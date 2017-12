Nowe przepisy pozwolą użytkownikom jeszcze wyraźniej decydować o przetwarzaniu ich danych osobowych w celach reklamowych. Ocenie zacznie także podlegać czy przetwarzanie danych na podstawie zgody rzeczywiście jest niezbędne do świadczenia usługi. Jeśli nie jest, to firmy nie będą mogły odmówić dostępu do usługi nawet jeśli użytkownik nie wyrazi zgody na przetwarzanie swoich danych osobowych w celach marketingowych.

W praktyce oznacza to, że Google, Facebook i inne firmy będą miały prawo przetwarzać dane, aby świadczyć usługi, których użytkownicy oczekują, ale przetwarzanie danych w jakimkolwiek innym celu będzie wymagało wyraźnej zgody użytkownika, o ile firma nie wykaże innej podstawy prawnej (np. istniejącego przepisu prawa zezwalającego na przetwarzanie danych). Ten przepis łączy się z wymogiem uzyskiwania wielu zgód szczegółowych, w zależności od ilości celów, w których firma chciałaby przetwarzać dane (przy założeniu, że zgoda jest jedyną przesłanką, na której można oprzeć przetwarzanie danych). Należy się spodziewać, że wielu użytkowników mając wybór nie wyrazi zgody na przetwarzanie ich danych w celach marketingowych.

Co RODO może zmienić u gigantów

RODO wpłynie zapewne na dział Google odpowiedzialny za tzw. reklamę programmatic pod marką DoubleClick. Zgody będzie bowiem wymagało nie tylko wykorzystanie danych przez Google, ale także przez wiele innych firm, które uzyskują dostęp do tych danych przez system Google. Wielu użytkowników zapewne zdziwiłoby się ile firm może uzyskać dostęp do ich danych i nie będzie skorych do wyrażenia zgody.

Facebook natomiast będzie musiał uzyskiwać osobną zgodę na wykorzystanie danych użytkowników do targetowania reklam na innych stronach internetowych (usługa Facebook Audience Network). Nawet dobór wpisów wyświetlanych użytkownikom może wymagać osobnej zgody, jeśli algorytm będzie uwzględniał „szczególne kategorie danych osobowych”, jak np. rasa, pochodzenie etniczne, poglądy polityczne, wyznawana religia, czy orientacja seksualna.

Utrudnione zautomatyzowane profilowanie

Nowe przepisy ograniczą również możliwości zautomatyzowanego profilowania klientów. Będzie ono dopuszczalne tylko, gdy jest niezbędne do zawarcia lub wykonania umowy, pozwala na to przepis prawa lub osoba wyraziła na to wyraźną zgodę. Może się okazać, że profilowanie wyłącznie w celach marketingowych nie spełnia żadnego z powyższych warunków i firmy internetowe będą zmuszone pozyskiwać osobne zgody użytkowników na zautomatyzowane profilowanie. Wielu z nich zapewne nie wyrazi takiej zgody i/lub zażąda zaprzestania automatycznego przetwarzania swoich danych.

Warto działać

Przed właścicielami firm świadczących darmowe usługi internetowe stoją więc dwa duże wyzwania. Pierwszym jest analiza tego, jak świadczone są usługi, w oparciu o jakie dane, kto ma do nich dostęp i generalnie na jakiej przesłance można oprzeć przetwarzanie danych, itd., a następnie modyfikacja biznesu tak, aby dostosować się do RODO i ograniczyć ilość i rodzaj przetwarzanych danych. W ten sposób potencjalnie zmniejszy się liczbę zgód, jakie będą musieli wyrażać użytkownicy.

Drugie wyzwanie to komunikacja korzyści, jakie wynikają dla użytkowników z wyrażenia zgody na przetwarzanie danych w celach marketingowych. Sam fakt oferowanie darmowej usługi już nie wystarczy, bo jak wspomniano wcześniej, firmy nie będą mogły odmówić do niej dostępu z powodu braku zgody na przetwarzanie danych w celach marketingowych.

Motywacją do działania powinny być kary, jakie twórcy RODO przewidzieli. Ich wysokość ma zagwarantować, że nawet internetowi giganci dostosują się do nowych przepisów W przypadku naruszenia m. in. warunków zgody, które przewiduje RODO kara może sięgnąć nawet 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku (zastosowanie ma kwota wyższa).

Autorzy:

Katarzyna Ułasiuk, kierownik działu ochrony danych osobowych w iSecure. Prawnik specjalizujący się w zakresie ochrony danych osobowych, pełniący funkcję ABI na co dzień. Praktykę zdobywała współpracując z podmiotami z sektora MŚP, organami administracji publicznej oraz międzynarodowymi korporacjami. Doświadczony trener i prelegent.

Michał Sztąberek, partner zarządzający w iSecure. Prawnik, ABI i audytor wiodący wg normy ISO 27001. Tematyką bezpieczeństwa informacji, w szczególności ochroną danych osobowych, zawodowo zajmuje się od 2006 r. Publikował m.in. w „Rzeczpospolitej”, „Marketerze+”, „Personelu i Zarządzaniu”, „PC World”.