Kiedy Unia Europejska przyjęła Ogólne rozporządzenie o ochronie danych w 2018 r., prawo to zostało ogłoszone jako zmiana gry w zakresie prywatności, która zapoczątkuje nową erę zgody na gromadzenie danych online i odda prawo do ochrony danych osobowych bezpośrednio w ręce osób fizycznych.

Miało to również na celu ujednolicenie przepisów dotyczących prywatności we wszystkich krajach członkowskich UE. RODO wyeliminowałoby potrzebę tworzenia własnych przepisów przez poszczególne kraje, a także wymagałoby od każdej firmy, niezależnie od lokalizacji, która sprzedaje towary lub usługi rezydentom UE, przestrzegania prawa.

Jednak pięć lat później organy ścigania kwestionują przełomowe prawo, a skargi, które zostały złożone w dniu wejścia w życie RODO – twierdzące, że Facebook, Instagram, WhatsApp i Google zmusiły użytkowników do podania danych osobowych bez odpowiedniej zgody – wciąż torują sobie drogę przez sąd system.

Tymczasem technologia ewoluuje w tempie, za którym lodowaty system prawny po prostu nie nadąża (ten artykuł o zgodności z RODO i narzędziach sztucznej inteligencji, takich jak ChatGPT, pomaga nakreślić obraz przyszłych wyzwań).

Ten rozdźwięk, wraz z pogłoskami o niedbałym egzekwowaniu przepisów, szczególnie w krajach, w których mają siedziby duże firmy technologiczne, to tylko kilka powodów, dla których unijne organy regulacyjne chcą teraz udoskonalić sposób administrowania RODO.

W tym artykule przyjrzymy się bliżej tym zmianom proceduralnym – a także innym przepisom dotyczącym prywatności danych w zbiorniku, omówimy niektóre z największych dotychczas kar pieniężnych i sprawdzimy, co marketerzy powinni wiedzieć, gdy wkraczamy w drugą połowę 2023 r. .

Na horyzoncie zmiany proceduralne

Na początku tego roku Komisja Europejska ogłosiła, że ​​będzie dążyć do usprawnienia współpracy organów ochrony danych w całej UE podczas egzekwowania RODO w sprawach transgranicznych. „Pomoże to w sprawnym funkcjonowaniu mechanizmów współpracy i rozstrzygania sporów związanych z RODO” – zauważyła Komisja. Inicjatywa – zwana proceduralnymi zasadami egzekwowania – ma na celu rozwiązanie wielu problemów, od sposobu rozpatrywania skarg RODO po czas trwania samych postępowań. A gdy nie można osiągnąć konsensusu, proponowane przepisy wykonawcze „wyjaśnią” proceduralne aspekty rozstrzygania sporów.

Krytycy twierdzą, że nowe przepisy dotyczące egzekwowania przepisów są lekkie, ale biorąc pod uwagę blisko 800 spraw oczekujących na rozpatrzenie w ramach RODO, reforma proceduralna ma kluczowe znaczenie. Jak ujęło to NOYB, czyli Europejskie Centrum Praw Cyfrowych, organizacja non-profit z siedzibą w Wiedniu w Austrii, RODO jest egzekwowane tylko w teorii, a firmy technologiczne znajdują sposoby na wstrzymanie postępowań, odwołanie się od orzeczeń i obejście grzywien. („NOYB” to skrót od „żadna z twoich spraw”).

Wpływ RODO w Stanach Zjednoczonych

W Stanach Zjednoczonych nowe lub zmienione przepisy dotyczące prywatności danych są w księgach w Wirginii, Kalifornii, Kolorado, Connecticut i Utah, z datami wejścia w życie od 1 stycznia tego roku (Wirginia) do 31 grudnia (Utah), z Kalifornią, Kolorado i Connecticut ze skutkiem od 1 lipca (w Kalifornii ustawa California Privacy Rights Act (CPRA) zmienia ustawę California Consumer Privacy Act (CCPA)).

Ponadto dziewięć innych stanów zaproponowało przepisy, które wciąż czekają na rozpatrzenie, ale marketerzy powinni przewidywać ewentualne uchwalenie.

Przepisy te są godne uwagi w obecnym kontekście, ponieważ – z wyjątkiem Kalifornii – wszystkie „dostosowują terminologię” z RODO, ale różnią się sposobem ich egzekwowania, z prokuratorami okręgowymi, prokuratorami generalnymi, a w przypadku Kalifornii Agencja Ochrony Prywatności, wszystko w mieszance egzekwowania.

Dla marketerów zarządzanie plikami cookie będzie miało ogromne znaczenie, ponieważ marki/strony internetowe nadal rozumieją, w jaki sposób prawa konsumentów dotyczące wrażliwych danych są chronione przez prawo stanowe.

Na szczeblu federalnym podejmowane są dwustronne wysiłki w celu ustanowienia nowego prawa dotyczącego prywatności — zwanego amerykańską ustawą o ochronie danych i prywatności (ADPPA) — które stworzyłoby krajowy standard dotyczący praw jednostki. A 1 marca Komisja Izby Reprezentantów ds. Energii i Handlu przeprowadziła przesłuchanie w sprawie proponowanej ustawy.

Chociaż nie odbyło się żadne głosowanie, grupy zajmujące się prywatnością i inne zainteresowane strony zauważają, że istnieje pragnienie federalnego ustawodawstwa dotyczącego prywatności i może ostatecznie doprowadzić do podjęcia działań.

Kop głębiej: tylko 11% amerykańskich firm w pełni przestrzega CCPA prawo prywatności

RODO nakłada wysokie kary

Po powrocie do Europy, pomijając kwestie egzekwowania RODO, niektóre skargi zakończyły się wysokimi grzywnami nałożonymi na firmy takie jak Meta, Amazon i Google.

Rok rozpoczął się od grzywny w wysokości 413 milionów dolarów nałożonej na Meta za naruszenia RODO przez Facebooka i Instagrama. Dostarczone przez irlandzką Komisję Ochrony Danych (DPC), która, nawiasem mówiąc, spotkała się z szeroką krytyką za sposób, w jaki rozpatruje skargi dotyczące RODO, działania agencji potwierdziły decyzję Europejskiej Rady Ochrony Danych, która stwierdziła, że ​​„konieczność umowna” nie jest odpowiednim powodem do wyświetlania reklam behawioralnych. (Reklamy behawioralne odnoszą się do reklam internetowych lub komunikatów marketingowych dostarczanych konsumentom na podstawie ich historii wyszukiwania).

Meta od lat łączyła umowę zgody użytkownika z warunkami umownymi usług swoich aplikacji, co skutecznie zmuszało użytkowników do wyrażenia zgody na gromadzenie danych, jeśli chcieli korzystać z platform.

Grzywna nałożona przez Meta na początku stycznia nastąpiła tuż po bardzo drogim dla firmy 2022 roku, w którym kary wyniosły ponad 800 milionów dolarów. Powiedziano mu również, że ma trzy miesiące na wprowadzenie środków, aby poprosić użytkowników o pozwolenie na wyświetlanie reklam behawioralnych; pod koniec marca Wall Street Journal poinformował, że Meta umożliwi użytkownikom w Europie rezygnację z kierowanych reklam. Ale firma nie ułatwia tego, wymagając od użytkowników przesłania formularza online, w którym wyrażą swoje zastrzeżenia.

Oprócz grzywien Meta, inne godne uwagi sankcje RODO obejmują:

• 785 milionów dolarów przeciwko Amazonowi, o której zdecydował w lipcu 2021 r. luksemburski urząd ds. danych. Ta decyzja – jak dotąd największa kara na mocy RODO, która koncentruje się na tym, jak firma przetwarza dane osobowe – jest obecnie przedmiotem odwołania.
• 237 milionów dolarów przeciwko WhatsApp (usługa przesyłania wiadomości należąca do Meta), o której zdecydował we wrześniu 2021 r. DPC, co zasygnalizowało kulminację trzyletniego dochodzenia w sprawie tego, w jaki sposób aplikacja udostępnia dane użytkowników Facebookowi.
• 52 miliony dolarów przeciwko gigantowi wyszukiwania Google, wczesna grzywna RODO (styczeń 2019 r.), która została później utrzymana w mocy w postępowaniu odwoławczym we francuskim sądzie. Krajowa Komisja Ochrony Danych tego kraju stwierdziła, że ​​Google nie przestrzega wytycznych RODO dotyczących przejrzystości danych i że firma nie wyjaśniła w wystarczającym stopniu, w jaki sposób dane użytkowników były gromadzone i wykorzystywane w reklamach kierowanych.

Co marketerzy powinni wiedzieć

Dwa słowa muszą znajdować się wysoko na liście każdego marketera, jeśli chodzi o RODO: zgodność i zgoda. Zgodność odnosi się oczywiście do tego, że firmy posiadające jakikolwiek rodzaj obecności w sieci, które sprzedają klientom w UE, muszą rozumieć przepisy, być na bieżąco z zachodzącymi zmianami i być w stanie szybko reagować, gdy pojawiają się problemy.

Oczywiście styczna z tym jest potrzeba zrozumienia przez marketerów, jakie rodzaje danych gromadzą ich firmy, a co ważniejsze, w jaki sposób te dane są przetwarzane, przechowywane i jakie wrażliwe dane osobowe zawierają. Zgodność zależy również od gromadzenia wyłącznie niezbędnych danych.

Najważniejszym słowem dla marketerów powinno być inne kluczowe słowo: zgoda. Ogólnie rzecz biorąc, firmy są bardziej skłonne do zachowania zgodności z RODO, jeśli uzyskały odpowiednie pozwolenie na gromadzenie lub wykorzystywanie danych osobowych użytkowników. Może się to wydawać oczywiste, ale RODO ma specyficzną definicję zgody, która jest „każdym dobrowolnym, konkretnym, świadomym i jednoznacznym wskazaniem”, że podmiot wyraża zgodę na gromadzenie i przetwarzanie danych osobowych przez strony internetowe.

Nic dziwnego, że marketerzy mają do odegrania dużą rolę, nie tylko w zrozumieniu, ale także w zapewnieniu zgodności z RODO oraz amerykańskimi zasadami i regulacjami, na które wpłynęło. Krajobraz regulacyjny wciąż ewoluuje, podobnie jak chęć ochrony prywatności konsumentów.

W ciągu pięciu lat obowiązywania RODO udowodniło, że ochrona danych jest obowiązkiem korporacyjnym. Firmy, które ostrożnie obchodzą się z danymi i pokazują użytkownikom, że ich obawy dotyczące prywatności w Internecie są uzasadnione, będą miały przewagę nad mniej rozważnymi konkurentami.

Kop głębiej: buduj zaufaniezwiększyć sprzedaż