Jedną z najważniejszych kwestii, które wprowadza RODO jest pojawienie się dwóch owych procedur związanych z przetwarzaniem danych. Mam tu na myśli privacy by design i privacy by default.
#Privacy by design – zasada prywatności w fazie projektowania
Idąc za zapisami rozporządzenia, znajdziemy informację, że:
„…uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.”
Co to oznacza? Już na etapie planowania projektowania całego systemu albo wykorzystywanej technologii, które służą Ci do zbierania leadów należy uwzględniać ryzyko, jakie ze sobą niesie przetwarzanie pozyskiwanych danych. Korzystaj tylko z takich, które zapewniają ich właściwe przetwarzanie i ochronę.
Czyli, jeśli chcesz stworzyć formularz do zbierania leadów, zastanów się już na etapie jego planowania, z jakich narzędzi skorzystasz, jak będzie wyglądał cały proces służący do ich obsługi – gdzie wpadną, kto będzie miał do nich dostęp itd. O ile w przypadku małych firm i blogerów zakłada się, że zasada ta pozostanie jako dobra praktyka, bo większość dostępów o procedur skupia się na jednej osobie, tak duże firmy, w których dostęp do danych mają różne działy, osoby i na różnych etapach ich przetwarzania, obliguje to więc firmy do przygotowania konkretnych, obowiązujących zasad postępowania.
#Privacy by default – zasadą prywatności w ustawieniach domyślnych
Procedura ta wymaga, aby każdy system, w którym przetwarzamy dane osobowe w swoich domyślnych ustawieniach miał przypisaną ochronę danych osobowych. W zapisie rozporządzenia znajdziemy:
„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.”
Co to oznacza?
Że będziesz mogła pozyskiwać tylko te dane, które są niezbędne do realizacji określonego wcześniej zadania.
Przykład? Zamieściłaś na swojej stronie internetowej formularz, w którym masz dość dużo pól, o których wypełnienie prosisz użytkowników. Wśród tych danych, poza adresem email, imieniem, prosisz o nazwisko, adres zamieszkania, numer telefonu. Obie doskonale wiemy, że do wysyłki newslettera wystarczy Ci sam adres email, zaś pozostałe dane są niepotrzebne.
Od maja pozyskiwanie tych danych będziesz musiała uzasadnić. Jeśli nie jesteś w stanie tego zrobić, ogranicz się do pobierania samego adresu email i ewentualnie imienia. Co ważne, jeśli pozyskiwałaś dane w jakimś konkretnym celu, np. chciałaś przeprowadzić webinar i miałaś osobno zapisanych nań chętnych, w myśl nadchodzących zmian, po odbyciu się webinaru, czyli zrealizowaniu celu, pozyskane dane powinny zostać zniszczone.
Dodatkowo, podczas prowadzenia zapisu na ów webinar musisz poinformować użytkownika udostępniającego swoje dane, w jakim okresie o jego odbyciu się, podane dane zostaną zniszczone.
O ile w przypadku zasady privacy by design wszystko jest jasne, tak w przypadku drugiej zasady jest mnóstwo interpretacji i niejasności.
Jak połączyć organizację wydarzeń, rozdawanie prezentów w oparciu o lead magnet i budowę newslettera? Najlepiej zweryfikować posiadaną strategię uwzględniając w niej nowe przepisy. Rozłożyć na czynniki pierwsze, zaplanować z wyprzedzeniem i zadbać o posiadanie odpowiednich klauzul, które zabezpieczą zarówno osoby zostawiające swoje dane jak i Ciebie.
Nie wystarczy już jedna, ogólna zgoda, w której informujesz o newsletterze.
Jeśli organizujesz webinar i przy tej okazji chcesz budować swoją bazę subskrybentów, powinnaś zamieścić zgody: na dołączenie do bazy odbiorców newslettera, na otrzymywanie informacji o webinarze oraz zgodę o charakterze marketingowym lub handlowym – to zależy od strategii i późniejszego pomysłu na dalszą eksploatację tychże danych, ale zbierając te dane powinnaś mieć już określone jasno cele.
A co z danymi, które już są w Twoim posiadaniu?
Czy powinnaś pozyskać ponowne zgody na kontakt drogą elektroniczną od swoich subskrybentów? Obecne stanowisko GIODO jest następujące – jeśli pozyskiwałaś je zgodnie z nadchodzącymi procedurami to nie ma potrzeby ponownej ich weryfikacji. Dlatego tak ważnym jest pilnowanie, aby Twoje formularze zawierały odpowiednie treści przy wymaganych checkboxach, aby zgody nie były wymuszane, a ich treść była jasna do zrozumienia.
No, to zasady prywatności mamy objaśnione 🙂 Jeśli masz jakieś wątpliwości, pytania lub uwagi do dzisiejszego wpisu, koniecznie daj znać w komentarzu.
Tymczasem pozdrawiam,
Oj, zaczynam się gubić… Czyli prowadząc newsletter i mając w planie przesyłać ofertę na moje produkty płatne(w przyszłości), już teraz powinnam mieć dwa checkboxy? Nie wiem, czy pamiętasz, jak brzmiał ten co już mam. Jeśli mogłabyś się do niego odnieść to super.
Zdania są podzielone. Teoretycznie wystarczy jeden – sama też tak mam, ale to niestety do końca zgodne z nadchodzącymi zasadami, bo… ktoś może chcieć nasz newsletter ale nie chcieć ofert. Trzeba to rozgraniczyć. Czekam na nową funkcjonalność od MailierLite i będę zmieniać checkboxy.
A ja mam pytanie trochę z innej beczki. Dopiero niedawno założyłam Mailerlite i nie wiem jak to zrobiaby zawrze z nimi umowę o udostepnianie danych, nie wiem gdzie to znależc
Beata, od niedawna zmienili procedurę. Napisz do ich supportu i poproś o umowę o powierzeniu przetwarzania danych. Obecnie podpisanie jej odbywa się elektronicznie (w końcu), więc to będzie rach-ciach.