Często zadawane pytania dotyczące RODO
Czego się dowiesz?
Poznasz często zadawane pytania dotyczące RODO, by zapewnić, że przestrzegasz dotyczących Cię przepisów.
Ogólne rozporządzenie o ochronie danych (RODO) to uchwalone przez Komisję Europejską w 2016 r. prawo, które weszło w życie 25 maja 2018 r. Przepisy te mają na celu ochronę prywatności wszystkich obywateli UE, również w przypadku, gdy obywatele ci korzystają z usług firm mających siedzibę poza Unią Europejską. Więcej informacji na temat RODO znajdziesz na naszym blogu.
Informacje zawarte w tym artykule mają charakter edukacyjny i nie stanowią porady prawnej. Klaviyo zachęca, by wszyscy działający na platformach e-commerce klienci i sprzedawcy zasięgnęli porad prawnych na temat sposobu przestrzegania postanowień RODO.
Czy przenoszenie do Klaviyo danych europejskich klientów jest zgodne z prawem?
Tak. W RODO uwzględniono szereg mechanizmów prawnych umożliwiających przekazywanie danych poza UE. Po unieważnieniu programu Tarcza Prywatności (EU-US Privacy Shield) do Klaviyo wprowadzono standardowe klauzule umowne Komisji Europejskiej, które zawarto w Dodatku dotyczącym ochrony danych. Dokument ten stanowi część naszych Warunków świadczenia usług. Aby wybrać odpowiedni mechanizm przekazywania danych na potrzeby wszelkich operacji tego typu, które może przeprowadzać Twoja organizacja, zalecamy skonsultowanie się ze swoim zespołem prawnym.
Jeśli w przypadku starszych profili nie można udowodnić wyraźnej zgody opt-in, czy można uzyskać ją za pośrednictwem e-maila?Jeśli w przypadku starszych profili nie można udowodnić wyraźnej zgody opt-in, czy można uzyskać ją za pośrednictwem e-maila?
Zanim 25 maja 2018 r. weszło w życie RODO, sugerowaliśmy naszym użytkownikom, by wszystkim znajdującym się w UE subskrybentom wysyłać kampanię dotyczącą odnowienia zgody marketingowej. Wraz z pojawieniem się RODO przestaliśmy zalecać tę praktykę. Zanim skontaktujesz się z obecnymi klientami lub subskrybentami, w przypadku których nie można udowodnić wyraźnej zgody opt-in, warto skonsultować się ze swoim zespołem prawnym.
Jak udowodnić zgodę marketingową łącznie z jej datą?Jak udowodnić zgodę marketingową łącznie z jej datą?
Oprócz stosowania podwójnej zgody opt-in należy również zachowywać treść, którą przedstawiono konsumentowi w formularzu, e-mailu lub na stronie. Koniecznie będzie trzeba więc przedstawiać tam zarówno godzinę oraz datę wyrażenia zgody, jak i dokładną treść postanowienia, na które wyrażono zgodę.
Czy w przypadku pól na adres e-mail na naszych stronach musimy dodawać więcej pól wyboru, które klient musi zaznaczyć przed przesłaniem swoich danych?Czy w przypadku pól na adres e-mail na naszych stronach musimy dodawać więcej pól wyboru, które klient musi zaznaczyć przed przesłaniem swoich danych?
Formularze Klaviyo są zgodne z RODO i zawierają wiele pól wyboru, co umożliwia subskrybentom i subskrybentkom wyrażać zgodę marketingową według zasady dobrowolności i szczegółowości (tzn. udzielanie oddzielnej zgody na marketing e-mailowy i marketing na Facebooku).
Należy wybrać formularze oznaczone jako zgodne z RODO, a następnie dostosować je odpowiednio do swojego programu marketingowego. Jeśli dane osobowe dotyczące konsumentów z UE zbierasz za pośrednictwem innych platform, zmiany będzie trzeba koniecznie wprowadzić również na nich.
Jakie rodzaje danych osobowych są przetwarzane, gdzie są hostowane, komu są udostępniane i jak długo są trzymane?Jakie rodzaje danych osobowych są przetwarzane, gdzie są hostowane, komu są udostępniane i jak długo są trzymane?
Informacje o przetwarzanych przez nas danych i działaniach podejmowanych w celu ich ochrony znajdziesz w naszym Dodatku dotyczącym przetwarzania danych. Szczegółowy opis środków bezpieczeństwa umieszczono w jego Załączniku 2. Warto również przeczytać całą treść naszych Warunków świadczenia usług.
Czy w przypadku zbierania adresów e-mail powinniśmy również aktualizować treść warunków, które zawierają wszelkie informacje o zasadach przechowywania danych klientów w Klaviyo?Czy w przypadku zbierania adresów e-mail powinniśmy również aktualizować treść warunków, które zawierają wszelkie informacje o zasadach przechowywania danych klientów w Klaviyo?
Tak. Treść warunków powinna być zaktualizowana w taki sposób, aby odzwierciedlała wytyczne dla potencjalnych klientów i klientek z UE:
- Używaj przejrzystego, prostego i zrozumiałego języka.
- Określ, do czego potrzebne Ci są dane i co zamierzasz z nimi zrobić.
- Podaj nazwę swojej organizacji oraz wszelkich zewnętrznych administratorów danych, którym będziesz powierzać dane.
- Poinformuj osoby, że mogą wycofać swoją zgodę w tym względzie.
Czy aby zapewnić zgodność z RODO, muszę wysyłać e-mail ze zgodą opt-in w lokalnym języku użytkownika?
Niekoniecznie. Poszczególne wymagania w tym względzie mogą się różnić w zależności od kraju, dlatego w sprawie wymagań obowiązującym w Twoim kraju najlepiej skonsultować się ze swoim zespołem prawnym. Klaviyo zapewnia domyślną treść zgody opt-in w kilku językach.
Czy muszę uzyskać od konsumentów zgodę dotyczącą wszystkich danych osobowych?Czy muszę uzyskać od konsumentów zgodę dotyczącą wszystkich danych osobowych?
Jedyną zgodną z prawem podstawą zbierania lub przetwarzania danych wrażliwych jest wyraźna zgoda w tym względzie. Jeśli chodzi o inne dane osobowe, w kontekście określenia podstawy prawnej mogą być dostępne różne opcje. Wiele organizacji i firm często wykorzystuje jednak metodę pozyskiwania zgody od użytkownika.
Oto przykłady innych zgodnych z prawem podstaw gromadzenia i przetwarzania danych:
- Przetwarzanie danych jest niezbędne do realizacji umowy lub do by przed zawarciem umowy podjąć działania na wniosek osoby, której dane dotyczą.
- Przetwarzanie danych jest niezbędne do wywiązania się z obowiązku prawnego.
- Przetwarzanie danych jest niezbędne do ochrony istotnych interesów osoby, której dane dotyczą, lub kogoś innego.
- Przetwarzanie danych jest niezbędne na potrzeby uzasadnionych interesów firmy, które nie mają przewagi nad interesami lub podstawowymi prawami osoby, której dane dotyczą.
- Przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub do wypełnienia obowiązków urzędnika państwowego.
Aby ustalić odpowiednią podstawę prawną do przetwarzania danych przez Twoją organizację, najlepiej skonsultować się ze swoim zespołem prawnym.
Czy mogę zanonimizować dane po to, aby wyświetlić profil bez ujawniania informacji umożliwiających identyfikację tej osoby?Czy mogę zanonimizować dane po to, aby wyświetlić profil bez ujawniania informacji umożliwiających identyfikację tej osoby?
Obecnie nie zezwalamy klientom na anonimizację profilów, ale aby zapewnić dokładność metryk wydajności powiązane z profilami zanonimizowane dane pozostaną na koncie (np. zdarzenia Złożono zamówienie). Dane mogą być anonimizowane w przypadku ich wyodrębniania z systemu, ale informacje zawarte w dowolnym profilu są w Klaviyo w pełni widoczne.
Zgodnie z tą zasadą w celu udowodnienia zgodności z przepisami można usunąć kontakt z zapisem potwierdzającym jego usunięcie, a także wyeksportować wszystkie dane konkretnego profilu, jeśli wymaga tego którakolwiek z obowiązujących umów.
Czy e-mail w sprawie porzuconego koszyka zakupowego jest zgodny z RODO?Czy e-mail w sprawie porzuconego koszyka zakupowego jest zgodny z RODO?
Trudno jednoznacznie odpowiedzieć na to pytanie. Wiele organizacji uważa jednak, że e-maile w sprawie porzuconego koszyka zakupowego można wysyłać bez wyraźnej zgody na komunikację marketingową. W takim podejściu zakłada się, że podstawą tej komunikacji jest uzasadniony interes odbiorcy. E-mail w sprawie porzuconego koszyka zakupowego można uznać za komunikację związaną z wyraźnym zamiarem sfinalizowania transakcji z Twoją firmą. Inne automatycznie uruchamiane wiadomości takie jak e-maile z sekwencji porzuconego przeglądania czy odzyskiwania klientów, mogą być niedozwolone, chyba że klient wcześniej w sposób zgodny z RODO wyraził zgodę na otrzymywanie od Ciebie e-maili marketingowych.
Możliwość zastosowania reguły uzasadnionego interesu lub innej podstawy prawnej zawsze zależeć będzie od konkretnych okoliczności, w tym na przykład od liczby i częstotliwości e-maili oraz czasu, jaki upłynął od porzucenia koszyka. Zdecydowanie zalecamy, by w sprawie kampanii e-mailowych skonsultować się ze swoim zespołem prawnym, aby potwierdzić, że są one zgodne z obowiązującym prawem.
Czy korzystanie z usługi Google Fonts jest zgodne z RODO?Czy korzystanie z usługi Google Fonts jest zgodne z RODO?
Ponieważ do dostarczania czcionek serwer Google wymaga adresu IP odbiorcy, korzystanie z usługi Google Fonts może powodować problemy ze zgodnością z RODO. Według rozporządzenia adres IP kwalifikuje się jako dane osobowe, które można wykorzystać do identyfikacji użytkownika. Pamiętaj, że jeśli do biblioteki czcionek dodasz usługę Google Fonts, będzie to oznaczać, że korzystasz z tej usługi.
Jako rozwiązanie alternatywne dla Google Fonts Klaviyo zapewnia wybór czcionek hostowanych w Klaviyo, które można wykorzystać w formularzach rejestracyjnych, na stronach do pozyskiwania zgody marketingowe i w e-mailach. Nie wymagają one zbierania informacji o adresie IP odbiorcy czy odbiorczyni.
Dodatkowe źródła