Marek Woźniak
O tym, że w maju 2018 roku zacznie mieć zastosowanie Rozporządzenie o Ochronie Danych Osobowych czyli tzw. RODO, możemy dowiedzieć się z mediów. Sensacyjne nagłówki wieszczące zagładę branży marketingu widać coraz częściej. Jak zmieni się public relations po wejściu w życie nowych regulacji? Na to pytanie postaramy się odpowiedzieć.
Nowe regulacje są niewątpliwie drogą w dobrym kierunku, porządkującą obrót danymi i chroniącą interesy jednostki. Biznesowi zdejmuje z głowy pewne uciążliwości formalne i odnosi się do kwestii przepływu danych. Obciąża jednak odpowiedzialnością za zabezpieczenie danych i wymaga ich rozliczalności. Nowością jest podejście do ochrony danych oparte na ocenie ryzyka, co z kolei powoduje wiele wątpliwości jak to ryzyko oceniać. Zwracają uwagę zawarte w rozporządzeniu mechanizmy kodeksów postępowań, które mogą pomagać w interpretacji przepisów w konkretnych branżach. Co wiadomo już dzisiaj?
Brak obowiązku rejestracji baz danych
Odpadnie obowiązek rejestracji w urzędach baz danych kontaktów medialnych, czy baz subskrybentów newsletterów. Co prawda, wielu PR-owców nie miało świadomości istnienia takiego obowiązku lub łatwiej było im udawać, że taki obowiązek nie dotyczy komunikacji z mediami.
IP i cookies to dane osobowe
Rozporządzenie rozszerza pojęcie danych osobowych. Są nimi już nie tylko imię, nazwisko, czy mail, ale także numer IP, cookies czy dane biometryczne. Pytanie co to będzie oznaczać chociażby w kontekście korzystania z Google Analytics?
Cele przetwarzania danych
Nowe regulacje położą większy nacisk na definiowanie celów przetwarzania danych oraz brak możliwości przetwarzania w innych celach. Czyli jeżeli zdefiniujemy cel jako „wysłanie informacji prasowych”, nie będziemy mogli wysłać zaproszeń na konferencje prasowe. Dlatego przy projektowaniu procesu gromadzenia bazy danych, bardzo istotne będzie określenie celu przetwarzania. Musi on odzwierciedlać faktyczny cel, który powinien być wyraźny i konkretny. Przed wyzwaniem staną agencje public relations.
Outlook już nie wystarczy
Do tej pory panowało przekonanie, że kiedy wszystko w komunikacji z mediami odbywało się w skrzynce pocztowej rzecznika prasowego i wszystko opierało się o jego indywidualne relacje, firma była bezpieczna. Od maja sytuację skomplikuje obowiązek zapewnienia rozliczalności danych. Program pocztowy nie zapewni realizacji wymogów regulacji i takie myślenie może skutkować odpowiedzialnością finansową firmy.
"Rozliczalność", to właściwość pozwalająca przypisać określone działanie na danych do osoby fizycznej lub procesu oraz umiejscowić je w czasie.
Agencja PR czyli "podmiot przetwarzający dane"
Agencje public relations tworzą bazy danych kontaktów medialnych, a także mogą uzyskiwać, przez umowę powierzenia, bazy od swoich klientów. W świetle RODO oznacza to. że są one "podmiotem przetwarzającym dane". Zatem firmy zatrudniające agencje public relations, ograniczając swoje ryzyko, będą wymagały od agencji PR tych samych standardów w zakresie ochrony danych osobowych, których nowe regulacje będą wymagały od nich. Jeżeli tego nie uczynią, będą odpowiadały za uchybienia agencji PR jak za swoje uchybienia.
Administrator danych jest odpowiedzialny zgodnie z artykułem 5. rozporządzenia za przetwarzanie danych zgodnie z prawem, rzetelne i przejrzyste i "musi być w stanie wykazać ich przestrzeganie" (rozliczalność).
Informacja o tym kto przetwarza dane
Pojawia się obowiązek wskazywania innych podmiotów, z których usług korzystamy w zakresie przetwarzania danych. Musimy również pamiętać o konieczności usunięcia lub zwrócenia danych powierzonych np. w przypadku zakończenia współpracy.
Rejestr czynności przetwarzania danych osobowych
Do powadzenia rejestru czynności przetwarzania danych zobligowani będą administratorzy zatrudniający nie mniej niż 250 osób. To dobra informacja dla małych firm, chyba że… „przetwarzanie nie ma charakteru sporadycznego” - wówczas ww. obowiązek będzie już zasadny. Co w tym przypadku z agencjami public relations? Pytanie czy przetwarzają one dane tylko ad hoc czy w trybie ciągłym jest chyba pytaniem retorycznym.
Zgłaszanie naruszeń w terminie 72 godzin
Administrator jest zobowiązany do zgłaszania naruszeń organowi, czyli Prezesowi Urzędu Ochrony Danych Osobowych w terminie do 72 godzin od stwierdzenia naruszenia. Jest zobowiązany również do dokumentowania wszystkich naruszeń i ich okoliczności. Miedzy innymi od tego czy wywiąże się z tego obowiązku samooskarżenia będą zależały sankcja karne, które "Każdy organ nadzorczy zapewnia, by... były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające".
Co może być takim naruszeniem w komunikacji z mediami? Omyłkowe wysłanie informacji z jawną listą odbiorców (takie przypadki cały czas występują), nie wywiązanie się przez agencję public relations z realizacji "prawa do bycia zapomnianym", czy usunięcia z listy dystrybucyjnej, co bez wdrożonej centralnej bazy danych agencji będzie typowym przewinieniem. Lista takich potencjalnych wpadek, większych lub mniejszych, jest całkiem długa.
Prawo do bycia zapomnianym
Zapewnienie prawa do bycia zapomnianym jest istotnym wymogiem nowych regulacji. Należy je realizować w przypadku wyrażenia takiej chęci przez odbiorcę. Realizacja tego prawa może jednak powodować problemy w przypadku dużych firm, dla których przetwarza dane wiele podmiotów przetwarzających. Problem z realizacją będą miały również agencje public relations bez wdrożonego nowoczesnego oprogramowania.
Problematyczna może być realizacja prawa do bycia zapomnianym, kiedy bycie zapomnianym będzie musiało oznaczać usunięcie rekordu z niezliczonej ilości plików excela na komputerach konsultantów agencji. Prawo do bycia zapomnianym powinno być realizowane taką drogą i za pomocą takiego sposobu, aby odbiorca wyrażający taką chęć został usunięty z bazy globalnej, bez ryzyka pozostawania w rozproszonych listach kontaktów.
Formularze kontaktu na stronach www
Formularz na stronie internetowej, z którego wiadomość trafia na skrzynkę pocztową firmy w większości przypadków narusza już obecne ustawodawstwo w zakresie ochrony danych osobowych ze względu na brak klauzul, czy dostęp do danych osobowych osób niedopuszczonych do przetwarzana baz danych. Od maja 2018 roku pojawią się nowe obowiązki wynikające z zapewnienia rozliczalności danych. Dlatego aby spełnić wymogi, dane z formularza trzeba będzie zapisać w bazie danych, dla której będzie zdefiniowany cel, zapewniona rozliczalność, a na ogólnodostępną skrzynkę pocztową dotrze tylko powiadomienie, że formularz został wypełniony.
Bezpieczeństwo danych?
W rozporządzeniu mowa o pseudonimizacji i szyfrowaniu danych, zdolności do ciagłego zapewnienia poufności i zdolności do szybkiego przywrócenia dostępności. Wprawdzie zapis daje pewne pole do interpretacji, to jednak można się spodziewać, że anonimizacja i szyfrowanie danych będzie standardem również w zastosowaniach komunikacji z mediami.
Automatyczne profilowanie - retargeting i marketing automation
Nowe regulacje z pewnością budzą zainteresowanie branży marketing automation. Nie ma wątpliwości co do tego, że konieczne będzie wyrażenie przez użytkownika zgody na automatyczne profilowanie w zastosowaniach marketingowych.
Nie ma wątpliwości także co do tego, że RODO wstrząśnie branżą marketingu digitalowego. W UK przeprowadzono badania, z których wynika że 75 % zgromadzonych danych marketingowych w świetle nowych regulacji będzie bezużytecznych. Jak to wygląda w Polsce? Najprawdopodobniej nie jest lepiej.
Masz pytanie? Zadaj je na stronie fundacji internetPR, a postaramy znaleźć eksperta który będzie potrafił na nie odpowiedzieć.
Ten artykuł nie jest poradą prawną i autorzy nie ponoszą odpowiedzialności za przedstawione interpretacje RODO.