Zgody udzielane przez użytkowników - czemu są takie ważne i jak należy je zbierać?
źródło: opracowanie własne
Kilka lat temu o Ogólnym rozporządzeniu o ochronie danych, znanym jako RODO, było bardzo głośno. Dziś choć wiele jego zaleceń jest powszechnie znane, wciąż nie każdy rozumie czemu właściwie ma służyć ta i inne unijne inicjatywy dotyczące zbierania, przetwarzania i ochrony danych osobowych (w tym przede wszystkim Dyrektywa o prywatności i łączności elektronicznej). Jednym z najważniejszych założeń tych regulacji jest obowiązek informowania podmiotów danych o tym jakie informacje na ich temat są gromadzone i przetwarzane, przez kogo i w jakim celu. Dodatkowo w wielu przypadkach wymaga się uzyskania wiążącej, a więc dobrowolnej, wyraźnej, świadomej i jednoznacznej zgody użytkownika na przetwarzanie jego danych. Czemu ma to służyć i w jaki sposób wydawcy treści cyfrowych powinni takowe zgody zbierać – to postaramy się wyjaśnić w poniższym tekście.
Po co właściwie zbiera się zgody?
Nachalne okienka wyskakujące przy wejściu na stronę stały się naszą codziennością. Niezmiennie irytują, ale użytkownicy nauczyli się z nimi żyć – najczęściej klikając w ciemno guzik „Akceptuję” lub „Wyrażam zgodę” albo bezmyślnie zaznaczając pola niezbędne do dalszego przeglądania strony. Mało kto zdaje sobie sprawę, że robiąc to podejmuje ważną decyzje odnośnie swojej prywatności – pozwalając podmiotom zewnętrznym na gromadzenie i przetwarzanie wielu danych na swój temat. W teorii mają one informować użytkownika i sprawiać, że będzie on korzystał z danej strony czy aplikacji w świadomy sposób. W praktyce niestety komunikaty odnośnie przetwarzania danych czytają nieliczni, głównie dlatego, że są one źle zaprojektowane. Szkoda, bo w rzeczywistości mają one służyć zarówno użytkownikom jak też właścicielom stron i aplikacji. Tym pierwszym do budowania świadomości na temat tego jak w zakresie ochrony ich danych działa dana strona czy aplikacja, tym drugim natomiast może pomóc uniknąć wielu nieprzyjemnych sytuacji, w tym konsekwencji prawnych, ze strony zarówno użytkowników jak też partnerów biznesowych.
Jak powinna wyglądać odpowiednio zbierana zgoda?
To jak powinna wyglądać wiadomość z prośbą o zgodę na wykorzystanie danych wyświetlana w witrynie lub aplikacji zależy od tego, w jaki sposób wykorzystywane są dane osobowe i na czym konkretna strona czy też program zarabia. Nie bez znaczenia jest też to z kim właściciel witryny współpracuje i firmy zewnętrzne, z których usług korzysta. Nie jesteśmy więc w stanie przedstawić tu przykładu uniwersalniej zgody, która będzie mogła być zastosowana w każdym przypadku. Możemy jednak udzielić kilku wskazówek na temat tego jak taka zgoda powinna zostać zbudowana:
- Musi być aktualna i adekwatna
- Sam komunikat powinien być możliwie krótki, zrozumiały i czytelny
- Wyrażenie zgody powinno wymagać przejawu aktywności ze strony użytkownika
- Powinna uwzględniać także Twoich partnerów i firmy zewnętrzne, z których usług korzystasz
- Musi zawierać informacje co zrobić, aby wycofać udzieloną zgodę
Wydawcy treści cyfrowych, a więc właściciele stron internetowych i aplikacji, powinni przechowywać zapisy dotyczące zgód wyrażanych przez użytkowników. Muszą one zawierać co najmniej treść zgody oraz datę i godzinę jej wyrażenia. To na podstawie takich archiwizowanych potwierdzeń mogą oni gromadzić i przetwarzać dane o swoich użytkownikach. Komunikat zawierający daną zgodę musi więc być przede wszystkim aktualny – powinien wymieniać wszystkie podmioty jakim dane zostaną udostępnione i wyjaśniać, dlaczego tak się dzieje. Dodatkowo musi dostarczać informacji o tym w jakim zakresie i w jaki sposób dane będą gromadzone (czy wykorzystywane będą pliki cookie, identyfikatory reklam mobilnych czy też jeszcze inne formy lokalnego przechowywania danych). Konieczne jest więc uaktualnienie okienka, które pojawi się użytkownikowi, za każdym razem, gdy pozyskiwany jest nowy partner do którego dane będą przekazywane, kiedy zakres świadczonych usług ulegnie zmianie, a czasem nawet gdy wydawca treści cyfrowych zdecyduje się na używanie innych narzędzi niż te stosowane dotychczas.
Najtrudniejsze przy tworzeniu komunikatu o zgodach jest zbudowanie go tak, aby równocześnie był aktualny, wyczerpujący i... możliwie krótki. A jest to bardzo ważne, bo jak pokazują badania w przypadku długich informacji o przetwarzaniu danych użytkownicy są zdecydowanie bardziej skłonni do opuszczenia danej strony lub zaznaczenia okienka ze zgodą bez czytania jej treści. Możemy więc albo stracić potencjalnego klienta, albo zyskać takiego, który nie będzie świadomy – co będzie się działo z danymi na jego temat. Zachęcamy, aby tworząc treść danej zgody wymienić i wyjaśnić w czytelny sposób najważniejsze informacje – jak te, dlaczego, jakie dane i w jaki sposób są gromadzone i przetwarzane, natomiast resztę jak lista podmiotów, którym dane zostaną udostępnione, czy też adres i siedziba odpowiedniego inspektora ochrony danych umieścić w rozwinięciu lub pod wskazanym w treści zgody linkiem. Może to również ułatwić w przyszłości nanoszenie zmian.
Pamiętajmy też, że dana strona czy też aplikacja może być używana przez różne osoby, a komunikat o zgodach jest jeden. Zalecamy więc zadbać o to, aby był zrozumiały i czytelny oraz ewentualnie, jeśli treści są publikowane w kilku językach, aby posiadał też w nich swoje odpowiedniki. Wyrażenie przez użytkownika odpowiedniej zgody powinno być dowodem na to, że rozumie co będzie się działo z dotyczącymi go danymi.
Zbierana zgoda ma być wiążąca, a więc dobrowolna, wyraźna, świadoma i jednoznaczna. Najlepiej więc jeśli użytkownik sam ją wyrazi – na przykład zaznaczając konkretne okienka lub ewentualnie klikając w odpowiedni przycisk. Polecamy rozbicie zgody na kilka mniejszych o różnym zakresie – na przykład osobną dotyczącą reklam personalizowanych i nie personalizowanych. Dzięki temu zwiększamy szanse, że użytkownik zapozna się z konkretną treścią przed wyrażeniem zgody.
Jako odpowiedzialny wydawca treści cyfrowych powinieneś wiedzieć nie tylko co Ty robisz z danymi swoich użytkowników, ale też w jaki sposób korzystają z nich Twoi partnerzy i firmy zewnętrzne z którymi współpracujesz. Możesz na przykład umieścić gdzieś w treści linki do ich polityk prywatności lub w rozwinięciu dokładnie odpisać w jaki sposób będą oni przetwarzać dane Twoich użytkowników.
Zgodnie z regulacjami pranymi cofnięcie zgody musi być dla użytkownika równie proste, jak jej wyrażenie. Upewnij się więc, że treść twojej zgody zawiera informację o tym, jak zmienić jej zakres lub ją wycofać.
Dlaczego odpowiednie zbieranie zgód jest ważne?
Wbrew pozorom zgody od użytkowników danej strony czy też aplikacji nie są zbierane tylko w celach marketingowych, służą one też do celów statystycznych, a odpowiednio wykorzystane mogą znacząco wpływać na poprawę działania danej witryny czy też programu. W końcu pomagają zapobiegać oszustwom i nadużyciom. Wszystko to jednak powinno odbywać się przy świadomej zgodzie użytkowników, którzy dzięki temu są bardziej zaangażowani w działanie strony czy aplikacji i co może być bardzo istotne w przypadku nieprzewidzianych sytuacji – znacznie mniej roszczeniowi. W skrajnych przypadkach, gdy na przykład sprawa o niewłaściwym wykorzystaniu danych trafi do sądu, poprawnie zebrana zgoda może być niezwykle silnym argumentem przemawiającym na korzyść Twoją i Twoich partnerów. Warto więc poświęcić trochę czasu na dopracowanie komunikatu o gromadzeniu i przetwarzaniu danych osobowych i zbieranych na stronie czy też w aplikacji zgód.