Gdy RODO zwiększa ból głowy

autor gościnny

, Biznes

Już 25 maja 2018 roku wchodzi w życie RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. W jaki sposób nowe regulacje mogą wpłynąć na ogólne podejście do korzystania z danych i jak zapobiegać negatywnym wpływom na przepisy?

Nie ma wątpliwości, że efektywne wykorzystanie danych klientów może być niezwykle korzystne dla marketingu. Korzystając z danych pochodzących systemów zarządzania relacjami z klientem (CRM) organizacje mogą planować z wyprzedzeniem strategie sprzedaży i dostrzegać trendy w zachowaniach nabywców. Tyle że wiele może się zmienić po maju 2018 r. Wszystkie te jakże przydatne informacje staną się bowiem nieco trudniej dostępne i po prostu… droższe. Zgodnie z rozporządzeniem RODO, wszystkie firmy posiadające tego typu dane będą musiały wprowadzić odpowiednie zabezpieczenia, co może okazać się kosztownym zadaniem. Na szczęście istnieją pewne sposoby, by wejście w życie nowych przepisów nie wywołało zbędnego bólu głowy. Chodzi tu o ograniczenie zakresu danych, compliance i bezpieczeństwo.

Zadajmy sobie na sam początek pytanie: czy naprawdę potrzebujemy tych danych? Chociaż gromadzenie ogromnych ilości informacji dotyczących działań klientów z pewnością wydaje się kuszące, warto jednak przyjrzeć się, jaką wartość one sobą przedstawiają. Niektóre dane mogą być cenne, ale inne informacje nie będą warte poniesienia kosztów. Należy pamiętać, że dane osobowe w ramach RODO zawierają wszystkie informacje, które można wykorzystać do identyfikacji danej osoby. Może to obejmować informacje techniczne, takie jak dane urządzenia, wersje aplikacji lub adresy IP, które można powiązać z konkretnymi ludźmi. Ważne jest, aby sprawdzić, czy takie informacje są niezbędne, zamiast zbierać je „na wszelki wypadek”. W ten sposób przynajmniej część projektów analitycznych działu marketingu trafi poza zakres GDPR. Przykład? Po co nam konkretne daty urodzenia, skoro można posłużyć się samym rokiem lub nawet szerszym zakresem wiekowym? Podobnie zbędne mogą okazać się szczegółowe dane adresowe, zamiast nich możemy używać kodów pocztowych.

Druga dość istotna uwaga – czy potrzebujemy tak naprawdę prawdziwych danych? Dużo prościej dokonać dwóch czynności, które w języku polskim dopiero się pojawiają, przez co brzmią nieco osobliwie – anonimizacja i pseudonimizacja danych. W skrócie chodzi o to, by danych nie dało się bezpośrednio powiązać z rzeczywistymi osobami. Dotyczy to nieco szerszego zakresu poczynań – może się bowiem okazać, że po połączeniu zebranych informacji z innymi źródłami identyfikacja wciąż jest możliwa.

W niektórych przypadkach techniki anonimizacji lub pseudonimizacji nie będą możliwe lub wykonalne. W tym przypadku bezpieczeństwo danych będzie miało kluczowe znaczenie dla marketingu, a także dla reszty organizacji. Dobrym przykładem technologii, która może zapewnić współdzielenie danych przy zachowaniu bezpieczeństwa jest szyfrowanie. Jednak bardzo ważne jest, aby używać standardowych silnych algorytmów szyfrujących zamiast próbować tworzyć własne od podstaw. Pamiętajmy też, że wszystkie zapisy zawierające dane osobowe powinny być bezpieczne, zwłaszcza gdy pliki mogą być udostępniane poza firmą. Oznacza to znajomość procesów bezpieczeństwa obowiązujących u Twoich dostawców. Jeśli dostawca popełni błąd i dozna naruszenia danych, nadal jesteś odpowiedzialny. Wprowadzanie technologii, takich jak szyfrowanie, może zatem zapewnić zgodność z przepisami, ale dostawcy muszą działać zgodnie z tymi samymi standardami, co Ty.

 

Autor Krzysztof Maciejewski jest redaktorem prowadzącym Creditreform News w Creditreform Polska