RODO – czyli rewolucja w ochronie danych osobowych i prywatności w działalności domów mediowych i agencji reklamowych

Takiego scenariusza nie powstydziliby się nawet twórcy „Gry o Tron”. Ludzie i firmy żyją sobie spokojnie, tworzą kampanie reklamowe, profilują użytkowników, targetują behawioralnie, programmatic marketing się rozwija, aukcje RTB (Real-Time Bidding) wydają się niezachwianą przyszłością, co jakiś czas ktoś zrobi viralową kampanię, ktoś tworzy profile użytkowników sklepów internetowych, ktoś wyśle jakiś mailing albo zgubi pendrive. A tymczasem z mroźnej północy nadchodzi niszczycielska siła, która zburzy ten spokój… i upomni się o prywatność… RODO is coming!

RODO is coming – ryzyko sankcji

2 maja 2018 r. wejdzie w życie unijne ogólne rozporządzenie o ochronie danych osobowych (RODO, ang. GDPR). Za jego nieprzestrzeganie grozić będą bardzo dotkliwe kary administracyjne – w skrajnych przypadkach w wysokości aż 20 mln euro lub 4 proc. światowego obrotu przedsiębiorcy osiągniętego w poprzednim roku obrotowym. Oczywiście będą one miarkowane i zazwyczaj będą one znacznie odbiegać od górnej granicy, ale będą – i nawet jeśli dalekie od maksimum, to mogą być wyjątkowo bolesne. Zmienia się zatem optyka patrzenia na ochronę prywatności i danych osobowych w Unii Europejskiej oraz w Polsce – z formalnego obowiązku, którego naruszenie zazwyczaj nie powodowało poważnych problemów do jednego z kluczowych ryzyk w biznesie – również, a może i przede wszystkim na rynku reklamy i mediów.

Privacy by design oraz profilowanie reklamowe

Co istotne – to na agencji reklamowej czy domu mediowym będzie ciążyć obowiązek wprowadzenia takich zabezpieczeń, aby dane osobowe były chronione – adekwatnych do sposobu przetwarzania danych i ich rodzaju. Co więcej, RODO wprowadza zasadę privacy by design, co w uproszczeniu oznacza, że tworząc każde rozwiązanie techniczne, nowy produkt, usługę czy projekt marketingowy, należy na samym początku rozważyć jego konsekwencje dla prywatności. Z pełną odpowiedzialnością za konsekwencje. Może to być wyjątkowo istotne dla domów mediowych i ich partnerów, które to podmioty ostatnio przodują w innowacyjnych rozwiązaniach mających zoptymalizować dotarcie z reklamą do odbiorców. Tym bardziej że przy poszerzonej kategorii danych osobowych (np. o dane geolokalizacyjne czy numery IP) oraz nowych regulacjach dotyczących profilowania może to oznaczać zmianę modeli biznesowych, a czasem rezygnację z pewnych działań.

Zgody i obowiązki informacyjne

Zdecydowanie poszerzone zostały obowiązki informacyjne oraz doprecyzowane zostały zasady dotyczące pozyskiwania zgód na przetwarzanie danych. Niezbędna będą zatem weryfikacja dotychczas wykorzystywanych formularzy zgód (portale internetowe, landing page, checkboxy, regulaminy konkursów, kwestionariusze etc.) oraz przygotowanie nowych zestawów informacji (również dotyczących takich kwestii jak m.in. okres, przez który dane będą przetwarzane, oraz prawo do złożenia skargi do odpowiedniego organu nadzoru).

Zgłaszanie incydentów dotyczących danych osobowych i komunikacja kryzysowa

Wreszcie pojawią się obowiązki zgłaszania incydentów dotyczących danych osobowych – ich ujawnienia, utraty, uszkodzenia, nieautoryzowanego dostępu – do organu nadzoru oraz zawiadamiania o nich osób, których dane dotyczą. Wprawdzie nie są to obowiązki absolutne – przepisy przewidują pewne wyjątki – ale bez wątpienia od maja 2018 r. taka potencjalna samodenuncjacja będzie stanowić istotny element komunikacji kryzysowej w razie wycieku danych czy ataku hackerskiego, a czasem nawet w razie utraty pendrive’a.

Zmiany, zmiany, zmiany…

Zmian jest znacznie więcej – tytułem przykładu: znika obowiązek rejestracji zbiorów danych, pojawia się konieczność prowadzenia przez przedsiębiorców rejestru czynności przetwarzania danych osobowych czy dokonywania oceny skutków przetwarzania.

Trzeba się przygotować prawnie, organizacyjnie i technologicznie

Czasu jeszcze trochę zostało, ale, tak jak co roku, zima zaskakuje drogowców, tak tym razem RODO może zaskoczyć branżę marketingową. Nie ma bowiem na rynku firmy, której RODO nie będzie dotyczyć i na którą nie wpłynie. Zmiany będą miały charakter nie tylko czysto prawny, ale też organizacyjny, technologiczny, a czasem mogą mieć wpływ na produkty i usługi oferowane klientom.