RODO – skrót oznaczający rozporządzenia o ochronie danych osobowych – w ostatnich tygodniach elektryzuje przedsiębiorców, szczególnie tych, którzy prowadzą zaawansowany marketing internetowy. Jesteśmy bombardowani reklamami szkoleń, audytów i certyfikatów oferowanych przez firmy, które mają nas ochronić przed zgubnymi skutkami nowego aktu prawnego. Wokół RODO narosło w ostatnim czasie tyle mitów, że postanowiliśmy się z nimi rozprawić. No bo kto, jak nie my – firma mocno operująca danymi – powinien to zrobić?
Dla kogo RODO?
Dla każdego, kto ma jakikolwiek kontakt z danymi osobowymi. Obowiązywać będzie nie tylko firmy, które na co dzień operują bazami danych (vide: art. 7 pkt. 1 ustawy o ochronie danych osobowych), np. bazą leadów, lecz także te, które po prostu gromadzą, np. dane osobowe kontrahentów, kandydatów ubiegających się o stanowisko, mają tzw. książkę wejść i wyjść czy powszechny monitoring wizyjny. Słowem – praktycznie wszystkie, także te produkcyjne.
Największą zaletą nowego prawa jest to, że jest jednolite dla wszystkich krajów UE. Wada? Brak precyzji, która rodzi lęk przed potencjalnymi konsekwencjami niedostatecznego przygotowania się do zmian na czas. Jak grzyby po deszczu powstają podmioty, które straszą kosmicznymi karami, oferując w zamian usługi mające zapewnić rzekomą stuprocentową ochronę przed nimi.
Dlaczego nie powinieneś bać się RODO
Po pierwsze: w Polsce podobne przepisy obowiązywały już wcześniej
Oznacza to, że jeśli wcześniej zadbałeś o sposób, w jaki przetwarzasz i gromadzisz dane, spełnisz także większość wymogów RODO. Może okazać się, że martwisz się na wyrost, a Twoje procedury ochrony danych są na tyle dobre, że wystarczy je tylko dopracować.
Po drugie: RODO to nie jest nowa sprawa
Przepisy ogólnego rozporządzenia o ochronie danych, o których mówimy, już teraz obowiązują w 28 państwach członkowskich UE. To, czym jesteśmy straszeni, to deadline, jaki postawiono na dostosowanie się do treści tego dokumentu. Upływa on 25 maja 2018 r. tak więc, wbrew pozorom, jest jeszcze wystarczająco dużo czasu, by skutecznie zadziałać.
Po trzecie: nie takie straszne RODO, jak je malują
Nawet, jeśli masz w tej materii sporo do nadrobienia, nie musisz wydawać majątku na wsparcie firm z zewnątrz czy kosztowne certyfikaty. W większości przypadków możesz samodzielnie zadbać o system przetwarzania danych i zgodność procedur z nowymi przepisami. Owszem, wymaga to czasu i wysiłku, jednak jest to w zasięgu Twoich możliwości.
Po czwarte: nie jesteś sam na placu boju
Ministerstwo oferuje pomoc. Przedsiębiorca powinien oczywiście samodzielnie przeanalizować swoje procedury, ale oceną tego, czy dane są należycie zabezpieczone, zajmie się już pracownik urzędu ochrony danych osobowych.
Dlaczego więc RODO wzbudza takie kontrowersje?
RODO to przepisy „technologicznie neutralne”, czyli pozbawione szczegółów związanych z ochroną danych w konkretnych branżach. Fakt, że zapisy nie są w 100% jasne, a przy tworzeniu nowych procedur trzeba niejako improwizować, rodzi wiele wątpliwości… i różnych interpretacji tego samego prawa.
Jednym z pytań, które spędza sen z powiek przedsiębiorców, jest: gdzie leży granica między danymi osobowymi a nieosobowymi, oraz jak dobrze zidentyfikować moment zgody odbiorcy na przesyłanie mu treści marketingowych. Czy na firmowy adres mailowy znaleziony w sieci, np. na stronie internetowej firmy w dziale Kontakt, możemy podesłać ofertę marketingową naszej firmy, czy będzie to uznane za spam?
Najważniejsze zasady
To, co kiedyś było tylko zestawem kilku pytań odnośnie danych osobowych, teraz przybierze formę specjalnie zaprojektowanego systemu ich ochrony. Stworzenie go będzie wymagało przeanalizowania wszystkich procesów, jakie zachodzą w firmie i choćby ocierają się o wykorzystanie danych osobowych, a następnie dopasowanie do nich konkretnych procedur. Chodzi o to, by upewnić się, że każdy, z kim kontaktujesz się w celach marketingowych, wie, że zamierzasz mu te treści przesłać, zgodził się na to, wie, że może się z takich wiadomości w dowolnym momencie wypisać, a także wykasować swoje dane całkowicie. W przeciwnym wypadku, jest to spam.
Oto dwie najważniejsze rzeczy, o których każdy przedsiębiorca chcący dostosować się do RODO, powinien pamiętać:
- nowego, ujednoliconego prawa muszą przestrzegać wszystkie firmy przetwarzające dane osobowe osób zamieszkałych w Unii, i to niezależnie od lokalizacji firmy (tak więc także te zlokalizowane poza UE, np. Facebook)
- Jeśli prowadzisz kampanię marketingową obejmującą odbiorców z różnych krajów, upewnij się, jakie obowiązują w nich przepisy. W Stanach Zjednoczonych jest to ustawa CAN-SPAM, w Kanadzie CASL, w Australii Spam Act 2003.
Co z cold mailingiem?
Internet aż huczy od opinii, że napisanie maila z ofertą czy zapytaniem na adres podany np. w zakładce Kontakt na stronie internetowej potencjalnego Klienta czy kontrahenta, łamie zasady RODO, gdyż na taki kontakt nie została wyrażona uprzednio zgoda. To rodzi niemały lęk i – powiedzmy sobie szczerze – stawia pod znakiem zapytania przyszłość marketingu internetowego w Europie. Firmy przecież muszą się między sobą kontaktować, wysyłać informacje, oferty, wyceny, cenniki. Trudno wyobrazić sobie taką współpracę, gdyby przed wysłaniem każdego maila trzeba byłoby za każdym razem pytać o zgodę. Czy tego właśnie chciałaby Unia?
Celem RODO nie jest unicestwienie europejskiego biznesu, ale ochrona danych konsumenckich i wrażliwych przed marketingowym spamem. Jeśli więc ktoś jest zatrudniony w danej firmie, a na stronie www czy jego profilach w mediach społecznościowych obok funkcji jaką sprawuje podany jest do niego personalny kontakt, to jak najbardziej można się z nim kontaktować w sprawach biznesowych i taki kontakt nie podpada pod RODO.
Co innego, gdy sprawa dotyczy maili personalnych na użytek prywatny. Wiadomość marketingowa wysłana pod taki adres najprawdopodobniej nie jest chciana (chyba, że ta osoba wyraziła wcześniej na nią zgodę, a my dysponujemy dowodem na to, np. wypełnionymi i wysłanym mailowo formularzem double opt-in), a więc jest spamem. Co innego, jeśli prywatny adres email widnieje np. w dziale kontakt małej działalności nieposiadającej firmowych kont mailowych. Wtedy kontakt biznesowy jest uzasadniony.
RODO – dotkliwy obowiązek czy niepowtarzalna szansa na poprawę wizerunku?
Wbrew temu, co wynika z niektórych, mocno przesadzonych interpretacji nowych regulacji unijnych, nie powstały one po to, by utrudniać przedsiębiorcom życie, a nierzadko jest dokładnie przeciwnie. Jeszcze kilka lat temu zbieranie danych wykraczających poza zakres wspomniany w Kodeksie Pracy było zabronione. Teraz jest już możliwe, lecz tylko po tym, jak osoba zainteresowana wyrazi na to pisemną lub elektroniczną zgodę.
Wyjątek? Dane wrażliwe, np. informacje o nałogach, o stanie zdrowia, o życiu seksualnym lub orientacji seksualnej. Tych nadal nie można zbierać ani przetwarzać, nawet mimo udzielonej zgody – jej brak nie może w żaden sposób negatywnie wpłynąć na stosunek pracy. Te właśnie dane wrażliwe i konsumenckie i ich należyta ochrona jest właśnie meritum RODO.
Zamiast zżymać się na to, że UE rzuca kolejne kłody pod nogi, wydawać fortunę na szkolenia i certyfikaty od firm, które ze strachu przed nowym uczyniły swój sposób na biznes, potraktuj RODO jak szansę, by pokazać się jako profesjonalna, odpowiedzialna i współczesna firma. Zważywszy na to, że wiele firm nawet o nadchodzących zmianach nie słyszało, jest to też okazja, by zdobyć cenną przewagę konkurencyjną. Owszem, będzie to wymagało wysiłku, ale zwróci się on z nawiązką.
Patrz racjonalnie
Przeanalizowaliśmy przepisy w wielu krajach, w tym bardzo obszernie unijne RODO, dlatego jesteśmy przekonani, że nowe regulacje poprawią kulturę prowadzenia biznesu, a w dłuższej perspektywie przyczynią się do lepszego wizerunku marketingowców, na czym nam wszystkim bardzo zależy. Zamiast zamartwiać się RODO i w strachu odliczać czas do maja, spróbuj wykorzystać tę niepowtarzalną szansę, ulepszyć swój biznes i przesunąć się o kilka szczebli wyżej w rankingu swojej branży. RODO powstało po to, by nas wszystkich chronić. W końcu każdy z nas, poza byciem przedsiębiorcą, jest też konsumentem.