Obowiązek informacyjny według RODO

RODO wprowadza także tzw. rozszerzony obowiązek informacyjny. Zamiast dwóch zdań, które dotychczas pojawiały się w klauzulach przy zbieraniu danych osobowych, po maju 2018 r. trzeba będzie poinformować aż o 13 punktach dotyczących tego, w jaki sposób są przetwarzane dane konkretnej osoby. Na szczęście nie ma żadnych zakazów co do formy wypełnienia takiego obowiązku informacyjnego. Może to nastąpić w wiadomości e-mail, w polityce prywatności, która zostanie odpowiednio podana do wiadomości użytkownika, albo nawet w formie nagranego krótkiego filmu, w którym firma opowie o wszystkich 13 punktach.

Obecnie, jeśli przedsiębiorstwo posiada rozbudowane bazy danych o klientach i „łączy” ze sobą informacje z różnych źródeł i różnych „śladów” pozostawionych przez użytkowników w sieci, o praktykach „łączenia faktów” i praktykach analitycznych nie musi informować. Jego klienci mogą żyć w bardzo dużej niewiedzy odnośnie tego, co dzieje się z ich danymi podanymi np. tylko jednokrotnie w konkretnym sklepie internetowym. Po maju 2018 r. takie postępowanie nie będzie prawidłowe. RODO nakazuje rzetelność, przejrzystość i udzielanie wszelkich informacji w sposób prosty, jasnym językiem. Rozszerzony obowiązek będzie dotyczył tylko tych procesów zbierania danych, które będą dokonywane po 25 maja 2018 r. Nic nie stoi jednak na przeszkodzie, by już teraz taki obowiązek informacyjny spełniać.

Przykład

Poprzez chat firma pozyskała adres e-mail. Jan Kowalski zainteresowany szkoleniami wyraził chęć skorzystania z oferty i poprosił o jej przesłanie za trzy tygodnie. Jan podał swój adres: jk@poczta.pl. Firma wprowadza ten adres do systemu mailingowego/systemu do marketing automation i okazuje się, że Jan Kowalski jest również subskrybentem newslettera firmy. Pozo­stałe informacje, które Jan Kowalski podał na chacie (np. to, że jest zainteresowany szkoleniami z konkretnego tematu) wpływają na dobór treści, które firma umieści w kolejnych newsletterach wysyłanych do niego. W ten sposób firma dokonuje personalizacji treści newslettera. Obecne przepisy nie zabraniają tego. Na takie „łączenie faktów” nie jest potrzebna żadna dodatkowa zgoda użytkownika.


RODO również nie będzie tego zabraniało. Rozporządzenie jednak nakazuje udzielać użytkownikom pełnej, jasnej i rzetelnej informacji o tym, jakie dane osobowe są przetwarzane przez firmę, w jaki sposób i na jakie cele. Wobec tego przedsiębiorstwo powinno w swojej polityce prywatności (lub w inny sposób, łatwo dostępny dla użytkownika)
wskazać, że w przypadku subskrybentów newslettera wykorzystuje nie tylko informacje o ich adresie e-mail, ale również przykładowo:

  • informacje o historii otwieralności e-maili (kto jaki e-mail otworzył i przeczytał, co kliknął dalej),
  • informacje, które posiada o właścicielu danego adresu e-mail również z innych źródeł (np. chat, baza klientów, historia zakupów danego klienta),
  • informacje, jaki jeszcze kontakt z firmą posiadał właś­ciciel danego adresu e-mail (np. uczestniczył w webinarach, pobrał konkretne materiały szkoleniowe).

Powyższe kwestie najlepiej jest zawrzeć w napisanej prostym językiem polityce prywatności. Politykę tę trzeba umieścić na swojej stronie www, a także podać do niej link przy formularzu, za pomocą którego pozyskuje się adresy e-mail do newslettera. Praktyka po 25 maja 2018 r. (gdy zacznie w pełni obowiązywać RODO) pokaże, czy taka polityka prywatności będzie musiała być akceptowana checkboxem, czy tylko podawana jako informacja, którą użytkownik może przeczytać.

Powinno się też pamiętać, że według RODO dane osobowe – to wszelkie informacje, jakie się posiada o zidentyfikowanej lub możliwej do zidentyfikowania osobie. „Możliwa do zidentyfikowania” osoba według RODO – to nie tylko ta, której imię i nazwisko jest się w stanie poznać. Przyjmuje się, że możliwość identyfikacji istnieje wtedy, gdy powstaje możliwość „fizycznego” wskazania danej osoby, możliwość wybrania tej osoby spośród wielu innych podobnych. Nie trzeba znać jej imienia i nazwiska. Ta definicja powinna również pomóc w „porządkowaniu” baz danych, które już się posiada. Prawidłowo rozumiejąc tę definicję, będzie się w stanie odróżnić, które dane są danymi osobowymi, a które nimi nie są.