7 „złotych” zasad ochrony danych w marketingu bezpośrednim

Artykuł
RODO_grafika

Brak dostępu do profilu, zgoda tylko na profilowanie wykorzystujące słabości, czarna lista zapomnianych – to ciekawostki z przygotowanego przez Polskie Stowarzyszenie Marketingu kodeksu postępowania w branży marketingu bezpośredniego, o uroczym skrócie KODO. Branża kreatywna kreatywnie podeszła również do interpretacji RODO i w swoim kodeksie zaproponowała szereg… ciekawych praktyk, którym przyjrzeliśmy się bliżej. Z przymrużeniem oka wyjaśniamy, jak ma się do nich RODO. Na kodeks zwrócili nam uwagę nasi czytelnicy – dziękujemy!

Zasada 1: W marketingu wszystko jest dozwolone

Fragmenty kodeksu:

  • W przypadku zbierania danych osobowych dla celów marketingowych uznaje się, że większość danych osobowych o klientach lub potencjalnych klientach może być adekwatna do celu marketingowego. Uzasadnione jest to dążeniem do przedstawienia klientowi lub potencjalnemu klientowi rozwiązania, oferty, która go rzeczywiście może zainteresować.
  • Przetwarzanie dla celów marketingowych co do zasady nie jest ograniczone czasowo. Administrator nie ma prawnego obowiązku usunięcia lub zanonimizowania danych przetwarzanych dla celów marketingowych z tego tylko powodu, że upłynął określony czas od daty ich zebrania.

Co na to RODO?

Żeby przetwarzać dane osobowe zgodnie z prawem, trzeba przestrzegać szeregu zasad, m.in. zasady minimalizacji i ograniczenia przechowywania. Minimalizacja oznacza, że można zbierać tylko takie dane, które są niezbędne do osiągnięcia danego celu. Trudno więc z góry uznać, że większość danych może służyć do budowy oferty marketingowej (wątpliwości mogą budzić np. dane wrażliwe). Ograniczenie przechowywania oznacza, że dane mogą być przechowywane tak długo, jak jest to niezbędne do osiągnięcia celu, jednak nie w nieskończoność. Administrator powinien tak czy inaczej ustalić termin usuwania danych – w końcu jeśli od 3 lat odrzucasz wszystkie oferty, to szansa na to, że coś kupisz, jest raczej znikoma.

Zasada 2: Dane wrażliwe przestają być wrażliwe, jeśli zostały zebrane w quizie

Fragment kodeksu:

(…) wskazuje się, że następujące działania na danych podejmowane w celach marketingowych nie stanowią przetwarzania danych wrażliwych:
(…)
3. dane pochodzące z aktywności w sieci i wnioskowanie z nich,
4. zbieranie odpowiedzi na pytania w quizach, zbieranie danych podawanych w związku z udziałem w promocjach i programach lojalnościowych.

Co na to RODO?

Dane m.in. o stanie zdrowia, pochodzeniu etnicznym lub rasowym, poglądach politycznych, przekonaniach religijnych czy seksualności to tzw. dane wrażliwe, które podlegają szczególnej ochronie, niezależnie od źródła, z którego pochodzą. Oznacza to, że informacje o tym, na jaką chorobę cierpisz, są wrażliwe niezależnie od tego, czy będą wynikać z Twojej internetowej aktywności; czy podasz je w quizie, w formularzu programu lojalnościowego, czy też wykrzyczysz je na ulicy.

Zasada 3: Zgoda jest potrzebna tylko na profilowanie wykorzystujące słabości

Fragmenty kodeksu:

  • Profilowanie w działalności marketingowej generalnie nie podlega regulacjom art. 22 RODO [zautomatyzowane podjęcie decyzji]. Oznacza to, że profilowanie dla potrzeb marketingowych generalnie nie wymaga uzyskiwania od osoby, której dane dotyczą, odrębnej zgody.
  • Profilowanie dla celów marketingowych na zasadzie wyjątku może wymagać uzyskania odrębnej zgody od osoby, której dane dotyczą, jeżeli realizowane jest w sposób kierunkowy, inwazyjny i z założenia jego rezultaty mogą mieć istotny, negatywny wpływ na daną osobę. Przykład: Wykorzystywanie profilowania i automatycznych środków komunikowania w celu wyszukiwania osób, które mają kłopoty finansowe, są istotnie zadłużone, po to, by kierować do nich reklamy gier liczbowych lub loterii pieniężnych.

Co na to RODO?

Profilowanie to wykorzystywanie danych osobowych do wyciągania wniosków na temat danej osoby. Może mieć dwie formy: profilowania zwykłego i profilowania, które skutkuje automatycznym podjęciem decyzji. W tym drugim przypadku administrator musi posługiwać się odpowiednią podstawą prawną wynikającą z art. 22 RODO (zgoda, przepis ustawy lub niezbędność do zawarcia umowy). Tobie zaś przysługują dodatkowe prawa, np. prawo do wyjaśnienia decyzji i do uzyskania ludzkiej interwencji.

Zdaniem autorów kodeksu profilowanie w celach marketingowych generalnie nie wymaga Twojej zgody. Zgody wymaga jedynie wtedy, kiedy będzie „profilowaniem negatywnym”. Rozróżnienie na negatywne i pozytywne skutki profilowania nie znajduje oparcia w RODO. Z kolei wykorzystywanie danych do zwykłego profilowania podlega ogólnym zasadom. Oznacza to, że administrator powinien określić właściwą podstawę prawną przetwarzania danych. W zależności od okoliczności zazwyczaj będzie to zgoda lub uzasadniony interes. W tym drugim przypadku administrator powinien wziąć pod uwagę „racjonalne oczekiwania osoby, której dane dotyczą”. To znaczy, że jeśli nie masz podstaw racjonalnie oczekiwać, że będziesz profilowany/-a, administrator musi poprosić Cię o zgodę na to. Niezależnie od podstawy prawnej ma też obowiązek poinformować Cię, że wykorzystuje Twoje dane do profilowania w określonym celu.

Zasada 4: Profil zakupowy to nie dane osobowe

Fragment kodeksu:

Prawo dostępu do informacji obejmuje wyłącznie dane podane przez osobę, której dane dotyczą, oraz dane zebrane od osób trzecich. Prawo to nie obejmuje danych wytworzonych przez Administratora na podstawie zebranych danych (np. stwierdzone przez Administratora preferencje zakupowe).

Co na to RODO?

Dane osobowe to każda informacja o możliwej do zidentyfikowania osobie fizycznej, również ta, której ta osoba wprost nie podała, a nawet informacja nieprawdziwa. Prawo dostępu do danych obejmuje również dane wywnioskowane przez administratora, np. profil zakupowy. Autorzy kodeksu chcą wprost ograniczyć to prawo, mimo że brak do tego jakichkolwiek podstaw prawnych.

Ten fragment wyjątkowo nas zdenerwował. W Panoptykonie ze szczególną wytrwałością walczymy o dostęp do efektów profilowania, czyli do trzeciej – po tym, co udostępniasz i co zdradza Twoja aktywność – warstwy cyfrowego profilu.

Zasada 5: Ci, którzy chcą, żebyśmy o nich zapomnieli, trafiają na czarną listę

Fragment kodeksu:

Prawo do bycia zapomnianym w działalności marketingowej wiąże się z istotnymi problemami praktycznymi. W szczególności w ramach działalności marketingowej konieczne jest zapewnienie rozliczalności w zakresie źródeł uzyskania danych oraz uzyskania zgód na elektroniczną oraz telekomunikacyjną komunikację handlową. Jeżeli marketer zupełnie „zapomni” daną osobę, to w przyszłości nie będzie w stanie obronić się przed zarzutami tej osoby co do zgodności z prawem wcześniejszych działań w obszarze marketingu, a to może narazić marketera na istotne sankcje. W celu uniknięcia powyższej sytuacji uznaje się, że Administrator jest uprawniony do stworzenia wewnętrznej „czarnej listy” osób, które skorzystały do prawa do bycia zapomnianym, do której dostęp będą mieli wyłącznie upoważnieni pracownicy.

Co na to RODO?

RODO nie stoi naszym zdaniem w sprzeczności z interpretacją autorów kodeksu – można w celach archiwalnych i w celu obrony przed roszczeniami zachować przez określony czas informację o tym, że ktoś skorzystał z prawa do bycia zapomnianym. Jednak sugerowane określenie grupy osób, które ośmieliły się skorzystać ze swoich praw – „czarna lista” – wydaje się co najmniej niefortunne.

Zasada 6: Bez przesady z anonimizacją

Przykład anonimizacji według kodeksu:

Dane osobowe: Izabela Nowak, zam. ul. Mickiewicza 13/26, 60- 858 Poznań, urodzona 11-04-1979
e-mail i.nowak@onet.pl zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-
12-24.
Dane zanonimizowane: Ixxxxxx N1265, zam. w Poznaniu, e-mail: xxx@onet.pl, urodzona 11-04-
1979, zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12-24.

Co na to RODO?

Dane osobowe to informacje o możliwej do zidentyfikowania osobie. Do identyfikacji może dojść pośrednio – nie w każdym przypadku administrator musi znać imię i nazwisko tej osoby, wystarczy, że będzie mógł ją wyróżnić wśród innych. Anonimizacja polega na takim przekształceniu danych osobowych, że zidentyfikowanie konkretnej osoby staje się trwale niemożliwe. Innym sposobem zabezpieczenia danych jest pseudonimizacja – proces, który polega na usunięciu pewnych informacji (dzięki czemu osoby już nie można zidentyfikować) i przechowywaniu tych informacji w innym miejscu. Pseudonimizację można więc odwrócić. Podany przez autorów kodeksu przykład nie jest właściwym przykładem danych zanonimizowanych. Mamy nawet wątpliwości, czy zwykłe zakrycie imienia, nazwiska i adresu-email będzie skuteczną pseudonimizacją, skoro pozostawiono takie informacje jak data urodzenia, miejscowość czy daty rejestracji i rezygnacji z rejestracji. Ich kombinacja pozwala przecież odróżnić tę osobę od innych osób w bazie, a już to wystarczy do identyfikacji na gruncie RODO. Musiałoby dojść do wyjątkowego zbiegu okoliczności, żeby w bazie było więcej osób, które urodziły się, zarejestrowały w serwisie i zrezygnowały z rejestracji dokładnie w tych samych datach.

Zasada 7: Profilowanie jest najwyższą korzyścią dla profilowanych i dla gospodarki

Fragmenty kodeksu:

  • Nie budzi wątpliwości, że marketing produktów, usług lub generalnie działalności przedsiębiorstw i organizacji będących administratorami danych, jest niezbędnie konieczny dla rozwoju gospodarki
  • Kierowanie profilowanych komunikatów pozwala unikać marnowania czasu odbiorców. (…) Profilowanie w marketingu jest więc działaniem dającym korzyści profilującym oraz profilowanym

Co na to RODO?

Kodeksy postępowań mają za zadanie ułatwić interpretację przepisów o ochronie danych osobowych w poszczególnych branżach. RODO oczywiście nie zabrania odwoływać się w treści kodeksu do różnych idei, ale czytając kodeks, mieliśmy miejscami wrażenie, że mamy do czynienia z peanem na cześć marketingu, a nie z dokumentem prawnym, który ma być przedstawiony do zatwierdzenia Prezesowi UODO. Nie wątpimy, że są osoby, które kochają profilowany marketing i z prawdziwą przyjemnością rozmawiają o prezentacji garnków akurat w ich miejscowości, ale domyślamy się, że istnieje też grupa, którą zaskakująco dobrze dopasowane komunikaty raczej przerażają, niż wprawiają w zachwyt.

W pierwszym tygodniu marca przedstawimy autorom na piśmie nasze uwagi – w zdecydowanie poważniejszym tonie. Jeśli chcesz podzielić się z nami swoimi przemyśleniami, napisz je w komentarzu lub wyślij e-mail na: fundacja@panoptykon.org.

Aktualizacja z 14 marca 2019:

Uwagi do kodeksu przesłane do Polskiego Stowarzyszenia Marketingu dostępne są już w naszej bibliotece.

Karolina Iwańska

Współpraca: Anna Obem, Wojciech Klicki

Polskie Stowarzyszenie Marketingu: Projekt kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działalności marketingu bezpośredniego (KODO) [PDF, 669 KB]

Wesprzyj nas w walce ze złymi praktykami firm. Przekaż swój 1% podatku Fundacji Panoptykon! Nasz nr KRS: 0000327613.

Komentarze

Co do komentarza do zasady 5: na cele ustalenia, dochodzenia lub obrony roszczeń wolno zachować tylko tyle danych "zapominanego" podmiotu, ile to do tych celów niezbędne. Wydaje się zbędne trzymanie faktycznie całych rekordów dot. tej osoby z imieniem, nazwiskiem i adresem zamieszkania na czele, podczas gdy do obrony przed roszczeniami wystarczyć może jedynie adres e-mail i np. historia zakupów.

Komentarz do zasady 6: do anonimizacji dochodzi, jak rozumiem, po tym, gdy nie będzie podstawy do przechowywania danych "zapomnianych" w celach obrony roszczeń. Jednak do celów statystycznych i badawczych można przetwarzać dane zanonimizowane, a trudno tworzyć statystyki bez zachowania np. historii zakupów. Ta jednak może jednak dostarczać informacji o możliwej do zidentyfikowania osobie fizycznej. Więc to nie jest taka prosta sprawa...
Druga sprawa - czyż pogodzeniem prawa do usunięcia i anonimizacji nie byłoby hashowanie danych osobowych? Adres e-mail będący identyfikatorem użytkownika, po zahashowaniu staje się nieodwracalny, bo nie istnieje klucz pozwalający na jego "odszyfrowanie" oprócz samej danej osobowej, której oczywiście ADO nie przechowuje - zatem to nie jest pseudonimizacja. Jednakże, na potrzeby obrony roszczeń, przynajmniej ze strony klienta, możliwe byłoby ustalenie zasadności roszczeń po zahashowaniu jego maila, za pomocą którego zgłosił roszczenie, i porównanie go z bazą hashy, co pozwoliłoby na wyodrębnienie rekordów pozwalających na uznanie lub odrzucenie roszczenia.

Dodaj komentarz