Digital Marketing και Προστασία Προσωπικών Δεδομένων
Γράφει ο Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc *
Είναι πλέον αποδεδειγμένο ότι η προώθηση των σύγχρονων επιχειρήσεων μέσω του ψηφιακού μάρκετινγκ (digital marketing) είναι πιο επιτακτική από ποτέ.
Το φαινόμενο της παγκοσμιοποίησης και ο έντονος ανταγωνισμός στον επιχειρηματικό κόσμο, οι αυξανόμενες απαιτήσεις των καταναλωτών από τα προϊόντα και τις υπηρεσίες που αγοράζουν, η ανάπτυξη του διαδικτύου και των μέσων κοινωνικής δικτύωσης, η αλληλεπίδραση των χρηστών και η εύκολη ηλεκτρονική ανταλλαγή απόψεωνκαθιστούν παραπάνω από απαραίτητη την εκτενή παρουσία των σύγχρονων επιχειρήσεων στο διαδίκτυο.
Συγκεκριμένα, είναι πιο επιτακτική από ποτέ η ανάπτυξη του ψηφιακού μάρκετινγκ, είτε πρόκειται για μάρκετινγκ μέσω ηλεκτρονικού ταχυδρομείου, είτε για αμειβόμενη αναζήτηση, είτε για διαφήμιση μέσω κοινωνικών μέσων.
Τα παραπάνω συνεπάγονται ολοένα και μεγαλύτερη ανάγκη για συλλογή προσωπικών δεδομένων με σκοπό την εξατομίκευση των διαφημιστικών εμπειριών των – εν δυνάμει – πελατών και την παρακολούθηση της συμπεριφοράς τους στο διαδίκτυο.
Στο πλαίσιο αυτό, οι έννοιες της επιχειρηματικής ηθικής στο ψηφιακό μάρκετινγκ αποκτούν ιδιαίτερη σημασία, με έμφαση στον σεβασμό και την προστασία των προσωπικών δεδομένων, ειδικότερα μετά την έλευση του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) τον Μάιο 2018. Πέραν τούτου, καθότι τα δεδομένα αποτελούν ίσως ένα από τα πολυτιμότερα περιουσιακά στοιχεία των σύγχρονων επιχειρήσεων, αυτά πρέπει να προστατεύονται με κάθε τρόπο.
Συνεπώς, κατά την προετοιμασία μιας στρατηγικής ψηφιακού μάρκετινγκ, πρέπει να ακολουθούνται ορισμένοι βασικοί κανόνες δεοντολογίας, όπως η παροχή σωστών πληροφοριών για τα παρεχόμενα προϊόντα / υπηρεσίες, η ειλικρινής διαφήμιση, η επαρκής υποστήριξη προϊόντος / υπηρεσίας, η δυνατότητα να ανταπεξέλθει η επιχείρηση με σταθερότητα και συνέπεια στις ποιοτικές και ποσοτικές απαιτήσεις των καταναλωτών, ο σεβασμός διαφορετικών θρησκευτικών και πολιτικών πεποιθήσεων, η κατανόηση διαφορετικών πολιτισμών και κουλτούρας, η αποφυγή δυσφήμισης του ανταγωνισμού και ο σεβασμός στην προστασία των προσωπικών δεδομένων των πελατών ή των εν δυνάμει πελατών.
Λαμβάνοντας υπόψη όλα τα παραπάνω, δεν είναι λίγες οι συζητήσεις στον επιχειρηματικό κόσμο, για το αν ο νέος Κανονισμός (GDPR) ήρθε για να θέσει εμπόδια στον «διαδικτυακό» κόσμο ή να ωθήσει τις επιχειρήσεις σε πιο ηθικές και ειλικρινείς ενέργειες ψηφιακού μάρκετινγκ, χτίζοντας έτσι πιο ουσιαστικές και ποιοτικές σχέσεις με τους καταναλωτές και απολαμβάνοντας με αυτόν τον τρόπο, μεγαλύτερη ανταπόκριση και αφοσίωση από μέρους τους. Αντί του προβληματισμού και του φόβου για τα δυνητικά πρόστιμα που προβλέπονται λόγω GDPR, μήπως απαιτούνται πλέον – εξ αρχής – ξεκάθαρες ενέργειες, οι οποίες θα σέβονται τα δικαιώματα των χρηστών / πελατών; (privacy by design).
Έχει αποδειχθεί ότι η εμβάθυνση στις ανάγκες των πελατών μπορεί να οδηγήσει στην αύξηση της «ποιότητας» των δεδομένων. Αποκτώντας πιο ποιοτικούς πελάτες μέσω μιας προσέγγισης βασισμένης στην εμπιστοσύνη και την αξιοπιστία, μια επιχείρηση μπορεί να αναμένει πολλά δυνητικά οφέλη.
Με άλλα λόγια, οι χρήστες που χορηγούν τη συγκατάθεσή τους για την επεξεργασία των προσωπικών τους δεδομένων, μπορεί να οδηγήσουν σε υψηλότερα ποσοστά «κλικ» και, γενικότερα, αφοσίωσης, ενώ σύμφωνα με τη Cisco, για κάθε δολάριο που δαπανάται για την προστασία της ιδιωτικότητας των πελατών, μια επιχείρηση μπορεί να λαμβάνει έως και 2,70$ σε συναφή οφέλη, όπως ο μετριασμός της απώλειας δεδομένων, η ευελιξία, η καινοτομία, η αφοσίωση των πελατών κλπ.
Στα πλαίσια αυτά, για να δημιουργηθούν σχέσεις εμπιστοσύνης, απαιτείται η επικέντρωση στην εξατομικευμένη εμπειρία των πελατών με τρόπο αυθεντικό και ανθρωπιστικό, η αντιμετώπιση των δεδομένων να συλλέγονται με σεβασμό, να λαμβάνεται η «άδεια» για επεξεργασία πριν τη συλλογή προσωπικών δεδομένων, καθώς και να υλοποιούνται ενέργειες που θα διατηρούν ασφαλή τα δεδομένα.
Οι επιχειρήσεις πρέπει πλέον να προχωρούν σε μια εκτεταμένη έρευνα, έτσι ώστε να γνωρίσουν τους πελάτες τους και στη συνέχεια να καταλήξουν σε μια προσαρμοσμένη και σαφή στρατηγική για να τους προσεγγίζουν σε κάθε στάδιο, εφόσον όμως οι ίδιοι οι πελάτες το επιθυμούν!
Συνεπώς, στην θέση της παραδοσιακής προσέγγισης “one-size-to-all”, η στόχευση πλέον πρέπει να είναι σε πιο προσαρμοσμένες διαφημίσεις που ικανοποιούν τις συγκεκριμένες ανάγκες των πελατών, έχοντας όμως λάβει τεκμηριωμένα την ρητή συγκατάθεσή τους.
GDPR και ψηφιακό μάρκετινγκ – Απαίτηση για συμμόρφωση
Έχοντας παραθέσει τις παραπάνω σκέψεις, κάθε επιχείρηση ή οργανισμός που ασχολείται με το ψηφιακό μάρκετινγκ θα πρέπει να γνωρίζει την ανάγκη συμμόρφωσης με τους νόμους περί προστασίας δεδομένων και ότι οι συνέπειες της μη συμμόρφωσης θα ήταν ανεπιθύμητες, ακόμα και καταστροφικές.
Ακολούθως, παρατίθενται ορισμένες από τις πολλές αρχές συμμόρφωσης που πρέπει να ακολουθεί μια επιχείρηση που ασχολείται με το ψηφιακό μάρκετινγκ. Ενδεικτικά, αλλά όχι περιοριστικά:
Email Marketing
Στην παραδοσιακή πρακτική email marketing, υπήρχε η δυνατότητα αγοράς μαζικής λίστας email και στέλνονταν τυχαία μηνύματα ηλεκτρονικού ταχυδρομείου σε άτομα χωρίς τη συγκατάθεσή τους. Πλέον, η αγορά λιστών ηλεκτρονικού ταχυδρομείου απαγορεύεται αυστηρά.
Η αποστολή ηλεκτρονικής αλληλογραφίας εμπίπτει στις διατάξεις της «αζήτητης ηλεκτρονικής επικοινωνίας» (Ν. 3471/2006) και αφορά δευτερευόντως τα προσωπικά δεδομένα. Σύμφωνα με τις διατάξεις περί αζήτητης ηλεκτρονικής επικοινωνίας, η αποστολή newsletter είναι νόμιμη εφόσον έχει ληφθεί προηγούμενη, ρητή συγκατάθεση από τον λήπτη.
Συνεπώς, σε περίπτωση αποστολής ηλεκτρονικών επικοινωνιών (πχ newsletters) ή στην περίπτωση sms marketing, θα πρέπει οπωσδήποτε να δίνεται η δυνατότητα στους χρήστες για ξεκάθαρη και ρητή συγκατάθεση για το αν επιθυμούν να λαμβάνουν τέτοιες επικοινωνίες / ενημερώσεις (opt-in).
Επίσης, πρέπει να δίνεται σε κάθε επικοινωνία η δυνατότητα απεγγραφής (ανάκλησης της συγκατάθεσης). Επιπλέον, συστήνεται η διαδικασία double-opt-in (αφού δοθεί το e-mail, αποστολή στο e-mail ενός link για επιβεβαίωση από τον επισκέπτη / χρήστη).
Σχετικά με τους υφιστάμενους πελάτες, υπάρχει η δυνατότητα συνέχισης της αποστολής newsletter για όσα «υποκείμενα» η επιχείρηση μπορεί να αποδείξει ότι είχε κάποια συναλλακτική ή άλλη έννομη σχέση μαζί τους (στα πλαίσια της οποίας συνέλεξε και επεξεργάστηκε προσωπικά δεδομένα).
Συνεπώς, δεν υπάρχει πρόβλημα με την αποστολή newsletter στους πελάτες της επιχείρησης, αρκεί να υπάρχει opt-out disclaimer, το οποίο οι παραλήπτες μπορούν εύκολα να βρουν και να επιλέξουν για να μην λαμβάνουν στο μέλλον newsletter ή άλλες επικοινωνίες.
Σχετικά με διευθύνσεις προσωπικών email που αγοράστηκαν από άλλη εταιρία, εφόσον τα υποκείμενα δεν έχουν παράσχει την συγκατάθεση τους για τη λήψη ηλεκτρονικών επικοινωνιών, οποιαδήποτε αποστολή θα κρινόταν παράνομη, ακόμα και αν αυτή πραγματοποιούνταν για την λήψη σχετικής συγκατάθεσης.
Σωστό και τακτικό «ξεκαθάρισμα» της ηλεκτρονικής βάσης δεδομένων
Γενικά, η ορθή πρακτική είναι ο διαχωρισμός παραληπτών, για τους οποίους είναι δυνατόν να αποδειχθεί η λήψη συγκατάθεσης και για τους οποίους δεν μπορεί να αποδειχθεί η λήψη συγκατάθεσης, στους οποίους και δεν πρέπει να αποστέλλονται ηλεκτρονικές επικοινωνίες.
Επιπλέον σημεία που χρήζουν προσοχής είναι η απόκρυψη παραληπτών email με χρήση της κρυφής κοινοποίησης (bcc), η μη αναφορά στον τίτλο / περιγραφή του e-mail ονοματεπωνύμων ή άλλων δεδομένων με τα οποία μπορεί να ταυτοποιηθεί ένα φυσικό πρόσωπο, η μη συγκάλυψη ταυτότητάς του αποστολέα (επιχείρησης) και το «κλείδωμα» επισυναπτόμενου αρχείου με ευαίσθητα δεδομένα με ταυτόχρονη αποστολή του κωδικού ανοίγματος με sms.
Διαφάνεια στην εταιρική ιστοσελίδα και ορθή διαχείριση Cookies
Η ιστοσελίδα πρέπει να είναι απόλυτα διαφανής σχετικά με τις δραστηριότητες επεξεργασίας της, ειδικά όταν πρόκειται για σκοπούς ψηφιακού μάρκετινγκ.
Οι χρήστες πρέπει να ενημερώνονται για τη φύση της επεξεργασίας και τις δραστηριότητες μάρκετινγκ στις οποίες εμπλέκονται, ενώ πρέπει να τους δίνεται η δυνατότητα να αποδέχονται ή να απορρίπτουν την εγκατάσταση cookies πέραν των «αυστηρώς απαραίτητων».
Σε περίπτωση απόρριψης ή μη επιλογής, θα πρέπει να χρησιμοποιούνται μόνο τα αναγκαία τεxνικά / λειτουργικά cookies που εξασφαλίζουν την απρόσκοπτη λειτουργία του ιστότοπου και όχι τα cookies στατιστικών αναλύσεων, στόχευσης/διαφήμισης κλπ.
Όροι και προϋποθέσεις χρήσης / Πολιτική Προστασίας Δεδομένων
Στην ιστοσελίδα πρέπει επίσης να παρατίθενται οι όροι και οι προϋποθέσεις χρήσης της και η πολιτική / δήλωση προστασίας δεδομένων, με αναφορά στις περιγραφές μεθόδου συλλογής των δεδομένων (για παράδειγμα, από απλή επίσκεψη έως την ολοκλήρωση παραγγελίας μέσω αυτής) και τους τρόπους χρήσης των δεδομένων.
Ειδικά για την πολιτική προστασίας δεδομένων, πρέπει σε αυτήν να εξηγείται με απλό και κατανοητό τρόπο πώς ο ιδιοκτήτης της ιστοσελίδας και τυχόν τρίτα μέρη, συλλέγουν, χρησιμοποιούν και προστατεύουν τα προσωπικά δεδομένα των χρηστών. Επιπλέον, πρέπει να δίνονται στοιχεία επικοινωνίας και επιπλέον πληροφορίες.
Φόρμα επικοινωνίας στην ιστοσελίδα / Φόρμα αποστολής CV
Ενημέρωση του επισκέπτη κατα την συμπλήρωση της φόρμας επικοινωνίας στην ιστοσελίδα ή της φόρμας αποστολής βιογραφικού σημειώματος ότι ο στόχος της επεξεργασίας των προσωπικών δεδομένων είναι αποκλειστικά η παροχή απαντήσεων ή επίλυσης τυχόν προβλημάτων ή το ενδεχόμενο πρόσληψης, με αναφορά κάθε φορά στην κατάλληλη νομιμοποιητική βάση του GDPR.
Αξιολόγηση υπηρεσιών τρίτων μερών
Εάν πραγματοποιείται χρήση υπηρεσιών από τρίτους για τους σκοπούς ψηφιακού μάρκετινγκ, τότε πρέπει να προσδιορίζεται πώς συλλέγονται και χρησιμοποιούνται τα δεδομένα μέσω της ιστοσελίδας. Πρέπει να ελέγχονται και να επιβεβαιώνονται εάν οι πολιτικές των τρίτων μερών συμφωνούν με τις προϋποθέσεις του GDPR (πού αποθηκεύονται τα δεδομένα , ύπαρξη κατάλληλων μέτρων ασφαλείας από μέρους των «τρίτων» κλπ.)
Συμμετοχή σε ηλεκτρονικούς διαγωνισμούς
Σε περίπτωση δήλωσης συμμετοχής σε ηλεκτρονικούς διαγωνισμούς μέσω της ιστοσελίδας ή των λογαριασμών κοινωνικής δικτύωσης της επιχείρησης, πρέπει να πραγματοποιείται ενημέρωση ότι τα δεδομένα θα χρησιμοποιηθούν αποκλειστικά για τη διεξαγωγή του διαγωνισμού, με δυνατότητα ανάκλησης της συμμετοχής ανά πάσα στιγμή και ταυτόχρονη αναφορά στην κατάλληλη νομιμοποιητική βάση του GDPR.
Σε περίπτωση ηλεκτρονικού διαγωνισμού με έπαθλο όπου οι χρήστες πρέπει να εισέλθουν στην ιστοσελίδα ώστε να δηλώσουν συμμετοχή, απαγορεύεται στους όρους του διαγωνισμού να είναι προεπιλεγμένο το «τετραγωνίδιο» σύμφωνα με το οποίο οι χρήστες παρέχουν την συγκατάθεση τους για την εγκατάσταση cookies στον υπολογιστή τους, ακόμα και αν οι χρήστες μπορούν να το αποεπιλέξουν.
Συγκαταθέσεις λοιπών υποκειμένων για συμμετοχή σε δράσεις ψηφιακού μάρκετινγκ και άλλων δράσεων
Ενδεικτικά, μπορεί να αφορά τη συγκατάθεση προσωπικού, συνεργατών ή/και τρίτων που συνδέονται με την επιχείρηση για την επεξεργασία των προσωπικών τους δεδομένων, με σκοπό την ανάρτηση δεδομένων τους στην ιστοσελίδα, στα μέσα κοινωνικής δικτύωσης ή/και σε άλλα μέσα ενημέρωσης της επιχείρησης. Μπορεί επίσης να αφορά προβολή εκδήλωσης προσωπικού, παράθεση απόψεων συνεργάτη, προβολή εταιρικού video με «πρωταγωνιστές» μέλη του προσωπικού κλπ.).
Συμπερασματικά, οι επιχειρήσεις που δραστηριοποιούνται στον χώρο του Digital & Social Media Marketing δεν θα πρέπει απλώς να αντιλαμβάνονται τον σκοπό και τη σημαντικότητα της προστασίας των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται, αλλά και να υιοθετούν μια σειρά από μέτρα προστασίας και διαφύλαξης των δεδομένων. Παράλληλα, θα πρέπει πάντα να επιτρέπεται στους χρήστες η δυνατότητα να αντιτάσσονται ανά πάσα στιγμή και χωρίς χρέωση στις επεξεργασίες των προσωπικών τους δεδομένων που αφορούν εμπορική προώθηση, περιλαμβανομένης της κατάρτισης προφίλ.
*Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO – QMS Lead auditor ISO 9001:2015, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ, MSc in International Business and Finance και Diploma in Digital & Social Media Marketing (ACT). Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι γενικός γραμματέας και επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων, του Ελληνικού παραρτήματος του European Association of Data Protection Professional (EADPP), επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας στις Υπηρεσίες Υγείας Avedis Donabedian (EIQSH), μέλος της Homo Digitalis, μέλος του DPO Network Greece και μέλος του Ινστιτούτου Επαγγελματιών Ιδιωτικότητας Β. Ελλάδος (ΙΝ.ΕΠ.ΙΔ).
Πηγές:
Τσιπτσέ, Ο. και Κωστούλας, Δ. (Ιανουάριος 2020), Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα, Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα
https://www.homodigitalis.gr/posts/8519, Μικρομεσαίες επιχειρήσεις και Προστασία Προσωπικών Δεδομένων (GDPR), 7 Φεβρουαρίου 2021
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ΔΕΛΤΙΟ ΤΥΠΟΥ 25/2/2020, Aρ. Πρωτ.: Γ/ΕΞ/1525, Συστάσεις για τη συμμόρφωση υπευθύνων επεξεργασίας δεδομένων με την ειδική νομοθεσία για τις ηλεκτρονικές επικοινωνίες.