Złowrogie ciasteczka

Złowrogie ciasteczka
Reforma systemu ochrony prywatności, przygotowywana przez Unię Europejską, wymusi istotne zmiany na rynku marketingu internetowego. Na co się przygotować i czego się spodziewać?
O autorze
4 min czytania 2017-12-01

fot. gratisography.com

Prawdopodobnie każdy przedsiębiorca, który reklamuje się w Internecie (czyli prawdopodobnie każdy przedsiębiorca), słyszał już skrótowiec RODO. Słowo powtarzane z trwogą albo przynajmniej poważną irytacją, jak imię słowiańskiego Licha, które przyjdzie, żeby narobić kłopotów. Faktycznie, unijne rozporządzenie ogólne o ochronie danych („RODO”), które zacznie być stosowane w maju przyszłego roku, zmieni znany nam Internet. Przedsiębiorcy posługujący się w swojej działalności danymi osobowymi, a więc danymi pozwalającymi na zidentyfikowanie określonej osoby fizycznej, niezależnie od tego, czy będą to dane klientów, kontrahentów czy współpracowników, będą musieli zmienić podejście do ich używania i ochrony.

Osoby, których dane osobowe są przetwarzane przez firmy, uzyskają na mocy RODO nowe uprawnienia, takie jak prawo do bycia zapomnianym (związane z obowiązkiem usunięcia danych z bazy przedsiębiorcy), prawo do otrzymania informacji o tym, jakie ich dane są przetwarzane, oraz prawo do przeniesienia swoich danych do innej firmy.

Firmy będą musiały z kolei informować te osoby o tym, jakie prawa im przysługują, a także o celu przetwarzania, podstawie prawnej przetwarzania, podmiotach, którym zamierzają udostępniać dane osobowe, a także – w przypadku wycieku danych – o tym, że takie zdarzenie nastąpiło, i co należy zrobić, żeby ochronić się przed jego skutkami.

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

Z perspektywy marketingu szczególnie istotne jest to, że przedsiębiorcy będą musieli uzyskać zgodę osób, których danymi się posługują, na automatyczne przetwarzanie ich danych, o ile będzie ono miało istotny wpływ na sytuację tych osób. Będzie tak na przykład w przypadku profilowania klientów odwiedzających witrynę sklepu internetowego lub inny portal z osadzonymi spersonalizowanymi reklamami, w celu oferowania im wybranych, konkretnych produktów lub usług albo innego różnicowania oferty na podstawie posiadanych danych – np. w zakresie ustalania ceny.

RODO nie precyzuje w jaki sposób należałoby uzyskać taką zgodę. To oczywiście pole do popisu dla kreatywności marketingowców, natomiast należy się spodziewać, że internauci otrzymają od Unii narzędzie, które to umożliwi. Jego źródło leży jednak w innej regulacji.

Słuchaj podcastu NowyMarketing

Należy pamiętać, że RODO jest jednym z elementów tzw. strategii jednolitego rynku cyfrowego UE. Jej wprowadzenie stanowi odpowiedź na rozwój technologiczny i rosnące z każdym rokiem zagrożenia związane z cyberbezpieczeństwem, a także coraz większą potrzebę ochrony prywatności sygnalizowaną przez użytkowników Internetu. Postanowienia RODO należy w związku z tym rozpatrywać łącznie z innymi aktami unijnymi, realizującymi tę strategię. Z perspektywy marketingu internetowego drugim – po RODO – najistotniejszym aktem prawnym jest tzw. rozporządzenie ePrivacy (rozporządzenie w sprawie prywatności i łączności elektronicznej), którego projekt jest obecnie przedmiotem rozmów pomiędzy Parlamentem, Radą Unii Europejskiej i Komisją Europejską.

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Mając do dyspozycji jedynie projekt rozporządzenia ePrivacy, nie możemy być pewni w jakim kształcie wejdzie w życie ani od kiedy zacznie obowiązywać, zwłaszcza, że projekt budzi duże kontrowersje i wariant „prokonsumencki” (w przeciwieństwie do wariantu „probiznesowego”) nie posiada poparcia największej frakcji Parlamentu Europejskiego – Europejskiej Partii Ludowej. Projekt wskazuje jednak kierunek zmian, które chciałaby wprowadzić Komisja i wiele z nich może trafić do ostatecznej wersji rozporządzenia.

Wspomniane narzędzie dla użytkownika to możliwość generalnego wyrażenia zgody (lub braku zgody) na instalowanie plików cookies na jego urządzeniu końcowym za pomocą wybrania określonych ustawień przeglądarki internetowej. Brak cookies to zasadniczo brak możliwości personalizowania wyświetlanej użytkownikowi reklamy, ponieważ to właśnie te pliki pozwalają na śledzenie odwiedzanych przez internautę stron i innych działań podejmowanych przez niego w sieci.

Rozporządzenie nakazuje dostawcom oprogramowania wdrożenie takiego rozwiązania w dostarczanych przez nich narzędziach, co wpisuje się w ustanowioną w RODO zasadę ochrony prywatności na etapie projektowania rozwiązań (privacy by design). Zgodnie zaś z zasadą domyślnej ochrony prywatności (privacy by default) wyjściowe ustawienia przeglądarki powinny zapewniać najszerszą ochronę przed śledzeniem (przy czym użytkownik ma dostać wyraźny komunikat na ten temat, a możliwość jego własnej ingerencji w ustawienia prywatności ma być jak najprostsza).

Co istotne, zgoda użytkownika urządzenia nie będzie wymagana dla instalowania ciasteczek innych niż te śledzące (np. tych niezbędnych do świadczenia usługi, zwiększających funkcjonalność lub konfiguracyjnych). To oznacza koniec obowiązku wyświetlania irytujących powiadomień o wykorzystywaniu tego rodzaju plików cookies w serwisach internetowych.

Projektowane rozwiązania, zakładane przez rozporządzenie ePrivacy, budzą sprzeciw części przedsiębiorców. W przywoływanym w ostatnim czasie stanowisku Związku Pracodawców Branży Internetowej IAB Polska z 19 października czytamy, że zmiany utrudnią działanie tzw. third-party cookies, przez co „spowodują wzmocnienie pozycji globalnych gigantów kosztem europejskich firm”. IAB Polska dodaje również (komunikat z 25 października), że proponowane rozwiązania będą „barierą dla przyszłych innowacyjnych zastosowań nowoczesnych technologii informatycznych”.

Stojąca po drugiej stronie barykady Fundacja Panoptykon wskazuje natomiast, że rozporządzenie ma na celu przywrócenie kontroli użytkowników nad dotyczącymi ich danymi oraz zwiększenie świadomości, w jaki sposób są one wykorzystywane, co ograniczy ryzyko dyskryminacji konsumentów lub innego rodzaju manipulacji ze strony dostawców reklam.

Nie ulega wątpliwości, że przyszłość reklam profilowanych jest niepewna. O kształcie ostatecznych rozwiązań zadecyduje siła lobbingu biznesu z jednej i zwolenników ochrony prywatności z drugiej strony. Wydaje się, że dające się słyszeć głosy mówiące o zbliżającym się końcu reklamy w Internecie są mocno przesadzone. Owszem, może ulec, i najpewniej ulegnie ograniczeniu zasięg reklamy profilowanej pod konkretnego konsumenta. Nietrudno bowiem sobie wyobrazić, że większość użytkowników sieci nie zmieni domyślnych, maksymalnie restrykcyjnych ustawień prywatności w przeglądarce internetowej, co w dużej mierze uniemożliwi personalizację reklam.

Z drugiej strony osoby, które zdecydują się udostępnić swoje urządzenia na śledzące pliki cookies, zrobią to z premedytacją, wskazując tym samym, że są zainteresowane korzystaniem z dobrodziejstw technologii w tym zakresie. Być może będą w związku z tym chętniej korzystały z przedstawianych im propozycji, nie odczuwając jednocześnie dyskomfortu wynikającego z nieświadomości tego, skąd ich ulubiona strona z przepisami kulinarnymi wie, że potrzebują nowego trymera do nosa.

Obserwując rozwój wypadków w sprawie rozporządzenia ePrivacy przedsiębiorcy powinni podejmować działania w celu wdrożenia uchwalonego już RODO, które do maja 2018 roku raczej się nie zmieni. Pod jego rządami o zgodę na profilowanie użytkownika trzeba będzie powalczyć bezpośrednio z nim, a nie z jego przeglądarką, np. za pomocą komunikatu pop-up. Wydaje się, że w tej walce przedsiębiorca będzie miał większe szanse na zwycięstwo, zwłaszcza jeśli prośba zostanie przedstawiona w inteligentnej i dobrze uzasadnionej formie.

Nowe obowiązki to jednak nie tylko wymóg uzyskania zgody na profilowanie. Zakładają one między innymi konieczność opracowania nowych komunikatów informacyjnych dla klientów, aktualizacji polityk prywatności, czy wdrożenia rozwiązań IT pozwalających na udostępnianie, kasowanie lub ograniczanie danych na uzasadnione życzenie klienta, a także informowanie go o przypadkach wycieku danych.

Do zrobienia jest sporo, ale nie powinno się traktować tej pracy jako zła koniecznego. W przeciwieństwie do przywołanego na początku tego artykułu Licha, którym straszyli nas rodzice, za RODO stoją szlachetne intencje. Jego nadejście, choć na początku uciążliwe organizacyjnie, przysłuży się do poprawy kultury i bezpieczeństwa obrotu danymi w Internecie.

W „nowym” Internecie to właśnie przedsiębiorcy stosujący odpowiednie rozwiązania w zakresie przetwarzania danych osobowych i wykorzystujący je w sposób przejrzysty i korzystny dla klienta uzyskają przewagę konkurencyjną nad innymi podmiotami. Osiągnięcie tego celu będzie łatwiejsze, jeśli firma spełni wymagania potrzebne do uzyskania specjalnego certyfikatu lub zacznie stosować zatwierdzonego kodeksu postępowania, o ile zostanie on przygotowany przez odpowiednią organizację branżową. Kodeks dla rynku internetowego i komunikacji interaktywnej opracowywany jest od marca przez IAB Polska we współpracy z Generalnym Inspektorem Ochrony Danych Osobowych.