Dzisiejszy wpis na blogu poświęcony będzie studium przypadku.

W kontekście RODO wiele mówi się o bankach, ubezpieczycielach czy serwisach społecznościowych. Okazuje się, że nowe przepisy będą mieć zastosowanie także do drużyn sportowych, w tym popularnych klubów piłkarskich.

W związku ze zbliżającym się rozpoczęciem stosowania RODO, wiele z nich rozpoczęło już stosowne przygotowania. Wśród nich jest angielski klub Manchester United.

Podczas jednego z meczów Premier League rozgrywanych przed własną publicznością, na elektronicznym banerze za bramką na słynnym stadionie Old Trafford pojawił się napis: „Manutd.com/StayUnited you must opt-in again to continue receiving emails from Man Utd”. Czyli – jeżeli chcesz w dalszym ciągu otrzymywać maile od Manchesteru United, musisz ponownie wyrazić zgodę na stronie Manutd.com/StayUnited. O tym, że wyświetlenie powyższego baneru miało związek z RODO, możemy się przekonać po wejściu na stronę internetową klubu, gdzie w zakładce „StayUnited” podano informację o zmianach w prawie. Co ciekawe, za wyrażenie zgody (albo jej cofnięcie) przed dniem 31 marca 2018 r. można wygrać rękawice bramkarskie z autografem Davida de Gei… 🙂

Możemy założyć, że powyższa akcja jest wynikiem sprawdzenia bazy mailingowej klubu, prowadzonej na potrzeby kontaktów z fanami, pod względem zgodności z RODO. Najprawdopodobniej w wyniku tej analizy ustalono, że klub nie jest w stanie wykazać, że osoby, których dane widnieją w bazie mailingowej, wyraziły zgodę na ich przetwarzanie. Zgodnie zaś z art. 7 ust. 1 RODO, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać fakt jej udzielenia przez osobę, której dane dotyczą.

Oznacza to, że jeżeli w bazie marketingowej firmy znajdują się dane osobowe, a nie ma możliwości wykazania faktu udzielenia zgody na ich przetwarzanie, np. z uwagi na znaczny upływ czasu od momentu odebrania zgody lub brak utrwalenia faktu jej udzielenia, jest to realny problem w kontekście RODO. Od dnia 25 maja 2018 r. naruszenie warunków zgody będzie zagrożone karą pieniężną w wysokości do 20 000 000 EUR albo 4 % całkowitego rocznego światowego obrotu firmy.

Szacuje się, że większość marketingowych baz danych w Polsce jest nielegalna. W jednym z ostatnich wywiadów, dr Maciej Kawecki, stojący na czele zespołu ds. krajowej reformy ochrony danych osobowych stwierdził, że może to być nawet 90 %. Odsetek ten może szokować, ale myślę, że każdy z nas wielokrotnie mógł się o tym przekonać, odbierając kolejnego niezamówionego maila lub telefon z ofertą firmy, o której nigdy wcześniej nie słyszał.

Co istotne, nawet jeżeli same dane zostały zebrane do bazy legalnie, nie oznacza to jeszcze, że po dniu 25 maja 2018 r. będzie można je bezproblemowo przetwarzać. Aby takie przetwarzanie mogło być kontynuowane, warunki odebranej wcześniej zgody powinny być zgodne z RODO. Manchester United ustalił, ze w jego przypadku nie były, dlatego podjął stosowne działania, wykorzystując dostępne kanały komunikacji z fanami.

Akcja z komunikatem wyświetlanym na banerze podczas meczu piłkarskiego, który dotarł nie tylko do kilkudziesięciu tysięcy fanów Czerwonych Diabłów na stadionie Old Trafford, ale także do telewidzów w Anglii, wielu innych krajach Europy i całego świata, była genialna ze strategicznego punktu widzenia. Klub nie tylko dotarł w ten sposób do wielkiego grona odbiorców, ale ograniczył związane z tym koszty. Nie każdy jednak administrator dysponuje takimi środkami masowej komunikacji. Większość firm musi zmierzyć się z powyższym problemem w inny sposób.

Analiza powyższego case study wskazuje także, że RODO szczególnie dotyczyć będzie agencji reklamowych. Może się okazać, że agencja, która nie podejmie stosownych kroków w celu osiągnięcia zgodności z RODO, z dnia na dzień, a dokładnie w nocy z 24 na 25 maja 2018 r., będzie musiała zaprzestać istotnej części swojej działalności, bazującej na danych osobowych odbiorców reklamy. W przeciwnym razie, będzie narażona na wysoką karę pieniężną.