Jak przygotować się do RODO – moja rozmowa z Agnieszką Grzesiek-Kasperczyk
Powrót do listy wpisówDla przedsiębiorców rok 2018 będzie rokiem pod znakiem RODO. Nowa regulacja dotycząca ochrony danych osobowych zastępuje przepisy wprowadzone ponad 20 lat temu i dostosowuje je do nowych realiów. Czym tak naprawdę jest RODO i jak się do niego przygotować? O tym rozmawiałem z Agnieszką Grzesiek-Kasperczyk z kancelarii MyLo.
Całą rozmowę możesz obejrzeć poniżej:
Jeżeli spodobało Ci się nagranie, zasubskrybuj nasz kanał!
Dla Twojej wygody przygotowałem nagranie także w formie podcastu oraz bezpośrednio do pobrania.
Jeżeli używasz iPhona, iPada lub Maca podcast znajdziesz również w iTunes.
Dodatkowo chciałbym zaprosić Cię do zapoznania się z najważniejszymi informacjami dotyczącymi RODO, które zebraliśmy na naszej stronie:
Na koniec zamieszczam transkrypcję wywiadu z Agnieszką Grzesiek-Kasperczyk.
Transkrypcja rozmowy o RODO:
Paweł Sala: Cześć, z tej strony Paweł Sala, witam Was w kolejnym nagraniu mojego videocastu „Email i marketing”. Dzisiaj będziemy w sumie rozmawiać o czymś zupełnie innym - to znaczy nie będzie ani o mailach, ani o marketingu. Będzie o czymś, co jest teraz na topie, czyli o RODO i o zmianach prawnych, które wchodzą w zakresie ochrony danych osobowych. Zaprosiłem do rozmowy Agnieszkę Grzesiek z kancelarii MyLo. Myślę, że wszystkich, którzy zajmują się zarówno marketingiem bezpośrednim, jak i email marketingiem, ten temat zainteresuje, ponieważ 25 maja czekają nas duże zmiany i musimy się do nich dobrze wszyscy przygotować. Zapraszam Was więc do naszej rozmowy. Generalnie temat jest bardzo gorący: rok 2018, czyli RODO. No właśnie, czym to RODO w ogóle jest? Czy mogłabyś wytłumaczyć?
Agnieszka Grzesiek-Kasperczyk: Co to jest? No tak, RODO to jest Rozporządzenie ogólne o Ochronie Danych Osobowych, które jak powiedziałeś, wchodzi w życie w przyszłym roku. Wszystkie de facto firmy powinny się do niego dostosować - w Polsce i w całej Unii Europejskiej. Wprowadza ono nowe zasady - niektóre dotyczące ochrony danych osobowych, ale w dużej części jest to to samo, co było już wcześniej, tylko dostosowane do nowych realiów, nowych technologii i wszystkiego tego, co w ogóle się zadziało na rynku przetwarzania danych osobowych od poprzedniej regulacji, która była dwadzieścia lat temu.
PS: Mówisz „nowe”, ale gdzieś już były takie artykuły, gdy jeszcze RODO nie istniało i każdy myślał, że to ono wejdzie, bo Snowden ujawnił pewne rzeczy. I że teraz RODO będzie takim batem na NSA i wszystkie inne agencje, które będą przeglądać te dane, tudzież na złych marketerów, którzy też te dane wykorzystują w sposób „nie okej”. Czy to o to chodzi, czy raczej tak po prostu będzie to jakoś uregulowane?
AG: Znaczy tak, jest kilka aspektów mówiących, dlaczego RODO w ogóle powstało i dlaczego Unia Europejska je uchwaliła. Po pierwsze, tak jak wspomniałam, poprzednie przepisy są sprzed dwudziestu lat, dokładnie z ’97 roku i przez ten okres ilość danych, które przetwarzamy, wszystkie firmy, Internet, to wszystko tak urosło, że te przepisy są już po prostu stare i nieadekwatne do tego, co się rzeczywiście z danymi osobowymi dzieje. Po drugie, technologia poszła naprzód, tamte stare przepisy w wielu przypadkach, wymagały albo zawierania umowy pisemnej, albo udzielenia zgody pisemnej, co w dzisiejszym świecie jest bardzo niepraktyczne. Sam wiesz, że firmy, takie jak Twoja, chcą zawierać umowy przez Internet: zaakceptowanie regulaminu i mamy zawartą umowę. Więc to częściowo dlatego powstało, żeby dostosować się do realiów. Te wycieki Snowdena pewnie też się przyczyniły, ale to bardziej jest kwestia umowy pomiędzy Unią Europejską a Stanami Zjednoczonymi. To już stało się wcześniej, w zeszłym roku program Privacy Shield wszedł w życie i to jest jakby odrębna kwestia. Jak będziesz chciał, żebym to wytłumaczyła to mogę. Natomiast główny cel RODO, ja tak uważam, to jest takie „ucywilizowanie” po prostu.
PS: Okej.
AG: Stosunków pomiędzy osobami, ja ich nazywam delikwentami, którzy udostępniają swoje dane osobowe na różne cele - a administratorami, którzy te dane wykorzystują do jakichś celów. Dotychczas, pewne rzeczy nie były uregulowane i dlatego była taka trochę wolna amerykanka. Marketerzy bardzo dużo danych zbierali o nas, o użytkownikach, o delikwentach, bo po prostu nie było żadnych zakazów. I tak każdy robił co chciał. Natomiast w pewnym momencie Unia stwierdziła, że to tak nie może być, że ludzie nie wiedzą, co się z ich danymi dzieje i powinny być jasne, precyzyjne zasady, co można, a czego nie można. I też jakby kolejną kwestią jest to, że pomimo, że była dyrektywa w Unii Europejskiej, to każdy kraj miał inne przepisy. Ty jak chciałeś zawrzeć umowę z jakimś podmiotem zagranicznym, np. z Francji i chciałbyś sobie kupić jakąś usługę czy produkt, to nie wiedziałeś do końca, jakie przepisy się stosuje: czy polskie, czy francuskie. A teraz będą jednolite zasady w całej Unii Europejskiej i nawet jeśli firma ma siedzibę poza Unią - w Stanach czy np. w Chinach, to jeżeli przetwarza dane osobowe ludzi z Unii to musi stosować te przepisy z Unii.
PS: Mówiłaś, że będzie to ucywilizowane i ujednolicone. Z punktu widzenia przedsiębiorcy/marketera, co dla niego się najbardziej zmieni, jakbyś mogła wyjaśnić?
AG: Wiesz co, takie podstawowe zasady się nie zmienią, bo podstawowe zasady przetwarzania zostają takie jak dawniej. To znaczy - jeżeli zawiera się z kimś umowę i na potrzeby wykonania tej umowy trzeba przetwarzać dane, to wszystko pozostaje bez zmian, nie trzeba żadnych dodatkowych zgód. Mówi się o tym, że RODO będzie wymagało zgody jakiejś bardziej kwalifikowanej, i skomplikowanej. Bo RODO rzeczywiście wymienia, że jeżeli chcesz przetwarzać dane i potrzebujesz na to zgody delikwenta, to ta zgoda musi być jednoznaczna, konkretna, świadoma i dobrowolna. Takie cztery przykłady. No, ale to tak naprawdę jest to samo, co było wcześniej. Też GIODO zawsze tłumaczyło, że zgoda musi być konkretna i świadoma, nie może być domniemana z innych czynności.
PS: W punkcie 147 regulaminu mamy zgodę numer jeden, a w 148 drugą, tak?
AG: Tak, gdzieś tam ukryta, nie uważało się tego za poprawną zgodę. I to będzie nadal tak samo, a nawet RODO wręcz ułatwia pewne rzeczy, bo RODO wprost mówi, że zgoda, w szczególności na przetwarzanie do celów marketingowych, nie musi być w formie takiego oświadczenia - może być w formie jakiejś czynności. Czyli wcześniej mieliśmy tak, że musiało być napisane: „wyrażam zgodę na przetwarzanie moich danych” i tam: do jakich celów, wszystko wymienione po kolei i najczęściej był to checkbox, tak? Oznaczało to, że ja wyrażam zgodę gdy kliknę, bo nie mogło być domyślnie to zaznaczone. A RODO mówi, że zgoda może być wyrażona przez samą czynność, tylko jeżeli ta czynność będzie jednoznaczna. Będzie można na sto procent powiedzieć, że ktoś wyraził zgodę na konkretne rzeczy. No i tutaj typowy przykład (jakby korzystny dla Twojej firmy, dla Ciebie) to jest właśnie wpisanie adresu email w odpowiednie pole. Już samo wpisanie i kliknięcie „zapisz” to będzie uważane za zgodę na przetwarzanie danych do tych celów, czyli do wysyłania newslettera.
PS: Newslettera.
AG: Tylko jest jedna kwestia, co Ty tam napiszesz. Jeżeli wyraźnie napiszesz, że tutaj możesz się zapisać na newsletter, wpisz swoje imię i adres, to będzie już wystarczające.
PS: Okej, ale jeżeli na przykład dzisiaj newsletter to jest coś więcej? To znaczy - kiedyś było tak, że zapisujesz się i dostajesz generyczną treść, dla wszystkich taką samą. A załóżmy, że ktoś będzie chciał bardziej dostosowywać tę ofertę w tym newsletterze. Czyli będzie obserwował w co klikasz, co otwierasz, co Cię interesuje - czyli w jakiś sposób będzie analizował Twoje zachowanie…
AG: Historię, tak?
PS: …Czy historię, już jakby od momentu zapisania się na ten newsletter, to wtedy tą zgodę trzeba by gdzieś jeszcze rozszerzyć, może nie w checkboxie, ale włożyć ją w treść maila potwierdzającego, że będziemy wykorzystywać dane do celów marketingowych i tu jest nasza polityka prywatności. Czy to byś zignorowała?
AG: Tak, tak, generalnie RODO właśnie kładzie nacisk na przejrzystość i na takie, tak jak powiedziałam, ucywilizowanie i wytłumaczenie. Ja, zapisując się na newsletter, mam dokładnie wiedzieć, na co się zgadzam. Jeżeli chcesz polegać na takiej zgodzie, że tylko wpisałam adres email, to jakby po Twojej stronie później, w razie jakiejś kontroli, będzie wykazanie, że ta moja zgoda była właśnie świadoma i dokładnie na to, co robisz z moimi danymi. I teraz musisz pamiętać, że dane osobowe to nie tylko moje imię i adres email, ale wszystkie rzeczy, które o mnie wiesz jako zidentyfikowanej osobie. Więc jeżeli śledzisz to, że ja właśnie otwarłam maila tego dnia, o godzinie 20:00 i z tego wnioskujesz, że ja najczęściej właśnie korzystam z komputera o 20:00, więc kolejne maile też chcesz mi wysyłać o 20:00. A jeśli dodatkowo zobaczyłeś, że czytam rzeczy związane z prawem, a z samochodami na przykład nie, to wszystko to są dane osobowe. Więc Ty w jakiś sposób powinieneś mi wytłumaczyć, że taką historię będziesz śledził i przetwarzał. RODO nie mówi w jakiej formie masz to zrobić, więc możesz to zrobić w mailu potwierdzającym, możesz podlinkować politykę prywatności. Tylko w takim miejscu, że to na pewno zauważę, a nie na dole strony, gdzieś tam po przewinięciu pięciu ekranów. I prostym, jasnym językiem. RODO wprost mówi, że wszelkie komunikaty mają być kierowane prostym językiem, zrozumiałym dla człowieka, który nie zna się ani na email marketingu, ani w ogóle na marketingu.
PS: No tak.
AG: Ani na prawie, ani na IT, tak? Zwykły człowiek.
PS: Myślę, że za chwilę nagramy taki filmik, gdzie będzie: „Część, z tej strony Paweł, opowiem Wam jak działa system do email marketingu…”
AG: Może być.
PS: I to wszystkim klientom chyba trzeba będzie wysłać, żeby gdzieś tam umieścili.
AG: Tak, to super pomysł, może być coś takiego. Bo wtedy każdy to zrozumie i chętniej też pewnie będzie to oglądał niż czytał właśnie taką politykę prywatności z pięciu stron.
[00:10:06]
PS: Powiedz mi, to skoro tutaj RODO nam marketerom troszkę ułatwi zbieranie tych zgód, czyli albo po prostu sama aktywność, albo włożymy tę zgodę już w treść maila potwierdzającego, które systemy wymuszają na ludziach, no to jeszcze mamy w Polsce dwie, mniej nowe ustawy w zakresie email marketingu. Czyli mamy ustawę o świadczeniu usług drogą elektroniczną i ustawę prawo telekomunikacyjne, które w ten czy inny sposób się odnosi do komunikacji. I tam te zgody dalej trzeba będzie zbierać?
AG: Powiem tak, te ustawy nie przestaną obowiązywać. Nadal te przepisy obowiązują i nadal potrzebna będzie zgoda na przesyłanie informacji handlowej, bo to jest ustawa o świadczeniu usług drogą elektroniczną. I nadal prawo telekomunikacyjne wymaga zgody na marketing bezpośredni za pomocą, nazwijmy to, urządzeń końcowych, tak jak mówi ta ustawa. Z prawa telekomunikacyjnego musisz rozróżnić jakby drogi, którymi Ty ten marketing robisz. Czy to jest email marketing, czy to są smsy, czy dzwonisz - na każdy taki rodzaj marketingu potrzebna jest osobna zgoda. Ale jeśli skupiamy się na email marketingu, to według mnie te trzy zgody będzie można skumulować tak naprawdę w jedno. Bo już dzisiaj ustawa o świadczeniu usług drogą elektroniczną mówi, że ta zgoda na otrzymywanie informacji handlowych może być wyrażona poprzez czynność - i tam jest wprost powiedziane, że na przykład poprzez udostępnienie adresu email. Czyli tą pierwszą zgodę już masz uzyskaną poprzez wpisanie adresu w okienko. W RODO, jak powiedziałam, też może być poprzez wpisanie w okienko, a zgoda z prawa telekomunikacyjnego - w niej musisz udowodnić, że ktoś się zgodził na marketing poprzez email. Czyli jeśli wpisał adres w okienko, to znaczy, że też się zgodził.
PS: Kliknął zapisz, potwierdził maila i jeszcze…
AG: Tak, czyli moim zdaniem te trzy zgody po prostu można skumulować w jedno. No i to jest jakby coś na plus, tak? W stosunku do poprzednich przepisów.
PS: Powiedz mi Agnieszka, bo część naszych klientów ma zawsze taki dylemat. To znaczy jak jadę na konferencję, albo jadę na jakieś szkolenie na uczelni, opowiadam właśnie o zgodach jeszcze tych, które do tej pory obowiązują, to zazwyczaj część osób czuje się taka skonfundowana: „o kurczę, nie wiedzieliśmy”. Co więcej, jak oni jeszcze zaczynają, to okazuje się, że przede wszystkim operują w e-commerce. Tam zazwyczaj zasłaniają się tym, że nie muszą zbierać zgód, bo jak to jest nasz klient, to jest tak naprawdę marketing produktów własnych. Do tego mamy klienta i zbieramy te dane dla potrzeb księgowych tak naprawdę, więc to jest wyłączenie z ustawy o ochronie danych osobowych. Natomiast potem zawsze pojawia się takie magiczne pytanie z sali, mniej więcej drugi, trzeci student: „No dobra, ale mamy też dane do potrzeb związanych z wysyłką towaru” i teoretycznie część tych osób (to są studia podyplomowe), mówi: „Ale na to już trzeba by pewnie oddzielną zgodę”. Czy tutaj nie trzeba, bo to jest też takie, jak już jesteśmy przy tych zgodach…
AG: Dobra, to ja już wytłumaczę. Nie, zarówno obecna ustawa, jak i RODO mówi, że do celów wykonania umowy, jeżeli zbierasz dane i je przetwarzasz i wykorzystujesz, to nie potrzebujesz zgody.
PS: Okej.
AG: Czyli jeżeli mam e-commerce i sprzedałam buty, no to jakby jest oczywiste, że ktoś musi mi podać adres, gdzie te buty mam wysłać, tak? I na to nie potrzebuję zgody, bo to jest wykonanie umowy. Fakt, że przekazuję te dane kurierowi czy innemu dostawcy tych paczek. Ale mogę to zrobić, nie muszę się pytać o zgodę na przekazanie, bo to jest tak zwany procesor. Czyli ja, jako właściciel sklepu, jestem administratorem. Ja decyduję o tym, że wyślę te buty, ale jakby w tym zakresie podzlecam, powierzam przetwarzanie danych kurierowi czy firmie kurierskiej, aby ona te buty doręczyła. I nie jest na to potrzebna zgoda. I właśnie to jest wręcz plaga w sklepach, że są te dodatkowe checkboxy: „wyrażam zgodę na przetwarzanie moich danych do celów realizacji zamówienia”.
PS: Dokładnie.
AG: To jest całkiem zbędne. Natomiast jeśli chodzi o marketing, no to owszem, rzeczywiście marketing produktów własnych nie wymaga dodatkowej zgody. Tylko pytanie, czy Ty odebrałeś zgodę z tej innej ustawy o świadczeniu usług drogą elektroniczną? No bo jeżeli nie, to jak wyślesz im maila reklamowego, to ktoś może się sprzeciwić, bo on owszem - zgodził się otrzymywać emaile, te transakcyjne, tak? Że przyjęliśmy zamówienie, wysłaliśmy paczkę i tak dalej, i tak dalej. Ale już nie z kolejnymi promocjami, z kolejnymi ofertami - nie musiał się na to zgodzić.
PS: A robiłabyś tak, że znowu tam te trzy checkboxy zrobiła, czy wprost je nazwała: „tak, chcę dostawać super oferty na newsletter” i to poprzez czynność jak będziemy już potem te wszystkie zgody domniemywać, czy raczej to tak bardziej rozbudowanie?
AG: No, to znaczy nie. Zobacz, jeżeli ktoś kupił te buty to ja już z samego tego faktu, że kupił mogę te buty mu wysłać. Mogę mu wysłać maile transakcyjne. Natomiast dałabym dodatkowe jakieś miejsce, okienko: „czy chcesz otrzymywać dalsze super oferty” i tutaj już jakby Wasza jest kreatywność, marketerów, jak to zrobicie. Bo RODO mówi, że nie musi to być checkbox. Możesz wymyślić sobie jakaś inną formę, fajny tekst, nawet filmik - tak jak właśnie wymyśliłeś, żeby zachęcić - ale żeby dał tą dodatkową zgodę na cele marketingowe drogą emaila, tak?
PS: Miałem teraz zajęcia na Koźmińskim i tam padło pytanie od studenta, na które nie za bardzo umiałem odpowiedzieć. Czy jeżeli ktoś, powiedzmy FreshMail, dostał zgodę na wszystkie wysyłane maile - nasi klienci nam wyrazili tą zgodę. To czy ktoś, zapisując się na newsletter FreshMaila, wyraził nam wszystkie zgody dotyczące komunikacji: tej naszej, o email marketingu, ewentualnie jakiejś sprzedażowej, to czy jeżeli na przykład organizujemy albo nawet nie my organizujemy - ktoś organizuje jakąś konferencję i prosi nas, żebyśmy wysłali do naszych klientów FreshMaila informacje o tej konferencji, ja zazwyczaj wtedy mówię, że nie za bardzo, bo to nie jest nasz marketing i to nie są nasze cele marketingowe.
AG: Tak, tak.
PS: No chyba, że nam dacie super rabat dla naszych klientów, to wtedy FreshMail, jako patron, może.
AG: Tak.
PS: Natomiast to jak wtedy byś…?
AG: Tak, dobrze powiedziałeś. Tak to jest, że i obecna ustawa, i RODO mówi, że zgoda musi być konkretna. Czyli, prawnicy tłumaczą w ten sposób, że zazwyczaj dotyczy właściciela strony internetowej. No bo mówimy o takiej zgodzie internetowej, tak? Czy właściciela firmy. Ty się pytasz jako FreshMail, czy ja się zgadzam na Twoje komunikaty marketingowe, tak z domysłu. Natomiast jeśli chciałbyś do mnie wysyłać reklamy podmiotów trzecich, to musiałbyś też mnie o to zapytać.
PS: Okej.
AG: I nie wystarczy tutaj napisać: „i partnerów”, tak?
PS: No tak.
AG: Tylko czy wyrażasz zgodę na otrzymywanie newslettera od FreshMaila i partnerów, bo to nie jest konkretne. Bo nie wiem, kto jest Twoim partnerem, czy mi później będziesz wysyłał reklamy wycieczek, książek, samochodów, czy Bóg wie czego. Niektórzy mówią, że to wręcz powinna być lista imienna. Wymienienie firm. Ja bym aż tak daleko nie szła, tylko jakieś zakreślenie pewnych ram. Jeżeli na przykład prowadzisz serwis w ogóle o marketingu, jakieś tam „marketing-internetowy.pl”. I się zapisuję na taki newsletter, to jestem zainteresowana ogólnie newsami z branży marketingu, tak?
PS: Marketingu.
AG: Więc wówczas mógłbyś, tak uważam, napisać, że to newsletter od właściciela tej strony oraz z branży marketingowej. Coś takiego: „wiadomości z branży marketingowej”. I wówczas uważam, że mógłbyś mi wysłać właśnie o konferencji marketingowej, o jakichś książkach marketingowych, o takich rzeczach, o szkoleniach. Ale już nie, żebyś mi wysyłał oferty samochodów.
PS: Okej.
AG: Czy wycieczek na Karaiby, po prostu, nie?
PS: No to myślę, że zmieni się za chwilę taki landscape polskich domów mediowych.
AG: Tak, tak i właśnie to może być dosyć istotną zmianą. Bo organy będą tego pilnowały, tak? Jest też zasada minimalizacji danych, o której jakby wcześniej nie wspomniałam, ale to jest dosyć ważna rzecz, na którą RODO kładzie nacisk. Bo to też obowiązywało poprzednio, ale wydaje mi się, że teraz będzie dosyć mocno pilnowane przez przyszłego GIODO, który już się nie będzie nazywał GIODO, ale tak mówmy. To znaczy, że powinieneś zbierać i przetwarzać jak najmniej danych de facto. Tylko tyle, ile jest Ci konieczne na cele, które określiłeś na początku. I to dotyczy też czasu przetwarzania.
PS: Okej.
AG: To znaczy, że jeżeli na przykład kupiłam właśnie te przysłowiowe buty i już więcej raczej ich nie kupię, to po pewnym czasie (zazwyczaj to się mówi, że to okres przedawnienia roszczeń), te moje dane powinny być usunięte z Twojej bazy.
PS: Okej.
AG: A nie, że Ty trzymasz je przez 20 lat, bo może za 15 lat kupię jeszcze kolejne buty.
PS: Wrócisz.
AG: I wówczas Tobie będzie łatwiej, bo już moje dane będziesz miał. No tak nie powinno się robić. Tylko cel i zakres niezbędny. Jakby to się również łączy trochę z tym „…i partnerów”, czy ja mogę wysyłać komunikaty od partnerów takich bardzo szeroko pojętych. No bo to wtedy nie jest zgodne z tą zasadą minimalizacji danych.
PS: Okej.
AG: Bo ja wtedy jednocześnie jakby, no może nie udostępniam, bo tym partnerom nie udostępniam mojej bazy, ale temu delikwentowi wysyłam po prostu… przetwarzam jego dane na inne cele. Bo to są cele marketingowe partnerów, a nie moje, a zgoda była odebrana na moje tylko cele marketingowe.
PS: Ja sobie teraz jeszcze jedną rzecz pomyślałem. Że w sumie jak dostaję jakieś maile, takie reklamowe, to zazwyczaj sobie je kolekcjonuję. Nigdy nie oznaczam „zgłoś spam” czy coś, tylko zawsze je trzymam, żeby mieć pakiet badawczy. Natomiast są pewne różnice, jeżeli jest firma bardzo taka „legitna" prawnie, no ta stopka jest bardzo rozbudowana, dlaczego dostajesz tego maila: „dostajesz go od firmy XYZ, bo zostawiłeś w takiej akcji maila i to jest nasz partner, myślimy, że to Cię zainteresuje, by the way właścicielem i administratorem jest…” no i ta firma, która wysyła, jeszcze czasem nawet w nadawcy jest napisane tak, że jest nazwa reklamodawcy i nazwa właściciela bazy tak, żebym od początku wiedział, co i jak. Ale to są wyjątki. A raczej praktyką albo złą praktyką jest to, że zazwyczaj dostajesz maila od, niech to będzie Renault. Zastanawiasz się: „kurczę, nie zapisałem się nigdy na newsletter Renault”, w tej stopce jest tak enigmatycznie napisane, albo w ogóle nie ma stopki, albo jest bardzo enigmatycznie napisane kto to wysłał. I teraz zastanawiam się - bo taki delikwent, jak go nazywasz, jak on się wkurzy, a RODO będzie za chwilę mówiło o konkretnych karach finansowych, których do tej pory nie było, czy sankcjach generalnie, to on może wtedy pójść do takiego Renault i poskarżyć się: „skąd macie moje dane”, no nie?
AG: Tak, tak, dokładnie. Będzie mógł złożyć skargę właśnie do przyszłego GIODO, no i GIODO będzie zobowiązane wszcząć kontrolę. Sprawdzić: „halo, Renault, dlaczego wysyłasz te maile, pokaż że masz zgodę”, no i wtedy Renault albo pokaże zgodę, wtedy wszystko będzie okej, albo pokaże zgodę tej innej firmy i okaże się, że tak naprawdę to nie pasuje do siebie. Bo zgoda była właśnie dla jednej firmy, a są wysyłane maile od Renault, no i wówczas wejdzie możliwość tych wielkich kar.
PS: To bardziej Renault wtedy dostanie czy ten, który wysłał fizycznie?
AG: Obie te firmy. Oba te podmioty będą mogły dostać. Tak, bo są nawet takie już teraz orzeczenia, że Ty jako administrator, jeżeli powierzyłeś bazę jakiemuś podmiotowi do realizacji np. telemarketingu, to tak naprawdę właśnie oba te podmioty odpowiadają i oba mogą dostać karę.
PS: Tutaj także, bo nie wspomnieliśmy o tych karach, te kary to cztery procent obrotu.
AG: Cztery procent obrotu światowego danej firmy albo dziesięć milionów euro, ale to są maksymalne kary.
PS: Okej. Dziesięć czy dwadzieścia?
AG: Tam jest powiedziane dziesięć, takie podstawowe.
PS: Dziesięć.
AG: A dwadzieścia w przypadku danych wrażliwych lub bardzo dużych naruszeń.
PS: Okej.
AG: Czyli taka podstawa to jest cztery procent i dziesięć milionów euro.
PS: No to dalej pewnie większość firm nawet nie ma takiego obrotu.
AG: Tak, tak. To i tak jest dużo, natomiast praktyka dopiero GIODO pokaże jakie w rzeczywistości będą te stawki. Bo to tak można porównać trochę do dzisiejszych kar nakładanych przez UOKiK. Tam też są pewne widełki i maksymalnie jest dziesięć procent obrotu, ale nigdy się nie zdarza, żeby UOKiK nałożył dziesięć procent, tylko zazwyczaj tak dwa, trzy, półtora.
PS: Ale za spamowanie tam cztery miliony, ponad cztery miliony była kara.
AG: Tak, tak, no jeżeli już jest duża firma, typu duży Telecom albo… no jakaś taka duża firma, to oczywiście już idziemy w miliony złotych. Więc w zależności od obrotów.
PS: No tam akurat Telecom dostał.
AG: No, dlatego była taka duża ta kara. Także to wyjdzie jeszcze w praniu. GIODO zdecyduje. Bo przede wszystkim też powinien uczyć na początku, tak? Po wejściu w życie tych przepisów, tak mi się wydaje, że GIODO powinien bardziej edukować, wydawać jakieś dobre kodeksy dobrych praktyk. Wskazówki, nawet tak deklarują teraz, że będzie jakiś taki kodeks dobrych praktyk wydany. A nie od razu nakładać najwyższe kary. No, ale jakby nie możemy tego przewidzieć, tak?
PS: Czy to też tak, jeszcze jak był stary GIODO, w sensie nie stary… stary minister Wiewiórkowski.
AG: Wiewiórowski.
PS: Wiewiórowski, kurczę, zawsze nazwisko mnie myli. Tam pamiętam, że powstawało coś takiego jak kodeks dobrych praktyk, który miał być przez GIODO gdzieś tam przystemplowany. No i wtedy to byłoby coś, co by branżę internetową w jakiś tam sposób samo regulowało.
AG: Ale nie powstało to, nie?
PS: W końcu to zostało. W końcu gdzieś tam na pracach zatrzymane i mam nadzieję, że teraz może uda się do tego wrócić, no bo to byłoby coś…
AG: No ja też mam nadzieję. Bo właśnie RODO wprost mówi, że organy mogą coś takiego robić i że wręcz powinny. No bo trudno też wymagać, tak? Jeżeli są nowe przepisy i mówi się, teraz wy, wszystkie firmy macie się do tego dostosować, a tak naprawdę nie ma żadnych wskazówek, jak to zrobić. I każda firma weźmie innego prawnika, jeden prawnik powie tak, drugi inaczej, to jest duże ryzyko. Jeżeli właśnie ryzykuje się takimi karami, to ja uważam, że powinny jakieś te kodeksy dobrych praktyk być.
PS: Zwłaszcza, że potem jeszcze masz człowieka po stronie GIODO czy, jak się to nowe GIODO będzie nazywać?
AG: PUODO.
PS: PUODO.
AG: Czyli Prezes Urzędu Ochrony Danych Osobowych.
PS: Tak, czyli będziemy mieć nowe PUODO i to PUODO będzie miało znowu iluś tych kontrolerów i każdy kontroler zapewne troszkę inaczej będzie interpretował sobie pewne rzeczy.
AG: Tak.
PS: Więc to jest duże ryzyko dla nas. Agnieszka, bardzo często ludzie, mówiąc o RODO czy myśląc o RODO, podchodzą bardzo restrykcyjnie do tematów związanych z tym, z jakiego systemu powinni korzystać. Nie tylko do email marketingu, ale w ogóle do systemu, w którym będą przetwarzać swoje dane osobowe. Ja nie ukrywam, że my jako FreshMail też często, jak jeździmy na targi jakieś międzynarodowe, to też tam wpisujemy, że jesteśmy firmą z Unii Europejskiej, wszystkie data center mamy w Unii Europejskiej i w ogóle jesteśmy bardziej RODO niż pewnie samo RODO jest. No bo to jest jakiś benefit dla marketerów i zresztą jest to jedna z pierwszych rzeczy, o które nas pytają. Natomiast powiedz mi, jak to tak naprawdę jest, czy jak to będzie tak naprawdę z tymi systemami, które są tworzone, w Stanach Zjednoczonych przede wszystkim, tudzież w jakimś innym kraju poza Unią Europejską?
AG: Okej. No więc tak jak wspomniałam na początku RODO ma zastosowanie do ludzi, którzy są w Unii. Czyli jeżeli Ty, nieważne gdzie masz siedzibę, ale wykorzystujesz system email marketingowy ze Stanów, ale za jego pomocą przetwarzasz dane ludzi z Unii, to i tak musisz się dostosować do RODO. Czyli nie ma jakiejś takiej furtki, że ja mam siedzibę w Hong Kongu i używam amerykańskiego systemu to mnie RODO nie interesuje. Nie, jeżeli kierujesz oferty do ludzi z Unii i ich dane przetwarzasz, to musisz być zgodny z RODO. Więc to jest jakby pierwsza, podstawowa kwestia. A teraz jakby patrząc inaczej - mam polską firmę, ale chcę używać systemu email marketingowego ze Stanów. Możesz to robić, RODO mówi, że jest to dozwolone, tylko musisz sprawdzić, czy ta firma stosuje standardy takie same jak w Unii.
PS: Okej.
AG: No i jeśli chodzi o Stany Zjednoczone, to akurat jest to uregulowane tą wspólną umową pomiędzy Unią a Stanami, ta umowa się nazywa Privacy Shield. Jest taka lista na stronie internetowej, właśnie privacyshield.gov.com chyba.
PS: Okej. To tak jak wcześniej Safe Harbour było.
AG: Wcześniej było Safe Harbour, teraz się nazywa Privacy Shield i jeżeli znajdziesz tam firmę na tej liście, to jest tak zwana samo certyfikacja. Ale ona nie jest taka właśnie jak dawniej była przy Safe Harbour, że tylko ja ogłaszam, że spełniam te standardy. Tylko już teraz amerykański urząd rzeczywiście to sprawdza. I ta certyfikacja jest, no może taka trochę „urzędowa”. Ta lista jest prowadzona przez urząd. Jeżeli tam widnieje taka firma, to znaczy, że możesz jej zaufać. Że ona rzeczywiście stosuje takie standardy jak w Unii Europejskiej. Ale to nie oznacza, że możesz robić cokolwiek z tą firmą, tylko też obowiązuje Cię ten wymóg, że musisz zawrzeć umowę z tą firmą na powierzenie przetwarzania danych osobowych. I ta umowa powinna też spełniać standardy unijne.
PS: Okej.
AG: Czyli z RODO. Czyli to nie może być jednostronicowa umowa, powierzam Ci dane i tyle.
PS: Oświadczenie.
AG: Oświadczenie i kropka. Tylko już konkretne punkty, konkretne zasady, takie jak w Unii Europejskiej. I wtedy z takim podmiotem zagranicznym możesz współpracować. Nie potrzebujesz na to zgody i to wszystko mówię w kontekście Stanów Zjednoczonych. Ale możemy sobie wyobrazić, że byłaby taka firma, nie wiem, z Afryki czy z Chin. Gdzie już nie ma tego programu Privacy Shield, to wówczas też będziesz mógł takiego systemu używać - ale albo jeśli użytkownicy wyrażą Ci zgodę, albo właśnie zawrzesz z tą firmą umowę taką według tak zwanych klauzul modelowych, które Unia Europejska tam określiła w odpowiedniej decyzji. Tam jest taki wzór umowy na ponad dziesięć stron. Jeżeli zawrzesz taką umowę, to mógłbyś nawet właśnie podmiotu chińskiego czy afrykańskiego, czy jakiegoś innego używać.
PS: Natomiast potem, jak przyjdzie kiedyś kontrola, to nagle okazuje się, że byłoby fajnie, żeby ten podmiot, czy to chiński, czy z Afryki, czy amerykański jeszcze…
AG: …Spełniał rzeczywiście te standardy. Tak, bo sama umowa to jest taki wymóg formalny, ale tak naprawdę zawsze dojdzie w razie kontroli do tego takiego „sprawdzam”.
PS: Okej.
AG: Sprawdzam naprawdę, czy przestrzegasz tych zasad. I właśnie w RODO jest rzeczywiście też o tyle zmiana, że Ty jako administrator musisz dobrze wybrać procesora. I to jest Twój obowiązek i nawet możesz za to ponosić odpowiedzialność. Nie, nie możesz po prostu wziąć pierwszego lepszego z brzegu, tylko właśnie masz zadbać o to, żeby on spełniał standardy i odpowiednio zabezpieczał te dane. No więc w przypadku takiego, chińskiego na przykład kontrahenta, to może być ciężko Ci sprawdzić. Bo jeśli jesteś w Polsce i Twój kontrahent jest w Polsce, to możesz do niego pojechać, obejrzeć jego biuro, tak? Jakieś dokumenty, zapytać: „a co wy tutaj robicie, a gdzie macie serwery?”. No, a w przypadku chińskiego, no to trudno Ci tak naprawdę sprawdzić.
PS: Zresztą powiem Ci, że nawet w Polsce kiedyś pamiętam - jedna firma bardzo głośno deklarowała, że posiadają serwery w najlepszym data center i to rzeczywiście jest bardzo dobre data center. I że oni są bardzo zgodni z GIODO i w ogóle ze wszystkimi standardami ISO, chociaż nic nie mieli u siebie wdrożonego. I pamiętam jak pojechaliśmy obejrzeć sobie te serwery, a jednocześnie chcieliśmy tam obok postawić serwery FreshMaila. No i okazuje się, że wchodzimy do strefy bezpiecznej, i tam sobie obejrzeliśmy, gdzie moglibyśmy postawić serwery FreshMailowe. Wychodzimy z tej strefy właśnie danych osobowych, najbezpieczniejszej i patrzymy - dwie szafy stoją.
AG: Tak, dwie.
PS: Tamtej firmy jeszcze ładniej opisane z zewnątrz. No i pytamy czemu tutaj, za tymi drzwiami pancernymi, bo to jest już strefa bez tej podwyższonej ochrony. No i cóż z tego, że firma mówi głośno, że…
AG: Deklarowała.
PS: Deklarowała, jak to serwery leżały. I jeszcze były opisane tak, że jakby ktoś, no chciał tam zrobić kuku na takiej wycieczce, to…
AG: To mógł…
PS: …Mógł pewnie bez większego problemu. Chociaż pewnie by go tam zaraz położyli na glebę, ale coś jakby można było fizycznie dojść i dotknąć tych maszyn. Natomiast powiedz mi, bo wcześniej wspominałaś o Privacy Shield. Wcześniej było Safe Harbour, no to Safe Harbour gdzieś położył Max Schrems. Natomiast ostatnio taką plotkę słyszałem i nie wiem czy to jest plotka, czy to jest prawda, że Max Schrems pozywa znowu…
AG: To Privacy Shield.
PS: To Privacy Shield.
AG: Znaczy wiesz co, w Privacy Shield zostało jakby już z góry określone tak, że te zasady są aktualne przez rok.
PS: Okej.
AG: I po roku Unia razem ze Stanami sprawdzą, jak to działa i ewentualnie naniosą zmiany. Wprowadzą jakieś zmiany. I właśnie ten rok minął w lipcu.
PS: Okej.
AG: No i teraz były takie doniesienia, że pewne tam zmiany Komisja Europejska postuluje. Jeszcze nie słyszałam o tym, żeby Schrems zaskarżył rzeczywiście, chociaż gdzieś tam się odgrażał, że to zrobi.
PS: A może to taka była plotka.
AG: Może. Tak, bo rzeczywiście jest tak, że trochę nadal to jest ten mechanizm właśnie samo certyfikacji i nadal chyba nic się nie zmieniło, jeśli chodzi o te służby specjalne Stanów Zjednoczonych. Bo to był główny zarzut, że nawet, jeżeli firma deklaruje, że oni bardzo dbają o te dane to i tak to NSA, czyli agencja rządowa Stanów Zjednoczonych, jak chce to i tak wszystko podglądnie.
PS: Tym bardziej, jak nie dotyczy to obywatela Stanów Zjednoczonych, to już w ogóle bez nakazu sądowego.
AG: Tak. No i jakby z tego co wiem, to niewiele się zmieniło w tej kwestii. Więc rzeczywiście nadal ten problem istnieje, czyli Schrems może ponownie to zaskarżyć, ale jeszcze tego nie zrobił.
PS: Okej.
AG: No i ryzyko istnieje, zobaczymy jak to się potoczy.
PS: To gdybyś miała tak naszym widzom powiedzieć jak wybierasz narzędzie niekoniecznie do email marketingu, bo wiemy, że wtedy trzeba wybrać FreshMaila… Natomiast jeżeli jakiekolwiek narzędzie typu CRM, no gdziekolwiek będziemy przetwarzać dane osobowe, czy system księgowy. Na co zwrócić uwagę i o co zapytać takiego dostawcę, żeby czuć, że rzeczywiście podejmujemy dobrą decyzję, za którą będziemy odpowiadać po 25 maja?
AG: Tak, tak. No przede wszystkim pierwsze pytanie to powinno być o umowę, powierzenie przetwarzania danych. Bo jeżeli ktoś nie wie, o co go pytasz, jak zadajesz takie pytanie, no to już wiadomo, że on się nie zna na danych osobowych. Nie przerobił tej lekcji, bo de facto RODO będzie wymagało w każdym takim przypadku zawarcia umowy przetwarzania danych. I nawet biura księgowe czy biura prawne, które dotychczas nie podpisywały takiej umowy, bo i tak my czy właśnie księgowi jesteśmy zobowiązani do zachowania tych danych w tajemnicy - była taka klauzula w umowie i to wystarczało. No to teraz trzeba będzie troszkę przeformułować te umowy i już wprost powiedzieć, że to dotyczy też danych osobowych. Więc jeżeli takiego księgowego zapytasz, czy oprócz umowy na usługi ma taką umowę, albo czy to jest wpisane w tą pierwszą umowę, on powie: „a w ogóle o co chodzi?”, no to jakby się sam dyskwalifikuje, tak?
PS: Okej.
AG: Więc to by było pierwsze pytanie. Jeżeli ktoś ma umowę, to musisz ją przeczytać i porównać sobie, czy spełnia te wymogi z RODO. Bo RODO wskazuje więcej jakby punktów. Dawniej tych punktów było mniej, teraz tam jest więcej. Na przykład musi być zgoda na podprocesorów. No powiedzmy, że FreshMail zawiera umowę z moją kancelarią. Powinno być właśnie tam zawarte określenie o danych osobowych, a ja powierzam, no nie wiem, komuś, kto tłumaczy. Czyli tłumaczowi, jakieś wasze dokumenty, gdzie są dane osobowe. No to dotychczas nie musiałam mieć zgody specjalnej na powierzenie tłumaczowi, a teraz my będziemy musieli już z góry określić, że Ty się na to zgadzasz.
PS: Okej.
AG: Na konkretnego tłumacza, albo że się ogólnie zgadzasz na tłumaczy, tak? Więc to jest jakby dodatkowy punkt, którego dawniej nie było. I jeszcze kilka takich punktów jest. Tutaj nie jest miejsce, żeby to wszystko tłumaczyć, ale trzeba po prostu popatrzeć na tę umowę i sobie ją porównać z przepisami - czy to spełnia wymogi RODO. A trzecia rzecz - to zapytać o te faktyczne zasady ochrony danych osobowych. Że ty mój księgowy, czy ty mój prawniku, czy ty mój systemie email marketingowy - co ty robisz, jak ty zabezpieczasz te dane, gdzie masz te serwery? Czy masz własne serwery - czy masz w chmurze, czy masz wręcz zamykane biuro, czy ci tam sprzątaczki chodzą po godzinach i mają dostęp do wszystkiego, nie?
PS: Okej.
AG: Takie już praktyczne rzeczy dotyczące zabezpieczeń, w zależności od tej firmy, o której mówimy.
PS: Agnieszka, wspominałaś wcześniej o tych zgodach, które będą trochę łatwiejsze do zdobywania przez marketera po 25 maja przyszłego roku. Nagrywamy to jeszcze w 2017, w każdym razie powiedz mi proszę, jeżeli taki marketer do tej pory zbierał swoje zbiory zgodnie z ustawą o ochronie danych osobowych, zbierał wszystkie inne zgody wynikające z prawa telekomunikacyjnego, z ustawy o świadczeniu usług drogą elektroniczną - czy on po 25 maja musi się czegoś obawiać? No poza tym, że musi mieć system, który spełnia wymogi RODO. Ale czy musi te zgody raz jeszcze powtórnie zebrać, czy co on w ogóle powinien zrobić?
AG: Nie musi. Nie musi zgód zbierać ponownie pod warunkiem, że właśnie te poprzednie zebrał w sposób prawidłowy.
PS: Okej.
AG: I jakby RODO mówi, że to muszą być zgody zgodne z RODO, ale tak jak powiedziałam wcześniej, te zasady odbierania zgody są tak naprawdę takie same jak były wcześniej. Czyli musi sprawdzić, czy miał tą zgodę rzeczywiście świadomą, wyraźną, konkretną. I jakby z praktyki wiem, że największym problemem jest ta konkretność. Bo wiesz, praktyki takie jak często spotykamy, że jest tylko napis, czy chce pobrać ebook, nie wiem, np. „10 zasad email marketingu” właśnie, wpisz adres email i kliknij, no to, to nie jest jednoznaczne ze zgodą na otrzymywanie informacji handlowych i na przetwarzanie danych osobowych, bo było pytanie do mnie: „czy chcesz pobrać ebook?”.
PS: Tak.
AG: No to ja tak, chcę pobrać ebook i tylko w tym celu podaję adres email, tak? Więc te wszystkie zgody będą de facto nieważne i trzeba by je zebrać od nowa, chyba że jeszcze tam gdzieś dalej był jakiś mechanizm, na przykład w mailu potwierdzającym.
PS: Okej. Dobra, a będzie można dalej. Bo to jest tak, że [zgoda] musi być dobrowolna, tak? Wspominałaś o tym wcześniej, wiem że wielu marketerów - my zresztą też - stosowaliśmy metodę pod tytułem „dajemy ci coś za darmo i twoje dane są twoją walutą”.
AG: Tak, tak.
PS: Typu „dostaniesz tego ebooka, ale rzeczywiście musisz wyrazić nam full zgody”. Oczywiście zawsze możesz je cofnąć, minutę później. Ale na ten moment musisz zrobić wszystko, musisz wszystkie te checkboxy zaznaczyć. To dalej będzie funkcjonować?
AG: Tak, tak. Nie jest wykluczone, że dajesz coś pod warunkiem udostępnienia danych osobowych. Nadal dane są walutą i zresztą właśnie po to RODO też zostało uchwalone, że, tak się stało. Że dane dzisiaj są najcenniejszą walutą, bo pieniądze to sobie możesz pozyskać z różnych źródeł, a wiedzę o użytkownikach mozolnie musisz zbierać. Więc jak najbardziej to będzie dalej możliwe i legalne, tylko musisz wprost o tym powiedzieć, tak? Ta zasada czytelności, rzetelności, przejrzystości - żeby ktoś wiedział, komu udostępnia te dane i na jakie cele.
PS: W ogóle tak się zastanawiam, że może teraz jest ten moment, kiedy część marketerów, jeszcze przed wejściem RODO, powinna gdzieś troszkę doinformować swoich użytkowników, jak te dane będą wykorzystywane, czy na co oni je zbierali.
AG: Tak, tak, jest taka możliwość. Ja tak niektórym klientom zalecam. Jak zauważyłam właśnie, że coś było nie tak, to mówię: „teraz macie jeszcze kilka miesięcy, wyślijcie do swojej bazy takie maile”. Wręcz jakby nawet można się powołać na RODO, tak? „Słuchajcie, dostosowujemy się do RODO, prosimy kliknijcie nam jeszcze raz zgodę” - ale tutaj już właśnie piszemy coś więcej niż poprzednio zrobiliśmy, bo poprzednio gdzieś tam był jakiś błąd, jakiejś informacji zabrakło. No i jak najbardziej można to zrobić jeszcze teraz.
PS: Okej. Znaczy generalnie to tak chyba nawet szybciej. Znaczy może inaczej: lepiej robić to teraz, bo jeżeli nagle 25 czy 24 maja wszyscy się zorientują i nagle polscy internauci dostaną wysyp zapytań typu „by the way, od jutra wchodzi RODO, daj nam jeszcze raz zgodę”.
AG: Tak.
PS: To, to raczej…
AG: Serwery nie wytrzymają.
PS: Serwery nie wytrzymają, ludzie nie wytrzymają i generalnie wszystko się położy. Natomiast tak sobie teraz myślę. Dla tych, którzy chcieliby zrobić coś takiego, przecież można spokojnie zrobić taką jedną kampanię. Zobaczyć: ci co otworzą i klikną - super. Ci co nie otworzą - stworzyć z tego oddzielny segment i tak, powiedzmy raz w miesiącu, im gdzieś tam tą rączką machać.
AG: Tak, tylko raz.
PS: Powiedzieć, potwierdź nam wyraź te wszystkie dodatkowe zgody.
AG: Tak, albo coś im zaoferować. Tym, którzy nie klikną za pierwszym razem, to: dajemy jakiś rabat czy coś tam jeszcze, ale prosimy cię, potwierdź nam czy, chcesz czytać nasze maile? Czy chcesz od nas dostawać informacje?
PS: To taki protip, bo to teraz tak modnie, protip.
AG: Protip.
PS: Użyjcie słowa „przepraszam” i napiszcie jako osoba fizyczna z danej firmy. Wtedy ten Open Rate zazwyczaj idzie maksymalnie do góry.
AG: „Przepraszam, obiecuję poprawę”.
PS: Tak.
AG: Bo wchodzi RODO.
PS: No mieliśmy taki przykład. Ja to chyba na którejś konferencji pokazywałem. Mieliśmy grupę subskrybentów we FreshMailu, którzy nie otwierali od nas maili w ciągu ostatnich tam sześć miesięcy. Analizowaliśmy - zerowa otwieralność. I Aleksandra, która u nas odpowiada za komunikację newsletterową, napisała maila od „Ola z FreshMaila” pt. „Przepraszam” i tyle, nic więcej. W treści był brzydki - mam na myśli brzydki-niegraficzny, tylko taki prosty, tekstowy mail: „Najmocniej przepraszam cię za to, że piszę nudne newslettery, bo ich po prostu nie czytasz, więc jeśli ich nie chcesz czytać, to tu się możesz wypisać. A jeśli chcesz je czytać, to wiesz, możesz napisać mi, co by cię interesowało …” I o dziwo ludzie, którzy w ogóle wcześniej nie otwierali od nas maili, chyba 17%, jednak otworzyło. Co więcej, zaczęli odpisywać: „Nie, Ola - robisz super robotę… ostatnio nie mam czasu”. Z tego co wiem, ktoś tam wysłał jakieś czekoladki, czy coś takiego, łącznie z tym, że dostałem kilka maili pod tytułem, „Ty Paweł, nie zwalniaj Oli, ona świetne maile do nas pisze”.
AG: No i super.
PS: Więc to…
AG: Wiesz co, tutaj jakby możemy jeszcze o dwóch rzeczach wspomnieć. Bo powiedziałeś, że jak nie chcesz czytać, to zawsze możesz się wypisać, tak? I to też jest dobra praktyka teraz. Ale RODO wprost mówi, że cofnięcie zgody powinno być tak samo proste jak wyrażenie. Więc o to też marketerzy muszą zadbać i to jest właśnie fajna rzecz, że w każdym mailu powinien być ten link rezygnacji.
PS: Rezygnacji.
AG: Ale nie jakimiś małymi, szarymi literkami na samym końcu, które ciężko znaleźć, tylko właśnie widoczne. Bo z tego co ja wiem, jakimś tam super marketerem nie jestem, ale chcemy dostawać to, co nas interesuje, tak? Więc jeżeli się nawet zapisaliśmy po to tylko, żeby dostać ten jakiś prezent, ale de facto nie chcemy tego czytać, no to lepiej zrezygnować, wypisać się z bazy i też dla Ciebie to będzie lepsze.
PS: Tak.
AG: Bo nie będziesz płacił za liczbę użytkowników, tych „martwych”, tak?
PS: To jest jedno. „Martwych” plus filtry antyspamowe, które też teraz coraz częściej się skupiają nie na tym, co wysyłasz, tylko jak ludzie na to reagują. Więc jak widzą, że masz dużo „martwych dusz” w swojej bazie, to znaczy, że twoje maile są nudne, być może to jest spam albo być może trzeba bardziej uważnie na ciebie popatrzeć. I wtedy ta dostarczalność jest trudniejsza. Jak masz mniejszą bazę, ale bardziej reaktywnych ludzi, to filtry się bardziej cieszą.
AG: Cieszą.
PS: No bo wysyłasz to, co ludzie chcą naprawdę czytać.
AG: I to się zgadza z tą zasadą rzetelności i szczerości. Czyli tak naprawdę to prawo, które wchodzi, tak jak Ty mówiłeś na jednej z konferencji, że jakby jest zgodne z dobrymi praktykami marketingu, które już są obecnie. No bo chętniej będziemy czytać maile od ludzi, którzy są wobec nas szczerzy, tłumaczą nam i chcą być fair po prostu w stosunku do nas. I RODO to nakazuje właśnie. I mówią prostym językiem.
PS: I właśnie być może wreszcie to, co my jako branża od lat mówimy, że tak się robi. Potem nagle, nie od razu, idziemy do jakiejś dużej firmy, w tej dużej firmie jest duży dział prawny. I ten dział prawny mówi: „no dobra, ale to wy tutaj krępujecie nasze ruchy, bo chcecie jakieś inne dziwne rzeczy, a prawo nam na pewne rzeczy pozwala wprost”. No więc właśnie ja osobiście się cieszę, że właśnie będzie RODO, że ten link rezygnacji będzie wprost wpisany. Znaczy nie wprost, ale będzie można go wprost zinterpretować, że ten link rezygnacji musi być i super. To znaczy, mnie osobiście RODO cieszy. Abstrahując od tego, że trzeba będzie dużo papierów nowych podpisać z każdym klientem, to poza tym to mnie absolutnie cieszy. Cieszę się też, że będzie można to zrobić w wersji elektronicznej.
AG: Tak, to jest kolejne ułatwienie, że umowa właśnie powierzenia przetwarzania danych nie będzie musiała być pisemna, tylko będzie mogła być elektroniczna.
PS: Więc ja osobiście się bardzo cieszę. Natomiast powiedz mi, bo często jak czytałem artykuły dotyczące wejście RODO, to tam część ekspertów mówi, że ten obowiązek informacyjny zostaje bardzo rozbudowany i będzie trzeba dużo więcej szczegółowych informacji odnośnie swojego obecnego ABI, a przyszłego Inspektora Ochrony Danych Osobowych.
AG: Inspektora Ochrony, tak. IODO.
PS: IODO. Skróty niesamowite. W każdym razie, możesz nam coś więcej opowiedzieć o tym jak te obowiązki…?
AG: Obowiązek informacyjny, tak. No rzeczywiście tak jest, że teraz obowiązek informacyjny, to są de facto trzy zdania. Musisz powiedzieć kto jest administratorem, na jakie cele dane będą przetwarzane i poinformować o tym, że właśnie przysługuje prawo do wycofania zgody, do sprzeciwu czy tam do zmiany swoich danych, jeżeli w jakiś sposób uległy zmianie. A RODO tą listę wydłuża. Tych punktów będzie więcej, bo między innymi będzie trzeba właśnie podać, jeżeli będziesz miał Inspektora Ochrony Danych, to jakieś namiary na niego.
PS: Okej. Ale jakie? Mail, telefon?
AG: Właśnie to nie jest doprecyzowane. Ja uważam, i jakby tutaj się opieram na interpretacjach jeszcze mądrzejszych prawników ode mnie, tam jest powiedziane: dane kontaktowe.
PS: Okej.
AG: Czyli to nie musi być imię i nazwisko zawsze, może być taki adres mailowy typu IOD, czyli Inspektor Ochrony Danych, @freshmail.pl. I według mnie to też będzie okej. Czyli musi być kontakt. Powinien być też może telefon, bo może ktoś chce zadzwonić, ale nie musi być imienia i nazwiska. A jak chcesz, to możesz podać imię i nazwisko. Trzeba też będzie powiedzieć o przewidywanym czasie przetwarzania danych i to jakby może sprawiać trudności. No ale to też nie musi być konkretna data, tylko akurat w przypadku email marketingu, to się napisze do czasu wycofania zgody. Czy do czasu wypisania się z listy.
PS: To może trzeba do tego podejść z humorem i napisać „do końca twojego życia”, bo tak ciekawe maile będziemy do ciebie wysyłać. Czy to może niekoniecznie?
AG: No nie wiem czy jakby jak przyjdzie ten PUODO na kontrolę, to czy będzie miał takie poczucie humoru jak Ty, więc jakby to trzeba wyważyć, tak? Ale do czasu wypisania się z listy według mnie będzie dobre. A w przypadku sklepów e-commerce, no to do czasu przedawnienia się roszczeń z naszej wzajemnej umowy sprzedaży. Czyli to będzie tam trzy albo dziesięć lat w zależności od umowy. Jakie kolejne rzeczy? Właśnie trzeba będzie poinformować też o tym, że jeżeli chciałbyś powierzać te dane właśnie podmiotowi poza Unią, to będziesz musiał o tym poinformować. Nie musisz uzyskiwać zgody, nie w każdym przypadku, ale informacja będzie musiała być. I też będzie musiała być informacja o profilowaniu. Jeżeli będzie to przez Ciebie stosowane, no to też powinieneś poinformować, co dokładnie. Bo profilowanie to jest też szerokie pojęcie. Też ludzkimi słowami, tak? Nie że, na przykład, musisz cały algorytm tam wypisać i w sposób jakiś taki techniczny to opisać, ale no takie najprostsze. Właśnie w Twoim przypadku, jeżeli śledzisz tą historię emaili i później dopasowujesz kolejne newslettery do moich zainteresowań, no to właśnie powinieneś napisać w tej stopce informacyjnej, że „śledzimy historię tego, co czytasz i na tej podstawie proponujemy ci treści, które uważamy, że ci się spodobają”, tak?
PS: Okej.
AG: W prostych słowach.
PS: A wtedy muszę mieć politykę prywatności dodatkowo jeszcze gdzieś tam na stronie?
AG: Znaczy… nie, polityka w ogóle nie jest obowiązkowa, ani teraz, ani nie będzie później. Ale właśnie ten obowiązek informacyjny możesz spełnić w polityce prywatności. Czyli możesz wkleić maila, że tutaj wszelkie informacje na temat tego, jakie dane o tobie przetwarzamy i w jaki sposób, tak? Albo że wymagane prawem informacje. Ale musi to być wyraźny link i każdy kto chce, może na to wejść i przeczytać. To będzie mogło być spełnione w taki sposób, albo zawarte w mailu potwierdzającym, albo w jeszcze jakiś inny sposób. Ważne, żebyś dał tą informację.
PS: Okej. A powiedz mi, bo wspomniałaś o profilowaniu. My takie profilowanie dotyczące… np. czytasz książki prawnicze, więc pewnie to Cię interesuje, a nie czytasz książek np. z beletrystyki albo o samochodach. No to tego Ci nie wysyłam, to jest w miarę proste. Natomiast dzisiaj, może nawet nie dzisiaj, tylko od jakiegoś czasu, istnieje technologicznie bardzo prosty sposób analizowania użytkownika. Bo jeżeli mam Twój adres mailowy, to ten adres, jeśli bym się zapytał Facebooka, co wie o Tobie jako o Agnieszce, to on tam ma pięćdziesiąt tysięcy zmiennych przypisanych do Ciebie, jako do użytkownika oczywiście. Samo wgranie adresu mailowego do Facebooka może być trochę nielegalne, ale to już sobie Facebook też ograł metodą taką, że nie wgrywasz tam adresu mailowego, tylko ten adres jest hashowany, szyfrowany.
AG: Szyfrowany.
PS: Na poziomie Twojego komputera wgrywasz tą szyfrowaną informację. Jeśli ta szyfrowana informacja, ten hash, jest tam identyfikowalny, to potem Ci zwraca do tego hasha, czyli nie do danych osobowych, serię różnego rodzaju cech. No, a potem po stronie już Twojego komputera następuje zwizualizowanie tych cech, tak? Czyli mamy, nie wiem, Facebooka, mamy z Twittera możemy wyciągnąć sobie czy Ty dzisiaj masz dobry humor, czy zły humor. Tam są takie - w zależności od tego, jakie tweety piszesz. I teraz, jeżeli byśmy chcieli wykorzystywać takie dane do profilowania. Czyli ja bym chciał nie tylko wiedzieć, że interesujesz się książkami prawniczymi, a nie samochodowymi, ale chciałbym przy okazji wiedzieć, że jesteś kobietą na przykład, bo to mi Facebook powie, albo że jesteś kobietą w danym wieku, albo że masz dzieci.
AG: Z jakiego miasta.
PS: Tak, albo z jakiego miasta. Czyli zarówno te dane takie bardzo demograficzne, jak i takie już troszkę bardziej, nie nazwałbym ich psychologicznymi, ale takimi nazwijmy to, behawioralnymi.
AG: Tak, dokładnie.
PS: To to będzie można robić, trzeba będzie na to oddzielną zgodę?
AG: No trzeba będzie mieć zgodę i tutaj jakby jest pytanie jak Facebook się dostosuje do tych wymogów RODO. Bo na razie oni milczą. Chociaż słyszałam, że pewne kroki podejmują, na przykład z tą transparentnością reklam. Że podobno będzie w ten sposób, że jak ja zobaczę jakąś reklamę na Facebooku, to będę mogła kliknąć i dowiedzieć się, dlaczego ją widzę. I to już ze wszelkimi szczegółami, bo teraz tam jest też taka opcja, ale jest bardzo mało rzeczy. No bo jesteś kobietą właśnie, a reklamodawca targetował do kobiet. Ale tam podobno będzie o wiele, wiele więcej tych szczegółów. No i tak naprawdę nie wiem jak Facebook, właśnie to narzędzie, będzie legalizował. Ale tak patrząc według zasad RODO, no to powinna być zgoda użytkowników na przekazywanie tych danych, które Facebook o mnie ma, do kogoś innego.
PS: Okej.
AG: No pewnie to teraz jest zawarte w regulaminie, ale właśnie problem jest taki, że RODO mówi, że, ta zgoda ma być świadoma i konkretna. A kto czyta cały regulamin Facebooka i doczyta się tam właśnie wszelkich szczegółów - no nikt, nie? Tak naprawdę nikt, więc Facebook będzie musiał się w jakiś sposób do tego dostosować.
PS: Okej. A powiedz mi, bo to jest jakby jeden sposób profilowania, tak? Czyli ja mam Twój adres mailowy, jakiś inny serwis ma Twój adres mailowy, zbiera o Tobie dodatkowe dane i ja je mogę w sposób bezpośredni lub pośredni nabyć. To znaczy - albo mi wyświetlą reklamę, albo mi Cię scharakteryzują bardzo ogólnie, albo mi dadzą fizycznie dane, w oparciu o które ja mogę sobie sam proces profilowania zrobić. Natomiast jest też… no dzisiaj jak wchodzisz na stronę, akceptujesz tam politykę cookies’ów, tak? Której też nikt nie czyta. Mamy cookies’y. No i teraz wyobraźmy sobie, że jesteś nowym użytkownikiem mojej strony, wchodzisz na moją stronę, akceptujesz tego cookies’a, dostajesz tego cookies’a i ten cookies śledzi, może nie Ciebie, bo niby nie Ciebie, ale…
AG: Użytkownika.
PS: Użytkownika, Twoją przeglądarkę internetową i zbiera, buduje profil, jakie treści Cię interesują. W pewnym momencie, powiedzmy po kilku dniach, Ty zostawisz mi swoje dane osobowe lub zapiszesz się na newsletter. I zapisując się na newsletter wyrazisz mi te wszystkie zgody, które są wymagane. I teraz pytanie brzmi, czy ja mogę wykorzystać przeszłą wiedzę wynikającą z tego cookies’a do przyszłych działań…
AG: Email marketingowych.
PS: Email marketingowych? Czy powinienem od tego momentu dopiero zacząć parować Twoje działanie i na mailu, i na tym cookies’ie na stronie?
AG: Ale byłam na Twojej stronie, tak?
PS: Na mojej stronie byłaś.
AG: Bo wcześniej mówiłeś o jakby pozyskiwaniu tych reklam…
PS: To zaraz do tego dojdziemy.
AG: Okej, dobra.
PS: Bo jeszcze można wziąć ze stron trzecich, tak. Na razie mówimy tylko w ramach naszej strony.
AG: Znaczy tak. Powiem jakby na dzień dzisiejszy - według mnie możesz wykorzystać te dane z cookies’ów, które były na Twojej stronie. Bo jakby wyraziłam Ci zgodę, że możesz te cookies’y śledzić. A później zapisuję się na newsletter. Tylko właśnie pytanie, jak mnie zapytasz, tu powinieneś chyba tą zgodę tak trochę szerzej opisać, tak? Bo jeśli Ty tylko zapytasz mnie: „czy mogę wykorzystywać Twój adres email w celu wysyłania newslettera”, no to tak jak mówiłam wcześniej, to będzie trochę za mało. Bo Ty robisz więcej - nie tylko wykorzystujesz mój adres email, ale masz o mnie tyle danych, nie? Więc powinieneś to szerzej mniej zapytać przy tym zapisie do newslettera i wtedy będzie okej. Natomiast jest jeszcze taka kwestia, że jest procedowane teraz w Unii Europejskiej, tam w Parlamencie i w Komisji, inne jeszcze rozporządzenie, które się nazywa ePrivacy. I jakby w zamierzeniach Unii Europejskiej ono ma wejść w tym samym czasie, czyli w maju 2018 roku. Wydaje się, że to jest nierealny termin. No ale może tak się zdarzyć. A może na przykład w lipcu, czyli dwa miesiące później i to rozporządzenie będzie szczegółowo określało zasady właśnie cookies’ów, metadanych, tak jak nazwa mówi ePrivacy. Czyli tych rzeczy, które firmy marketingowe zbierają i śledzą twierdząc, że to nie są dane osobowe. Czyli jest użytkownik. Ja nie wiem kto, tylko użytkownik i tam są tworzone profile tych użytkowników i to na dzień dzisiejszy jest nieuregulowane. Czasem nie podpada pod dane osobowe, no bo właśnie wy mówicie, że to jest tylko jakiś numerek, tak? Którego ja nie znam imienia i nazwiska. I to rozporządzenie, dopiero zobaczymy, jakie zasady wprowadzi.
PS: Będzie temat do następnej rozmowy.
AG: Tak, no możemy następną rozmowę na ten temat przeprowadzić. A jeszcze wspominałeś o tym kupowaniu, tak? Kupowaniu informacji od podmiotów trzecich. No to jakby tu jest ta sama zasada, co Facebook, tak?
PS: Tak.
AG: Jeżeli ten podmiot zbierał dane i miał zgodę na sprzedaż, no to okej.
PS: Okej.
AG: Ale pytanie, czy uzyskał tą zgodę na sprzedaż tych danych.
PS: No dobra, no to ostatnia rzecz z tym profilowaniem. Bo to są takie… Oglądasz książki prawnicze, więc raczej interesujesz się książkami prawniczymi, natomiast istnieją od dawna algorytmy, a przy dzisiejszej mocy obliczeniowej to jest już bardzo proste, w sensie bardzo dostępne, gdzie ja bazując na przykład na Twojej historii zakupów kosmetyków, jestem w stanie określić, czy jesteś w ciąży, czy nie jesteś w ciąży i w oparciu o to… nie, to jest case z 2000 roku czy z 2001.
AG: Tak.
PS: Gdzie zanim dziewczyna się zorientowała, że jest w ciąży, to już system wiedział, że jest w ciąży i zaczął odpowiednie reklamy serwować. No i teraz ja kiedyś słyszałem takie określenie risky processing, nie wiem czy to w końcu weszło do RODO, czy nie. Czyli wykorzystanie danych. Twoich danych plus metod matematyczno-statystyczno-ekonometryczno… i tam dowolną nazwę sobie wstawmy. Po to, żeby przewidzieć Twoje przyszłe zachowania albo przewidzieć Twój przyszły…
AG: Czyli predykcyjne, tak?
PS: Predykcyjne takie, tak.
AG: Ten profil predykcyjny. No to nie jest wprost w RODO powiedziane, czy ten profil predykcyjny wchodzi. Ale ogólnie jest definicja profilowania jako właśnie automatycznych jakichś schematów, automatycznych procesów, że z jednych cech właśnie Ty wnioskujesz o drugich, czyli to, co powiedziałeś, tak? Jakie ja kosmetyki kupuję, to algorytm decyduje, że ja jestem w ciąży i wyświetla mi reklamy produktów ciążowych. To jest właśnie profilowanie, czyli to jest uregulowane w RODO, ale tylko w takim zakresie. Bo jest powiedziane tak, że zakazane jest podejmowanie automatycznych decyzji na podstawie profilowania, które wywołują skutki prawne lub inne podobne skutki. To jest mega skomplikowana definicja, tak? Ale masz tam kilka elementów. Profilowanie to jakby sobie powiedzieliśmy co to jest, wnioskowanie o jednych cechach z drugich. I samo to profilowanie nie jest zakazane, tylko musisz o nim informować, ale to jest jakby odrębne. Na podstawie profilowania Ty podejmujesz automatyczne decyzje, czyli ten przykład z wyświetlaniem reklam produktów ciążowych to jest automatyczne.
PS: Tak.
AG: No bo mechanizm o tym decyduje, tak? Ale jakby jest kolejna rzecz. Czy to wywołuje skutki prawne albo inne podobne skutki? No ja bym tutaj powiedziała, że chyba nie. Bo tak, skutki prawne to jest, jeżeli jakaś się nawiązuje relacja prawna pomiędzy nami. Czyli na przykład jest zawierana umowa albo ja Ci odmawiam zawarcia umowy, albo wpływa to na treść umowy i jako takie typowe przykłady się podaje scoring banku.
PS: Okej.
AG: Gdzie też automatycznie są przetwarzane dane o mnie, co ja tam kupowałam, czy spłacałam w terminie czy nie, ile mam lat, właśnie gdzie mieszkam i tak dalej. I na tej podstawie automatycznie bank mówi, że mi udzieli kredytu albo nie. To to jest taka decyzja podejmowana automatycznie na podstawie profilowania i wywołuje skutek prawny, bo albo mogę zawrzeć kredyt, albo nie mogę. Albo na przykład składki ubezpieczeniowe, gdzie też mechanizm tak samo działający wylicza wysokość składki - no to wpływa na treść umowy pomiędzy nami. I takie rzeczy będą zakazane, chyba że będzie odebrana zgoda użytkownika.
PS: Okej.
AG: Albo będzie to niezbędne do wykonania umowy. Albo inny przykład to są ubezpieczyciele, w przypadku których automatycznie generowana jest wysokość składki, w zależności od różnych czynników. I to też wtedy jest skutek prawny, no bo wpływa na treść umowy, czy ja będę płacić 500 złotych, czy 1000 złotych składki ubezpieczeniowej.
PS: Okej.
AG: A jeśli chodzi o marketing, no czyli wyświetlanie jakiegoś rodzaju reklam, to według mnie to nie jest skutek prawny. No bo tylko decyduję o tym, czy wyświetlić reklamę zielonej koszulki czy czerwonej na podstawie preferencji, które gdzieś tam zostały przeanalizowane. To nie jest skutek prawny ani inny istotny podobny skutek. Tutaj tylko musisz pamiętać, żeby ta reklama nie prowadziła w jakiś sposób do dyskryminacji.
PS: A jak będą rabaty? Bo na przykład te algorytmy bardzo dobrze przyznają rabaty, czyli jak ktoś kupuje u nas często i my wiemy, że kupuje często to jesteśmy w stanie… to jest dużo bardziej prawdopodobne, że jak pokażemy mu dobrze dobrany produkt, to on go kupi za 100% ceny. A z drugiej strony jak wiemy, że osoby kupują rzadko, to potrzebują dużej zachęty marketingowej, czyli potrzebują dużej rabatu. Czyli znowu analizujemy sobie, co kupowały, wyświetlamy ten sam produkt, ale przez to, że Agnieszka nie kupowałaś nic przez pół roku, to na te buty dostaniesz -20% i to jest coś, co marketerzy robią od lat.
AG: Tak.
PS: Za pomocą Excela co prawda i nie jest to zautomatyzowane, no ale dzisiaj technologia pozwala już tutaj…
AG: To robić.
PS: Z automatu.
AG: To może podpadać pod ten skutek prawny, bo Ty wprost jakby regulujesz cenę w ten sposób. Ja chciałam powiedzieć o innym przykładzie, gdzie jest serwis noclegowy, gdzie rezerwujesz nocleg. W hotelach. I właśnie w tym samym hotelu, w ten sam dzień, ten sam pokój w zależności od różnych tam czynników, czy jestem nowym użytkownikiem, czy starym, czy coś wcześniej zarezerwowałam -może mieć inną cenę.
PS: To jest też skutek.
AG: No i to właśnie jest ten skutek prawny. Czyli tego nie będzie można automatycznie robić, więc z tymi rabatami, no to może też być takie sporne. Ale no nie wiem, może się pojawi jakaś właśnie interpretacja GIODO na ten temat, która to wyjaśni, czy to jest już ta istotna sytuacja, tak? O którą trzeba pytać i uzyskiwać zgody.
PS: Razem z Agnieszką przygotowaliśmy fajną infografikę. To znaczy kancelaria MyLo i FreshMail, więc jakbyście chcieli ją zobaczyć Nie takie RODO straszne jak je malują. Zapraszam Was na freshmail.pl/rodo, zresztą będzie link pod tym nagraniem. Agnieszka, gdyby ludzie chcieli się z Tobą skontaktować, to w jaki sposób najlepiej?
AG: No prosty adres mailowy: agnieszka.grzesiek@mylo.pl. W tym poradniku, o którym mówi Paweł też są moje namiary, a w poradniku, on ma tytuł „10 mitów o RODO”
PS: Ach, „10 mitów…” właśnie, widzisz kurczę.
AG: Więc właśnie tam możecie sobie przeczytać takie częste hasła, które gdzieś już w Internecie się pojawiały, które niekoniecznie są prawdziwe i jakby ja mam na ten temat inną opinię. O tym możecie przeczytać.
PS: Okej. Super. Agnieszka, bardzo dziękuję i do usłyszenia.
AG: Ja również dziękuję.
PS: Do zobaczenia następnym razem. O profilowaniu będzie.
AG: O ePrivacy.
PS: O ePrivacy.
AG: Dzięki bardzo również.
PS: Dzięki.