• Strona główna
  • Artykuły
  • Marketing
  • Czego marki mogą się nauczyć z roku RODO, przygotowując się do kalifornijskiej ustawy o ochronie prywatności konsumentów?

Czego marki mogą się nauczyć z roku RODO, przygotowując się do kalifornijskiej ustawy o ochronie prywatności konsumentów?

Opublikowany: 2022-05-22

Poniżej znajduje się gościnny post Jacka Carvela, głównego radcy prawnego w firmie Qubit.

W maju 2019 r. mija pierwsza rocznica wprowadzenia w życie ogólnego rozporządzenia o ochronie danych (​RODO), największej zmiany w przepisach dotyczących prywatności danych od dziesięcioleci. Chociaż RODO przyniosło znaczne korzyści w podnoszeniu świadomości na temat praw osób fizycznych w zakresie danych, historia egzekwowania była zupełnie inna.

Zaskakujący brak wysokich grzywien i ciągłe niewłaściwe wykorzystywanie danych osób trzecich, o których wielu myślało, że całkowicie przestanie istnieć, były rażące w zeszłym roku. Jednak może się to zmienić wraz z wdrożeniem nowych przepisów, takich jak oczekiwany komponent ePrivacy — kolejny element unijnego systemu ochrony danych, który ma wejść w życie wkrótce — oraz duży rozwój prywatności danych, który ma pojawić się w USA w styczniu 2020: kalifornijska ustawa o ochronie prywatności konsumentów (CCPA). W tym poście omówię wnioski wyciągnięte z RODO po roku i wskazówki, jak najlepiej przygotować się do CCPA i innych bardziej rygorystycznych przepisów, które są przewidywane w najbliższej przyszłości.

RODO: „A+” dla świadomości, „D” dla egzekwowania

Po pierwsze, przyznajmy zasługę: RODO było bardzo dobre dla firm, które potraktowały je poważnie. Doprowadziło to do zdrowszych baz danych klientów z lepszym zrozumieniem klientów i lepszym wglądem w ich zachowanie.

Zeszłej wiosny było trochę jak zastosowanie metody Kondo lub wiosennego porządkowania danych, ponieważ firmy na całym świecie przechodziły proces zrozumienia, gdzie są przechowywane ich dane i co się z nimi dzieje. Wszyscy skupili się na ochronie danych przez zaledwie kilka miesięcy, czyniąc świat online bezpieczniejszym i bezpieczniejszym. I kontrola znacznie się poprawiła. Nałożono kilka grzywien, a wśród nich duża dla Google w wysokości 50 milionów euro. Na początku wiele osób w branży zakładało, że takie kary staną się normą, ale jeszcze tego nie widzieliśmy.

Obszar, w którym RODO jest szczególnie słaby, to jego relacje z zewnętrznymi brokerami danych. Istnieje wiele złych praktyk w firmach, których cały model biznesowy opiera się na sprzedaży danych z drugiej lub trzeciej ręki. Dane te mogą być łatwo kopiowane, ujawniane i przekazywane stronom bez wiedzy konsumenta — i prawdopodobnie zostały uzyskane bez zgody lub zrozumienia, jakie dane są gromadzone i dlaczego. W związku z RODO wielu spodziewało się, że to się skończy, ale organy regulacyjne nie poszły za tymi nadużyciami w zakresie danych.

Istnieją również mniejsze firmy w USA (i innych jurysdykcjach poza UE), które nie przestrzegają standardów. Nie mają zasobów, aby zachować zgodność z różnymi reżimami danych i nie mają wewnętrznych doradców do monitorowania zgodności, więc po prostu podejmują ryzyko. W przypadku tych firm, gdy dochodzi do naruszenia, przejrzystość jest bardzo mała, ponieważ organy regulacyjne nie są w stanie zweryfikować dokładności oświadczeń. Jednak niezgodność jest bardzo ryzykowną strategią. Konsumenci stają się coraz bardziej świadomi swoich praw do danych i wartości swoich danych, więc chociaż firma może uniknąć kar, ryzykują swoją markę i reputację w przypadku naruszenia danych — a to może być nawet gorsze niż grzywny.

Mogą nadejść bardziej rygorystyczne egzekwowanie

Oczekuje się, że istnieją przepisy dotyczące prywatności danych, które mogą zmienić grę wraz z egzekwowaniem. Jednym ze znaczących zmian, które nadchodzą, jest rozporządzenie w sprawie e-prywatności, które określa zasady dotyczące plików cookie, wymaganej zgody, osób, które firmy mogą wysyłać e-maile iz jakich powodów, śledzenia itd., dodając bardziej ostateczną warstwę do szerszej koncepcji danych osobowych. Prawdopodobnie spowoduje to zwiększenie egzekwowania przepisów, ponieważ organy regulacyjne będą wspólnie stosować zarówno rozporządzenie RODO, jak i rozporządzenie o prywatności i łączności elektronicznej, choć wciąż dzielą nas miesiące.

Kolejną ustawą na horyzoncie, która zmieni sposób działania przedsiębiorstw, jest CCPA. Kluczowe jest tutaj to, że jest to pierwsze tego typu prawodawstwo, które jest zakorzenione w USA. Być może nie widzimy tak dużego szumu wokół nadchodzącej regulacji, być może dlatego, że nie jest to prawo federalne, ale firmy, które się na to nie przygotowują, mogą być bardzo niemile zaskoczonym karami, takimi jak do 7500 USD za naruszenie CCPA i 750 USD za każdy naruszony rekord — co może w sumie stanowić znaczną sumę i może być katastrofalne dla mniejszej firmy.

Kilka porad dla sprzedawców

Sprzedawcy detaliczni, zwłaszcza ci w USA, którzy nie przeszli rygorystycznego procesu przygotowania do RODO, jaki mają firmy globalne, muszą wziąć pod uwagę znaczne wcześniejsze przygotowania potrzebne do przestrzegania nadchodzących zasad. Kalifornia prawdopodobnie będzie bardziej rygorystycznie nakładać wysokie kary za nieprzestrzeganie przepisów niż to, co zaobserwowaliśmy w przypadku RODO. Duże globalne marki mogą być już przygotowane do CCPA, częściowo ze względu na ich przygotowania do RODO i żmudną analizę danych, która istnieje w Europie od jakiegoś czasu. Jednak mniejsze firmy mogą zostać zaskoczone nadchodzącymi rygorystycznymi dochodzeniami w zakresie prywatności danych i zgodności. Oto kilka wskazówek, które mogą pomóc firmom z USA, a tym, które chcą kontynuować działalność w Kalifornii, przygotować się na nadchodzące przepisy:

  1. Chociaż nie jest to stanowczy wymóg CCPA, utworzenie „rejestru przetwarzania” powinno być pierwszym krokiem: określić, jakie dane zbierasz i co z nimi robisz. Przechodząc przez ten proces, zrozumiesz, w jakim zakresie mieścisz się w ramach CCPA. Musisz wejść w ten proces z dogłębnym zrozumieniem tego wszystkiego.
  2. Oczywiście dane są cenne, ale więcej danych niekoniecznie oznacza większą wartość. Jeśli nie wiesz, dlaczego go zbierasz, pozbądź się go. Dane, które nie są przydatne dla Twojej firmy, po prostu kosztują Cię w kosztach przechowywania i zwiększają narażenie na naruszenia bezpieczeństwa danych. Usunięcie danych może wydawać się przerażające, ale jest to niezwykle wzmacniający krok, który ostatecznie sprawi, że podejmowanie decyzji opartych na danych będzie bardziej efektywne. Wiele firm zaobserwowało wzrost współczynników konwersji i skuteczniejsze targetowanie podczas korzystania z czystych zestawów danych.
  3. Zgodnie z RODO w niektórych przypadkach istnieje wymóg powołania inspektora ochrony danych. Ogólnie rzecz biorąc, jest to dobry pomysł: pociągnąć kogoś do odpowiedzialności za prywatność danych i przygotowanie firmy do wypełnienia zobowiązań wynikających z obowiązujących reżimów prawnych. Ponadto upewnij się, że ta osoba jest dobrze widoczna. W CCPA nie ma wymogu, aby ta osoba podlegała kierownictwu wyższego szczebla, jak w RODO; jednakże bardzo dobrym pomysłem byłoby upewnienie się, że kierownictwo wyższego szczebla jest dobrze świadome tego, co znajduje audytor wewnętrzny.
  4. Kontaktuj się proaktywnie ze swoimi dostawcami i partnerami, aby zrozumieć, co dzieje się w określonych scenariuszach; czy byliby w stanie pomóc w spełnieniu wymagań w określonych ramach czasowych? Porozmawiaj o procesie. Kiedy rozpoczniesz tę rozmowę z innymi stronami, z którymi współpracuje Twoja firma, szybko stanie się jasne, czy będą one w stanie pomóc i zastosować się do nich.
  5. Zapoznaj się z pozytywnymi korzyściami, jakie przepisy dotyczące prywatności danych mogą przynieść Twojej firmie. Zasady te umożliwiają firmom uczynienie swoich baz danych klientów zdrowszymi i bardziej aktywnymi, zmniejszenie kosztów związanych z przechowywaniem danych i rozwijanie bardziej osobistej komunikacji z tymi osobami, które chcą je otrzymywać.
  6. Niech to będzie zabawne. Użytkownicy końcowi są znacznie bardziej skłonni do zrozumienia i wyrażenia zgody na Twoje praktyki związane z przetwarzaniem danych, jeśli używasz prostego i prostego języka oraz pokażesz im korzyści płynące z tego, co robisz. Jeśli nie możesz uzasadnić kolekcji, być może warto zastanowić się, czy naprawdę jej potrzebujesz!

Opracowywanie i wdrażanie procesów zgodności może nie być łatwe, ale kiedy to zostanie zrobione, sprawi, że świat stanie się lepszym miejscem. A dla dobrze przygotowanych firm może to nawet oznaczać impuls dla ich biznesu.