To nie jest kolejny wpis tłumaczący czym jest RODO – milion stron już to w polskim guglu tłumaczy, więc ja nie będę. A co! A tak serio, to z RODO jest taki problem, że nakłada na przedsiębiorców nowe, nie znane obowiązki i dość bogate konsekwencje za zlekceważenie ich.
GIODO, ABI i dotychczasowe działania
Do tej pory, firmy, które gromadzą dane osobowe miały je tylko zgłaszać do GIODO. Firmy powinny – słowo klucz – mieć swojego ABI, czyli kogoś, kto bazą danych się zajmuje: zgłasza, zabezpiecza, obsługuje. Jednak, tematem tabu (aby nikomu się nie narazić) było wiadome, że GIODO, za bardzo nie ściga. Słyszałem, o wysyłanych upomnieniach z GIODO, ale nie słyszałem o karach – nie mówię, że ich nie było. Natomiast słyszałem, że… urzędnicy byli bardziej ludzcy niż urzędowi. Po za tym, chodziło tylko o zgłoszenie bazy, na formularzu, nawet online’owo. Dziś GIODO może pochwalić się bogatą bazą firm, które zgłosiły, że mają bazę. Pewnie coś tam robią, ale na ile ja znam przypadków firm (tych mniejszych oczywiście), które w ogóle w swojej świadomości nie mają czegoś takiego jak bezpieczeństwo danych osobowych, to poezja.
Nie wdając się w szczegóły – choć chyba napisałem i tak za dużo, mimo, że wszyscy wszystko wiedzą – mając sklep internetowy, można było spokojnie działać, byle by z rozwagą. Teraz to trochę za mało. Problem wynika z dość ważnej płaszczyzny. Otóż będąc w Unii Europejskiej będziemy częścią ujednoliconego rynku cyfrowego. Możliwości biznesowych daje to naprawdę sporo, więc jeśli masz swój e-commerce, to tak serio serio warto pomyśleć o wersjach językowych i próbie podbijania rynków zagranicznych, a powiedzmy sobie szczerze: nasz polski e-commerce to jeden z największych w europie, a nasze produkty nie mają się czego wstydzić na zachodzie. Jednak z profitami wiążą się obowiązki i RODO jest właśnie konsekwencją tego typu profitów.
Ujednolicenie przepisów
Do tej pory, każdy kraj miał takie swoje GIODO i swoje przepisy. Teraz UE dała konkretne dyrektywy dla wszystkich członków wspólnoty i wszyscy, muszą dostosować się do tych samych norm. Nie ma co ukrywać, że prawo pisane jest pod najbogatszych w starej UE. Dla nas 20 mln euro kary to suma, która może być udźwignięta przez 15(?) firm? Reszta, jest poza zasięgiem. Na Zachodzie, wiele firm tego nie odczuje, a całkiem sporo może to wziąć na siebie. Więc trzeba być świadomym skali. Także standardy ochrony danych osobowych będą ujednolicone.
Jak to wygląda w praktyce?
Ano tak, że mając swój e-biznes i prowadząc działania e-mail marketingowe lub marketing automation, to zawsze się to sprowadza do budowania bazy odbiorców, zbierania od nich danych, monitorowania ich zachowań na naszej stronie oraz finalnie wysyłanie spersonalizowanej treści handlowo-marketingowej. Tego typu działania wiążą się z działaniami podyktowanymi przez RODO. Odbiorcy Twoich maili będą mieli teraz szereg praw, a Ty tym samym szereg obowiązków, dla przykładu trzeba ogarnąć następujące kwestie:
- Zawarcie jasnej i przejrzystej informacji jakie dane zbierasz i po co je zbierasz
- Kto jest administratorem danych
- Kto będzie tych danych używać (przetwarzać)
- Poinformowanie o możliwości bycia zapomnianym, czyli permanentnym usunięciu danych z bazy
- Wykazanie zgód na przetwarzanie danych w zakresie w jakim je używamy, więc jeśli mamy dane transakcyjne, ale bez zgód na newslettera to już łamiemy prawo wysyłając taki mail.
Dodatkowo, jeśli dane będą przetwarzane do tworzenia profili behawioralnych, a przecież marketing automation tak robi, to również, trzeba będzie o tym właścicieli tych danych poinformować.
Czy mam się czego bać?
Wyjściowym aspektem jest polityka cookie. Jak wiemy, każda strona powinna mieć notyfikacje z informacją, że są przetwarzane ciasteczka przez daną stronę i takie tam. Pytanie za milion: ile stron w ogóle o tym nawet nie pomyślało, aby wdrożyć 😉 #badumptsssss
W internecie straszą, to prawda, i wszystkie wpisy są niczym z horroru, jednak, też nie demonizujmy. Zasadnicza kwestia: jeśli masz bazę to skąd? Wiadomo, że wiele firm działa na nielegalu i kupują bazę 3 mln kontaktów 500 zł na Allegro, szukając tam statystycznych zysków. Nie powiem, czasem idzie tam zarobić, ale jest to ewidentny spam i jawne łamanie prawa. Masz taką bazę – tak, masz się czego bać.
Inny przypadek to budowanie własnej bazy i zbieranie e-maili ze swojej stronki. Wszystko klavo, ale czy przy formularzu zapisu są check-boksy, które określają zgodę na co właściciel danych się zgadza? Jeśli nie masz tego, to tak – jest problem.
Kolejna rzecz jest oczywista, ale nie dla wszystkich: to double opt-in, czyli wysłanie na wpisany adres e-mail potwierdzenia zapisu do bazy, gdzie ma być link potwierdzający zgodę. Nie masz double opt-in? Tak, masz problem.
Nic odkrywczego, to w końcu było już od dawna. Jednak, jeśli do tej pory tego nie masz, to cóż, pracy związanej z RODO jest więcej.
Co mam zrobić?
Przede wszystkim uświadomić sobie, że jest trochę czasu i nie panikować. Przede wszystkim nie kupować jakiś szkoleń na allegro, albo audytów u samozwańczych speców tylko pójść tam, gdzie się na tym znają. Grupa SARE S.A. powołała do życia Fundację FORCE, której misją jest edukacja i walka z nielegalnymi działaniami w internecie. To jest trochę reklama, ale nie wstydzę się tego, że względu na ilość i jakość wiedzy jaka jest w tej fundacji, jeśli chcielibyście więcej info to zapraszam do kontaktu, zapoznam z odpowiednimi osobami (zależnie od problemu).
Drugą rzeczą na pewno jest zrobienie porządku w bazie i porządku ze swoją bazą. Warto wiedzieć jakiego typu dane obecnie mamy, jak je wykorzystujemy i w jaki sposób, czy przypadkiem nie przekazujemy je “zaprzyjaźnionej” firmie, albo nie udostępniamy tych danych z poziomu okazyjnego wydawcy i w jaki sposób te dane chronimy. Każdy z tych aspektów, jest określony w RODO i lekceważenie sobie choć jednej rzeczy naraża nas na nieprzyjemności.
Trzecia rzecz, choć pierwsza w gradacji ważności to świadomość w organizacji o istocie problemu. Serio, wielu naszych rekinków biznesu często tak jest zadufanych w sobie, że nic sobie nie robią z przepisów prawa. Powodzenia marketerze, który musisz przekonać prezesa prezesów życia, że jest wyzwanie prawne któremu trzeba sprostać.
Na pewno trzeba uregulować kwestie zgód i zbierać je, póki jest jeszcze czas na to i wewnątrz firmy stworzyć procedury postępowania z danymi: w kontekście np. ich ochrony czy działań w przypadku niekontrolowanej jej utraty.
Zachęcam do kontaktu. Wiadomo, że robiąc strategie marketing automation, kojarze się, z wystawianiem FV, ale bez przesady. Też jestem człowiekiem, i też chcę pomóc. Tak poprostu 🙂