Im prościej, tym lepiej – chatboty vs. RODO

25.05.2018
| Poleć tekst:

Internet wypełniły oferty szkoleń, e-booki, artykuły na temat planowanych zmian w ramach RODO. W sieci toczy się żywa dyskusja dotycząca nowych regulacji. Niestety brak jednoznacznych przepisów przewidzianych w rozporządzeniu tylko wzmocnił wysyp różnych tworów. Na rynku pojawiły się nawet szafki dostosowane do RODO 😉 Nie zmienia to faktu, że trzeba się z tym tematem zmierzyć. Co oczywiście uczyniliśmy. A w efekcie powstał tekst, który oddajemy w Wasze ręce, by pokazać jak chatboty radzą sobie w konfrontacji z nowymi przepisami.   

RODO to nie zmiana przepisów ale sposobu myślenia

I tak do tego podchodzimy. W ostatnich dniach pewnie zauważyliście wzmożoną aktywność firm, które wysyłają Wam maile w celu uzyskania zgody na przetwarzanie danych osobowych. Robią to, bo nie są pewne, czy zgody i obowiązki informacyjne, jakie wykonywali na gruncie ustawy o ochronie danych osobowych, spełniają warunki rozporządzenia. I tak trafiają do Was ponownie. W praktyce widzimy na ekranach swoich komputerów, tabletów, smartfonów różną ilość pytań dotyczących przetwarzania danych osobowych lub odwołań do regulaminów, polityk prywatności itd. Tak naprawdę RODO zawiera wiele ogólnych pojęć i nowych rozwiązań, które zweryfikuje dopiero życie. W tym momencie poruszamy się w nowym kierunku, który ma zmienić dotychczasowe podejście do cennej waluty, jaką są niewątpliwie dane osobowe. Po 25 maja przyjdzie czas na weryfikację wdrożeń i kontynuację prac nad niezbędnymi regulacjami branżowymi. Tymczasem skupmy się nad tym co należy zrobić i przede wszystkim jak, by oferowane usługi były zgodne z nadchodzącym rozporządzeniem.

Kiedy nie potrzebujesz zgody?

Jeśli użytkownik sam zainicjuje rozmowę przez chatbota, nie potrzebujesz dodatkowej zgody na przetwarzanie danych osobowych, gdy temat wchodzi w zakres obsługi klienta. W tym momencie, po wyborze określonej ścieżki ofertowej udzielasz mu np. informacji o konkretnym produkcie bądź usłudze. Prawo uznaje to za formę wykonania umowy. A w myśl jeszcze obowiązującej ustawy o ochronie danych osobowych, jeśli przetwarzasz dane osobowe na potrzeby realizacji umowy lub udzielenia informacji przedkontraktowych z inicjatywy użytkownika, działasz zgodnie z prawem, bo zwyczajnie obsługujesz zapytania, które do Ciebie wpłynęły przed zawarciem umowy. RODO tutaj niczego nie zmienia,

Kiedy potrzebujesz zgodę?

Jeśli planujesz wykorzystać pozyskane dane do innego celu niż przedmiot rozmowy, potrzebujesz zgody. Mówiąc prościej – nie wysyłaj do Twojego rozmówcy oferty AGD jeśli wcześniej dyskutowaliście o książkach i tego dotyczył późniejszy zakup. W myśl RODO takim postępowaniem naruszasz zasadę legalności. Stąd na etapie projektowania chatbota musisz dokładnie znać przeznaczenie danych i pod to formułować zgodę. Celowość to oprócz legalności najważniejsza zasada RODO, dlatego o wszystkich akcjach jakie masz w planie wykorzystania danych osobowych, powinieneś poinformować użytkownika. Najlepiej wysyłając mu link do polityki prywatności umieszczonej na stronie www, opatrzonej krótkim komunikatem lub podpiętej do chatbota w formularzu np. subskrypcji. A praktyka po 25 maja pokaże czy przy polityce prywatności znajdzie się dodatkowy checkbox z akceptacją, czy tylko informacja, którą użytkownik może przeczytać.  

Informacja o przetwarzaniu danych osobowych powinna być zrozumiała, najlepiej napisana prostym językiem, pozbawionym żargonu prawniczego, krótka i dokładnie wskazująca cel wykorzystania danych. RODO to nie konkurs na inwencję twórczą czy popis znajomości formułek prawniczych. Jeśli zależy ci na zachęceniu użytkowników do interakcji z botem, nie bój się pisać do nich prostym językiem, zarówno tworząc krótki komunikaty umieszczane w bocie, jak i nieco dłuższe, zawarte w polityce prywatności.

Minimalizuj dane

To kolejna ważna zasada, która mówi o tym, że nie powinieneś przetwarzać danych osobowych ponad niezbędną potrzebę. Łączy się to z czasem przetwarzania. W praktyce oznacza to, że niektóre dane osobowe (w tym historie rozmów) nie mają prawa wiecznie zajmować miejsca w danym systemie informatycznym, jeśli nie ma na to uzasadnionej potrzeby. RODO chce przeciwdziałać bezużytecznemu przetrzymywaniu danych, bo upatruje w tym zachowaniu ryzyko. Jeśli organizujesz konkurs przez chatbota i nie masz zamiaru więcej wracać do tej formuły, pamiętaj, że po określonym przez Ciebie czasie powinieneś trwale usunąć dane z systemu, w którym je przechowujesz. To prosty przykład, ale idealnie pokazuje jak działa mechanizm, który mobilizuje Cię do podjęcia konkretnych kroków związanych z planowaniem Twoich aktywności wokół przetwarzania danych osobowych.

Zadbaj o poufność i bezpieczeństwo

To zasady, które spoczywają na administratorze danych, czyli na firmie, która ma chronić dane osób komunikujących z chatbotem. Idąc za amerykańskim gigantem “Facebook i Messenger to administratorzy danych związanych z całą aktywnością na Facebooku, także obejmującą wymianę wiadomości pomiędzy ludźmi a firmami w Messengerze. Firmy także mogą pełnić rolę administratora danych informacji, które udostępniają im ludzie podczas konwersacji w Messengerze. To, czy podmiot zewnętrzny jest administratorem danych, czy podmiotem przetwarzającym dane, zależy od wielu czynników, w tym umowy pomiędzy firmą a podmiotem zewnętrznym.” RODO narzuca obowiązki kilku stronom. I tak jak wspominałem, na etapie projektowania chatbota ustalasz cele i sposoby przetwarzania danych osobowych, a tym samym określasz ich administratora, który dba o poufność i bezpieczeństwo gromadzonych informacji.

Jeśli stajesz się administratorem danych spoczywa na Tobie obowiązek rejestrowania czynności przetwarzania. Warto zadbać o prowadzenie takiego rejestru, bo nie tylko ten dokument porządkuje wiedzę w organizacji na temat rodzaju, zakresu i celu przetwarzania danych osobowych, ale w razie kontroli stanowi podstawę do weryfikacji prowadzonych działań. Powinieneś zawrzeć w nim wszystkie kategorie zbieranych danych, najlepiej w Exelu i wg klucza: czynność -> opis procesu -> współadministrowanie -> cel -> podstawa prawna -> kategoria osób -> kategoria danych osobowych -> powierzenie przetwarzania -> odbiorcy -> przekazanie do podmiotu trzeciego -> środki bezpieczeństwa. Wspomniany klucz to oczywiście modelowy przykład. Ale potrzebny, by niczego nie pominąć w trakcie tworzenia Twojego dokumentu.

Jakie dane osobowe zbierają boty na Messengerze?

Najczęściej w wersji minimum będzie to m.in. imię i nazwisko, ID Facebooka, wersja językowa platformy, strefa czasowa czy historie rozmów. RODO uznaje za dane osobowe uznaje wszystko to, co pozwala zidentyfikować konkretną osobą. Stąd jeśli powierzasz botowi bardziej zaawansowane zadania niż obsługa klienta musisz bardzo precyzyjnie przemyśleć cały proces gromadzenia danych w myśl zasad, o których wspominałem powyżej. Szczególnie jeśli zależy ci na profilowaniu bazy danych zebranej przez chatbota. RODO wskazuje, że jest to „automatyczne przetwarzanie danych osobowych, wykorzystujące dane osobowe do oceny niektórych czynników osobowych danej osoby”. Profilowanie pozwala ci wyciągać wnioski o cechach i zachowaniach konkretnejj osoby. RODO go nie zabrania. Szczególnie jeśli na podstawie tych informacji to człowiek (nie algorytm) podejmuje decyzje o np. targetowaniu reklamy. Oczywiście, tak jak wszystkie wspomniane wyżej elementy, profilowanie także wpisuje się w potrzebę poinformowania użytkownika. Z tą różnicą, że daje mu konkretne narzędzie sprzeciwu, czyli wypis. Dla nas to naturalna praktyka, którą od zawsze stosujemy. Jeśli zapraszamy użytkowników do interakcji z chatbotem, w ich ręce oddajemy władzę nad modyfikowaniem swoich danych i cofaniem zgody.

Zachowaj zdrowy rozsądek

Nowe zasady jakie wprowadza RODO mają na celu podniesienie świadomości wartości danych osobowych. Z naszej perspektywy to bardzo dobry kierunek, który w ma wzbudzić potrzebę uporządkowania spraw związanych z gromadzeniem, przechowywaniem, wykorzystywaniem i w końcu udostępnianiem danych osobowych. Rozwiązuje też kilka niedziałających mechanizmów. Po wejściu RODO nie musisz np. zgłaszać bazy danych do rejestrów GIODO. Najważniejsze jednak, by użytkownik czuł się poinformowany. Ochrona danych w internecie to nie przelewki. Będzie tak jeśli w polityce prywatności jasno wskażesz:

  • na co użytkownik wyraża zgodę
  • kto jest administratorem danych
  • szczegółowe informacje na temat celów przetwarzania
  • prawa użytkownika z opcją wypisu na czele

To tyle i aż tyle. Ale by spać spokojnie to absolutna podstawa na drodze do pełnej przejrzystości w temacie ochrony danych osobowych.

Andrzej Gruszka
Mistrz drugiego planu. Wspiera markę KODA Bots w działaniach z obszarów public relations i komunikacji.
Komentarze