Audyt celu przetwarzania należy zatem rozpocząć od identyfikacji celów, na jakie poszczególne bazy danych zostały zebrane. Chodzi tu o cel, który był komunikowany podmiotom danych.
Cel konkretny – to taki, który wywołuje w podmiocie danych świadomość, jakie konkretnie rodzaje operacji będą na jego danych przeprowadzane. Zbyt ogólne stwierdzenia nie będą spełniały powyższego warunku. Grupa Robocza Art. 29 w swoich wytycznych dotyczących zasady ograniczenia celu[1] wskazuje, że cele określone jako „cele marketingowe”, „bezpieczeństwo IT” czy „polepszanie funkcjonalności serwisu” mogą nie być wystarczająco konkretne.
W przypadku celów marketingowych należy co najmniej podać podmiot – administratora, którego marketing będzie realizowany. Pożądane byłoby doprecyzowanie celu marketingowego, np. w następujący sposób:
Twoje dane będą przetwarzane do celów marketingowych XYZ Spółki z o.o., tj. w celu przesyłania Ci spersonalizowanych ofert i informacji o promocjach.
Nie należy również używać blankietowego określenia typu „na cele marketingowe XYZ Sp. z o.o. oraz jej partnerów”. Podmiot danych w takiej sytuacji nie wie, komu zostaną przekazane jego dane i do czyich celów będą używane.
Pożądane byłoby wymienienie nazw podmiotów współpracujących, co jednak bardzo rzadko się praktykuje. Moim zdaniem można określić partnerów w sposób opisowy, tzn. np. poprzez przynależność do pewnej branży, z którą jest związany także administrator zbierający dane.
PRZYKŁAD
Portal internetowy www.mkt.pl publikuje wartościowe i bardzo przydatne treści z dziedziny marketingu. Artykuły na portalu są często cennymi wskazówkami pomagającymi prowadzić biznes małym firmom. Portal udostępnia przedmiotowe treści za darmo jedynie czytelnikom, którzy założyli w portalu konto. Możliwość czytania wszystkich treści dostępna jest po zalogowaniu z użyciem adresu e-mail.
Publikowanie regularnych, merytorycznych treści na portalu to praca kilku osób. Redakcja portalu musi zatem posiadać jakieś źródło dochodów. Okazuje się, że partnerzy portalu zgadzają się go finansować w zamian za możliwość kierowania reklam wprost do czytelników portalu – na ich skrzynki e-mail.
Jeśli właściciel portalu przy zakładaniu konta użytkownika wymagał jedynie zaakceptowania checkboxa o treści: Wyrażam zgodę na przetwarzanie moich danych osobowych na cele marketingowe przez właściciela portalu mkt.pl oraz jego partnerów – takie działanie nie będzie spełniało warunku określenia konkretnego celu przetwarzania danych osobowych.
Lepszym komunikatem będzie:
Drogi Czytelniku, tworzymy ten serwis z pasją i darmowo udostępniamy Ci wiele bardzo wartościowych treści. Nasza redakcja, podobnie jak redakcja każdej gazety papierowej, musi się z czegoś utrzymywać. Jeśli zgodzisz się otrzymywać treści handlowe od nas (mkt Sp. z o.o.) i naszych reklamodawców, będziesz mógł czytać nasz serwis bez żadnych ograniczeń i opłat. Rozumiemy, że interesujesz się branżą marketingową, dlatego obiecujemy, że będziemy przesyłać Ci komunikaty reklamowe wyłącznie z tej branży (np. informacje o konferencjach lub szkoleniach marketingowych, o narzędziach i aplikacjach przydatnych w pracy marketera, ofertach pracy w branży).
Cel musi też być wyraźny. Podmiot danych musi wiedzieć, komu i na jakie cele przekazuje swoje dane. Cel zatem nie może być stworzony jedynie „w głowie” administratora. Musi zostać zakomunikowany, wyartykułowany wobec podmiotu danych. Należy też pamiętać o odpowiednim oznaczeniu zakresu danych, które będą przetwarzane. Nie powinno się komunikować klientowi mniejszego zakresu, podczas gdy w rzeczywistości przetwarzaniu podlega większa ilość danych.
PRZYKŁAD
Przy zapisach do list e-mailingowych (newsletterów) przedsiębiorcy często formułują klauzulę informacyjną/treść zgody w następujący sposób:
Zgadzam się na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o. na cele przesyłania mi newslettera. Zgadzam się na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o. na cele marketingowe.
Powyżej takiej zgody mieszczą się zazwyczaj dwa się okienka: do wpisania imienia oraz do wpisania adresu e-mail. To powoduje, że słusznym oczekiwaniem subskrybenta jest, iż zakres jego danych, które będą przetwarzane, ogranicza się właśnie do tych dwóch danych: imienia i adresu e-mail.
Tymczasem obecne narzędzia do e-mail marketingu zawierają liczne inne funkcje poza umożliwieniem realiz...
Dalsza część jest dostępna dla użytkowników z wykupionym planem