PROBLEM: Ulubiony klub piłkarski strzela właśnie bramkę drużynie przeciwnej, emocje kibiców sięgają zenitu i... To idealny moment, by zaoferować im zakup koszulki klubowej po promocyjnej cenie. Tak będzie już nie tylko na meczu FC Barcelony, lecz także Lecha Poznań. A to dlatego, że wprowadza on na swoim stadionie technologię beaconów (z ang. sygnał naprowadzający). Klub rozmieścił w różnych punktach obiektu 54 małe nadajniki, które pozwalają się komunikować ze smartfonami kibiców. W momencie wejścia na stadion przesyłają powiadomienia powitalne z informacjami o drużynie, w czasie meczu – komunikat o rabacie na koszulki, w przerwie – zachętę do skorzystania z promocji w lokalu gastronomicznym, a na koniec – prośbę o wystawienie opinii o rozgrywce. Klub liczy na zwiększenie obrotów i zysków. Podobne urządzenia wykorzystują coraz częściej inni przedsiębiorcy. Z najnowszego raportu „Deloitte TMT Predictions 2017” wynika, że obecnie stosuje się beacony w ok. 5 proc. wszystkich budynków na świecie, do 2022 r. ma to być już 25 proc. Niestety dziś przedsiębiorcy zapominają w praktyce o obowiązkach prawnych, m.in. o uzyskiwaniu zgody klientów na przetwarzanie danych osobowych i na wyświetlanie reklam czy o zakazie przesyłania spamu. A od 25 maja 2018 r., kiedy stosowane będą przepisy unijnego rozporządzenia RODO, liczba ograniczeń i obowiązków wzrośnie. Jak zatem poinformować konsumentów o chęci zbierania danych? Jakie informacje można im przesyłać? Co się zmieni w przyszłości? Odpowiadamy na te i inne pytania.
Wyobraźmy sobie sklep rodem z fantastyki naukowej. Taki z klientami wiedzącymi dokładnie, gdzie jest szukany przez nich produkt. Albo taki, gdzie nie ma kolejek, bo klienci płacą za produkty przy pomocy smartfonu, w momencie gdy opuszczają sklep. Albo restaurację, gdzie konsumenci, siedząc przy stoliku, zamawiają potrawy za pośrednictwem tabletu, bez konieczności wzywania kelnera. Czy też biuro, w którym szef widzi, gdzie w danym momencie są jego pracownicy, i jednym przyciskiem na smarfonie może ich wezwać na dywanik. To wszystko jest możliwe już teraz dzięki urządzeniom zwanym beaconami.
NOWA TECHNOLOGIA
Beacony, małe nadajniki, wysyłające sygnał radiowy i komunikujące się ze smartfonami, coraz częściej stosowane są przez biznes. Według Raportu Proxbook Q2 do 2020 r. będzie ich na świecie ok. 400 mln. Koszt jednego: od kilku do kilkudziesięciu dolarów.
Obecnie beacony wymagają, by użytkownik uprzednio pobrał aplikację przedsiębiorcy. Ponadto klienci muszą mieć w swoim urządzeniu włączony protokół przesyłu danych Bluetooth. Eksperci uważają, że to dotychczas największe bariery blokujące rozwój tej technologii. Wkrótce ma jednak nastąpić rewolucyjna zmiana. – Firma Google mocno promuje swoją koncepcję znoszącą potrzebę instalacji wyspecjalizowanej aplikacji – mówi Łukasz Felsztukier, prezes firmy Linteri.
Ponadto amerykańska korporacja w styczniu rozpoczęła testy Instant Apps. - To mikroaplikacje ściągające się pod wpływem impulsu z beacona, bez konieczności ich instalacji. Otwiera to zupełnie nowy rozdział w budowaniu cyfrowego kontekstu rzeczywistości – uważa z kolei Adam Jesionkiewicz, CEO firmy Ifinity.
NADCHODZI RODO
Wykorzystując beacony do kontaktu z urządzeniami mobilnymi czy projektując nowe systemy, należy pamiętać nie tylko o obowiązujących przepisach prawa, lecz także o obowiązkach wynikających z europejskiego rozporządzenia o ochronie danych osobowych (tzw. RODO; Dz.Urz. UE z 2016 r. L 119, s. 1). Stosowane będzie od 25 maja 2018 r. Może nieco ograniczyć możliwości wykorzystania danych osobowych swoich klientów. I to pod rygorem poważnej sankcji – mogącej sięgnąć nawet do 4 proc. rocznego obrotu przedsiębiorcy.
Jak przyznaje Adam Jesionkiewicz, RODO ograniczy przede wszystkim masowe przetwarzanie danych o użytkownikach bez ich wyraźnej zgody. Ekspert dodaje jednak, że RODO będzie kłopotliwe tylko dla tych przedsiębiorców, którzy będą chcieli wciąż korzystać z danych bez świadomości konsumenta. Technologia musi dostarczać określoną wartość konsumentom i to po stronie przedsiębiorcy leży konieczność opracowania takich korzyści, żeby użytkownik rzeczywiście chciał podzielić się swoimi danymi – twierdzi Jesionkiewicz.
WYMAGANE ZGODY
Już obecnie, jeszcze przed instalacją aplikacji współpracującej z systemem opartym na beaconach, klient powinien zaakceptować jej regulamin. Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, przypomina, że taki regulamin musi zawierać postanowienia wymagane przez ustawę z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2016 r. poz. 1030 ze zm.), czyli co najmniej: opis usług świadczonych przy pomocy aplikacji, warunki świadczenia usług drogą elektroniczną, w tym: wymagania techniczne niezbędne do korzystania z aplikacji i zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym, warunki zawierania i rozwiązywania umowy o korzystanie z aplikacji i ewentualnie innych umów, które można zawrzeć przy jej pomocy oraz tryb postępowania reklamacyjnego.
W zakresie ochrony danych osobowych, jeżeli wykorzystywanie aplikacji będzie wiązało się z ich przetwarzaniem, przedsiębiorca jest zobowiązany udzielić osobie informacji przewidzianych w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922), czyli m.in. o danych administratora, celu przetwarzania, prawie dostępu do danych i ich poprawiania, a także uzyskać zgodę na przetwarzanie danych osobowych.
– Zgoda, zarówno na gruncie obecnych przepisów, jak i RODO, nie może być domniemana, ma być dobrowolnym, świadomym i konkretnym działaniem osoby, której dane dotyczą. Administrator musi poprzedzić ją odpowiednim pytaniem o wyrażenie zgody na przetwarzanie danych w konkretnych celach. Natomiast akt wyrażenia zgody musi przejawiać się działaniem osoby, np. poprzez zaznaczenie okna lub naciśnięcie przycisku zgody – wyjaśnia Miłosz Mazewski, radca prawny w departamencie ochrony własności intelektualnej i danych osobowych krakowskiego oddziału Kancelarii Chałas i Wspólnicy.
Ponadto, o ile aplikacja komunikować się będzie z beaconem i przekazywać między nim a urządzeniem mobilnym dane, to zgodnie z art. 173 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (t.j. Dz.U. z 2016 r. poz. 1489 ze zm.) użytkownik powinien być poinformowany o: celu, w jakim zostanie zainstalowane oprogramowanie, i sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania, a także sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego, oraz przed instalacją oprogramowania wyrazić zgodę na jego instalację i używanie.
Na gruncie RODO obowiązki informacyjne będą rozszerzone. Zawsze trzeba będzie podać m.in.: dane kontaktowe inspektora ochrony danych, podstawę prawną przetwarzania, informacje o odbiorcach danych osobowych, okres, przez który dane będą przechowywane. Trzeba będzie pouczyć o prawie do cofnięcia zgody, wniesienia skargi do organu nadzorczego, udzielić informacji o profilowaniu.
PROFILOWANIE KLIENTÓW
Jeśli przedsiębiorca chciałby zbierać dane o zachowaniu klientów (np. jak często odwiedzają sklep, jak długo przebywają w restauracji, co kupują), to jest taka możliwość. Tak zwane profilowanie osób może odbywać się jednak tylko anonimowo (tzn. nie wolno łączyć danych o kliencie z jego personaliami). RODO wymaga poinformowania o profilowaniu oraz o tym, na czym polega.
– Ponadto jeśli aplikacja na podstawie tych danych będzie przedstawiała określonej osobie specjalną promocję, to taki konsument musi się zgodzić na tego typu profilowanie – uważa dr Litwiński.
Z kolei mec. Mazewski dodaje, że jeżeli profilowanie odbywa się na podstawie zgody, to osoba, której dane dotyczą, musi mieć prawo cofnąć tę zgodę w każdym czasie. Natomiast gdy profilowanie odbywa się w oparciu o realizowanie usprawiedliwionego celu administratora, musi mieć prawo do sprzeciwienia się profilowaniu dążącemu do ustalania spersonalizowanej oferty.
WYŚWIETLANIE REKLAM
– Przedsiębiorca może wyświetlać reklamy w aplikacji pobranej przez klienta. W tym zakresie nie jest potrzebna zgoda na przetwarzanie danych osobowych, ponieważ odbywa się to w związku z wypełnieniem prawnie usprawiedliwionych celów realizowanych przez administratora, a za takie uważa się marketing bezpośredni własnych produktów lub usług – mówi mec. Miłosz Mazewski. Dodaje, że jeżeli jednak reklama ma dotyczyć usług lub towarów innego podmiotu, to niezbędna będzie już zgoda na przetwarzanie danych osobowych w tym celu.
Niezbędne może być w tym wypadku również uzyskanie uprzedniej zgody konsumenta na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego (zgodnie z art. 172 ust. 1 prawa telekomunikacyjnego).
Brak dopełnienia obowiązku uzyskania takiej zgody może skutkować nałożeniem kary pieniężnej przez prezesa Urzędu Komunikacji Elektronicznej w wysokości do 3 proc. przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym (art. 210 ust. 1 prawa telekomunikacyjnego). Z kolei zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną przesyłanie niezamówionych informacji handlowych podlega karze grzywny w wysokości do 5 tys. zł. ⒸⓅ
Nowe obowiązki dla administratorów
RODO wymagać będzie od administratorów danych, by wdrożyli tzw. podejście oparte na ryzyku. Chodzi o przeprowadzenie analizy ryzyka związanego z konkretną aktywnością przedsiębiorcy i dostosowanie do jego poziomu używanych zabezpieczeń.
– Stosowanie beaconów, które łączą się z urządzeniami mobilnymi w technologii Bluetooth w celu przesyłania danych osobowych, zdecydowanie jest obciążone podwyższonym ryzykiem przechwycenia danych przez podmioty trzecie. Z tego też względu konieczne byłoby wdrożenie odpowiednich zabezpieczeń przesyłu danych, np. szyfrowania komunikacji – mówi dr Paweł Litwiński.
Z kolei mec. Miłosz Mazewski zaznacza, że na administratorach danych będzie spoczywać obowiązek wykazania, że użytkownik został należycie poinformowany oraz udzielił zgód w sposób przewidziany w RODO. Z tego też względu administratorzy będą musieli przechowywać zarówno zapytania, jak i wyrażone przez użytkowników zgody (może to się odbywać w dowolnej formie, np. elektronicznej, logów z aplikacji itp.). ⒸⓅ
Pomysły na wykorzystanie technologii
Beacony mają szansę sprawdzić się na różnego rodzaju targach i eventach, w centrach handlowych, na dworcach, w muzeach czy biurowcach.
Właściciele przychodni mogą rozsyłać informacje o opóźnieniach czy przyjmować zapisy do specjalistów.
Na parkingach i w magazynach – pomogą znaleźć miejsce dla auta bądź określony towar.
W sklepie dzięki odpowiednio napisanej aplikacji klienci mogliby stworzyć własną listę zakupów, a potem byliby nawigowani w celu odnalezienia produktów. A na ekranie smartfona wyświetlać się będą szczegółowe informacje o produkcie, przy którym znajduje się właśnie konsument.
Przedsiębiorca mógłby też rozważyć stworzenie programów lojalnościowych dla klientów.