Firmy powinny zadbać o domyślną ochronę danych

11/05/17

Więcej nie znaczy lepiej

Mówi się, że informacja to podstawa. Im więcej bowiem danych posiadamy, tym lepsze wnioski możemy wyciągnąć na ich podstawie. Co więcej apetyt rośnie w miarę jedzenia, dlatego lepiej mieć dane niż ich nie mieć.

Firmy prześcigają się zatem, by podczas inicjowania kontaktu z klientem uzyskać o nim jak najwięcej danych. Łatwiej poprosić klienta o dane podczas nawiązywania z nim relacji, niż prosić go potem o dodatkowe informacje i narazić się na pytanie o cel takiego uzupełnienia.

Praktycznie nie ma dzisiaj serwisu internetowego, który na „dzień dobry” nie prosi nas o pewne informacje. Klienci, nawet gdy mają wątpliwości co do zasadności przekazywania danych o sobie, często i tak to robią. Może w ogóle nie dojść do transakcji, jeśli bowiem nie podadzą szeregu wymaganych informacji. Co bardziej świadomi uważnie czytają zapisy o zgodach czy regulaminy, ale dane i tak udostępniają.

Dlaczego ujawniamy nasze dane osobowe?

Badania Eurobarometru* jasno wskazują jak duża jest skala zjawiska. Z badania wynika, że większość (71%) klientów czy też użytkowników Internetu traktuje przekazywanie danych jako styl życia. Za najważniejszy powód ujawniania danych uważają wykonanie płatności online (46%), dostawę zakupów online (44%) oraz dostęp do serwisów (36%).

81% mieszkańców UE przyznaje, że choć dane przekazuje, to ma świadomość, że nie ma nad nimi kontroli. Z kolei 69% przyznaje, że chciałoby świadomie wyrażać zgodę na to, w jakim celu dane są przekazywane i co dalej z danymi się dzieje.

*Data protection Eurobarometer – Factsheet, czerwiec 2015

Domyślna ochrona danych wg. RODO

Nowe rozporządzenie o ochronie danych osobowych (RODO) reguluje kwestię przekazywanych przez klienta danych. Wprowadza między innymi określenie domyślnej ochrony danych (privacy by default).

Odpowiedzialność za domyślną ochronę prywatności spoczywa na podmiocie, który jest administratorem danych klienta. Z artykułu 25 ust. 2 dowiadujemy się, że firma ma obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Ten obowiązek odnosi się nie tylko do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania, ale także ich dostępności. W szczególności środki techniczne (np. systemy) i organizacyjne, czyli procedury mają zapewnić, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Przekładając ten zapis na realia biznesowe oznacza to, że podmioty przetwarzające dane powinny przejrzeć swoje procesy biznesowe i zastanowić się:

  1. Jaki jest cel każdego z tych procesów? 
  2. Czy na pewno w ramach procesu pozyskiwane są dane, które służą tylko i wyłącznie realizacji celu tego procesu?
  3. Co dalej dzieje się z danymi pozyskanymi w tym procesie?
  4. Komu dane są udostępniane i czy zasadnie?
  5. Czy i w jaki sposób jest zapewniana świadomość klienta na temat tego, co się dzieje z jego danymi?

Odpowiedź na te pytania jest pierwszym krokiem do tego by uświadomić sobie, w jaki sposób prowadzony jest kontakt z klientem i w jaki sposób zapewniana jest ochrona prywatności jego danych.

Transparentność w relacji z klientem

W dobie digitalizacji większość kontaktów z klientami jest realizowana poprzez systemy informatyczne. Formularze internetowe, frontendy sprzedażowe, aplikacje call centre, aplikacje obsługujące płatności, zakupy, transakcje itp. Wszystkie te systemy służą dzisiaj do tego, aby pozyskać dane klienta, śledzić często jego aktywność i na tej podstawie proponować spersonalizowane oferty, które mają trafić precyzyjnie w gust i preferencje klienta.

Rozporządzenie nie ma na celu zatrzymania biznesu i zakazania tego typu praktyk. Wprowadza natomiast transparentność w relacjach z klientem. Zwiększa jego poczucie bezpieczeństwa i świadomość wykorzystywania jego własnych danych.
Oczekuje się, że firmy obiektywnie zweryfikują swoje procesy pod kątem faktycznego celu zbierania danych. Klient natomiast w relacji z firmą będzie miał prawo wybrać, jaki zakres danych udostępnia, a także świadomie zrezygnować ze swojej prywatności, jeśli kontakt z firmą będzie tego wymagał.

Do 25 maja 2018 roku każdy przedsiębiorca, który dzisiaj kontaktuje się z klientem i pozyskuje jego dane, powinien zatem:

  • wykonać analizę celu obecnego procesu, 
  • zastanowić się, jak wykorzystuje swoje systemy,
  • zastanowić się, na ile te systemy są zgodne z zasadą privacy by default.

W przypadku stwierdzenia rozbieżności:

  • dokonać modyfikacji procesu,
  • dostosować wykorzystywane środki organizacyjne i techniczne.

Podsumowując, RODO wprowadza na stałe zmianę w sposobie myślenia o relacji z klientem oraz o jego danych. Zasadę „więcej znaczy lepiej” powinna zastąpić zasada „domyślna ochrona prywatności”. Każdy nowy proces i wspierające go narzędzia będą musiały być wdrażane w myśl nowej zasady. Dla biznesu oznacza to transparentność w relacji z klientem w kontekście jego danych, a dla klienta - świadomą rezygnację ze swojej prywatności.

Skontaktuj się z nami

Sylwia Pusz
Partner
Tel.: +48 603 333 309
Email

Liliana Zużewicz-Masny
Menedżer
Tel.: +48 519 507 964
Email

Obserwuj nas