Dla wszystkich firm operujących w Polsce zaczął biec czas dostosowania się do nowego prawa unijnego, które w 2018 roku zniesie polską ustawę o ochronie danych osobowych. Kary finansowe to nawet 20 mln EUR. Już teraz zacznij przygotowania do zmian, by nie stanąć przed wyborem: kara lub usunięcie danych.

Jednolite prawo ochrony danych w całej Unii

Obowiązujące prawo o ochronie danych osobowych nie nadąża w dobie globalizacji za nowinkami technologicznymi. Parlament Europejski zauważył potrzebę nowelizacji prawa. W kwietniu br. przegłosowano rozporządzenie unijne[1], które ureguluje w całej Unii Europejskiej sprawy przetwarzania i przepływu danych osobowych osób fizycznych, w tym dzieci od 16-go roku życia, chyba, że polski ustawodawca postanowi inaczej.

Zmiany obejmą też firmy spoza UE

Rozporządzeniu będą podlegać wszystkie firmy prowadzące działalność w UE, niezależnie od tego, czy przetwarzanie danych odbywa się w Unii. Nowością jest objęcie przepisami firm, które nie mają siedziby w UE, ale oferują swoje towary i usługi na jej terenie lub monitorują zachowania osób na terenie unijnym. Nie ma znaczenia czy ich działania pociągają za sobą płatność.

Nowe zgody na przetwarzanie danych

Rozporządzenie unijne wprowadza wiele zmian, w tym nowe wymogi, co do zgód na przetwarzanie danych osobowych. Firmy, które do tej pory musiały uzyskać zgodę od osoby fizycznej na przetwarzanie jej danych, muszą do 25 maja 2018 roku uzyskać te zgody ponownie, w nowej formie, tj. o treści zgodnej z nowym prawem.

Zbierając dane bezpośrednio od klienta, zgodnie z nowym prawem, należy podać:

  • swoją tożsamość i dane kontaktowe,
  • dane kontaktowe inspektora ochrony danych (gdy ma sens),
  • cele przetwarzania danych osobowych i podstawę prawną przetwarzania,
  • prawnie uzasadnione interesy realizowane przez administratora,
  • zakres czasu przechowywania danych, a jeśli to niemożliwe, kryteria do wyznaczenia tego zakresu,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego,
  • informacje o prawie do cofnięcia zgody,
  • informacje o prawie wniesienia skargi do organu nadzorczego.

Z dniem wejścia nowego rozporządzenia w życie firmy powinny usunąć dane osób fizycznych, od których nie udało się uzyskać nowych zgód, by uniknąć wysokich kar, gdyż przetwarzaniem jest też przechowywanie danych.

Przed sankcjami może uchronić obowiązek przechowywania danych wynikający z innego prawa, np. obowiązek przechowywania dokumentów księgowych. Działania marketingowe na takich danych będą jednak wykluczone.

Jak pozyskać nowe zgody na przetwarzanie danych?

Aktualizacji zgód można dokonać przy różnych okazjach: ankietowania klientów, podczas konkursu lub przeprowadzając standardową kampanię informacyjną. Dozwolone są formy stosowane obecnie. Ważne jest by osoba miała wybór i wyrażała zgody świadomie.

Zgody przez SMS

Jednym z pomysłów jest umieszczenie reklam graficznych z hasłem zachęcającym do zapisania się na subskrypcję SMS lub emaili poprzez wysłanie SMS na krótki numer. Informacje na grafikach powinny jasno określać, na co osoba fizyczna wyraża zgodę wysyłając SMS, a w odpowiedzi powinna przyjść wiadomość z linkiem do regulaminu/ zgód i instrukcją, jak można wypisać się.

Pozyskiwanie nowych zgód na przetwarzanie danych poprzez SMS, korzystając z usługi TideMobile

Grafika 1: Przykład akcji „Zapisz się przez SMS” w oparciu o usługę TideMobile i zbieranie nowych zgód na przetwarzanie danych.

Zgody przez formularz WWW

Zgody mogą być wyrażane przez formularz WWW. Można przeprowadzić kampanię promocyjną SMS połączoną z loterią, pamiętając o regulaminie. SMS powinien zawierać indywidualny link śledzący przejście do formularza subskrypcji i aktualizacji danych. Ważne, by formularz był responsywny, a dane przesyłane w sposób bezpieczny (szyfrowane łącze) do zabezpieczonej bazy narzędzia marketingowego lub CRM. System musi odnotować datę wyrażenia zgody i wprowadzenia danych do systemu. Nie jest wskazane przechowywanie danych na serwerze strony internetowej.

Wysyłka SMS poprzez narzędzie TideMobile z gotowym formularzem WWW umożliwiającym zbieranie nowych zgód na przetwarzanie danych

Grafika 2: Kampania SMS i gotowy formularz WWW z opcją zbierania nowych zgód na przetwarzanie danych w oparciu o usługę TideMobile.

Długoterminowa akcja zbierania zgód

Przy dużych bazach danych warto zminimalizować koszty. Opisana poniżej ścieżka proponuje rozpoczęcie działań od najtańszej i masowej formy kontaktu, a następnie dołączanie kolejnych form z jednoczesnym zawężaniem grupy docelowej:

KROK 1: kampania emailingowa wysyłana na początku do wszystkich klientów, potem tylko do tych, którzy nie kliknęli w link,

KROK 2: SMS głosowy z ogólną treścią + email do tych, którzy nie zareagowali na kampanię emailingową,

KROK 3: kampania SMS tylko do tych, którzy kliknęli w link email i nie dokonali rejestracji, nie zareagowali w ogóle, nie odebrali telefonu (klikanie w link SMS można śledzić indywidualnie, a SMSem można zaktualizować adres email),

KROK 4: kampania SMS głosowy spersonalizowany z możliwością:

  • poproszenia o przesłanie ponownie emaila lub SMS z linkiem,
  • wyrażenie zgód w trakcie połączenia (możliwa jest automatyczna weryfikacja o czym pisaliśmy w 4 kroki pozyskania danych o rozmówcy),

KROK 5: telemarketing.

Pozyskiwanie nowych zgód na przetwarzanie danych za pomocą połączonych usług telekomunikacyjnych Tide Software.

Grafika 3: Przykład zbierania nowych zgód na przetwarzanie danych w oparciu o połączone usługi telekomunikacyjne Tide Software.

Firmy outsourcingowe, a pozyskanie nowych zgód

Call center, które prowadzi akcję na rzecz zleceniodawcy i w oparciu o bazę zleceniodawcy, nie jest administratorem tych danych, lecz jej procesorem. Odpowiedzialność za zgodność z przepisami bierze na siebie właściciel bazy (administrator), czyli w tym przypadku firma zlecająca akcję.

Nowe obowiązki administratora

Zleceniodawca wybierając firmę outsourcingową będzie miał obowiązek upomnieć ją, by wzięła pod uwagę wymogi prawne spoczywające na nim, jako administratorze. Dla zleceniodawcy poziom zabezpieczenia danych osobowych zapewniany przez firmę outsourcingową będzie zatem miał duże znaczenie.

Nowe obowiązki administratora danych to:

  • przestrzeganie obecnych i nowych praw osób, których dane są przechowywane, tj. do przenoszenia danych i do bycia zapomnianym,
  • przyjęcie wewnętrznej polityki i środków polegających na: minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, tworzeniu i doskonaleniu zabezpieczeń,
  • korzystanie z systemów informatycznych, w których dane osobowe są przechowywane, zgodnych z wymogami stawianymi przez rozporządzenie unijne.

O wymogach stawianych systemom informatycznym (jak usługi Tide Software do masowej wysyłki SMS, email oraz odbierania i nawiązywania połączeń głosowych) napiszemy w kolejnym artykule.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Strona korzysta z plików cookies. Możesz zmienić zasady ich przechowywania i dostępność w ustawieniach przeglądarki. Więcej...