Tymczasem, diabeł tkwi w szczegółach, a konkretnie w klarownej, realnej komunikacji. RODO bowiem to nie wyłącznie kolejne formalności dla firm, ale zmiana optyki postrzegania danych osobowych.
Od teorii…
W rzeczywistości marketingu internetowego osoba, która na stronie internetowej lub w efekcie działania reklamy w mediach społecznościowych przekazała firmie swoje dane kontaktowe, jest leadem.
Zobacz również
I tu pojawiają się pierwsze pytanie: co dziś jest daną osobową i czy dane kontaktowe, które mamy są danymi osobowymi? Zgodnie z artykułem 4 ust. RODO danymi osobowymi są „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy […]”. Motyw 26 preambuły do RODO wskazuje natomiast, że aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego, lub pośredniego zidentyfikowania jej. Oznacza to więc, że jeżeli mamy wyłącznie adres e-mail danej osoby, tak skonstruowany, że nie jesteśmy w stanie jednoznacznie wskazać osoby, której dotyczy, np.: @o2.pl to nie jest on daną osobową i nie podlega ochronie wynikającej z RODO. Jeśli jednak adres ten połączymy choćby z adresem IP czy plikami cookies, które wykorzystujemy, stanowi on daną osobową ze wszystkimi tego konsekwencjami. Mając więc lead – mamy konkretne dane osobowe, a więc i obowiązki.
… do praktyki
Na wszystkie podmioty przetwarzające dane osobowe RODO nakłada szereg obowiązków. Główne określa artykuł 5 Rozporządzenia, nakładający na Administratora wymogi określonego postępowania z posiadanymi danymi, tj. zapewnienia zasady rzetelności, integralności i poufności, zgodności z prawem, rozliczalności, prawidłowości, minimalizacji oraz ograniczenia przetwarzania. Na Administratorze ciąży również obowiązek odpowiedniego ich zabezpieczenia. Aby zminimalizować ryzyko wycieku danych i zapewnić im ochronę, wszystkie firmy, które na swoich stronach korzystają z jakichkolwiek formularzy kontaktowych, w tym też tych zapisu na newsletter, powinny mieć certyfikat SSL. Certyfikat ten potwierdza bezpieczeństwo szyfrowania danych przesyłanych pomiędzy użytkownikiem a serwerem. Jeżeli przesyłanie gromadzonych danych nie jest zabezpieczone, administrator danych nie wypełnia obowiązku zapewnienia im poufności, a tym samym narusza zasady RODO. Brak „zielonej kłódki” zmniejsza zaufanie do takiej witryny i może skutkować rezygnacją z zostawienia danych.
Zasadą, którą najmocniej wpływa na działania marketingowe firm, jest ta wynikająca z definicji skuteczności wyrażonej zgody. Nakłada ona na firmę obowiązek precyzyjnego informowania o zasadach świadczenia usług marketingowych. Zgodnie z RODO użytkownik musi mieć bowiem jasność w kwestii tego, na co się godzi.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
Słuchaj podcastu NowyMarketing
źródło: prowly.com Zobacz grafikę w większym rozmiarze
W sytuacji, więc gdy Administrator nie poinformuje rzeczowo o wszystkich celach przetwarzania, czyli np. w przypadku udostępniania darmowego e-booka nie poinformuje, że podanie adresu e-mail wiąże się jednocześnie z zapisem na newsletter – zgody choćby nawet były wyrażone świadomie i wyraźnie mogą być zakwestionowane.
W związku z pozyskiwaniem leadów RODO nakłada na firmy również rozbudowany obowiązek informacyjny. Polega on na konieczności podania osobie, której dane pozyskujemy szeregu informacji o:
- danych kontaktowych Administratora, czyli firmy, która zbiera dane osobowe,
- konkretnym celu przetwarzania danych,
- podstawie prawnej przetwarzania danych,
- zamiarze przekazania danych innemu podmiotowi, jeśli taki zamiar występuje,
- profilowaniu,
- czasie przetwarzania danych,
- uprawnieniach przysługujących osobie, której dane dotyczą, tj. prawie dostępu do danych, ich edycji, żądania ograniczenia przetwarzania, możliwości wniesienia sprzeciwu wobec przetwarzania, przeniesienia danych do innego Administratora oraz żądania usunięcia danych i prawie wniesienia skargi do PUODO.
Co istotne, wycofanie zgody na przetwarzanie danych musi być tak samo proste, jak jej wyrażenie.
Zgoda zgodzie nierówna
Podstawą skutecznego pozyskiwania i przetwarzania danych w celach marketingowych jest zgoda osoby, której dane dotyczą. W myśl RODO zgodę na przetwarzanie danych osobowych osoby, której dane dotyczą, należy rozumieć jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Oznacza to więc, że jeżeli przetwarzanie służy różnym celom, potrzebna jest wyraźna zgoda na wszystkie te cele.
Jak mówi Motyw 32 preambuły do RODO, jako zgodę można rozumieć zaznaczenie okienka wyboru podczas przeglądania strony internetowej, wybór ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też inne oświadczenie bądź zachowanie, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Wnioskując z tego, skuteczne i zgodne z przepisami wystąpienie o zgodę powinno równie wyraźnie dawać prawo powiedzenia „NIE ZGADZAM SIĘ”. I to nie tylko post factum, jako cofnięcie zgody, o którym mówi pkt 3 art. 7 RODO, ale wcześniej – jako prawo do jej niewyrażenia już przy pierwszym kontakcie lub wyrażenia w wybranym zakresie.
Nie istnieje jedna, uniwersalna klauzula zgody. Każda z firm ma swoją specyfikę, przetwarza dane w różnych celach i w różny sposób. Kluczowe jest jednak takie jej sformułowanie, by intencje firmy, komunikaty dotyczące danych osobowych i składana oferta były jasne dla osoby, której dane chcemy pozyskać, a osoba ta miała realną możliwość świadomego ustosunkowania się.
W przypadku zbierania i aktualizacji zgód najlepszym i, co ważne, mniej irytującym odbiorców rozwiązaniem jest takie, w którym Administrator, zapraszając do wyrażenia zgód za pomocą checkboxów, dających możliwość wskazania, na jakie przetwarzanie osoba wyraża zgodę, tuż przy nich umieszcza politykę prywatności dotyczącą konkretnego narzędzia. Co ważne, RODO nie wymaga zwiększenia liczby checkboxów. Wymaga jedynie partnerskiego traktowania osoby, której dane chcemy przetwarzać.
źródło: adara.com Zobacz grafikę w większym rozmiarze
źródło: prakreacja.pl
źródło: Nowoczesna Firma Zobacz grafikę w większym rozmiarze
Czy tak pomyślana klauzula informacyjna będzie dłuższa? Nie. Czy będzie to wymagało od firm starających się pozyskać nowe leady więcej pracy? Niekoniecznie. Raczej trochę odwagi, wiary w wartość własnych produktów (content is a king!) oraz partnerskiego potraktowania drugiej strony. Co warto zrobić, jeśli stawką są dobrowolnie wyrażone zgody i usatysfakcjonowani, lojalni użytkownicy.
Skuteczne pozyskanie zgody, równoznaczne z pozyskaniem dobrego leadu, leży w istotnym interesie Administratora, gdyż związane jest z dwiema konsekwencjami:
Po pierwsze, to na Administratorze danych ciążyć będzie obowiązek udowodnienia, że uzyskał zgody i przetwarza posiadane dane w sposób zgodny z prawem. Jeśli nie będzie w stanie tego wykazać może narazić się na karę administracyjną, pozew cywilny oraz utratę wizerunku.
Po drugie, w świecie coraz bardziej świadomych swoich praw użytkowników Internetu, zgody pozyskane w sposób budzący ich wątpliwości, mogą być masowo wycofywane, co oznaczać może dla firm realne straty finansowe i wizerunkowe.
Content – przynęta na leady
Wartościowe treści przyciągają użytkowników. Za unikalne treści czy funkcjonalną usługę są oni gotowi zapłacić zrzeczeniem się części swojej prywatności. Jednak planując narzędzia jakich firma będzie używała do pozyskiwania leadów, warto pamiętać także o formie, w jakiej zostaną one zaprezentowane użytkownikowi i jakie informacje będą od niego wymagane do ich uzyskania. Zgodnie bowiem z zasadą privacy by default, pozyskiwać można tylko te dane, które są niezbędne do wykonania celu, w jakim je zbieramy. Nie można więc gromadzić danych „na zapas”. Potrzebę zbierania określonych informacji firma musi umieć uzasadnić.
Drugą kwestią jest wygoda użytkownika. Wyskakujące z każdej podstrony, utrudniające swobodne korzystanie z serwisu okna czy pop-upy prędzej zirytują, niż zachęcą do subskrypcji.
Newsletter
Subskrypcja newslettera jest chyba jedną z najskuteczniejszych dróg pozyskania wartościowego leada. Wyrażona w miejscu zapisu zgoda jest jasna oraz nie budzi wątpliwości co do celu jej pozyskania. A co najważniejsze, jest praktycznie bezterminowa, ponieważ tak długo, jak oferowane treści będą odpowiadały oczekiwaniom subskrybentów, nie istnieje problem jej odwołania.
Jednak, aby uczynić zadość warunkom RODO, konieczne jest dopełnieni kilku formalności. Przy formularzu zapisu na newsletter powinny znaleźć się odpowiednie checkboxy, wskazujące wszystkie cele w związku, z którymi firma chce dane przetwarzać, np.: do wysyłki newslettera, wysyłek marketingowych, wysyłki ofert handlowych. Checkboxy muszą być domyślnie puste. Dzięki temu administrator z łatwością będzie mógł wykazać, że użytkownik świadomie i dobrowolnie wskazał określone pola.
źródło: kazar.pl Zobacz grafikę w większym rozmiarze
źródło: wolterskluwer.pl Zobacz grafikę w większym rozmiarze
źródło: c-and-a.com Zobacz grafikę w większym rozmiarze
Do tekstu znajdującego się przy checkboxie warto podlinkować regulamin, politykę prywatności czy klauzulę informacyjną, w której przystępnie opisane są zasady przetwarzania danych. Dodatkowo zasady przetwarzania danych można krótko opisać w pierwszym e-mailu, wysyłanym z podziękowaniem po zapisie na newsletter oraz załączyć link do pełnej wersji polityki.
E-booki i webinaria
E-booki są doskonałą formą promocji treści i zachętą do rejestracji na newsletter. Stanowią dobrą prezentację jakości contentu, który dostarczany będzie subskrybentom. Te same zasady dotyczą webinarów.
źródło: garneczki.pl
źródło: gs1pl.org
Niezależnie więc od użytego narzędzia, konieczne jest zapewnienie pełnej informacji, rzetelne określenie celów oraz zadbanie o poprawność zebranych zgód.
Facebook Lead Ads
Idea działania Facebook Lead Ads przypomina zasady funkcjonowania landing page’a: Użytkownik klika reklamę, która ma zachęcić go wypełnienia formularza i zostawienia firmie swoich danych. Cały proces odbywa się w obrębie Facebooka. I to w zasadzie jedyna różnica. Formalnie bowiem, na firmie pozyskującej tą drogą leady, ciążą dokładnie te same obowiązki, jakie spoczywają na każdej organizacji pozyskującej dane kontaktowe przez swoją stronę. Fakt działania na Facebooku nie zdejmuje z firmy żadnych obowiązków. Wręcz przeciwnie – w momencie, gdy użytkownik prześle formularz z danymi za pośrednictwem Facebook Lead Ads, firma staje się ich Administratorem i określa cele, dla których dane te będą wykorzystywane. Oznacza to więc konieczność poinformowania o firmowej polityce prywatności oraz realizacji obowiązku informacyjnego. Użytkownik musi mieć pewność w zakresie tego, komu i w jakim celu przekazuje swoje dane.
RODO zakłada, że obowiązek informacyjny należy wykonać podczas pozyskiwania danych osobowych. Z uwagi na specyfikę Facebooka umieszczenie klauzul informacyjnych przy formularzach może być trudne. Dlatego najlepszym rozwiązaniem wydaje się wypełnienie obowiązku informacyjnego przez zapis w polityce prywatności, stworzonej specjalnie na potrzeby Facebooka. Takie rozwiązanie będzie co prawda wymagało od firmy dodatkowej aktywności, ale pozwoli też lepiej zrealizować wymagania wynikające z nowych przepisów – jasnej, zwięzłej i prostej informacji. Dedykowana działaniom na Facebooku polityka będzie czytelniejsza i łatwiejsza do zrozumienia przez użytkownika niż rozbudowany dokument zbiorczy, obejmujący wiele różnych obszarów. Pamiętajmy, że zbyt skomplikowane procedury zniechęcają do zostawiania danych i budzą nieufność.
Parafrazując, nie takie RODO straszne jak je malują. Porządkuje procesy, dąży do zapewnienia bezpieczeństwa danych oraz z założenia wspiera budowę partnerskich relacji między firmami a ich potencjalnymi klientami. Dlatego obok troski o kwestie formalno-prawne należy zadbać również o swoje strategie komunikacji, co pozwoli dostarczać unikalny, wartościowy content, a przez to skutecznie tworzyć bazy marketingowe.