Notyfikacje push a ochrona danych w RPA. Co warto wiedzieć?

Przepisy dotyczące ochrony danych osobowych są wprowadzane na całym świecie, by zabezpieczać prywatność użytkowników i udostępniane przez nich informacje. Ponieważ marketing online polega na zbieraniu i śledzeniu danych, firmy muszą szczególnie uważać na to, czy ich działalność nie stoi w sprzeczności z prawem. 

PushPushGo zbiera pewne informacje na temat użytkowników, jak:

• Godzina i czas zapytania do serwera

• Adres IP osoby, która się zapisywała - z reguły jest to adres zewnętrzny providera internetowego - a więc nie jest to dana osobowa

• Koordynaty GPS providera adresu IP

• Przeglądarka, system operacyjny, rodzaj urządzenia (tablet, mobile, desktop) - czyli dane user-agent

• Referral - w przypadku prostej integracji jest to domena pushpushgo.com, natomiast w przypadku integracji z własną domeną jest to domena zintegrowanej strony.

Jak odnosi się to do praw ochrony danych osobistych? Zapytaliśmy o to Ewę Molendę-Kropielnicką, radcę prawnego w Kancelarii Kropielnicka, która pracuje z agencjami reklamowymi oraz firmami z obszaru nowych technologii i e-commerce, wspierając je w zagadnieniach prawnych dotyczących cyfrowej komunikacji marketingowej. Opowiedziała nam o POPIA, akcie prawnym, który niedawno wszedł w życie w Republice Południowej Afryki.

Czym jest POPIA i kiedy został wprowadzony?

POPIA albo POPI Act (Protection of Personal Information Act) jest podstawowym aktem prawnym dotyczącym ochrony danych osobowych w Republice Południowej Afryki. POPIA wszedł w życie od 1 lipca 2020, jednak wprowadzono wówczas roczny okres karencji. To w praktyce oznacza, że POPI Act zaczął obowiązywać od 30 lipca 2021.

Co jest uznawane za prywatne dane według przepisów POPIA?

Sekcja 1 POPIA definiuje 'dane osobowe' (personal information) jako informacje dotyczące możliwej do zidentyfikowania żyjącej osoby fizycznej oraz (w odpowiednim zakresie) także możliwej do zidentyfikowania osoby prawnej. W POPIA wskazano niezamkniętą listę danych osobowych, np. nazwisko, informacje dotyczące rasy, zdrowia, edukacji, adres e-mail, numer telefony czy identyfikator online.

Czy przy implementacji powiadomień web push na swojej stronie należy dodać stosowne informacje w polityce prywatności albo w innym miejscu?

Po implementacji notyfikacji push rekomendujemy dodanie w polityce prywatności informacji o tym, że strona  wykorzystuje te notyfikacje (wraz z krótkim wyjaśnieniem, czym są) oraz kto jest dostawcą (np. PushPushGo sp. z o.o. z siedzibą w Krakowie, w Polsce). Warto też wskazać w polityce prywatności, że korzystanie z notyfikacji jest całkowicie dobrowolne (bo wymaga bezpośredniej, jednoznacznej zgody użytkownika), a także że podmiot danych w każdej chwili może zrezygnować z ich otrzymywania (opt-out poprzez ustawienia przeglądarki).

Co jeszcze należy zrobić, żeby zaimplementować web push zgodnie z zapisami POPIA? 

Notyfikacje push są formą marketingu bezpośredniego. W takim przypadku POPIA nakłada na administratora (responsible party) obowiązek uzyskania uprzedniej zgody podmiotu danych (data subject) na taką formę komunikacji (opt-in). W narzędziu dostarczanym przez PushPushGo możesz to zrobić poprzez wysyłanie próśb o umożliwienie przesyłania notyfikacji.

Jeżeli przetwarzasz dane osobowe, niezbędne może się okazać zawarcie z dostawcą notyfikacji umowy powierzenia przetwarzania danych osobowych. Zweryfikuj tę kwestię ze swoim doradcą prawnym jeszcze przed przekazaniem prywatnych informacji.

Przekazując dane osobowe poza Republikę Południowej Afryki (np. do podmiotu, który będzie je przetwarzał za granicą), pamiętaj, że POPIA dopuszcza międzynarodowy transfer danych osobowych poza RPA, jeżeli zostały spełnione określone warunki (sekcja 72). Zawsze sprawdzaj możliwość transferu danych poza RPA ze swoim biurem prawnym zanim do niego dojdzie.

POPI Act nakłada ponadto wiele obowiązków, zarówno na administratorów (responsible party), jak i przetwarzających dane osobowe (operator), m.in.: spełnienie obowiązku informacyjnego wobec osób, których dane są przetwarzane, wyznaczenie oficera informacji (information officer), umożliwienie podmiotowi danych dostępu do danych i ich usunięcia. 

Jakie informacje powinna zawierać prośba o zgodę na wysyłanie powiadomień push zgodnie z zasadami POPIA?

Zgodnie z POPIA, przetwarzanie danych osobowych w celu marketingu bezpośredniego przez środki komunikacji elektronicznej (jak SMS, e-maile czy notyfikacje push) jest zabronione, jeżeli podmiot danych nie wyrazi na to wcześniej zgody. Prośba o to zezwolenie musi spełniać wymogi co do formy i treści. 

Zgodnie z Sekcją 69 POPIA każda komunikacja w celu marketingu bezpośredniego powinna zawierać:

• szczegóły identyfikujące wysyłającego albo osobę (podmiot), w której imieniu wysyłka następuje 

• adres lub inne dane kontaktowe, pod które odbiorca może wysłać prośbę o zaprzestanie komunikacji.  

Narzędzie dostarczane przez PushPushGo daje użytkownikowi możliwość podjęcia decyzji, czy zezwala na otrzymywanie notyfikacji push, czy chce je zablokować. Dodatkowo klient wdrażający u siebie powiadomienia push może dodać  własny  tekstu prawny do powiadomienia pop-up (np. informacja o administratorze danych).

Czy procedura opt-out z powiadomień push jest zgodna z POPI Act? 

Klient musi mieć możliwość wycofania w każdej chwili zgody na otrzymywanie notyfikacji. Subskrypcję można anulować w ustawieniach przeglądarki internetowej. Szczegółowe informacje na ten temat, a także instrukcje zarządzania powiadomieniami warto umieścić w swojej polityce prywatności. 

Czy możemy uznać, że notyfikacje web push są zgodne z POPIA? 

Notyfikacje push są obecnie jednym z najczęściej wybieranych kanałów komunikacji. Pozwala na angażowanie użytkowników w treści dostarczane przez reklamodawcę. Użytkownik dobrowolnie wyraża zgodę na otrzymywanie notyfikacji i w każdej chwili może tę zgodę wycofać, co jest zgodne z podstawowymi zasadami POPiA.

Ale jeśli chcesz skorzystać z notyfikacji zgodnie z POPI Act, wszystkie wątpliwe kwestie skonsultuj z lokalnym prawnikiem.