieć afiliacyjna, nie mają do nich dostępu.

Kolejną wątpliwość, dotyczącą zapisów na newsletter, rozwiewa Sebastian Wilk, publisher manager, Awin: – Wszelkim podmiotom, w których posiadaniu znajduje się baza subskrybentów zapisanych do listy newsletterowej, sugerowałbym przeprowadzenie audytu związanego z wcześniejszym procesem pozyskiwania zgód na wysyłkę tego typu wiadomości. W szczególny sposób należy przeanalizować, czy jesteśmy w stanie wykazać możliwość uzyskania zgody i czy wycofanie takiej zgody jest tak łatwe, jak jej wyrażenie. RODO w swoim tekście zwraca uwagę na fakt, iż nie jest wyrażeniem zgody: milczenie, okienka domyślnie zaznaczone, niepodjęcie działania itp. Warto więc skonstruować proces pozyskiwania zgód marketingowych w ten sposób, aby były to zgody pozyskane w tzw. procedurze Double Opt-in.

Arkadiusz Fornagiel dodaje, że oprócz aktualnie obowiązujących wymogów prawnych dojdzie też kilka nowych obowiązków informacyjnych. Należeć będą do nich dane kontaktowe ADO, wskazanie okresu, przez który dane będą przechowywane, informacja o prawie do cofnięcia zgody w dowolnym momencie, informacje o prawie do przeniesienia danych osobowych, podanie informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz podanie informacji o prawie wniesienia skargi do organu nadzorczego.

Ekspert ma jednak wątpliwości co do realizacji wspomnianej już zasady bycia zapomnianym.

– W przypadku samodzielnych danych, takich jak numer telefonu czy właśnie adres e-mail, co ma miejsce w przypadku zapisu do newslettera, powstaje pytanie, czy możemy je uznać za dane osobowe. Generalny Inspektor Danych Osobowych wydał opinię, która jednoznacznie potwierdza, iż adres e-mail jest daną osobową, co zmusza nas do wypełnienia wszystkich obowiązków, jakie nakłada na nas RODO również w przypadku zapisu do newslettera. Na szczęście nie będzie wymagane ponowne uzyskanie zgód, o ile zostały pozyskane w sposób zgodny z aktualnymi przepisami…

Rozmowa z Dominiką Skrętowską, country managerem w Adtraction Marketing AB:
Jak nowe regulacje RODO wpłyną na afiliację?

Unijna dyrektywa GDPR dotycząca ochrony danych osobowych mocno wpłynie na całą branżę marketingu online, w tym na rynek afiliacji. Nowe przepisy umożliwiają osobom fizycznym większą ochronę swojej prywatności.

Dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). W rozumieniu ustawy, zakazane jest przekazywanie bez odpowiedniej zgody m.in. takich danych, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji lub co najmniej jednego czynnika określającego tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną osoby fizycznej.

Jakie zmiany czekają internetowych wydawców?

Wydawcy powinni zaktualizować zasady korzystania, regulaminy i politykę prywatności swoich serwisów, aby spełniały wszystkie wymogi RODO. Bazy mailingowe muszą być odpowiednio zabezpieczone, a organizacje, które są ich administratorami, powinny wyznaczyć w swoich strukturach organizacyjnych Inspektora Ochrony Danych Osobowych. Każdorazowa wysyłka e-mail marketingowa powinna być realizowana według wytycznych przedstawionych przez reklamodawców. Przed wysłaniem konkretnej kampanii reklamodawca powinien zaakceptować treść, wygląd i inne szczegóły wiadomości. Wydawcy powinni przestrzegać zasad wysyłek, które wyszczególnione są w zasadach programów afiliacyjnych.

Zmiany dla reklamodawców

Dane, które zbierają w swoich serwisach reklamodawcy, muszą być przetwarzane w należyty sposób, a użytkownicy powinni być o tym poinformowani w zrozumiałej dla nich formie. Cel, w jakim reklamodawca pozyskuje dane osobowe, powinien być jasno określony w momencie pozyskiwania danych. Dane właściciela strony powinny być widoczne i łatwo dostępne. Dostosowanie do nowych regulacji wymaga dużego nakładu pracy dla wszystkich podmiotów, które mają styczność z danymi osobowymi. Ryzyko naruszenia nowych przepisów jest spore, sankcje wysokie, dlatego z wdrożeniem zmian nie warto czekać do ostatniej chwili.

źródło: /Bussinessinsider.com.pl/