Po 25 maja świat nie jest już taki sam – RODO czyha na nas za każdym rogiem. Dosięga nas niemal wszędzie, a duża część osób nadal się go boi. My jednak proponujemy niczym tygrys dumnie wyjść naprzeciw nowej regulacji i rozprawić się z nią z pełną stanowczością króla dżungli.

Chatbot a RODO

Przede wszystkim chcemy wspomnieć, że RODO nie jest wyłącznie utrudnieniem. Dzięki wejściu tej regulacji w życie nie musimy już rejestrować zbiorów danych do GIODO. Jako użytkownicy mamy też zapewniony lepszy dostęp do naszych danych u innych administratorów, posiadamy też nad nimi większą kontrolę.

Chatbot jest po prostu kolejnym kanałem komunikacji – może nie tylko spełniać funkcję newslettera wysyłanego mailem, ale też stanowić narzędzie służące do odpowiadania na najczęściej zadawane pytania przez użytkowników. Wiąże się to z podstawami prawnymi wyszczególnionymi w rozporządzeniu, na podstawie których dane można w ogóle przetwarzać. W odniesieniu do chatbota najczęściej zastosowanie będą miały następujące:

  • jawna, świadoma, dobrowolna i potwierdzona zgoda użytkownika;
  • niezbędność do zawarcia i realizacji umowy;
  • prawnie uzasadniony interes przetwarzania.

Trzeba przy tym pamiętać, że zgoda nie zawsze jest jedyną słuszną podstawą prawną – jeśli np. chatbot służy do składania reklamacji, celem przetwarzania jest obsługa umowy sprzedażowej i wówczas dodatkowa zgoda użytkownika na przetwarzanie danych nie jest wymagana.

Jednak w przypadku gdy chatbot ma służyć wysyłaniu materiałów reklamowych, zgoda musi zostać przez użytkownika jasno wyrażona; konieczne jest też, by była możliwa do zweryfikowania później.

Kto jest administratorem danych osobowych w chatbocie?

Administratorem danych osobowych jest ten, kto ustala cele i sposoby przetwarzania danych osobowych – a zatem my, zleceniodawcy chatbota. Nie ma znaczenia, czy rzeczywiście zamierzamy te dane jakoś wykorzystywać, czy tylko zbieramy je, bo rozważamy uruchomienie newsletteru w przyszłości. Przetwarzanie danych obejmuje wszelkie operacje związane z wykonywaną na nich pracą: porządkowanie, przechowywanie, pobieranie, przeglądanie, udostępnianie, a także ich niszczenie.

Obowiązki nałożone przez RODO

Celem RODO jest, by osoba udostępniająca swoje dane robiła to dobrowolnie i miała pełną świadomość tego, w jaki sposób będą one przetwarzane. Dlatego w momencie pobierania danych należy przekazać użytkownikom następujące informacje:

  1. Naszą tożsamość (lub tożsamość firmy będącej administratorem danych), dane adresowe i adres e-mail do kontaktu.
  2. Informacje kontaktowe inspektora ochrony danych osobowych – jeżeli taki został powołany. 
  3. Cele przetwarzania pozyskanych danych i podstawy prawne ich przetwarzania.
  4. Informacje o ewentualnym przekazywaniu tych danych innym podmiotom.
  5. Informacje o zamiarze przekazywania danych poza obszar Unii Europejskiej, gdzie RODO nie obowiązuje.
  6. Okres przechowywania pobranych danych.
  7. Informacje o prawie żądania dostępu do danych, ich sprostowania, usunięcia albo ograniczenia przetwarzania wraz z podaniem drogi zgłaszania takiego żądania.
  8. Informacje o prawie przenoszenia danych do innego administratora.
  9. Informacje o prawie wniesienia skargi do GIODO.
  10. Wyszczególnienie ewentualnych konsekwencji niepodania danych.
  11. Informacje, czy będziemy wykorzystywać dane do profilowania (jeżeli tak, musimy wyszczególnić możliwe tego konsekwencje dla użytkowników).

Odrębnym elementem, który wymaga uwagi, jest sama zgoda – niezbędna w przypadku wykorzystania chatbota do kontaktów reklamowych. Także tutaj RODO wprowadziło parę zmian:

  • Nie powinna być ona napisana skomplikowanym prawniczym językiem z odniesieniami do dziennika ustaw – użytkownik musi mieć możliwość zrozumienia komunikatu bez specjalistycznej wiedzy.
  • Ewentualne wykonanie umowy nie może być warunkowane wyrażeniem zgody na przetwarzania danych w celach marketingowych.
  • Wycofanie zgody, sprostowanie danych i inne prawa powinny być możliwe do wyegzekwowania w tak samo prosty sposób, jak przebiegało wyrażenie zgody na ich przetwarzanie.

Niezależnie od podstawy prawnej poinformowanie użytkowników o ich prawach oraz o tym, co dokładnie będziemy robić z ich danymi, jest naszym obowiązkiem. Jako administratorzy danych osobowych nie możemy pozwolić sobie na pozostawienie swoich odbiorców w ciemnościach niewiedzy! :)

Co zapewnia dostawca chatbota?

Przede wszystkim trzeba się upewnić, że jako zleceniodawcy (a więc także administratorzy danych osobowych) mamy możliwość pobrania danych, ich zmiany lub usunięcia na żądanie użytkownika – nie wystarczy tylko sklasyfikowanie danej osoby jako „nie-subskrybent”. Najbardziej popularni dostawcy – Chatfuel oraz ManyChat – zapewniali, że pracują nad dostosowaniem platform do wymogów RODO, mimo że sami nie podlegają temu rozporządzaniu. Na razie jednak, według naszej wiedzy, ingerencja w dane odbywa się wyłącznie na zasadzie „przypadku” – poprzez kontakt z helpdeskiem i wnioskowanie o wykonanie danej czynności przez twórcę platformy.

Musimy pamiętać, że niezależnie od tego, czy korzystamy z zewnętrznej platformy, czy wszystkie dane przechowujemy u siebie, na własnych serwerach, jeżeli to my ustalamy cele i sposoby przetwarzania danych, to my jesteśmy ich administratorami i to na nas spoczywa obowiązek zapewnienia ich bezpieczeństwa.

Dowiedz się więcej – szkolenia Social Tigers