Gromadzenie informacji o osobach fizycznych przestało być domeną wyłącznie wielkich korporacji operujących na ogromnych zbiorach danych. Obecnie każda działalność gospodarcza, od mikroprzedsiębiorstwa po rozbudowane struktury handlowe, opiera swoje funkcjonowanie na pozyskiwaniu i przetwarzaniu rekordów dotyczących klientów. Unijne rozporządzenie o ochronie danych osobowych narzuciło sztywne ramy tej aktywności, wymuszając na administratorach odejście od intuicyjnego zbierania wszystkiego „na zapas”. Kluczowym wyzwaniem staje się stworzenie systemu, który pozwala na realizację celów biznesowych bez narażania się na dotkliwe konsekwencje prawne i finansowe.
Fundamentem bezpiecznego zbierania danych jest zasada minimalizacji. W praktyce oznacza to, że przedsiębiorca powinien zadawać sobie pytanie nie o to, co może wiedzieć o kliencie, ale o to, co jest mu absolutnie niezbędne do sfinalizowania konkretnej transakcji lub świadczenia usługi. Jeśli proces wysyłki zamówienia wymaga jedynie imienia, nazwiska i adresu, żądanie podania daty urodzenia czy numeru dowodu osobistego jest rażącym naruszeniem przepisów. Każdy dodatkowy punkt styku z danymi zwiększa ryzyko administratora w przypadku ewentualnego wycieku lub kontroli ze strony organu nadzorczego.
Podstawy prawne jako punkt wyjścia
Przetwarzanie danych nie może odbywać się w próżni prawnej. Artykuł 6 RODO definiuje katalog przesłanek, które czynią zbieranie informacji legalnym. Najczęściej wybieraną, choć często nadużywaną ścieżką, jest zgoda osoby, której dane dotyczą. Ważne jest jednak zrozumienie, że zgoda musi być świadoma, dobrowolna, konkretna i jednoznaczna. Nie wolno stosować domyślnie zaznaczonych pól wyboru (checkboxów) ani uzależniać wykonania usługi od zgody na cele marketingowe, jeśli nie są one niezbędne do realizacji samej umowy.
Często pomijaną, a niezwykle istotną podstawą, jest niezbędność do wykonania umowy. W tym przypadku nie potrzebujemy osobnego oświadczenia woli klienta – sam fakt chęci zakupu towaru uprawnia nas do pobrania danych niezbędnych do fakturacji i logistyki. Kolejnym filarem jest prawnie uzasadniony interes administratora. Może on obejmować na przykład dochodzenie roszczeń czy marketing bezpośredni własnych produktów wobec obecnych klientów, ale wymaga to przeprowadzenia tzw. testu równowagi, aby upewnić się, że interesy firmy nie przeważają nad prawami i wolnościami jednostki.
Obowiązek informacyjny – transparentność przede wszystkim
RODO nakłada na zbierającego dane obowiązek jasnego zakomunikowania, co dzieje się z informacjami od momentu ich pozyskania. Klauzula informacyjna musi być dostępna w chwili zbierania danych. Powinna być napisana prostym, zrozumiałym językiem, pozbawionym skomplikowanego prawniczego żargonu. Klient musi wiedzieć, kto jest administratorem jego danych, w jakim celu są one zbierane, jak długo będą przechowywane oraz komu mogą zostać udostępnione (np. firmom kurierskim czy operatorom płatności).
Kwestia retencji danych, czyli okresu ich przechowywania, jest punktem zapalnym w wielu firmach. Prawo zakazuje przetrzymywania informacji w nieskończoność. Dane powinny być usuwane lub anonimizowane natychmiast po tym, jak przestaną być potrzebne do celu, w którym zostały zebrane. Wyjątkiem są sytuacje regulowane innymi przepisami, jak choćby ordynacja podatkowa, która nakazuje przechowywanie dokumentacji rachunkowej przez określony czas. Po upływie tych terminów administrator nie ma żadnego tytułu prawnego do dalszego posiadania danych osobowych klienta.
Bezpieczeństwo techniczne i organizacyjne
Zbieranie danych to dopiero początek drogi. RODO nie narzuca konkretnych rozwiązań technologicznych, posługując się systemem opartym na ryzyku. To administrator musi ocenić, jakie środki bezpieczeństwa są adekwatne do charakteru zbieranych informacji. Inne zabezpieczenia będą wymagane przy prowadzeniu osiedlowego newslettera, a inne przy przetwarzaniu danych o stanie zdrowia czy sytuacji finansowej w sektorze bankowym.
Wdrożenie szyfrowania połączeń (protokół SSL/TLS), stosowanie silnych haseł oraz dwuskładnikowej autoryzacji to branżowy standard. Należy jednak pamiętać o czynniku ludzkim. Większość naruszeń ochrony danych wynika z błędów pracowników, a nie z wyrafinowanych ataków hakerskich. Dlatego proces zbierania danych musi być wsparty procedurami wewnętrznymi: upoważnieniami dla konkretnych osób, regularnymi szkoleniami oraz ewidencją osób dopuszczonych do przetwarzania. Każdy pracownik powinien widzieć tylko ten wycinek danych, który jest mu potrzebny do wykonania obowiązków służbowych.
Profilowanie i dane wrażliwe
Szczególną ostrożność należy zachować przy zbieraniu danych, które pozwalają na automatyczną ocenę klienta lub przewidywanie jego zachowań. Profilowanie, jeśli wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę, wymaga spełnienia szeregu dodatkowych warunków, w tym często uzyskania wyraźnej zgody. Próba segmentacji bazy klientów w oparciu o ich preferencje zakupowe jest dopuszczalna, ale musi być przejrzyście zakomunikowana w polityce prywatności.
Jeszcze wyższy rygor dotyczy danych szczególnych kategorii, czyli tzw. danych wrażliwych (pochodzenie etniczne, poglądy polityczne, dane biometryczne czy zdrowotne). Co do zasady ich przetwarzanie jest zabronione, chyba że zachodzi jeden z wyjątków wskazanych w rozporządzeniu. W typowym obrocie gospodarczym zbieranie takich informacji powinno być unikane, chyba że specyfika branży (np. medycznej czy fitness) bezpośrednio tego wymaga.
Zarządzanie żądaniami klientów
Osoba, której dane są zbierane, zachowuje nad nimi kontrolę nawet po ich przekazaniu firmie. Prawo do bycia zapomnianym, prawo do przenoszenia danych czy prawo do sprostowania to realne uprawnienia, na których realizację administrator musi być przygotowany. Proces zbierania danych powinien być tak zaprojektowany, aby w razie wpłynięcia wniosku o usunięcie informacji, możliwe było szybkie zlokalizowanie wszystkich rekordów rozproszonych w różnych systemach (CRM, arkusze kalkulacyjne, systemy mailingowe).
Ważne jest rozróżnienie pomiędzy usunięciem danych a zaprzestaniem przetwarzania w celach marketingowych. Jeśli klient wycofuje zgodę na marketing, ale nadal posiada aktywną umowę lub zaległości płatnicze, jego dane pozostają w systemie w celu realizacji kontraktu lub windykacji, ale muszą zostać wyłączone z jakichkolwiek działań promocyjnych. Błąd w tej materii jest jedną z najczęstszych przyczyn skarg wpływających do urzędów ochrony danych.
Weryfikacja kontrahentów i powierzenie przetwarzania
Zbieranie danych często wiąże się z ich przekazywaniem na zewnątrz. Korzystanie z usług chmurowych, zewnętrznych księgowości czy systemów do automatyzacji marketingu oznacza powierzenie przetwarzania danych osobowych podmiotom trzecim. Zgodnie z RODO, administrator może korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Nieodłącznym elementem zbierania danych w takim modelu jest podpisanie umowy powierzenia przetwarzania danych (DPA), która precyzyjnie określa zakres, cel i czas operacji wykonywanych na powierzonych zbiorach.
Szczególną uwagę należy zwrócić na transfer danych poza Europejski Obszar Gospodarczy. Wiele popularnych narzędzi informatycznych ma swoją siedzibę w USA. W takich przypadkach konieczne jest upewnienie się, że dany dostawca zapewnia poziom ochrony danych równoważny z unijnym, co najczęściej realizowane jest poprzez standardowe klauzule umowne lub udział w dedykowanych programach certyfikacji.
Metodyka Privacy by Design i Privacy by Default
Nowoczesne podejście do ochrony prywatności zakłada, że zabezpieczenia są integralną częścią procesu zbierania danych od samego początku projektowania nowej usługi, a nie dodatkiem doklejonym na końcu. Zasada Privacy by Design wymaga, by już na etapie planowania nowej kampanii czy wdrażania nowego narzędzia informatycznego, uwzględnić mechanizmy chroniące prywatność. Z kolei Privacy by Default oznacza, że domyślne ustawienia systemów powinny być maksymalnie przyjazne dla prywatności – przykładowo, profilowanie powinno być domyślnie wyłączone, a klient powinien mieć możliwość jego aktywowania, jeśli wyrazi taką chęć.
Regularne audyty własnych zbiorów danych oraz procedur ich pozyskiwania pozwalają wyłapać błędy, zanim staną się one problemem prawnym. Świat technologii i interpretacji prawnych ewoluuje, dlatego raz wdrożona dokumentacja nie może leżeć w szufladzie przez lata. Dokumentowanie procesów przetwarzania (rejestr czynności przetwarzania) jest nie tylko obowiązkiem ustawowym dla wielu podmiotów, ale przede wszystkim narzędziem dla administratora, pozwalającym na sprawne zarządzanie wiedzą o tym, jakie dane, w jakim celu i na jakiej podstawie firma posiada.
Ostatecznie, zgodne z RODO zbieranie danych to nie tylko kwestia unikania kar, ale budowanie relacji opartej na zaufaniu. Klient, który ma pewność, że jego informacje są traktowane z należytą starannością i nie są wykorzystywane w sposób nieprzewidziany, chętniej angażuje się w interakcję z marką. Transparentność i uczciwość w komunikacji o danych stają się zatem elementem przewagi konkurencyjnej, świadczącym o profesjonalizmie i dojrzałości biznesowej przedsiębiorstwa.