Przewodnik eksperta ds. handlu elektronicznego po przygotowaniach do RODO
Opublikowany: 2018-05-15W dzisiejszych czasach wydaje się, że każda rozmowa wraca do prywatności w Internecie i niewłaściwego wykorzystania danych. Niedawno widzieliśmy, jak dyrektor generalny Facebooka, Mark Zuckerberg, zeznawał przed Senatem USA w sprawie wykorzystywania danych osobowych na Facebooku — i późniejszej przepychanki firmy, by odbudować swoją reputację, gdy zaangażowanie spadło po skandalu. Każdego dnia wydaje się, że pojawiają się nowe kontrowersje związane z danymi do rozwikłania.
Debata trwa, gdy społeczeństwo pragnie bardziej anonimowego Internetu i przyznaje, że zbieranie danych użytkowników jest dobre dla biznesu. W międzyczasie kraje europejskie pracują nad ochroną swoich obywateli przed niewłaściwym zarządzaniem danymi, a konsekwencje mogą być ogromne dla firm na całym świecie.
25 maja 2018 r. europejskie firmy będą zmuszone zająć się sposobem, w jaki przetwarzają dane konsumentów. W ramach ogólnego rozporządzenia o ochronie danych (RODO) firmy muszą zapewnić klientom większą kontrolę nad sposobem gromadzenia, przechowywania i ostatecznego wykorzystania ich danych.
Rozporządzenie ma na celu wzmocnienie ochrony danych i prywatności obywateli w Unii Europejskiej, niezależnie od tego, gdzie istnieje firma gromadząca dane. Innymi słowy, jeśli masz firmę otwartą dla europejskich klientów, musisz zwrócić uwagę na RODO, zanim w końcu wejdzie w życie. Jeśli Twoja firma przetwarza dane od użytkowników z UE, powinieneś poświęcić trochę czasu na zapoznanie się z tym nowym rozporządzeniem.
Co to jest RODO? Często zadawane pytania i odpowiedzi
RODO zostało oficjalnie przyjęte 27 kwietnia 2016 r., ale wejdzie w życie dopiero 25 maja 2018 r. ze względu na dwuletni okres przejściowy, który ma pomóc firmom dostosować się do nowych przepisów. Krótko mówiąc, rozporządzenie ma zapewnić konsumentom całkowitą kontrolę nad sposobem gromadzenia i wykorzystywania ich danych. UE definiuje dane osobowe jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”, w tym datę urodzenia, adres, numer telefonu, wynagrodzenie, czynsz i adres IP.
Oto kilka typowych pytań związanych z tą krytyczną regulacją, aby lepiej zrozumieć, czy musisz wydać dodatkowe zasoby, aby przygotować się do tej zmiany w branży.
Czy mogę zostać ukarany grzywną, jeśli nie zastosuję się do tego?
Tak, organizacje, które nie zastosują się do nowych przepisów, zostaną nałożone na wysokie grzywny. Przepisy stanowią, że każde naruszenie RODO może skutkować karą w wysokości do czterech procent rocznych globalnych obrotów lub 20 milionów euro (około 24 miliony dolarów), w zależności od tego, która z tych wartości jest wyższa.
Czy to dotyczy mojej firmy?
Zakres RODO jest zdecydowanie ogromny. Dotyczy każdej firmy przetwarzającej dane mieszkańców Unii Europejskiej. Mając to na uwadze, rozporządzenie nie ma zastosowania, jeśli wykorzystujesz dane wyłącznie do użytku osobistego lub domowego, i może być mniej rygorystyczne w przypadku firm zatrudniających mniej niż 250 pracowników. Niezależnie od wielkości Twojej firmy, nadal musisz prowadzić szczegółową ewidencję wewnętrzną i przestrzegać RODO, ale wymagania dotyczące prowadzenia ewidencji są inne.
Czy firmy amerykańskie mogą zostać ukarane grzywną?
Firmy amerykańskie poniosą odpowiedzialność za niezgodność i mogą zostać ukarane grzywną według tych samych standardów na mocy prawa międzynarodowego. Eksperci twierdzą, że nawet firmy, które nie są fizycznie obecne w Unii Europejskiej, muszą przestrzegać nowych przepisów.
Co chroni RODO?
Głównym celem przepisów jest zapewnienie konsumentom jasnego, nie mylącego języka zgody na zbieranie danych. Oferuje konsumentom osiem indywidualnych praw: do bycia informowanym, dostępu, poprawiania, usuwania, ograniczania przetwarzania, przenoszenia danych, sprzeciwu i podejmowania decyzji dotyczących zautomatyzowanego podejmowania decyzji i profilowania.
Jakie korzyści przynosi RODO konsumentom?
Główną korzyścią wynikającą z nowego rozporządzenia jest zachowanie prywatności danych konsumentów, co oznacza lepszą ochronę dla tych, którzy zdecydują się zachować prywatność. Jak omówimy poniżej, nowe zasady mogą przynieść firmom kilka wymiernych korzyści.
Co to oznacza dla firm handlu elektronicznego?
Nie ma co do tego wątpliwości. Zrozumienie klienta za pomocą narzędzi analitycznych eCommerce, takich jak Springbot, które mogą skutecznie gromadzić cenne dane o klientach, takie jak retargetowanie reklam, działania e-mail marketingowe i personalizacja reklam, to generalnie znacząca inwestycja dla większości sklepów internetowych. Nie musisz przestać polegać na tych cennych narzędziach w obliczu RODO i podobnych przepisów, o ile odpowiedzialnie zbierasz dane . Najważniejsze jest to, że eksploracja danych osobowych jest niewiarygodnie mroczna, a większość konsumentów wspiera ją tylko wtedy, gdy mają kontrolę.
To, co reprezentuje zmiana zasad, to dążenie do bardziej znormalizowanego gromadzenia danych, co w rzeczywistości może oznaczać lepsze rzeczy dla Twojej firmy. W praktyce oznacza to, że za każdym razem, gdy przetwarzasz dane osoby — niezależnie od tego, czy rejestruje się ona na Twoją listę e-mailową, czy dokonuje zakupu — musisz dać jej prawo do przeglądania, poprawiania, usuwania i ograniczania dostępu.
W szerszym ujęciu oznacza to, że stawiasz konsumenta na pierwszym miejscu, poprawiasz cyberbezpieczeństwo swojej firmy, a nawet chronisz jej reputację. Gdy zbierasz dane od osób, które chcą je udostępnić, nadal możesz agregować kluczowe analizy i minimalizować niezadowolenie klientów ze strony osób, które nie chcą, aby ich informacje były przechowywane.
Pięć najważniejszych rzeczy, które powinieneś zrobić, aby się przygotować
Najważniejszą rzeczą, jaką możesz zrobić, aby przygotować swój biznes do oficjalnego wdrożenia RODO, jest poznanie prawa. Formalna regulacja jest długa i pełna prawniczego żargonu, ale istnieją wysokiej jakości zasoby internetowe, które stanowią doskonałe podsumowanie nowych zasad dotyczących gromadzenia danych. Na przykład, nowe prawo stanowi, że musisz poinformować konsumentów o naruszeniu danych w ciągu 72 godzin, że musisz dać konsumentom prawo dostępu do sposobu, w jaki wykorzystywane są ich dane oraz że musisz pozwolić im zostać „zapomnianym” lub usuniętym z Twój system, na żądanie.
Następnie ważne jest, abyś określił, w jaki sposób prawo wpłynie konkretnie na Twoją działalność. Jak wspomniano, aspekty raportowania i zasady prowadzenia dokumentacji różnią się w przypadku małych i średnich firm (SMB) w porównaniu z dużymi korporacjami, dlatego należy być świadomym obowiązków swojej firmy.
Oczywiście istnieje wiele korzystnych rzeczy, które możesz zrobić, aby przygotować swoją firmę do przestrzegania przepisów. Oprócz poniższych wskazówek zalecamy konsultację z doradcą prawnym, aby upewnić się, że Twoje procesy nie zawierają żadnych luk w zabezpieczeniach.
1. Przejdź do przejrzystych procesów
Kluczowym wnioskiem płynącym z tego przepisu jest to, że ludzie chcą – i przepisy będą egzekwować – prawo konsumentów do wiedzieli wszystkiego o tym, jak wykorzystywane są ich dane. Oznacza to, że każda komunikacja z konsumentami dotycząca danych powinna być jak najbardziej przejrzysta. Zrozumienie, w jaki sposób Twoja firma przetwarza dane, pomoże Ci określić, czy są one zgodne — więc wiedz, gdzie są przechowywane Twoje dane i jak są wykorzystywane.
- Przepisz formularze zgody jasnym językiem.
- Uzyskaj wyraźną zgodę użytkowników na zbieranie ich danych.
- Zmień język z „rezygnacji” na „opt-in”.
- Podaj, dlaczego przetwarzasz określone dane.
- Przeprowadź ocenę skutków dla ochrony danych (DPIA).
2. Mianuj liderów i dziel się informacjami
Innym ważnym aspektem tego rozporządzenia jest to, że niektóre firmy będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD), który będzie odpowiedzialny za nadzorowanie procesów ochrony danych w firmie. Nie wszystkie firmy będą potrzebowały inspektora ochrony danych — tylko te, które przetwarzają ogromne ilości danych osobowych — ale każda firma powinna wyznaczyć lidera ds. zgodności, który może pomóc w zapewnieniu prawidłowego przestrzegania wszystkich przepisów.
- Dowiedz się, czy Twoja firma wymaga IOD.
- Nawet jeśli nie potrzebujesz inspektora ochrony danych, wyznacz lidera ds. prywatności danych.
- Powiadom każdy dział o nowych zasadach.
- Zdecyduj, jak obsługiwać żądania dostępu do danych.
3. Sprawdź wszystkie swoje usługi
Firmy są zobowiązane do korzystania tylko z procesorów danych, które pomagają wdrożyć zgodne z prawem przechowywanie danych, co oznacza, że należy przeprowadzić solidny audyt, aby upewnić się, że nie masz żadnych narzędzi, które mogą rażąco lekceważyć nowe przepisy. Na przykład, jeśli korzystasz z jakichkolwiek wtyczek analitycznych, upewnij się, że przechowują one dane konsumentów i zarządzają nimi w sposób zgodny z RODO. Springbot stara się pomagać klientom w pozyskiwaniu danych w sposób legalny i etyczny.
- Upewnij się, że wszelkie usługi innych firm są zgodne.
- Dowiedz się, czy narzędzia, z których korzystasz, wymagają zgody użytkownika.
- Poszukaj narzędzi od partnerów, aby przyspieszyć swój proces.
4. Zmień sposób prowadzenia ewidencji
Jednym z najbardziej zniechęcających aspektów RODO jest prowadzenie dokumentacji. Ponieważ konsumenci mają teraz prawo do informacji, dostępu i usunięcia swoich danych osobowych, musisz mieć pewność, że Twoje procesy są skrupulatnie rejestrowane. Będziesz także potrzebować dostępu na żądanie do danych klientów, jeśli klient poprosi Cię o to.
Musisz być w stanie zidentyfikować i zgłosić dane osobowe, niezależnie od tego, czy udostępniasz je stronom trzecim. Jednym z głównych celów bardziej rygorystycznych zasad prowadzenia dokumentacji jest zapewnienie dokładności danych osobowych. Od Ciebie będzie zależeć rejestrowanie prawidłowych danych osobowych i odpowiednia aktualizacja innych organizacji.
- Zapoznaj się z artykułem 30, który obejmuje prowadzenie dokumentacji.
- Zapisz cel przetwarzania danych.
- Prowadź ewidencję kategorii osób, których dane dotyczą i odbiorców.
- Zapisz wszystko, poza tym, czego wymaga artykuł 30.
5. Wykorzystaj dane we właściwy sposób
Wreszcie ostatnią rzeczą, jaką możesz zrobić, aby przygotować się do przejścia, jest znalezienie najbardziej odpowiedzialnego sposobu wykorzystania danych klientów zgodnie z tymi nowymi przepisami. RODO stanowi, że dane osobowe muszą być „przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to konieczne do celów, dla których dane osobowe są przetwarzane”. W związku z tym nadal możesz wykorzystywać dane do takich celów, jak retargeting i inne długoterminowe działania marketingowe, o ile poinformujesz konsumenta, że planujesz wykorzystać je do określonego celu.
- Dowiedz się, jak długo możesz przechowywać dane osobowe.
- Opracuj plan, kiedy i jak niszczyć dane po tym okresie.
- Staraj się jak najbardziej „anonimizować” dane, aby móc je przechowywać dłużej.
- Określ, jakie rodzaje danych osobowych stanowią największe ryzyko.
Dlaczego jest to ważne
To wszystko wydaje się być dużo pracy, prawda? Ale oto rzecz: RODO jest dobre dla obsługi klienta, tak samo jak zbieranie danych osobowych. Dzieje się tak dlatego, że chociaż konsumenci zdecydowanie preferują spersonalizowane doświadczenia i zdają sobie sprawę, że agregacja danych może prowadzić do bardziej osobistych doświadczeń online, chcą również mieć pełną kontrolę nad własnymi danymi. A ponieważ 92 procent kupujących w Internecie uważa bezpieczeństwo i prywatność za problem, należy podjąć takie środki, aby zakupy online były bardziej prywatne.
Mając to wszystko na uwadze, ważne jest, abyśmy wszyscy pracowali nad wprowadzeniem nowych dostosowań, które pomogą nam lepiej obsługiwać klienta bez przekraczania ważnych granic prywatności. Jeśli chodzi o marketing, sprzedaż i rozwój Twojej firmy, RODO nie powinno Cię powstrzymywać.
Zamiast tego powinno zmienić sposób, w jaki robisz rzeczy na lepsze, tak abyś pielęgnował szczęśliwych, ufnych i lojalnych klientów. Dlatego warto poświęcić trochę dodatkowego czasu i pieniędzy na przygotowanie firmy do RODO.