Relacja – śRODOwe śniadanie 6 marca 2019: marketing, sprzedaż, telemarketing, analiza ryzyka

W środę 6 marca 2019, jak co dwa tygodnie, odbyło się śRODOwe śniadanie, czyli spotkanie praktyków ochrony danych osobowych.

Tym razem rozmawialiśmy głównie o optymalnych strategiach biznesowych w takich dziedzinach jak marketing, sprzedaż, telemarketing, a także o towarzyszącej im analizie ryzyka.

Rozmawialiśmy między innymi o:

• kto czyta formułki wypełniające obowiązek informacyjny,
  • eksperci... z zawodowej ciekawości i potrzeby egzekwowania swoich praw,
  • również aby wychwycić nieaktualne podstawy prawne i wszelkie niepoprawne, nieaktualne czy niepotrzebne zapisy,
  • dlatego warto wykorzystywane wzory sprawdzić zasięgając drugiej opinii, bo jeśli ktoś poświęca czas na ich lekturę, to zapewne wie co czyta,
• jak podpisujemy oświadczenia, zgody, dokumenty - powrócił temat podpisu biometrycznego,
  • w celu zwiększenia efektywności przechowywania i odszukiwania dokumentów,
  • ale pojawiły sie także wątki związane z realizacją obowiązku informacyjnego, w tym przekazywania swojego podpisu podmiotom trzecim i jego wykorzystywania - podpisywanie się cudzym podpisem jest karalne,
• mowa była też o tym, że prawnicy "rządzą" w dziedzinie ochrony danych osobowych,
  • mimo że do skutecznego wypełniania wymogów RODO niezbędna jest wiedza z różnych dziedzin - ochrony technicznej, teleinformatycznej, fizycznej, a przy okazji zdolność dokonywania analizy ryzyka,
  • nie wspominając o umiejętności wprowadzania zmian w organizacji, słuchania feedbacku zespołu i dostosowywania rozwiązań do biznesowej specyfiki ADO,
  • w końcu to przetwarzanie służy przede wszystkim prowadzeniu podstawowej działalności, o czym prawnicy często zdają się zapominać,
  • komunikacja w zespole zajmującym się ODO oraz uzgodnienia z samym ADO są kluczem do znalezienia optymalnej biznesowo formuły przetwarzania - prawnej, organizacyjnej, technicznej,
• podstawa prawna przesyłania oferty handlowej była jednym z ważnych tematów rozmowy,
  • literalne czytanie przepisów mówi o konieczności zebrania odrębnej, wyraźnej zgody i przedstawienia pełnej informacji wypełniającej obowiązek informacyjny,
  • biznesowe podejście siłą rzeczy prowadzi do optymalizacji kontaktów i zwiększania ich skuteczności,
    • często podstawą prawną jest Art. 6 ust 1. pkt f) "przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią"
    • waży się ryzyka i korzyści z przedstawienia oferty wskazując na potrzebę zachowania dobrej, pozytywnej relacji z odbiorcą i szacunek dla jego osoby oraz praw,
    • rozmawialiśmy o:
      • przedstawieniu oferty po wymianie wizytówek,
      • wysyłce newslettera do osób przesyłających zapytania ofertowe przez formularz kontaktowy,
      • przedstawianiu oferty w drodze telemarketingu - osobom wyszukanym w publicznie dostępnych zasobach oraz osobom, których numer mamy "od znajomego",
• telemarketing
  • bardzo się w ciągu ostatniego roku ucywilizował,
  • bez zgody, identyfikacji i wbrew protestom dzwonią głównie przedsiębiorcy z biznesowego marginesu, którzy najwyraźniej nie mają wiele do stracenia lub mają wiele do zyskania,
  • agenci czy sprzedawcy ubezpieczeń wykonują 100-200 telefonów miesięcznie, a dane kontaktowe pozyskują często:
    • od znajomych sprzedawców,
    • wyszukując osoby opisywane w mediach, czerpiąc dane z CEIDG, czy z ogłoszeń publikowanych w internecie,
    • z innych publicznych źródeł
  • najbezpieczniejsze są kontakty nawiązywane z osobami, które zainteresowały się ofertą i przekazały swoje dane w celu przedstawienia szczegółów,
    • zorganizowanie takich kontaktów przychodzących wymaga pomysłowości, a często też inwestycji czasu, środków,
    • często wykracza to poza możliwości i kompetencje sprzedawcy, a powinien się tym zająć w swoim interesie ADO,
• profilowanie i scoring są coraz częściej stosowane,
  • aby automatyzować działania marketingowe i sprzedażowe,
    • w sklepach internetowych w celu udzielania rekomendacji produktowych na podstawie historii zachowań, czy pokazywania jednych produktów, a ukrywania innych,
    • w celu scoringu leadów marketingowych w celu skierowania do działu sprzedaży lub nie,
    • w celu ofertowania najbardziej obiecujących klientów,
  • aby zwiększać bezpieczeństwo lub zarządzać dostępem,
    • usprawniać przepływ pojazdów przez bramki (kamery, czytanie rejestracji),
    • wykrywać czy to faktycznie my wpisujemy login i hasło, oceniając po tempie i sposobie wciskania klawiszy,
• w marketingu i sprzedaży ADO korzystają zazwyczaj z szeregu technik, wymagających obsługi z punktu widzenia ochrony danych osobowych:
  • osoby pragnące wycofać zgodę na przetwarzanie danych np. w celu otrzymywania informacji handlowych mogą otrzymywać korzystne oferty za utrzymanie zgody, bo taniej jest zazwyczaj utrzymać obecnego klienta z taką zgodą niż nakłonić do wyrażenia zgody nowego,
  • obecni klienci są zachęcani do zapraszania znajomych do skorzystania z oferty ADO albo przekazywania danych tych znajomych do ADO,
• analiza ryzyka jest wciąż gorącym i budzącym sporo zainteresowania tematem,
  • rozmawiając o zakresie analizy rozważaliśmy czy poradniki przygotowane przez organ nadzoru we wszystkich swoich elementach powinny być przeniesione do procedur szacowania ryzyka, czy też niektóre jego elementy powinny być przeniesione do etapu audytu, szczególnie w organizacjach mających dużą świadomość ochrony danych osobowych i IOD,
  • punktem wyjścia do analizy ryzyka jest zbudowanie skali ryzyka uwzględniając:
    • kategorie danych osobowych,
    • skalę przetwarzania,
    • skutki dla praw i wolności osób,
  • analiza skutków incydentu jest z pewnością czasochłonna i konieczna chyba tylko w przypadku dość prawdopodobnych zdarzeń,
• najczęściej spotykane słabości w ochronie danych osobowych, wykrywane w trakcie analizy ryzyka to m.in.:
  • "czynnik ludzki", czyli
    • pomyłki (np. omyłkowy wybór niewłaściwej drukarki)
    • zaniechania (wybiórcze korzystanie z niszczarki),
    • brak odpowiednich procedur i szkoleń,
    • słabe dostosowanie procedur do realiów biznesowych,
  • niewydajne zarządzanie uprawnieniami do systemów IT przy zmianach kadrowych,
    • wiele systemów z ręczną, czasochłonną procedurą zmiany,
    • nienadążanie z zarządzaniem uprawnieniami przez personel,
  • identyczne hasła do wszystkich systemów,
  • przechowywanie haseł
    • pod wazonem,
    • pod klawiaturą,
    • w szufladzie,
  • serwis sprzątający lub serwisowy posiadający dostęp do pomieszczeń i urządzeń,
• ciekawe formuły prowadzenia audytów i sprawdzeń były wieńczącym spotkanie tematem,
  • podobno sprawdza się "piłkarska" formuła - cykliczne odwiedziny biura osób przetwarzających dane, rozmowa i rozdawanie kartek:
    • zielona kartka - poprawne przetwarzanie,
    • żółta kartka - należy wprowadzić zmiany,
    • czerwona kartka - należy wstrzymać przetwarzanie do czasu wdrożenia odpowiednich metod działania
  • kartki naklejane w różnych miejscach strefy przetwarzania i na rozmaitych sprzętach służących do przetwarzania wzbudzają zainteresowanie, rozbawienie, refleksję i często dają dobre efekty,
  • z zespołem warto nawiązać kontakt, bywać w miejscu pracy osób przetwarzających dane i rozmawiać z nimi osobiście.

Natępne śRODOwe śniadanie już 20 marca: https://favitor.pl/srodowe-sniadanie/