RODO a content marketing – rozmowa z radcą prawnym, Agnieszką Grzesiek-Kasperczyk

RODO a content marketing - temat ostatnio bardzo aktualny. Zwłaszcza, że content marketing i e-mail to często idące ze sobą w parze działania marketingowe w B2B. Czy nowe przepisy dotyczące danych osobowych wpłyną również na marketing treści? Sprawdzamy z Agnieszką Grzesiek-Kasperczyk, radcą prawnym z kancelarii MyLo.

RODO a content marketing - wywiad

Czy nadchodzące zmiany w przepisach dotyczące gromadzenia i bezpieczeństwa danych osobowych (RODO) powinny martwić content marketerów?

Agnieszka Grzesiek-Kasperczyk: Nie powinny, ponieważ nie wprowadzają wielkiej rewolucji. Jeżeli dotychczas działania marketingowe w firmie były prowadzone w oparciu o permission marketing, nie ma powodu do obaw. Permission marketing to podejście, w którym komunikaty marketingowe wysyłane są za zgodą użytkownika, czyli takie, które go interesują i chce je czytać. Nowe przepisy RODO z założenia są tworzone pod użytkowników, którzy mają mieć kontrolę nad swoimi danymi osobistymi, w tym m.in. otrzymywać informacje, które faktycznie interesują odbiorcę.

Powszechnym sposobem budowania bazy marketingowej jest udostępnianie unikalnych treści w zamian za podanie adresu e-mail. Czy od maja 2018 roku takie działanie będzie zabronione?

Nie, nowe przepisy nie zabraniają udostępniania e-booków czy innych zachęt typu rabat w zamian za podanie adresu e-mail. Trzeba jednak postawić sprawę jasno na poziomie tego pierwszego komunikatu – odbiorca musi być świadomy, że otrzymuje coś za coś. Ciągle można spotkać się w sieci z komunikatem przy pobraniu e-booka: „Podaj adres e-mail, aby otrzymać e-booka”, a następnie bez wiedzy użytkownika e-mail zostaje dopisany do bazy mailingowej firmy. Według nowych przepisów RODO komunikat powinien brzmieć jasno i zrozumiale oraz informować, że oprócz możliwości pobrania e-booka, e-mail zostanie dodany do listy mailingowej.

Czytając literalnie komunikaty jak „Podaj adres e-mail, aby… otrzymać rabat / pobrać e-book / zapisać się na webinar”, wynika z nich, że udostępniam swój adres e-mail tylko po to, aby skorzystać z rabatu, otrzymać e-booka czy wziąć udział w webinarze. Nadawca nie informuje, że za podaniem e-maila idzie druga czynność, czyli dopisanie się do listy subskrybentów. Prawidłowy komunikat to np. „Zapisz się na naszą listę mailingową, a w zamian otrzymasz udział w wartościowym webinarze”.  

Jako drugi krok RODO nakazuje tzw. „obowiązek informacyjny”, czyli większą liczbę informacji, które musimy podać osobie, od której zbieramy dane. Jest to np. cel przetwarzania i okres, w jakim planujemy przechowywać dane tej osoby, a także informacja, czy dane te będą przekazywane podmiotom trzecim. Ta większa liczba informacji ma być przekazana przy zbieraniu danych, a więc na samym początku. Nie jest potrzebny check-box, czyli sprawdzenie, czy człowiek rzeczywiście przeczytał komunikat. Natomiast musi mieć taką możliwość – informacja ma być podana w łatwo dostępny sposób, wręcz „na tacy”. Ten obowiązek informacyjny jest według RODO elementem ogólnego dążenia do większej transparentności. Użytkownicy internetu mają po prostu wiedzieć więcej o tym, co się dzieje z ich danymi. Od marketerów trochę zależy, czy rzeczywiście tak się stanie. Obowiązek informacyjny można napisać łatwo i przejrzyście, a można też naszpikować go skomplikowanymi prawniczymi formułkami, tak by odstraszyć od czytania.

Śledzenie użytkownika to druga kwestia w nowych przepisach, która budzi wiele kontrowersji w branży content marketingowej. Użytkownik przeglądając bloga ma prawo odmówić śledzenia swojej aktywności. Ta odmowa to utrata konkretnych danych dla analityków w content marketingu.

To prawo przysługiwało już wcześniej, tylko mało kto miał o nim wiedzę. A jeszcze rzadziej ktoś z tego korzystał. Już obecnie można odmówić zgody na cookies (trzeba zmienić ustawienia swojej przeglądarki), a także wnieść sprzeciw wobec przetwarzania danych w celach marketingowych Cała dyskusja o RODO, która jest obecna w mediach, powoduje jednak, że ludzie coraz lepiej znają swoje prawa i być może dlatego więcej osób będzie korzystało ze swojego uprawnienia do bycia nieśledzonym. Zagrożenie karami też uczyni swoje, tzn. przedsiębiorcy będą bardziej skłonni respektować złożone sprzeciwy.

Jeśli chodzi o RODO i śledzenie użytkowników, to jest jeszcze drugi aspekt. Kwestią sporną jest, kiedy zaczynają się dane osobowe w tym przypadku. Przepisy RODO dotyczą tylko zasad przetwarzania danych osobowych, czyli przetwarzaniu informacji o osobie, którą można zidentyfikować, nie mówią wprost o śledzeniu użytkownika na stronie czy innych czynnościach marketingowych.

Z drugiej strony, osoba możliwa do zidentyfikowania to według prawa taka, którą możesz wyróżnić w pewien sposób spośród innych. Jeżeli firma używa technik do śledzenia, które pozwalają dowiedzieć się dużo o danym użytkowniku i zbudować jego profil, to podchodzi to pod dane osobowe. Jeżeli śledzenie następuje w sposób zbiorczy, a dane wykorzystywane są do stworzenia komunikatu czy notyfikacji push do wszystkich osób, które były na danej stronie w ostatnich siedmiu dniach, to nie jest to przetwarzanie danych osobowych, ale użycie ich w ujęciu statystycznym. Na tym polega różnica.

Z ostrożności wiele firm przyjmuje, że „śledzenie użytkowników” – nieważne czy w ujęciu grup docelowych czy pojedynczych ludzi – jest przetwarzaniem danych osobowych. Natomiast ta dziedzina będzie raczej bardziej szczegółowo objęta drugim rozporządzeniem, które obecnie jest w przygotowaniu w Unii Europejskiej. Będzie się nazywało ePrivacy i ono może w obecnych zasadach dużo zmienić. Nowe przepisy mają uporządkować kwestię śledzenia ludzi w internecie, wyświetlania reklam, być może nawet analizy metadanych. Ale dzisiaj nie wiemy, jaka będzie ostateczna treść tego rozporządzenia, ani kiedy ono zostanie uchwalone.  

Czyli sytuacja, w której jesteśmy e-commercem i po wejściu na jeden z naszych artykułów kierujemy na użytkownika reklamę, czyli remarketing, to sytuacja dozwolona czy zabroniona?

Jeżeli przedmiot reklamowany nie wpływa istotnie na życie odbiorcy lub nie wywołuje skutków prawnych, to jest to dozwolone. Remarketing łączy się z cookies, które reguluje Prawo telekomunikacyjne, a nie RODO. Z niego wynika, że użytkownik musi się zgodzić na ciasteczka, przy czym ta zgoda jest domyślna (pod warunkiem, że użytkownik został poinformowany o stosowaniu cookies, czyli te słynne okienka na każdej stronie) i można się z niej dopiero wypisać za pomocą zmiany ustawień przeglądarki. Remarketing można więc stosować nadal, ale w powiązaniu z cookies, których czytelnik musi być świadomy.

Według RODO zakazane jest automatyczne podejmowanie decyzji na podstawie profilowania, jeśli ta decyzja miałaby wywoływać skutki prawne albo inne poważne skutki. Zwykły remarketing zazwyczaj takich istotnych skutków nie wywołuje.

Zaznaczę jedynie, że automatyczna zmiana ceny czy naliczanie rabatu (np. cena przeglądanej pary butów w sklepie internetowym, na Facebooku wyświetla się z 10% obniżką) może być problematyczne w świetle prawa. Taki mechanizm należy zakwalifikować jako skutek prawny, bo wpływamy na cenę produktu. Oczywiście, wykorzystanie go jest legalne, jeżeli użytkownik się na to zgodził.

Czy osoby odpowiedzialne w firmie za content marketing powinny przejść szkolenie z RODO? Dlaczego i w jakim zakresie?

Zdecydowanie powinny przejść przynajmniej podstawowe szkolenie, po to, by znać zasady i nie dać zastraszyć mitom, które na temat nowych przepisów pojawią się w sieci. W internecie jest mnóstwo sprzecznych informacji m.in. na temat profilowania po wejściu w życie RODO. Można poczuć się zagubionym. Warto uporządkować wiedzę w tym temacie, by wiedzieć, jak konstruować komunikaty i prowadzić działania content marketingowe, które będą efektywne i zgodnie z prawem.