Skuteczne informowanie klientów o przetwarzaniu ich danych osobowych w celach marketingowych

Newsletter, zapis do subskrypcji SMS, a może akcja promocyjna? Formularz na firmowej stronie internetowej, papierowy druczek przystąpienia do programu lojalnościowego, czy wtyczka typu „zostaw wiadomość, a oddzwonimy z ofertą”? Zbieranie danych osobowych w celach marketingowych ma różne formy, ale zawsze w takich przypadkach trzeba pamiętać o tym, żeby prawidłowo poinformować osobę, która podaje swoje dane osobowe, o przetwarzaniu tych danych.

Prawidłowo – czyli jak? Na to pytanie odpowiem w poniższym artykule.

 

Treść

Jeżeli dochodzi do zbierania danych osobowych bezpośrednio od osoby, której te dane dotyczą (czyli to ona sama je podaje), pełen komplet informacji, które trzeba przedstawić, znajduje się w samym RODO – konkretnie w art. 13. W tym przepisie mamy wyczerpujący katalog informacji, które muszą być przekazane podmiotowi danych, aby był on świadomy okoliczności przetwarzania swoich danych osobowych, własnych uprawnień z tym związanych oraz tego, jak z nich skorzystać.

Podczas pozyskiwania danych osobowych należy przedstawić następujące informacje:

1. nazwę i adres siedziby oraz dane kontaktowe administratora danych. Jeżeli ma to zastosowanie, to także tożsamość i dane kontaktowe swojego przedstawiciela
2. jeżeli powołano inspektora ochrony danych – dane kontaktowe tego IOD
3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania – tutaj należy bardzo dokładnie wskazać cele (czy chodzi o marketing własnych produktów lub usług czy może spółki współpracującej, w jakiej formie ten marketing ma być prowadzony), a także podstawę prawną, którą oczywiście wcześniej należy potwierdzić z IOD lub inna osobą odpowiedzialną za nadzór nad ochroną danych osobowych w spółce. Konieczne jest potwierdzenie, na jakiej podstawie spółka przetwarza dane w celach marketingowych (w oparciu o zgodę czy może prawnie uzasadniony interes)
4. jeżeli spółka przetwarza dane osobowe w oparciu o prawnie uzasadniony interes (czyli art. 6 ust. 1 lit. f) RODO) – o jakie prawnie uzasadnione interesy chodzi? Czy to jest interes tej spółki, czy może strony trzeciej?
5. odbiorcy danych osobowych lub ich kategorie – jeżeli w ramach realizacji celów marketingowych dane osobowe będą ujawniane takim odbiorcom (w rozumieniu RODO), np. podmiotom przetwarzającym, podmiotom, którym dane zostaną udostępnione, to nazwy lub kategorie tych podmiotów należy podać
6. zamiar przekazywania danych osobowych do państwa trzeciego (czyli nienależącego do EOG), jeżeli będzie dochodzić do takiego transferu danych. Szczególną uwagę spółka powinna zwrócić na to, czy dane państwo trzecie zostało uznane za „bezpieczne”, tj. czy wobec niego Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony danych i podać w informacji kierowanej do podmiotu danych, czy taka decyzja istnieje lub nie. Dodatkowo, jeżeli transfer danych ma miejsce w oparciu o inny możliwy mechanizm (o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO), w klauzuli informacyjnej trzeba podać wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych
7. okres, przez który dane osobowe będą przechowywane lub kryteria ustalania tego okresu – te okresy powinny być zgodne z wewnętrznymi okresami retencji danych osobowych, określającymi maksymalny okres ich przetwarzania (w tym przechowywania)
8. informacje o możliwych uprawnieniach, przysługujących zgodnie z RODO (w zależności od podstawy prawnej przetwarzania danych i celu przetwarzania każdorazowo należy zweryfikować przysługujące uprawnienia), do których zaliczają się: prawo do żądania od administratora dostępu do własnych danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, a także do wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Dobrą praktyką jest podanie, w jaki sposób te uprawnienia można zrealizować: w jakiej formie, z wykorzystaniem jakich danych kontaktowych
9. potwierdzenie, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
10. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Zanim dojdzie do opracowania tej treści w klauzuli informacyjnej, spółka musi wewnętrznie ustalić, czy w celach marketingowych w ogóle dochodzi do takiej formy profilowania, aby nie wprowadzać osoby w błąd.

 

Forma

Wszystkie informacje, których podania wymaga RODO muszą być przedstawione osobie podającej bezpośrednio swoje dane podczas ich pozyskiwania. W praktyce oznacza to, że osoba zanim ostatecznie wyśle swoje dane osobowe np. w formie elektronicznej lub przekaże druk papierowy musi być zaznajomiona z tym, w jakich celach jej dane będą przetwarzane, przez kogo, jak długo, czy zostaną komuś udostępnione, jakie jej przysługują uprawnienia z tym związane itp. Nie jest dopuszczalne przesłanie wszystkich informacji dopiero po tym, jak osoba przekaże już swoje dane (chyba, że byłoby to jedynie powtórzeniem przekazywanych informacji w momencie zbierania danych).

Komplet treści powinien być przekazany w sposób zrozumiały dla osoby pozostawiającej swoje dane osobowe. Warto unikać języka technicznego, prawniczego, ponieważ trudno zakładać, że przeciętny obywatel posługuje się gwarą prawniczą. Stosujmy prosty język. Sugeruję też, żeby pamiętać, że w zależności od usług/produktów, odbiorcami mogą być osoby w różnym wieku. W przypadku zbierania danych osobowych w celach marketingowych podczas zakupów online klauzulę informacyjną mogą czytać doświadczone osoby, ale mogą to być też osoby młode, które dopiero wkroczyły w wiek pełnoletni. Słyszałam o przypadkach, kiedy IOD zanim zatwierdził klauzulę informacyjną do stosowania przekazywał ją najpierw do przeczytania osobie, która o RODO nie miała pojęcia – właśnie po to, aby upewnić się, czy opracowana treść jest zrozumiała i jasna dla przeciętnego odbiorcy (przeciętnego w znaczeniu „niebędącego specjalistą od spraw RODO”). Taki test jest bardzo dobrym ćwiczeniem na sprawdzenie, czy klauzula informacyjna jest w istocie podawana w jasny sposób.

Co do praktyki – zarówno jako osoba, która opracowuje klauzule informacyjne, jak i ich odbiorca (czyli osoba, która sama świadomie pozostawia swoje dane osobowe w wybranych miejscach) znam to uczucie przebrnięcia przez „klauzule bez końca”. Dlatego pamiętając o tym, że mają być one przejrzyste i zrozumiałe dla odbiorcy warto zastosować kilka praktycznych zasad, takich jak: unikanie zdań podrzędnie złożonych, unikanie powtórzeń, zastosowanie prostych skrótów/określeń po ich ustaleniu (np. „Spółka”, „IOD”, „RODO”). Czytelnie i przyjemnie dla oka wyglądają logicznie podzielone akapity, czy krótkie tytuły naprowadzające na ich zawartość.

Oszczędność miejsca na pewno nie powinna wpływać negatywnie na przejrzystość treści, sprawiać, że stanie się ona nieczytelna, niezrozumiała. Zdarzyło mi się prosić podmioty o zmianę praktyki i powiększenie rozmiaru czcionki, która była bardzo mało czytelna w druku, mimo że w graficznej wersji testowej tego samego pliku (.pdf) nie było tego problemu.

Warto też wspomnieć o praktyce tzw. warstwowego obowiązku informacyjnego. Polega ona na tym, że dzielimy treść, którą podajemy osobom pozostawiającym swoje dane na dwie części. Pierwsza część podawana jest w pierwszej kolejności i zawiera wszystkie najważniejsze informacje, takiej jak: o administratorze danych, celach, podstawach prawnych. Druga warstwa, zawierająca wszystkie pozostałe informacje lub rozwinięcie tych, podawanych w pierwszej części, musi być łatwo dostępna, np. na odwrocie papierowego dokumentu, po przesunięciu suwaka w formularzu elektronicznym i rozwinięciu czy poprzez kliknięcie na stronie „Czytaj więcej”, co doprowadzi do pokazania odbiorcy pełnych informacji. W żadnym razie druga warstwa nie może być ukryta ani zapoznanie się z nią nie może być utrudnione.

 

W ten sposób samej osobie, której dane dotyczą, przyjemniej będzie zapoznawać się z informacjami i nie poczuje się ona przytłoczona natłokiem treści. A „przytłaczanie treścią” może wręcz przynieść odwrotny od zamierzonego skutek. Zamiast zapoznać się z wszystkimi podawanymi informacjami, nawet jeżeli są one napisane prostym językiem, ale jest ich po prostu dużo, osoba, której dane dotyczą, może zechcieć jak najszybciej je pominąć. Pamiętajmy, że w ochronie danych osobowych chodzi o ochronę danych osobowych i praw osób, których te dane dotyczą, zatem postarajmy się przedstawiać klauzule informacyjne tak, aby uniknąć potencjalnego odstraszania treścią ich odbiorców.