RODO, które zacznie obowiązywać już w maju 2018 r., czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE – ogólne rozporządzenie o ochronie danych osobowych (dalej zwane RODO), nakłada rozliczne formalności związane z wykorzystywaniem danych osobowych dla celów marketingowych. Na co uważać i jak się przygotować, by nikt nam nie zarzucił, że przetwarzamy jego dane osobowe niezgodnie z prawem?
POLECAMY
W tej publikacji zajmiemy się tylko regulacją tej kwestii w kontekście RODO, z pominięciem takich zagadnień jak np. niechciana reklama, które objęte są innymi przepisami.
Kiedy przetwarzamy dane osobowe, prowadząc mailing
Prowadzenie listy mailingowej i przetwarzanie w ramach niej danych osobowych w postaci zarówno adresu e-mail, jak i imienia i nazwiska będzie objęte regulacją RODO. Przetwarzaniem danych osobowych nie będzie wysyłanie maili na adresy niepowiązane z konkretną, możliwą do zidentyfikowania osobą. Przykład – jeśli w naszej bazie jest e-mail sekretariat@przedsiębiorstwo.pl, to ochrona danych osobowych takiego adresu nie dotyczy. Jeśli jednak adres brzmi janusz.kowalski@przedsiebiorstwo.pl, to jest to już dana osobowa, podlegamy zatem pod rygor RODO. W tym miejscu przypominam, że RODO chroni tylko osoby fizyczne, nie chroni osób prawnych, zatem dane identyfikacyjne osób prawnych nie podlegają regulacjom RODO, co nie oznacza, że w ogóle pozostają poza ochroną przepisów prawa.
Kto odpowiada za naruszenie danych osobowych przy mailingu
Według przepisów w pierwszej kolejności jest to administrator. Administratorem, w zależności od przypadku, najczęściej będzie sam hotelarz (osoba fizyczna, a jeszcze częściej osoba prawna – spółka prowadząca hotel). Administratorem jest taki podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Jeśli działamy w sieci hotelowej, układ powiązań i obowiązujące w tym zakresie umowy mogą jeszcze inaczej kształtować przetwarzanie danych osobowych. Mówimy jednak o najczęstszej sytuacji, czyli gdy administratorem jest podmiot prowadzący hotel.
Jeśli listy mailingowej nie prowadzimy sami, tylko robi to np. agencja PR, której taką działalność powierzyliśmy, to nadal pozostajemy administratorem tych danych, a z agencją powinniśmy mieć zawartą, wymaganą przez RODO umowę o powierzenie przetwarzania danych. Umowa ta nie zwalnia nas jednak z odpowiedzialności jako administratorów danych osobowych. Dodatkowo to my jesteśmy odpowiedzialni za realizację jeszcze jednego obowiązku nałożonego przez RODO, tj. wybranie takiej firmy, która zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Zgoda na przetwarzanie danych
Jak wspominałam w poprzedniej publikacji, ważną, o ile nie kluczową kwestią, jest uzyskanie zgody przez administratora na przetwarzanie danych osobowych. Zgodnie z art. 4 pkt 11 RODO „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Warunki w zakresie zgody na przetwarzanie danych osobowych określa art. 7 RODO. Nie chcąc powtarzać informacji z wcześniejszej publikacji, obecnie wskażę jedynie, że zgoda musi explicite potwierdzać możliwość wysyłania na pozyskane dane treści marketingowych. Sugerowanym modelem przy mailingu jest stosowanie mechanizmu double opt-in, który skrótowo polega na tym, że po zapisie na newsletter użytkownik dostaje link aktywacyjny, w który musi kliknąć, by maile zaczęły do niego spływać. Po pierwsze, mamy wówczas możliwość wykazania, że na newsletter zapisała się osoba, która faktycznie z danego adresu korzysta, po drugie – ale to już spoza kwestii prawnych – eliminujemy w ten sposób „martwe adresy”.
Dobrowolność wyrażenia zgody
Zakaz wymuszania zgody na przetwarzanie danych osobowych nie oznacza, że nie można zachęcać do jej udzielenia. Można zaoferować dodatkowe benefity związane z jej udzieleniem, np. zniżkę za naszą usługę, pierwszą dobę, wyżywienie gratis itp. Zauważmy, że np. sklepy internetowe standardowo za zapisanie się na newsletter oferują kilka procent upustu za pierwszy zakup, podobny mechanizm może też zastosować hotel.
O czym muszę poinformować, zbierając zgody na przetw
...Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów
- 6 elektronicznych wydań,
- nieograniczony – przez 365 dni – dostęp online do aktualnego i archiwalnych wydań czasopisma,
- ... i wiele więcej!
