To może być największy od dekady impuls dla drukowanych produktów mailingu bezpośredniego. Nikt go nie uniknie – w znaczący sposób ograniczy wykorzystanie marketingowej komunikacji e-mailowej czy esemesowej. Dotyczy każdego, kto przechowuje jakiekolwiek dane osobowe. Ale nie zatrzyma druku. To General Data Protection Regulation, czyli RODO – Rozporządzenie Ogólne o Ochronie Danych Osobowych. Polska ustawa będąca uzupełnieniem RODO ma powstać w drugiej połowie br.
Już za niecały rok, bo od 28 maja 2018 roku firmy nie będą mogły wykorzystywać danych osobowych w celu wysyłki informacji marketingowych do konsumentów bez ich jednoznacznego przyzwolenia. Może to mieć negatywny wpływ na poligrafię, ale z pewnością z największą siłą uderzy w firmy wysyłające niechciane mai-le reklamowe. Kary za nieprzestrzeganie rozporządzenia będą niebagatelne – do 4 proc. rocznego przychodu (w ujęciu globalnym!) lub 20 mln EUR, w zależności od tego, która kwota jest wyższa i oczywiście od stopnia przewinienia. GDPR czyli RODO to inicjatywa unijna, stworzona w celu wprowadzenia harmonii na wspólnym rynku w zakresie tego, jak dane osobowe są przechowywane i wykorzystywane.
Niejasne wytyczne, mała wiedza
Problem polega na tym, że na rok przed wdrożeniem nie ma sztywnej definicji wielu pojęć, nie jest też sprecyzowane, w jaki sposób ma być zapewniona ochrona. Nowe prawo zostało bowiem stworzone tak, aby było aktualne niezależnie od rozwoju technologii, nie zawiera więc żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się technologii. Nic więc dziwnego, że nawet agencje marketingowe, w które RODO uderzy w pierwszej kolejności, nie są do końca przekonane o swojej gotowości na nowe rozporządzenie. W badaniu przeprowadzonym pod koniec 2016 roku przez DMA (Direct Marketing Association – Stowarzyszenie Marketingu Bezpośredniego) tylko 26 proc. marketerów czuło się przygotowanych na nowe przepisy. IQ Data przepytało szersze środowisko biznesowe – z nowym rozporządzeniem zaznajomione było 50 proc. przedsiębiorstw, ale nie oznacza to, że zostały wdrożone jakiekolwiek działania, aby sprostać nowym regulacjom. W naszym kraju problemem jest również niedoinformowanie społeczeństwa w kwestii nowego aktu prawnego. Z badania przeprowadzonego przez instytut badawczy ARC Rynek i Opinia wynika, że nie słyszało o nim aż 52 proc. polskich przedsiębiorstw, połowa nie dysponuje procedurami i narzędziami gwarantującymi konsumentowi prawo do całkowitego usunięcia jego danych osobowych z systemu, a 42 proc. nie wdrożyło procedur informowania właściwego organu o naruszeniach prywatności cyfrowych profili osobowych.
Każdy mailing, aby był dopuszczalny, musi mieć wyraźną opcję wypisania się z bazy – ważne jest, aby zgoda na zbieranie danych i ich użycie w określonym celu była widoczna, a nie ukryta w umowie z użytkownikiem. W zeszłym roku nałożone zostały kary na koncern Honda, który nie zdołał obronić stanowiska, że e-mail wysłany do klientów z pytaniem o preferowany sposób komunikacji jest jednoznaczny ze zgodą na przesyłanie tą drogą informacji marketingowych. Bezpośredni mailing drukowany będzie na lepszej pozycji – zakupienie towaru online, czyli pozostawienie danych adresowych w celu dostawy nie będzie jednoznaczne ze zgodą na otrzymywanie dalszych informacji drogą mailową, ale wysłanie pocztą drukowanego katalogu na podany adres będzie już zgodne z prawem.
Wzrośnie atrakcyjność chmury
Jakie implikacje będzie mieć Rozporządzenie RODO dla branży poligraficznej? Na pewno inne dla drukarń internetowych, w dużym stopniu obsługujących klientów indywidualnych, a inne dla firm wyspecjalizowanych w obsłudze podmiotów. Firmy zatrudniające ponad 250 pracowników i te będące częścią dużej grupy z pewnością podejdą do zagadnienia z dużą uwagą – przekonuje Chris Springford, konsultant zatrudniony przez BPIF (British Printing Industries Federation) w celu doradztwa firmom poligraficznym w procesie dostosowywania się do nowych przepisów. – Mniejsze firmy nie będą w aż tak dużym stopniu dotknięte nowym rozporządzeniem, ale chcąc pracować na rzecz organizacji w pełni podlegającym nowym regulacjom będą musiały się do nich dostosować, aby zapewnić swoim klientom pełną zgodność. Będzie to zadanie znacznie łatwiejsze dla firm, które już wdrożyły ISO 27001 w zakresie przetwarzania danych i zarządzania ryzykiem. Jest ono w pełni zgodne z nowymi przepisami pod względem bezpieczeństwa przechowywania danych – tylko określone osoby mają do nich dostęp i nie mogą one być w łatwy sposób przenoszone ani kopiowane. W większych firmach zajdzie konieczność powołania inspektora bezpieczeństwa danych.
Z jednej strony firmy będą więc zmuszone dostosować się do nowych przepisów, a tym samym zainwestować w narzędzia umożliwiające szybką identyfikację danych osobowych, które trzeba namierzyć we wszystkich istniejących zbiorach, a później odpowiednio zabezpieczyć. Z drugiej jednak strony to szansa na zdigitalizowanie kolejnych obszarów firm i podniesienie jakości obsługi w całej branży. Rozporządzenie o Ochronie Danych Osobowych RODO wprowadza rygorystyczne obostrzenia dla dostawców chmury obliczeniowej, przez co paradoksalnie przyczynić się może do jej popularyzacji, ponieważ odpowiedzialność za bezpieczeństwo przechowywanych tam danych spadnie na dostawców chmury. Dotychczas uważano, że ze względów bezpieczeństwa dane osobowe powinny pozostać na rodzimych serwerach, jednak ten czas dobiega końca, bo dostawcy chmury są w stanie zapewnić bezpieczne środowisko. Nowe prawo unijne ma umożliwić ich przechowywanie nie tylko w dowolnym kraju UE, ale w każdym państwie, które ma odpowiednio wysokie standardy ochrony danych osobowych lub otrzymało certyfikację US Safe Harbor.
Może jednak szansa?
Rozporządzenie RODO oznacza koniec firm oferujących bazy danych osobowych bez wymaganych zgód – wysyłka informacji do takich baz będzie nielegalna. Bazy, którymi obecnie dysponują agencje marketingowe, będą musiały zostać zweryfikowane pod względem zgodności z nowymi przepisami i mogą okazać się bezwartościowe. A to może oznaczać szansę dla drukarń komercyjnych – do potencjalnych nowych klientów będzie przecież trzeba jakoś dotrzeć. Druki marketingu bezpośredniego nie są zakazane przez GDPR, podobnie jak reklamowanie się w magazynach czy podrzucanie ulotek i katalogów pod drzwi wejściowe, nawet bez żadnych zgód. W świetle nowych przepisów to druki reklamowe mogą stać się narzędziem pierwszego kontaktu z klientem. A jeśli dodatkowo będą zawierały właściwie dobraną treść, mogą okazać się narzędziem bardzo skutecznym.
11 kroków do zgodności z GDPR
1. Upewnij się, że osoby decyzyjne są świadome zmian w prawie i dostrzegają ich konsekwencje.
2. Zidentyfikuj dane, jakie przechowujesz, ich pochodzenie oraz komu są one przekazywane. Audyt informacyjny może się okazać bardzo pomocny.
3. Wprowadź zgodną z GDPR politykę kontroli dzielenia się danymi osobowymi.
4. Upewnij się, że respektujesz wszystkie prawa osób, których dane przechowujesz oraz umożliwiasz usunięcie danych z twoich baz.
5. Wprowadź procedury odpowiadające nowym przepisom odnośnie do przechowywania informacji.
6. Przeanalizuj, dlaczego przetwarzasz dane osobowe, udokumentuj, co robisz i dlaczego. Przetwarzanie danych będzie znacznie obostrzone w świetle nowych regulacji.
7. Upewnij się, że posiadasz zgodę na przechowywanie i przetwarzanie danych osobowych.
8. Jeśli posiadasz dane osobowe dzieci – niezbędne będą zgody rodzica lub opiekuna prawnego.
9. Musisz mieć procedury na wypadek wycieku danych i informować o tym fakcie stosowne władze w czasie przewidzianym ustawą.
10. Jeśli zajdzie taka konieczność, powołaj inspektora bezpieczeństwa danych.
11. Jeśli współpracujesz z firmami zagranicznymi, zidentyfikuj odpowiednie władze w danym kraju.
Na podstawie artykułu Garetha Warda „General Data Protection Regulation” z magazynu „Print Business” nr 5-6/2017 opracowała Anna Naruszko
Gareth Ward jest redaktorem naczelnym magazynu „Print Business”, będącego brytyjskim członkiem stowarzyszenia Eurographic Press