Artykuł 03.02.2022 10 min. czytania Tekst Image W styczniu trafiła do nas druga wersja kodeksu ochrony danych osobowych w marketingu bezpośrednim. Autorzy poważnie potraktowali zgłoszone uwagi i przygotowali bardzo konkretny i przydatny materiał, w którym znalazła się bogata lista trafnie dobranych przykładów dobrych i złych praktyk. Mniej powodów do zadowolenia będą mieć osoby prowadzące działalność, których kodeks nie chroni przed niechcianymi działaniami marketingowymi. Po lekturze pierwszej wersji kodeksu nie mogliśmy się powstrzymać przed żartobliwym skomentowaniem kreatywnego podejścia autorów do przepisów o ochronie danych osobowych. Różnica między pierwszą a drugą wersją jest jednak kolosalna (poniżej tabelka z porównaniem). Na plus oceniamy też precyzyjny i przejrzysty język dokumentu. Niestety kodeks otwiera drzwi do innego traktowania podmiotów profesjonalnych (np. osób prowadzących jednoosobowe działalności gospodarcze) i konsumentów. Autorzy kodeksu uznają na przykład z góry, że dane profesjonalistów można przekazywać innym podmiotom bez ich zgody, opierając się na uzasadnionym interesie. O ile takie podejście jest zrozumiałe z perspektywy prawa ochrony konsumentów, to w naszej opinii nie znajduje uzasadnienia na gruncie RODO, które nie wprowadza innych praw dla konsumentów, a innych dla osób prowadzących działalność gospodarczą. W obu przypadkach mamy do czynienia z danymi osobowymi, które podlegają tej samej ochronie. To, czy w przypadku przetwarzania danych osób prowadzących działalność gospodarczą można się powoływać na uzasadniony interes, powinno wynikać z analizy konkretnej sytuacji, a nie być z góry dozwolone. W niektórych przypadkach fakt prowadzenia biznesu będzie przemawiał za tym, że te osoby będą miały racjonalne podstawy oczekiwać działań marketingowych wobec nich – jednak nie zawsze. Kodeks powinien to niuansować, zwłaszcza że dotychczas osoby prowadzące działalność skarżyły się – również nam – na uporczywe i niechciane działania marketingowe wobec nich. Siedem „złotych” zasad – jak było, a jak jest Zasada 1. W marketingu wszystko jest dozwolone Było Jest Nasz komentarz „Większość danych osobowych o klientach lub potencjalnych klientach może być adekwatna do celu marketingowego”. pkt 24 „Zbierając dane osobowe do celów marketingu bezpośredniego, marketer powinien z góry określać zakres danych, które zamierza zbierać. Marketer powinien móc w sposób jasny i czytelny wykazać, że ustalony zakres danych jest niezbędny do działań marketingu bezpośredniego, które ten marketer chce realizować”. Kolosalna różnica na plus, która uwzględnia zasadę minimalizacji danych. „[Przetwarzanie danych] co do zasady nie jest ograniczone czasowo”. pkt 25 „Marketer powinien okresowo weryfikować, czy ustalony przez niego pierwotnie zakres danych jest adekwatny do celów marketingu bezpośredniego, które ten marketer realizuje lub chce realizować. Sugerowane jest coroczne przeprowadzanie takiej weryfikacji”. pkt 91 „W przypadku, gdy w ustalonym przez marketera czasie nie będzie występował kontakt marketingowy oraz brak będzie jakichkolwiek transakcji na linii marketer – osoba, której dane dotyczą, marketer obowiązany jest podjąć decyzję o zasadności pozostawienia danych osobowych w swojej bazie marketingowej. Jeśli marketer nie znajduje żadnej podstawy dla dalszego przetwarzania takich danych do celów marketingu bezpośredniego, powinien je usunąć”. Bardzo dobra zmiana, która uwzględnia zasadę ograniczenia przechowywania danych. Zasada 2. Dane wrażliwe przestają być wrażliwe, jeśli zostały zebrane w quizie Było Jest Nasz komentarz „(…) Wskazuje się, że następujące działania na danych podejmowane w celach marketingowych nie stanowią przetwarzania danych wrażliwych: (…) 3. dane pochodzące z aktywności w sieci i wnioskowanie z nich, 4. zbieranie odpowiedzi na pytania w quizach, zbieranie danych podawanych w związku z udziałem w promocjach i programach lojalnościowych”. pkt 27 „Następujących przypadków nie uznaje się za przetwarzanie szczególnych kategorii danych (tzw. danych wrażliwych): (d) dane pochodzące z aktywności w sieci i wnioskowanie z nich”. Autorzy na szczęście usunęli wzmiankę o tym, że dane pochodzące z quizu nie będą nigdy wrażliwe, ale niestety dalej zakładają, że dane wywnioskowane z naszej aktywności nie będą uznawane za wrażliwe. To prawda, że najczęściej nimi nie będą, ale podtrzymujemy naszą uwagę, że nie można tego zakładać. Zasada 3. Zgoda jest potrzebna tylko na profilowanie wykorzystujące słabości Było Jest Nasz komentarz Profilowanie w działalności marketingowej generalnie nie podlega regulacjom art. 22 RODO [zautomatyzowane podjęcie decyzji]. Oznacza to, że „profilowanie dla potrzeb marketingowych generalnie nie wymaga uzyskiwania od osoby, której dane dotyczą, odrębnej zgody”. „Profilowanie dla celów marketingowych na zasadzie wyjątku może wymagać uzyskania odrębnej zgody od osoby, której dane dotyczą, jeżeli realizowane jest w sposób kierunkowy, inwazyjny i z założenia jego rezultaty mogą mieć istotny, negatywny wpływ na daną osobę. Przykład: wykorzystywanie profilowania i automatycznych środków komunikowania w celu wyszukiwania osób, które mają kłopoty finansowe, są istotnie zadłużone, po to, by kierować do nich reklamy gier liczbowych lub loterii pieniężnych”. pkt 63 „Jeśli dochodzi do profilowania do celów marketingu bezpośredniego, to w zdecydowanej większości przypadków nie wywołuje ono wobec osoby, której dane dotyczą, skutków prawnych ani nie wpływa na taką osobę w podobny sposób. W związku z tym nie stanowi podejmowania decyzji, o których mowa w art. 22 RODO”. Pkt 64 „W niektórych przypadkach profilowanie do celów marketingu bezpośredniego może jednak wpływać na osobę, której dane dotyczą, w sposób istotny i podobny do skutków prawnych, a więc stanowić podejmowanie decyzji, o których mowa w art. 22 RODO. Będzie tak wówczas, gdy jest realizowane w sposób kierunkowy, inwazyjny i z założenia jego rezultaty mogą mieć istotny, negatywny wpływ na daną osobę. Tego rodzaju profilowanie do celów marketingu bezpośredniego nie może być realizowane w sposób wyłącznie zautomatyzowany (bez ludzkiej interwencji) – chyba, że marketer uzyska najpierw wyraźną zgodę od osoby, której dane dotyczą. W takim przypadku marketer musi być w stanie wykazać, że przed rozpoczęciem profilowania uzyskał taką wyraźną zgodę. Oznacza to, że marketer ma obowiązek uzyskać zgodę również od takiej osoby, wobec której finalnie – w wyniku profilowania – nie zdecyduje się podejmować działań marketingowych”. Bardzo dobre zmiany, ponieważ uwzględniają wiodącą wykładnię art. 22 RODO, zgodnie z którą mogą się zdarzyć sytuacje, w których będziemy mieć do czynienia z automatycznymi decyzjami istotnie wpływającymi na osobę poddaną profilowaniu. Dużo jaśniej jest też opisane, kiedy na profilowanie potrzebna jest zgoda. Zasada 4. Profil zakupowy to nie dane osobowe Było Jest Nasz komentarz „Prawo dostępu do informacji obejmuje wyłącznie dane podane przez osobę, której dane dotyczą, oraz dane zebrane od osób trzecich. Prawo to nie obejmuje danych wytworzonych przez Administratora na podstawie zebranych danych (np. stwierdzone przez Administratora preferencje zakupowe)”. pkt 108 „Prawo dostępu do danych obejmuje dane podane przez osobę, której dane dotyczą, dane zebrane od osób trzecich oraz dane wytworzone przez marketera na podstawie zebranych danych (np. stwierdzone przez marketera preferencje zakupowe)”. Zmiana zdecydowanie na plus: dane osobowe to również dane wywnioskowane lub inaczej wytworzone przez administratora (np. predykcje naszych cech lub zainteresowań). Niedawno potwierdził to Prezes UODO w decyzji w naszej sprawie przeciwko Interii. Zasada 5. Ci, którzy chcą, żebyśmy o nich zapomnieli, trafiają na czarną listę Było Jest Nasz komentarz „Administrator jest uprawniony do stworzenia wewnętrznej »czarnej listy« osób, które skorzystały do prawa do bycia zapomnianym, do której dostęp będą mieli wyłącznie upoważnieni pracownicy”. pkt 112 „Jeżeli marketer realizujący marketing bezpośredni całkowicie usunie dane dotyczące określonej osoby (»zapomni« taką osobę), to w przyszłości nie będzie w stanie wykazać zgodności z prawem wcześniejszych działań marketingu bezpośredniego. Może to narazić takiego marketera na istotne sankcje, w tym karę administracyjną. W celu uniknięcia powyższej sytuacji marketer jest uprawniony do stworzenia wewnętrznej listy osób, które skorzystały z prawa do bycia zapomnianym, do której dostęp będą mieli wyłącznie upoważnieni pracownicy, np. administrator systemów informatycznych oraz osoba odpowiedzialna w organizacji za dane osobowe (możliwie minimalny krąg osób). W ramach takiej listy mogą być przechowywane podstawowe dane osoby, która skorzystała z prawa do bycia zapomnianym oraz wszelkie dane oraz informacje pozwalające na zapewnienie rozliczalności działań marketera. Dostęp do tego rodzaju listy może być uzasadniony wyłącznie tym, że jest to niezbędne marketerowi do wykazania zgodności z prawem jego działań marketingu bezpośredniego, które realizował przed uwzględnieniem żądania usunięcia danych określonej osoby. Przykładem takiej sytuacji może być kontrola organu nadzorczego”. Nowa wersja kodeksu nie posługuje się już szkodliwym określeniem „czarna lista” i dużo lepiej wyjaśnia, po co marketerzy powinni przez pewien czas zachowywać dane osób, które skorzystały z prawa do zapomnienia. Zasada 6. Bez przesady z anonimizacją Było Jest Nasz komentarz „Dane osobowe: Izabela Nowak, zam. ul. Mickiewicza 13/26, 60- 858 Poznań, urodzona 11-04-1979, e-mail i.nowak@onet.pl zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12-24. Dane zanonimizowane: Ixxxxxx N1265, zam. w Poznaniu, e-mail: xxx@onet.pl, urodzona 11-04-1979, zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12-24”. „Dane osobowe: Izabela Nowak, zam. ul. Mickiewicza 13/26, 60-858 Poznań, urodzona 11-04-1979, e-mail: i.nowak@onet.pl, zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12-24. Dane zanonimizowane: xxxxxxa N1265, zam. w Poznaniu, e-mail: xxx@xxxx.pl, urodzona xx-xx-1979, zarejestrowana w serwisie 2012-03-12, zrezygnowała z rejestracji 2017-12-24”. Niestety w podanym przykładzie nadal mamy do czynienia z błędną anonimizacją. Unikalne informacje o dacie rejestracji i rezygnacji w połączeniu z rokiem urodzenia i miejscem zamieszkania z dużym prawdopodobieństwem pozwalają na identyfikację (choćby pośrednią) konkretnej osoby. To z całą pewnością nie jest anonimizacja, a nawet wątpliwe jest to, czy mamy do czynienia ze skuteczną pseudonimizacją. Zasada 7. Profilowanie jest najwyższą korzyścią dla profilowanych i dla gospodarki Było Jest Nasz komentarz „Nie budzi wątpliwości, że marketing produktów, usług lub generalnie działalności przedsiębiorstw i organizacji będących administratorami danych jest niezbędnie konieczny dla rozwoju gospodarki. Kierowanie profilowanych komunikatów pozwala unikać marnowania czasu odbiorców. (…) Profilowanie w marketingu jest więc działaniem dającym korzyści profilującym oraz profilowanym”. pkt 61 „Kierowanie profilowanych komunikatów marketingowych pozwala unikać marnowania czasu odbiorców poprzez prezentowanie im komunikatów (np. ofert), co do których istnieje możliwość, że nie będą budziły zainteresowania odbiorcy. Daje to również oszczędności finansowe organizacji, ponieważ ze swoją komunikacją marketingową zwraca się wyłącznie do osób, co do których jest bardziej prawdopodobne, że odpowiedzą na komunikację (np. skorzystają z oferty). Profilowanie w marketingu jest więc działaniem dającym korzyści zarówno osobom, których dane dotyczą (profilowanym), jak i marketerom (profilującym)”. W stosunku do pierwotnej wersji kodeksu opinia na temat korzyści płynących z marketingu bezpośredniego, choć wciąż subiektywna, jest nieco bardziej stonowana. Karolina Iwańska, Anna Obem Polskie Stowrzyszenie Marketingu: nowa wersja kodeksu z uwagami Fundacji Panoptykon [PDF] Polecamy: Panoptykon: 7 „złotych” zasad ochrony danych w marketingu bezpośrednim Anna Obem Autorka Temat reforma ochrony danych Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Poradnik RODO w programowaniu, czyli jak wpisać ochronę danych w proces tworzenia narzędzi informatycznych W Polsce 100% dużych i średnich firm zbiera dane, ale nie bardzo wie po co – aż 77,5% nie widzi potrzeby ich wykorzystywania. Na gruncie RODO nie ma miejsca na lekkomyślne podejście do danych, a dbałość o ich ochronę musi na stałe zagościć w checklistach osób tworzących narzędzia, w których dane są… 20.03.2019 Tekst Artykuł RODO vs sztuczna inteligencja – pierwszy podcast Panoptykonu Do dnia zero – 25 maja – zostało tylko kilka dni. To wtedy zacznie w pełni obowiązywać RODO (rozporządzenie o ochronie danych osobowych), które – w niektórych kręgach – ma wyjątkowo złą prasę. Czy słusznie? Zapraszamy na rozmowę Katarzyny Szymielewicz z Fundacji Panoptykon z Aleksandrą… 18.05.2018 Tekst Podcast Rok po RODO. Rozmowa z Wojciechem Wiewiórowskim Co z ochroną danych mają wspólnego elektrownie? O czym rozmawiają samochody za naszymi plecami? Czy głodni sędziowie wydają surowsze wyroki? I czego powinni obawiać się fani zespołu Dezerter? Z okazji nadchodzącej rocznicy RODO do rozmowy o największych wyzwaniach, jakie stoją przed… 16.05.2019 Dźwięk