Twój komputer i smartfon wiedzą o Tobie wszystko: znają numery telefonów, maile, PESEL, zdjęcia rodziny. Znają nawet Twoje upodobania oraz marzenia. Dane osobowe – to „ślad”, jaki zostawiamy po sobie w sieci. Każda firma lub instytucja ma z nimi do czynienia. W dziedzinie bezpieczeństwa danych już wkrótce wiele się zmieni – 25 maja 2018 roku wejdą w życie przepisy RODO.
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych zostało przyjęte przez Parlament Europejski i Radę UE w kwietniu 2016 roku, aby ujednolicić zasady bezpieczeństwa danych osobowych w całej Unii Europejskiej.
Nowa regulacja wprowadza rewolucyjne zmiany w funkcjonowaniu firm oraz prowadzeniu działań sprzedażowych, promocyjnych. Po wdrożeniu przepisów RODO, w oparciu o dotychczasowe zgody, nie będzie można m.in.: automatycznie profilować osoby według miejsca zamieszkania, wieku, płci, zainteresowań, wysyłać mailingów, prowadzić remarketingu oraz korzystać z baz zewnętrznych, aby przedstawić swój produkt lub usługę.
Kogo dotyczą regulacje RODO?
Nowe przepisy bezpośrednio wpływają na wszystkie firmy, które pozyskują i wykorzystują dane dotyczące osób fizycznych (konsumentów). Nie ważne, czy jest to duża korporacja, rodzinna spółka czy firma jednoosobowa. Wszystkie firmy muszą przygotować się na zmiany. Wiąże się to m.in. z zaprojektowaniem własnego systemu ochrony danych, adaptacją procesów wykorzystujących dane osobowe i opracowaniem nowych procedur i dokumentacji.
Jakie nowelizacje wpłyną na funkcjonowanie rynku reklamy internetowej?
Nowe przepisy zwłaszcza w powiązaniu z planowanymi regulacjami w zakresie tzw. e-prywatności mogą uruchomić kaskadę zmian na rynku reklamy. Wpłyną one nie tylko na sposób pozyskiwania i przechowywania danych, ale także na zakres ich wykorzystania w prowadzeniu biznesu.
Pojęcie „dane osobowe” ulega znacznemu rozszerzeniu. Danymi osobowymi stają się: adresy IP, identyfikatory plików cookie oraz adresy mailowe.
Powyższe identyfikatory to „ślady” w Internecie, które w połączeniu z innymi informacjami, uzyskiwanymi z serwerów, są wykorzystywane do tworzenia profili i identyfikowania osób.
Ograniczenie profilowania będzie konsekwencją wymogów RODO. O profilowaniu trzeba będzie informować już na początku zbierania danych. Osoba, której dotyczą te dane, może się na to nie zgodzić.
Jeśli prowadzi się portal społecznościowy lub stronę z grami internetowymi, to ma się do czynienia z przetwarzaniem danych dzieci. Zgodę na przetwarzanie danych dziecka poniżej 16 roku życia będzie wyrażał opiekun lub rodzic.
Katalog danych wrażliwych także ulega zwiększeniu. Dane wrażliwe to dane pozwalające na określenie poglądów politycznych lub ujawienie przekonań religijnych, stanu zdrowia. Z nową regulacją dane genetyczne i biometryczne dołączą do katalogu danych wrażliwych.
Ochronę danych należy więc uwzględnić już na poziomie projektowania produktu lub usługi. Dodatkowo ochrona tych danych musi być włączona domyślnie.
Pozyskanie zgody – rozszerzona formuła zgody
Zgoda osoby fizycznej musi być udzielona dobrowolnie, świadomie i jednoznacznie. W praktyce oznacza to konieczność przygotowania mocno rozbudowanych klauzul prawnych, osobnych dla każdych celów przetwarzania informacji. Formularze zgody będą zawierać więcej informacji m.in. o prawie do przenoszenia danych, czasie ich przechowywania, planach przekazywania poza granice kraju.
Dodatkowa dyrektywa odnośnie e-prywatności wprowadzi wymóg uzyskania jednoznacznej zgody na śledzenie plików cookie.
Użytkownicy Internetu zyskują większe prawa do wiedzy
Każdy konsument będzie mógł zażądać od administratora pełnego udostępnienia informacji o jego danych osobowych (np. w formie PDF). Zasada łatwego przenoszenia danych pomiędzy firmami usprawni także proces komunikacji. Przykładowo, jeśli Kowalski ubiega się o kredyt, może zażądać, aby ten sam plik firma przesłała bezpośrednio do banku.
Prawo do wiedzy to w szczególności informacje dotyczące:
- w jakim celu i przez jaki czas są wykorzystywane dane osobowe;
- jakie są założenia w przypadku zautomatyzowanego przetwarzania danych;
- jakie są konsekwencje takiego przetwarzania.
Co to oznacza dla marketera? Przygotowanie obszernych klauzul, aby dane mogły być wykorzystane do działań z obszaru, np. UX, clicktracking, remarketing, marketing automation, profilowania.
Ciekawym z punktu widzenia Kowalskiego będzie prawo do „bycia zapomnianym”. Każdy, w myśl zasady „zapomnij, że kiedykolwiek byłem Twoim klientem”, może zażądać usunięcia swoich danych osobowych z bazy bądź żądać ograniczenia ich przetwarzania.
Co to oznacza dla administratora? Nie tylko usunięcie z własnej bazy, ale także poinformowanie wszystkich innych administratorów, którzy przetwarzają takie dane, o konieczności usunięcia wszelkich łączy do tych danych, ich kopii lub repliki.
Zasada łatwego przenoszenia danych wraz z prawem do „bycia zapomnianym” w praktyce oznacza większe prawa użytkowników Internetu oraz większe obowiązki dla procesorów (podmiotów przetwarzających dane osobowe w imieniu administratora).
Ochrona danych przed atakami hackerów
Eksperci prognozują, że coraz większa liczba maili wpływająca na nasze skrzynki mailingowe, będzie sprzyjała rozwojowi ataków typu „ransomware”. W rezultacie takiego ataku pojawiają się żądania okupu za odszyfrowanie plików lub całych dysków.
Hackerzy zwrócą także uwagę na rozwijający się obszar Internetu Rzeczy (Internet of Things), który zadomowił się już w naszych telewizorach, samochodach, inteligentnych lodówkach. Producenci smart-urządzeń połączonych z Internetem skupiają się raczej na funkcjonalności, często nie przykładając uwagi do zabezpieczeń. To wręcz kusi hackerów, aby ukraść dane o preferencjach i nawykach zakupowych użytkowników.
W przypadku, gdy do zbiorów danych dostaną się nieproszeni „goście”, to administrator danych w ciągu 72 godzin musi zgłosić fakt naruszenia danych osobowych do Głównego Inspektora Ochrony Danych Osobowych.
Dobre dane jak „gorący towar” dużej wartości
Internauci przyzwyczaili się do darmowego dostępu do treści dystrybuowanych w sieci. Wiadomo jednak, że „w przyrodzie nie ma nic za darmo”. Ten bezpłatny dostęp jest finansowany wpływami ze sprzedaży reklam, o czym niewielu użytkowników Internetu pamięta. „Ślady”, jakie pozostawia każdy z nas w Internecie, to podstawowe źródło informacji (profile, preferencje, modele behawioralne). Innymi słowy zarabianie na danych to jeden z fundamentów monetyzacji biznesu internetowego.
Jeśli Internauta korzysta z wyszukiwarki w trybie incognito, blokuje reklamy lub posługuje się nieprawdziwym adresem e-mail przy jednorazowych rejestracjach to pozyskiwanie danych jest znacznie utrudnione.
Według raportu „Reklama w Internecie” (interaktywnie.com; grudzień 2017), aż 46% reklam w Polsce jest blokowanych przez wtyczki typu adBlock. Jest to 8-procentowy wzrost w porównaniu do ubiegłego roku i stawia Polskę w światowej czołówce.
Bez wątpienia, regulacje RODO otworzą nowe możliwości ochrony danych i prywatności dla Internautów. Tym samym zbieranie danych, użytecznych przy budowaniu nowych modeli do monetyzacji biznesu internetowego, będzie wyzwaniem dla marketerów.
Na nowo należy opracować takie ścieżki jak:
- pozyskiwanie nowej zgody na przetwarzanie danych osobowych za pomocą newslettera, leadów sprzedażowych, kampanii SMS, kampanii mailingowych;
- legalne budowanie baz danych pozyskanych z plików cookie, wiadomości z serwisów społecznościowych, czatów, kontaktów telefonicznych;
- automatyczne profilowanie;
- korzystanie z baz zewnętrznych w celach sprzedażowych, promocyjnych;
- sprzedawanie przez call center lub korzystanie z outsourcingu;
- korzystanie z plików cookie;
- dostosowanie regulaminów serwisów.
Mocy nabiorą komplementarne rozwiązania wywołujące zaangażowanie użytkownika, realizowane oczywiście w oparciu o interakcje z osobami, które w sposób świadomy wyrażają zgodę na trwały dialog marketingowy. Szczególne znaczenie może więc mieć Video & Content Marketing oraz reklamy natywne. Drugi obszar mogą stanowić działania Direct Marketingu bądź Marketingu Rekomendacji.
Bez wątpienia świat reklamy internetowej w erze RODO będzie wyzwaniem dla kreatywności marketingowej.
Czeka więc nas rewolucja, w której systemy ochrony danych osobowych będą wymagały gruntownej przebudowy. Dbałość o ochronę danych to także dobra inwestycja w wizerunek firmy.