Usunięcie danych vs wycofanie zgód marketingowych w praktyce

W serwisie itwiz.pl pojawił się artykuł Małgorzaty Kurowskiej i Pawła Tobiczyka „Obsługa żądań usunięcia danych i wycofania zgód marketingowych po 25 maja”. Oprócz praktycznych wskazówek dla administratorów danych, omówiliśmy szeroko  case study z usunięcia danych osobowych i dostępu do zakupionych treści (na przykładzie spółki prowadzącej platformę do sprzedaży e-booków). Na blogu pozwalamy sobie na krótkie podsumowanie i dodatkowe rozwinięcie tematu.

Usuwanie danych osobowych

Jak sobie z tym radzić w praktyce?

Jedna z głównych obaw przedsiębiorców, wynikających z wejścia w życie RODO, dotyczyła możliwości zgłaszania przez klientów żądań dotyczących usuwania ich danych – w szczególności z baz marketingowych. Po 25 maja żądania tego rodzaju okazują się jednymi z najczęściej realizowanych praw opisanych w RODO. Tym samym administratorzy danych muszą mierzyć się z wieloma nowymi trudnościami.

Przystępując do obsługi każdego z nich, warto zastanowić się:

Czy klient na pewno życzy sobie usunięcia danych? Wbrew pozorom ocena zakresu wniosku nie jest wcale prostym zadaniem. Żądania oparte o RODO rzadko wskazują bowiem konkretny przepis będący podstawą wniosku. Nie zawsze łatwo też rozpoznać, czy w ogóle dotyczą praw wynikających z RODO.

Co oznacza w praktyce realizacja żądania? Innymi słowy, w każdym wypadku niezbędne jest określenie zakresu wniosku przez administratora. Na bazie interpretacji przepisu i podejmowana jest decyzja prawno-biznesowa, co i w jaki sposób usuwamy.

W jaki sposób zrealizować żądanie?  Odpowiedź na to pytanie będzie się różnić w zależności od wielu czynników. Należy pamiętać o różnych rodzajach żądań, charakterze działalności administratora i wielu innych okolicznościach. Warto przy tym pamiętać, że RODO dopuszcza możliwość anonimizacji danych zamiast ich usuwania – co często jest biznesowo krytyczne.

Co ze sprzeciwem marketingowym?

To jedno z najczęstszych żądań, blokujące możliwość kierowania do podmiotu treści o charakterze marketingowym, z reguły towarzyszące żądaniu usunięcia danych. RODO wymusza na przedsiębiorcach uporządkowanie baz marketingowych, tak by pozwalały one na proste wyszukanie klienta i wykonanie operacji na konkretnym rekordzie klienckim.

Obsługa żądań a obszar IT

Jakie wyzwania stoją przed IT przy obsłudze wniosków o usunięcie danych lub sprzeciw marketingowy?
  • Zmapowanie wszystkich systemów gromadzących dane o użytkownika (niezależnie od celu ich wykorzystania)
  • Umożliwienie usuwania lub anonimizacji danych osobowych w systemach informatycznych
  • Wprowadzenie mechanizmu automatycznego okresowego usuwania lub anonimizacji danych Budowa baz marketingowych, umożliwiających łatwe oznaczenie sprzeciwu
  • Budowa repozytoriów zgód oraz umożliwienie odnotowania w systemie faktu wycofania zgody (wymóg „rozliczalności”)
W jaki jeszcze sposób można przygotować się do realizacji żądań podmiotów danych?

Z pewnością jest już po pierwszej fali wniosków o usunięcie danych i sprzeciwów marketingowych. Obecnie ich liczba spadła, co jednak nie oznacza , że żądania znikną. Każdy administrator powinien więc opracować odpowiednie procedury, przeprowadzić szkolenia dla osób odpowiedzialnych za realizację wniosków, ustalić przepływ danych w systemach informatycznych, zapewnić funkcyjność systemów, które umożliwiają realizacje żądań, i odnotowywać konkretne działania na danych.

Po więcej wniosków i przemyśleń zapraszamy na łamy itwiz.pl.


Zobacz inne artykuły związane z tematyką RODO