edrone na konferencji RODO

edrone na konferencji RODO

Dobrze przygotowani do Black Friday, w czwartek 23.11 odwiedziliśmy wspólnie z kancelarią Pilch Piotrowski & Partnerzy konferencję “RODO w marketingu”,  by przygotowywać branżę e-commerce na zmieniające się przepisy. Mec. Marcin Pilch wystąpił jako jeden z prelegentów i dzielił się wiedzą na temat tego, jak edrone dostosowuje system marketing automation do przepisów prawa.

Podzielimy się z Wami doświadczeniami, które zebraliśmy podczas rozmów z innymi prawnikami  i praktykami branży.

RODO, lub z angielskiego GDPR, to nie jedna ustawa, a grupa przepisów, które regulują kwestie związane z przetwarzaniem i ochroną danych osobowych. Zdajemy sobie sprawę, że ciężko przebrnąć przez wszystkie przepisy, więc zrobiliśmy to dla Was i wyszczególniliśmy najbardziej istotne zmiany dla branży e-commerce.

Od 23.05.2018, kiedy RODO wejdzie w życie, to na administratorze danych (głównie Twoim sklepie) spoczywać będzie odpowiedzialność zbierania i przechowywania danych klientów. Będziesz też musiał uzasadnić konieczność gromadzenia konkretnych danych (np. daty urodzenia).

Przepisy RODO można podzielić na cztery grupy:

  1. Dotyczące legalnego zbierania danych, przede wszystkim upewnienia się, czy klient świadomie i dobrowolnie wyraził zgodę na wysyłkę odpowiedniej treści.
  • Zgoda może nie być świadoma, kiedy np. w domyśle zaznaczymy pole przy niej. Klienci często szybko klikają “Dalej” i nie czytają tego, co jest napisane. To na właścicielu sklepu ciąży obowiązek, by upewnić się, że klient przeczytał informację. We wszelkich działaniach należy kierować się zasadą “Privacy by default” by minimalizować ilość danych tylko do tych niezbędnych.
  • Zgoda może być potraktowana jako niewyraźna, jeżeli łączymy zgody na komunikację różnymi kanałami (np. email i sms). Klient powinien mieć wybór tego, jaką drogą chce otrzymać informację – uznając tę telefoniczną za zbyt ingerującą w prywatność, za to chętnie czytając maile. Jeżeli chcemy komunikować się z klientem za pomocą komunikatorów takich jak Messenger czy Whatsapp – również potrzebujemy na to osobnej zgody.
  • Zgoda powinna być dobrowolna – można ją odwołać w dowolnym czasie.
  • Powinniśmy również wiedzieć, w jakim czasie uzyskaliśmy tę zgodę i umieć to udowodnić, ponieważ klient może o takim fakcie zapomnieć.
  1. Obowiązek informacyjny:

Powinniśmy jasno poinformować klienta o tym, do czego potrzebujemy jego dane, i w jakim celu będą wykorzystywane i przetwarzane.

O czym powinniśmy informować?

  • Przede wszystkim powinniśmy wyraźnie się przedstawić, a zatem podać nazwę podmiotu operującego danymi, siedzibę, najlepiej uwierzytelnić się jeszcze numerami NIP i KRS.
  • O tym, w jakim celu potrzebujemy dane klienta i podać podstawę prawną.
  • O prawie do cofnięcia zgody, wniesiena sprzeciwu do firmy lub wniesienia skargi do odpowiedniego organu.
  • O tym, od jakich podmiotów uzyskujemy dane, i jakim podmiotom mamy je zamiar udostępniać.
  • O planowanym okresie, przez jaki dane będa przechowywane.
  • O tym, czy podanie danych jest dobrowolne czy obowiązkowe. Przy czym jako zgody nie należy traktować zgody na wysyłkę. Jeżeli klient dokonuje z nami transakcji, jasno wynika z tego, że podaje on dane dla niej niezbędne (np. adres), a my jedynie informujemy go o tym, po co ich potrzebujemy.

By informować o tym, wspólnie z kancelarią Pilch Piotrowscy & Partnerzy przygotowaliśmy stronę o RODO, na której do pobrania jest dokument z przykładowymi treściami zgód:

https://edrone.me/en/rodo/

  1. Powinniśmy również poinformować klienta (najlepiej w swojej polityce prywatności), kto będzie przechowywał jego dane i poinformować o tym odpowiedni organ nadzoru.
  1. Transfer danych do Państw trzecich.

Pamiętać należy o tym, że jeżeli podmiot operujący danymi lub jego serwery znajdują się poza Unią Europejską, powinien on posiadać specjalne zezwolenie, czyli być wpisanym na listę PrivacyShield.

edrone jako firma z UE, i przechowująca dane osobowe na serwerach jedynie w UE, jest całkowicie pod tym względem przygotowana na nadchodzące przepisy.

Z przepisów RODO wynika, że klientom przysługują następujące prawa (o czym również należy poinformować w swojej polityce prywatności):

  1. Prawo dostępu danych – możliwość zażądania kopii w każdym momencie.
  2. Prawo do przenoszenia danych – w pliku o powszechnie stosowanym formacie, np csv.
  3. Prawo do usunięcia danych (bycia zapomnianym).
  4. Prawo do aktualizacji danych.
  5. Prawo do ograniczenia przetwarzania danych.
  6. Prawo do sprzeciwu wobec przetwarzania danych, zarówno do podmiotu, jak i skargi do odpowiedniego organu.
  7. Prawo związane ze zautomatyzowaniem przetwarzania danych. Jeżeli profilowanie odbywa się automatycznie i niesie skutki prawne dla klienta – powinien on również zostać o tym poinformowany. Powinien mieć także prawo do odwołania się od skutków takiej automatycznej decyzji (np. wysłania bądź niewysłania kodu rabatowego).

Reasumując, RODO jest kompatybilne z przepisami obecnie obowiązującymi, natomiast obecne przepisy nie są kompatybilne z RODO.

23783654_1800879363297908_3987458338057470252_o

Co to oznacza?

Możemy zacząć przygotowywać nasze działania już zgodnie z nowymi przepisami. Nie będzie to niezgodne z aktualnie obowiązującymi, a pozwoli wiosną uniknąć szoku i niepotrzebnych perypetii związanych z wprowadzeniem nowych regulacji.

Autor: Kamil Marek, Customer Success Manager w edrone

Katarzyna Gądek

view all post

By Daniele Zedda • 18 February

← PREV POST

By Daniele Zedda • 18 February

NEXT POST → 34
Share on