RODO w marketingu i sprzedaży

Plan kursu

RODO w marketingu i sprzedaży - plan kursu

Czym jest RODO

i jaki jest jego cel?

RODO: Czym jest i dla kogo ma zastosowanie?

RODO czyli nowe ogólne rozporządzenie o ochronie danych to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., które reguluje zasady i ochronę przetwarzania danych osobowych osób fizycznych na terenie Unii Europejskiej.

RODO ma zastosowanie do:

• podmiotów, które mają swoją siedzibę na terenie UE - niezależnie od miejsca przetwarzania danych lub

• podmiotów, które nie posiadają siedziby na terenie UE, ale które oferują towary/usługi lub zajmują się monitorowaniem zachowania osób fizycznych na terenie Unii Europejskiej.

Kogo dotyczy RODO?

RODO dotyczy każdego przedsiębiorcy, który w ramach prowadzonej działalności przetwarza dane osobowe na terenie UE.

Dla RODO nie ma znaczenia:

• wielkość firmy (nawet jednoosobowa działalność gospodarcza),
• długość trwania na rynku (RODO dot. także startupów),
• forma prowadzonej działalności gospodarczej,
• wielkość obrotów firmy lub ilość pracowników,
• to, czyje dane są przetwarzane: czy klientów, czy kontrahentów, czy pracowników czy potencjalnych klientów;
• to, czy dane przetwarzane są komputerowo czy mechanicznie.

Kogo RODO nie dotyczy?

RODO nie ma zastosowania do:

• przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej;
• przetwarzania danych osobowych dotyczących osób zmarłych lub osób prawnych.

Przepisy RODO mają zastosowanie wyłącznie do danych osobowych dotyczących osób fizycznych. Nie regulują przetwarzania danych dotyczących spółek ani żadnych innych osób prawnych.

Dlaczego RODO jest potrzebne nam wszystkim?

Ogromna nieufność, jaką mamy jako konsumenci do firm i instytucji, które zbierają dane użytkowników. 

RODO: Dlaczego reforma ochrony danych osobowych?

Cel #1: Zaufanie

• Nowe przepisy mają za zadanie zwiększyć zaufanie klientów do firm i organizacji, które zbierają ich dane osobowe, stymulując tym samym rozwój działalności gospodarczej na terenie całej UE.

• Zaostrzone przepisy dotyczące ochrony danych dają obywatelom większą kontrolę nad ich danymi osobowymi, zaś przedsiębiorcom korzyści wynikające z równych warunków działania.

​Cel #2: Ujednolicenie przepisów

• Jeden zbiór przepisów dla wszystkich firm przetwarzających dane w UE = łatwiejsze prowadzenie działalności gospodarczej na terenie całej UE. Zasady ochrony danych zostały zebrane w jednym akcie prawnym obowiązującym na terenie całej UE.

Zmiany, które wprowadza RODO to nie rewolucja, a ewolucja w podejściu do ochrony danych osobowych.

Dane osobowe

i zasady przetwarzania danych osobowych

Dane osobowe według RODO

Dane osobowe = wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej.

Danymi osobowymi są poszczególne informacje, które w połączeniu z  daną osobą mogą prowadzić do zidentyfikowania tożsamości tej osoby.

Dane osobowe i przetwarzanie danych

Przykładowe dane osobowe:

• imię i nazwisko, PESEL;

• adres zamieszkania i numer telefonu;

• wizerunek;

• identyfikator internetowy,

• adres e-mail: imię+nazwisko@firma.com -->

• nr dowodu tożsamości;

• dane o lokalizacji (np. w telefonie komórkowym);

• adres IP komputera,

• informacje dot. stanu zdrowia;

• informacje na temat dochodów etc.

Kiedy dane nie są danymi osobowymi?

Przykład: adres e-mail: misiaczek@gmail.com, który nie posiada imienia i nazwiska, nie wskazuje też na żadną konkretną firmę/przedsiębiorcę = to nie jest dana osobowa.

misiaczek@gmail.com, numer telefonu: 812 123 123

ALE kiedy już mamy do tego adresu e-mail przypisane inne informacje, np. numer telefonu, które mogą nam pozwolić zidentyfikować określoną osobę to mamy do czynienia z daną osobową.

Jeżeli mamy tylko ogólny adres e-mail i  brak jest możliwości zidentyfikowania osoby fizycznej, a ewentualna  identyfikacja wiązałaby się z

nadmiernym czasem;

nadmiernym kosztem;

nadmiernym działaniem

= nie mamy do czynienia z daną osoba

Dane osobowe według RODO

Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID.

Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.

Dane osobowe według RODO

Jakich danych nie uważa się za dane osobowe?

Za dane osobowe nie uważa się informacji zanonimizowanych,  a więc takich, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą.   

Zasady ochrony danych przedstawione w RODO nie dotyczą przetwarzania anonimowych informacji  do celów statystycznych lub naukowych.

Za dane osobowe można też uznać dane spseudonimizowane, które przy użyciu dodatkowych informacji (np. numer telefonu) można przypisać konkretnej osobie fizycznej.

Biznes B2B a dane osobowe

A co jeśli adresujemy dane tylko do firm?

Dane firmowe są ogólnodostępne na stronie internetowej:

• imiona i nazwiska pracowników
• maile pracowników, numery telefonów

czy korzystanie z takich ogólnodostępnych danych to też jest przetwarzanie danych wg RODO?

Tak. To, że dane określonej osoby są dostępne na firmowej stronie internetowej oznacza tylko tyle ze dane te są publicznie dostępne. Ale to wciąż są dane osobowe.

Dane szczególne według RODO

Dane pod szczególną ochroną RODO:

• dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych,
• dane dotyczące zdrowia, seksualności lub orientacji seksualnej,
• dane genetyczne,
• dane biometryczne,
• dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

Szczególne rodzaje danych według RODO

Dane dotyczące zdrowia:

dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej

- w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Szczególne rodzaje danych według RODO

Dane genetyczne = dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.
 

Dane biometryczne =  dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne.

Jak stwierdzić czy daną osobę można zidentyfikować? 

Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane przez administratora lub inną osobę w celu zidentyfikowania osoby fizycznej.

Należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak:

• koszt i czas potrzebne do jej zidentyfikowania, oraz
• uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Przetwarzanie danych osobowych

Przetwarzanie danych osobowych

Przetwarzanie danych osobowych to wszelkie operacje wykonywane na danych osobowych od momentu ich pozyskania do usunięcia, takie jak:

• zbieranie,
• utrwalanie,
• organizowanie,
• porządkowanie,
• przechowywanie,
• pobieranie,
• modyfikowanie,
• opracowywanie i zmienianie,
• udostępnianie i rozpowszechnianie,
• usuwanie i niszczenie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Przetwarzanie danych osobowych

Przetwarzaniem danych osobowych może być również zamieszczenie jakiekolwiek danej w sieci - np. wizerunku klienta na Facebooku.

Jeśli takie zamieszczenie wizerunku odbywa się bez uzyskania uprzedniej zgody osoby, której wizerunek został utrwalony, to możemy mówić już o naruszeniu (nie tylko prawa do wizerunku z art. 81 prAut) danych - naruszeniu przepisów RODO.

Zasady przetwarzanie danych wg RODO

Art. 5 RODO wskazuje na 7 zasad przetwarzania danych:

• "zgodność z prawem, rzetelność i przejrzystość" - dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

• "ograniczenie celu" - dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami;

• "minimalizacja danych" - dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

• "prawidłowość" - dane muszą być prawidłowe i w razie potrzeby uaktualnione  (zadanie administratora);

Zasady przetwarzanie danych wg RODO

RODO wskazuje na 7 zasad przetwarzania danych:

• "ograniczenie przechowywania" - dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane;

• "integralność i poufność" - dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych za pomocą odpowiednich środków technicznych i organizacyjnych (ważna uprzednia analiza ryzyka);

• "rozliczalność" -  administrator jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie;

RODO = wędka, nie rybka

RODO daje administratorom swobodę w wyborze środków organizacyjnych i technicznych, które wykorzystają do zapewnienia bezpieczeństwa przetwarzania danych osobowych swoich klientów czy pracowników. To administrator musi sam zdecydować (po przeprowadzeniu m.in. analizy ryzyka) jakie środki techniczne i organizacyjne w przypadku jego danych osobowych będą adekwatne.

To administrator będzie musiał wykazać, że środki, które podjął są jego zdaniem adekwatne i wystarczające.

Tak długo, jak administrator będzie w stanie wykazać ("rozliczalność") organowi nadzorczemu spełnienie wymogów RODO, tak długo będzie działał zgodnie z prawem.

Nowe podejście do przetwarzania danych osobowych

Zmiana podejścia: Zasady prywatności w fazie projektowania jak i prywatności w ustawieniach domyślnych powinny być wdrożone już na etapie kreowania nowych systemów lub technologii = od początku tworzenia nowych rozwiązań trzeba mieć na uwadze wymaganą przez RODO ochronę danych.

Na jakich zasadach można przetwarzać dane osobowe?

Firma może przetwarzać dane osobowe pod warunkiem, że:

• dane osobowe będą przetwarzane w sposób przejrzysty oraz zgodny z prawem, zapewniający rzetelność wobec osób, których dane osobowe są przetwarzane;

• będą istnieć konkretne cele przetwarzania, a firma przedstawi je w momencie zbierania danych osobom, których one dotyczą;

• firma będzie zbierać i przetwarzać wyłącznie dane osobowe, które są niezbędne do osiągnięcia tych konkretnych celów;

• firma zapewni, aby przetwarzane przez nich dane osobowe są prawidłowe i aktualne, biorąc pod uwagę cele ich przetwarzania;

Na jakich zasadach można przetwarzać dane osobowe?

• firma nie może wykorzystywać danych osobowych w innych celach, niezgodnych z celami ich pierwotnego zebrania;

• firma musi zapewnić, aby dane osobowe były przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania;

• firma musi wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa, które zapewnią ochronę danych osobowych;

• podmioty danych muszą podczas zbierania danych mieć przekazany w jasny i prosty sposób cel zbierania danych oraz okres, przez jaki dane będą przechowywane.

Jaki powinien być cel przetwarzania danych?

Cel przetwarzania danych nie może być dowolny:

"Administrator zbiera dane użytkowników do przetwarzania ich w dowolnym celu"

Zasada „ograniczenia celu”:

Cel przetwarzania danych osobowych musi być wyraźnie określony, a osoby, których dane dotyczą, muszą być o nim poinformowane.

Nie wystarczy jedynie wskazać, że dane osobowe zostaną zebrane i przetworzone.

Ile danych osobowych może zebrać administrator?

Zasada "minimalizacji danych":

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy nie można przeprowadzić przetwarzania w inny sposób. Gdzie jest to możliwe, preferowane jest wykorzystywanie danych anonimowych.

Gdy dane osobowe są potrzebne, powinny być

• adekwatne,
• stosowne oraz
• ograniczone do tego, co niezbędne dla celu, w jakim są przetwarzane.

Administrator danych jest odpowiedzialny za oszacowanie ilości potrzebnych danych oraz za zapewnienie, że niestosowne dane nie będą zbierane.

Zasada minimalizacji danych w praktyce:

Przez jaki okres można przechowywać dane?

Przez jaki okres można przechowywać dane?

Przesłanki przetwarzania danych osobowych

Przesłanki przetwarzania danych osobowych:

Administrator może przetwarzać dane tylko:

• za zgodą osób, których dane dotyczą,

• jeżeli istnieje zobowiązanie umowne (umowa między  firmą/organizacją a klientem),

• w celu spełnienia wymogów prawnych (określonych w przepisach unijnych bądź krajowych),

• jeżeli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym,

• w celu ochrony "żywotnych interesów" danej osoby,

• dla celów wynikających z prawnie uzasadnionych interesów firmy/ organizacji, ale dopiero po weryfikacji, że nie będzie to miało poważnych skutków dla podstawowych praw i wolności osoby, której dane dotyczą.

Przetwarzania danych - zobowiązania umowne:

Firma X prowadzi sklep online. Może przetwarzać dane, które są niezbędne do podjęcia czynności w związku z zapytaniem osoby zainteresowanej, przed zawarciem umowy i w celu wykonania umowy.

W tym celu firma X może przetwarzać takie dane jak imię i nazwisko, adres dostawy, numer karty kredytowej (w przypadku płatności kartą) itd.

Firma Y zatrudnia pracowników. W celu uzyskania ubezpieczenia społecznego prawo wymaga przekazania do właściwego organu określonych danych osobowych (np. kwoty miesięcznego wynagrodzenia pracowników).

Zasady przetwarzania danych - wymogi prawne:

Zasady przetwarzania danych - interes publiczny:

Stowarzyszenia zawodowe, np. izba lekarska, posiadające oficjalne uprawnienia, mogą przeprowadzać postępowania dyscyplinarne wobec niektórych swoich członków.

W szpitalu leczony jest pacjent po poważnym wypadku drogowym; szpital nie potrzebuje jego zgody na wykorzystanie danych z jego dowodu tożsamości, aby sprawdzić, czy w bazie danych szpitala znajduje się jego wcześniejsza dokumentacja medyczna, lub skontaktować się z jego rodziną.

Zasady przetwarzania danych - żywotne interesy jednostki:

Kiedy można przetwarzać dane szczególnie chronione?

Lekarz przyjmuje w swoim gabinecie wielu pacjentów. Dokumentuje wizyty w bazie danych, która zawiera takie informacje jak imię/nazwisko pacjenta, opis objawów i przepisane leki =  dane dotyczące zdrowia.

Przetwarzanie przez przychodnię danych dotyczących zdrowia jest dozwolone, gdyż:

• służy leczeniu pacjenta, a ponadto
• odpowiedzialność za nie ponosi lekarz, który jest zobowiązany do zachowania tajemnicy lekarskiej.

Kiedy można przetwarzać dane szczególnie chronione?

Dane szczególne można przetwarzać wyłącznie po spełnieniu jednego z poniższych warunków:

• osoba, której dane dotyczą, udzieliła wyraźnej zgody,

• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, która jest fizycznie lub prawnie niezdolna do wyrażenia zgody,

• przetwarzania dokonuje fundacja, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy członków tego podmiotu lub osób utrzymujących z nim stałe kontakty,

• dane osobowe zostały w sposób oczywisty upublicznione przez osobę, której dotyczą,

Kiedy można przetwarzać dane szczególnie chronione?

• dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń,

• dane są przetwarzanie w celu: profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej,

• dane są przetwarzanie ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, na podstawie prawa unijnego lub krajowego,

• dane są przetwarzanie do celów archiwalnych, do celów badań naukowych lub historycznych lub w celach statystycznych, na podstawie prawa unijnego lub krajowego.

Zgoda na przetwarzanie danych osobowych

• informacje o lokalizacji użytkowników aplikacji online w celach marketingowych;
• informacje o miejscu zamieszkania (kodzie pocztowym) albo wieku pozyskane od klientów sklepu z odzieżą;
• dodatkowe informacje kontaktowe (np. numeru telefonu), które mają przyczynić się wyłącznie do usprawnienia komunikacji;
• przekazywanie danych zebranych w jednym celu (np. na potrzeby scoringu kredytowego) partnerom z grupy kapitałowej w innym celu (np. marketingowym).

Jaka musi być zgoda aby była zgodna z RODO?

Jaka powinna być zgoda?

Zgoda = jednoznaczna, potwierdzająca czynność

• jasne,
• zwięzłe i
• nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy (= nie można "przymuszać" do wyrażenia zgody, np. poprzez natrętnie wyskakujący pop-up).

Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być:

Zgoda = jednoznaczna, potwierdzająca czynność

Jednoznaczna, potwierdzająca czynność wyrażająca zgodę może polegać na:

• zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
• na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego,

• lub na innym oświadczeniu lub zachowaniu (np. wypełnienie formularza rejestracyjnego czy formularza zamówienia), które w danym kontekście jasno wskazuje, ze osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Jaka powinna być zgoda? Dobre przykłady

Jaka powinna być zgoda? Dobre przykłady

Jaka powinna być zgoda? Dobre przykłady

Zgoda jako jedna z przesłanek przetwarzania - przykład:

Firma oferuje aplikację muzyczną i w związku z tym prosi o zgodę na przetwarzanie informacji na temat muzycznych preferencji różnych osób, aby móc proponować im wybrane specjalnie dla nich utwory oraz koncerty.

Nie jest wyrażeniem zgody:

• milczenie/brak działania/brak sprzeciwu,
• okienka domyślnie zaznaczone.

Warto tak skonstruować proces pozyskiwania zgód marketingowych w ten sposób, aby były to zgody pozyskane w tzw. procedurze Double Opt-in.

Zbieranie danych w modelu Double Opt-in

W modelu Double Opt-in po wpisaniu w formularz danego adresu e-mail zostanie na niego wysłana automatycznie generowana wiadomość z linkiem aktywacyjnym. Po kliknięciu w niego, adres e-mail zostanie aktywowany w bazie prowadzonej przed administratora. Dzięki takiemu rozwiązaniu:

• mamy pewność, że osoba która dopisała się do listy, faktycznie ma dostęp do danego konta e-mail,
• wiemy, że dopisany e-mail istnieje (jest aktualny).

Baza klientów uzyskana w modelu Double Opt-in daje administratorowi pewność, że osoba świadomie podjęła decyzję o otrzymywaniu newslettera/informacji handlowych = zgoda jest wyraźna i jednoznaczna.

Zbieranie danych w modelu Single Opt-in

Jeżeli zatem do tej pory administrator zbierał dane w modelu Single Opt-in to nie ma pewności, czy osoba, która znajduje się w bazie wyraziła jednoznaczną i świadomą zgodę na otrzymywanie informacji handlowych/newslettera etc.

Administrator takiej bazy nie ma możliwości sprawdzenia, czy któryś z użytkowników nie  podał błędnego/cudzego adresu e-mail:

• brak sprawdzenia czy zgoda była wyrażona świadomie;
• brak możliwości ustalenia, czy dane są aktualne i prawdziwe.

Należy dokonać aktualizacji listy mailingowej - najlepiej przesłać do wszystkich rekordów mail z prośbą o ponowne wyrażenie zgody na dalsze otrzymywanie informacji handlowych/newslettera.

Kiedy zgoda jest ważna?

Jedną z okoliczności uzasadniających legalność przetwarzania danych jest zgoda. Zgoda musi być wyrażona dobrowolnie:

Zgoda wyrażona dobrowolnie oznacza, że osoba, która jej udziela, ma wolny wybór oraz prawo do odmowy lub wycofania zgody bez stawiania jej w niekorzystnej pozycji.

Przykład zgody nie udzielonej dobrowolnie:

Zgoda nie jest wyrażona dobrowolnie, gdy firma wymaga wyrażenia zgody na przetwarzanie niepotrzebnych danych osobowych (np. dla celów marketingu bezpośredniego) jako warunku koniecznego do wykonania umowy lub usługi.

Kiedy zgoda jest ważna?

Zgoda musi być wyrażona świadomie. Osoba, która jej udziela, musi znać:

• tożsamość firmy zbierającej (przetwarzającej) dane,

• cele, w jakich dane są przetwarzane,

• rodzaj przetwarzanych danych,

• swoje prawo do wycofania wcześniej udzielonej zgody (przykład: łącze umożliwiające anulowanie subskrypcji umieszczone na końcu wiadomości e-mail),

• w stosownych przypadkach informację o tym, że dane zostaną wykorzystane do podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu,

Kiedy zgoda jest ważna?

Zgoda musi być wyrażona świadomie. Osoba, która jej udziela, musi znać 0 w przypadku, gdy zgoda dotyczy przekazywania danych do państw trzecich, informację o ryzyku przekazania danych do krajów trzecich, które nie zostały objęte decyzją Komisji stwierdzającą odpowiedni stopień ochrony i w których brak odpowiednich zabezpieczeń.

1 cel = 1 zgoda

Gdy dana osoba zgadza się na przetwarzanie swoich danych osobowych, firma może przetwarzać te dane wyłącznie w celach, których dotyczy zgoda.

Kiedy zgoda jest ważna?

Zgoda wyrażona dobrowolnie - przykład:

Firma z kursami online w informacji o polityce prywatności wskazuje, że dane osobowe klientów mogą być przetwarzane w ramach konkursu organizowanego przez firmę, w którym do wygrania jest darmowy kurs online.

Klienci, którzy zaznaczyli okienko ze zgodą na udział w konkursie, wskazali wyraźnie, że chcą, by ich dane osobowe przetwarzano w celach konkursowych. Oznacza to zgodę na przetwarzanie danych w celach konkursowych i w żadnym innym celu.

Kiedy zgoda jest ważna?

Zgoda niewyrażona dobrowolnie - przykład:

Firma udostępnia filmy online. W ramach zbierania danych potrzebnych do świadczenia usług firma ta prosi o podanie dodatkowych danych, takich jak orientacja seksualna lub poglądy polityczne usługobiorcy.

Osoba, która jest proszona o takie dodatkowe informacje, może być przekonana, że jej zgoda na przetwarzanie danych tego typu jest konieczna do tego, aby uzyskać dostęp do żądanych filmów. W takim przypadku zgoda nie jest zatem wyrażona dobrowolnie. Jest to tzw. „zgoda wiązana”.

Czy należy na nowo zbierać zgody na przetwarzanie danych?

Co należy zrobić, gdy klient wycofa zgodę?

Wycofanie zgody powinno być równie łatwe jak jej udzielenie.

Od momentu wycofania zgody firma nie może dłużej przetwarzać danych osoby, która zgodę wycofała. Firma musi zadbać o usunięcie ze swojej bazy danych wszelkich danych osobowych dotyczących tej osoby.

Obowiązek informacyjny administratora (art. 13 RODO)

Podczas zbierania danych osoby, których dane dotyczą, muszą zostać wyraźnie poinformowane o tym:

• kim jest firma, która zbiera dane;

• dlaczego firma będzie korzystać z danych osobowych (cele),

• jakie kategorie danych osobowych będą zbierane,

• jakie jest uzasadnienie prawne dla przetwarzania ich danych,

• jak długo będą przechowywane ich dane,

• kto jeszcze może je otrzymać (przekazywanie danych do podmiotów trzecich),

• czy ich dane osobowe zostaną przekazane do odbiorcy spoza UE,

Obowiązek informacyjny administratora (art. 13 RODO)

Podczas zbierania danych osoby, których dane dotyczą, muszą zostać wyraźnie poinformowane o tym:

• że mają prawo do otrzymania kopii danych (prawo dostępu do danych osobowych) oraz inne prawa podstawowe w zakresie ochrony danych,

• że mają prawo wniesienia skargi do organu ochrony danych,

• że mają prawo do wycofania zgody w dowolnym momencie,

• że - jeśli dotyczy - może mieć miejsce zautomatyzowane podejmowanie decyzji, na jakich zasadach się opiera oraz jakie ma konsekwencje.

Jak należy przekazywać informacje na temat danych?

Administrator powinien udzielić informacji pisemnie, ustnie lub  elektronicznie.

Prosto i przejrzyście

Przekazanie informacji powinno nastąpić w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem oraz nieodpłatnie

= koniec z długimi, skomplikowanymi formułami z masą odesłań do konkretnych przepisów.

Jak należy przekazać informacje?

Komunikaty na temat zasad przetwarzania danych powinna zrozumieć osoba, która:

• nie ma wiedzy prawniczej
• nie ma wiedzy informatycznej.

Komunikat ma być prosty, zwięzły i zrozumiały dla każdego.

Jak należy przekazać informacje?

Jeśli dane zostały pozyskane od innej firmy Y,  firma, która nabyła dane (firma X) ma obowiązek przekazać wszystkie informacje z art. 13 RODO osobom, których dane dotyczą, najpóźniej w ciągu 1 miesiąca od otrzymania przez firmę X danych osobowych; lub

jeżeli Twoja firma X kontaktuje się z osobami, których dane dotyczą – w momencie wykorzystania danych do nawiązania kontaktu; lub

jeśli przewidziane jest ujawnienie danych innej firmie – gdy dane osobowe zostały ujawnione po raz pierwszy.

Jakie prawa przysługują podmiotom danych osobowych?

Podmioty danych mają:

• prawo do informacji o podmiocie administrującym naszymi informacjami,

• prawo do informacji o celu zbierania danych i ich przewidywanych odbiorcach,

• prawo dostępu do treści dotyczących nas danych i ich poprawiania.

RODO w marketingu  i sprzedaży - zagadnienia praktyczne

Czy zwiększy się ilość checkboxów?

Czy można uzyskać zgodę na marketing 1 checkboxem?

Nieuzasadnione mnożenie zgód

Większa ilość sposobów pozyskiwania zgód:

Podmiot przetwarzający = procesor

Podmiot przetwarzający może przetwarzać dane jedynie zgodnie z ustaleniami i wytycznymi administratora danych osobowych.

To administrator wyznacza cel i zakres dokonywania określonych operacji na danych. Procesor nie może wykorzystywać otrzymanych danych do swoich celów.

Przekazanie danych do przetwarzania nie powoduje, że podmiot przetwarzający staje się automatycznie administratorem. Ciąży jednak na nim określona odpowiedzialność za powierzone mu dane.

Podmiot przetwarzający = procesor

Na podmiocie przetwarzającym spoczywa obowiązek zapewnienia takich środków organizacyjnych i technicznych, aby operacje na danych osobowych były odpowiednio zabezpieczone. 

Po zakończeniu współpracy, procesor ma obowiązek usunięcia lub zwrócenia danych administratorowi. Nie może więc przechowywać ich bez celu.

Umowa powierzenia przetwarzania danych

Umowa między administratorem a procesorem - umowa powierzenia przetwarzania danych - musi zapewniać ścisłą kooperację  obu podmiotów. Powinna ona zawierać postanowienia mówiące o tym, że:

• podmiot przetwarzający zobowiązuje się przetwarzać dane osobowe wyłącznie na udokumentowane polecenie administratora;
• podmiot przetwarzający zapewnia zachowanie tajemnicy przez osoby upoważnione do przetwarzania danych osobowych.
• procesor zapewnia podjęcie wszelkich środków wymaganych do bezpieczeństwa przetwarzania danych (szczegółowo wymienione m.in. w art. 32 RODO); procesor musi zapewnić taki sam stopień ochrony, do jakiego zobowiązany jest administrator;

Umowa powierzenia przetwarzania danych

Umowa między administratorem a procesorem - umowa powierzenia przetwarzania danych - musi zapewniać ścisłą kooperację  obu podmiotów. Powinna ona zawierać postanowienia mówiące o tym, że:

• procesor zobowiązuje się do pomocy administratorowi --> w szczególności pomocy przez odpowiednie środki techniczne i organizacyjne, w celu wywiązania się przez administratora z obowiązku odpowiadania na żądania osoby, której dane dotyczą; pomoc taka powinna być zapewniona przez podmiot przetwarzający również w sytuacji, gdy występuje zwiększone ryzyko zaistnienia naruszenia ochrony danych osobowych;
• procesor zobowiązuje się do usunięcia lub zwrotu danych osobowych po zakończeniu czynności związanych z ich przetwarzaniem oraz do udostępniania wszelkich potrzebnych informacji administratorowi i do umożliwienia dokonania audytów.

Zgoda w formie pytań i odpowiedzi?

Profilowanie według RODO

Profilowanie według RODO

RODO a profilowanie

RODO nie zakazuje profilowania ale wymaga wykazania jednej z przesłanek legalności profilowania, tj.:

• odrębnej zgody na profilowanie,
• realizacji umowy lub podjęcia działań przed zawarciem umowy,
• realizacji obowiązku wynikającego z przepisu prawa,
• ochronę żywotnych interesów osoby, wykonywanie zadań dla realizacji interesu publicznego, niezbędność przetwarzania dla realizacji uzasadnionych interesów administratora danych.

RODO a profilowanie

RODO wymaga przejrzystości: uczciwego informowania użytkownika o profilowaniu. Należy udzielać prostych i jasnych informacji o profilowaniu - językiem zrozumiałym dla każdego.

Przykład zgody na profilowanie:

Będziemy analizować twoje wybory zakupowe, aby oferować ci produkty podobne, dopasowane do Twoich preferencji.

Ponadto należy poinformować podmiot danych o tym:

•  jakie są zasady profilowania?
• jak można cofnąć decyzję o zgodzie na profilowanie?
• oraz że wcale nie musi godzić się na profilowanie.

RODO a profilowanie

Administrator danych musi ponadto przestrzegać  zasad przetwarzania danych osobowych:

• dane muszą być zgodne z prawem, rzetelne i przejrzyste,
• zbierane w ściśle określonych i uzasadnionych celach,
• zakres danych osobowych musi być odpowiedni do celu przetwarzania,
• przetwarzane dane osobowe muszą być prawidłowe i aktualne,
• dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym dostępem, modyfikacją, utratą lub uszkodzeniem.

= "standardowe" zasady przetwarzania danych osobowych wg RODO.

RODO a profilowanie - szczególne środki bezpieczeństwa

Profilowanie jest szczególnym rodzajem przetwarzania danych osobowych, z którym mogą wiązać się zagrożenia dla praw i wolności podmiotów danych. Administrator ma obowiązek - jeszcze przed rozpoczęciem profilowania - przeprowadzić ocenę ryzyka przetwarzania danych osobowych. Ocena ryzyka powinna zawierać:

• systematyczny opis planowanych operacji przetwarzania, w tym profilowania danych osobowych,
• ocenę proporcjonalności operacji w stosunku do celów przetwarzania,
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• środki zapobiegające powstaniu ryzyka, w tym zabezpieczenia i mechanizmy bezpieczeństwa mające na celu zapewnienie ochrony danych osobowych.

RODO a korzystanie z plików cookies

RODO nie zmienia zasad korzystania z plików cookies, czyli plików zapisywanych na urządzeniach elektronicznych użytkowników w celu śledzenia ustawień i aktywności dotyczącej stron internetowych.

Ciasteczka mogą być wykorzystywane w dalszym ciągu pod warunkiem, że nie umożliwiają one identyfikacji konkretnej osoby. Jeśli umożliwiają identyfikację konkretnej osoby to jest to zwykłe przetwarzanie danych i należy uzyskać zgodę na tego typu operacje.

RODO a marketing automation

RODO a amerykańskie aplikacje 

RODO nie utrudnia korzystania z usług amerykańskich aplikacji. Należy jednak pamiętać, aby spełniony był chociaż jeden z poniższych warunków:

• podmiot amerykański wpisany jest na tzw. listę Privacy Shield;
• przekazanie danych do USA jest niezbędne do wykonania umowy między firmą z UE a osobą, której dane dotyczą;
• osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, wyraziła wyraźną zgodę na przekazanie swoich danych.

Zasady wysyłania treści marketingowych

• Przed wysłaniem treści marketingowej na urządzenie końcowe użytkownika (np. sms, automatyczne systemy wywołujące, e-mail) należy uzyskać zgodę użytkownika.​

• Należy umożliwić użytkownikowi łatwe wycofanie zgody na kierowanie treści marketingowych.

• Komunikaty marketingowe powinny być wyraźnie oznaczone i powinny wskazywać tożsamość przesyłającego lub osoby, w imieniu której są przesyłane.

Ochrona danych a marketing bezpośredni

Przykład: Zaprzyjaźnione firmy X i Y prowadzą swój biznes online. Firma X to agencja social media, a firma Y to księgarnia internetowa.

Obie firmy mają bazy swoich klientów, niestety baza klientów księgarni internetowej, która dopiero rozpoczyna swoją działalność na rynku, jest dużo mniejsza niż baza klientów agencji social media.

Księgarnia internetowa pyta agencję social media, czy ta mogłaby poinformować swoich klientów, że w księgarni internetowej Y trwa właśnie promocja książek na temat marketingu online...

Ochrona danych a marketing bezpośredni

Agencja social media postanawia pomóc stawiającej pierwsze kroki na rynku księgarni internetowej i w warunkach dot. polityki prywatności informuje swoich klientów, że może udostępniać ich dane swoim partnerom biznesowym oferującym produkty z dziedziny marketingu online.

Jeżeli udzielono konkretnej zgody na przekazanie danych innym odbiorcom do celów ich własnego marketingu bezpośredniego, agencja może wysłać listę klientów do księgarni internetowej.

Nie może jednak wysyłać żadnych informacji o osobie, która sprzeciwiła się przetwarzaniu swoich danych osobowych.

RODO a kupowanie baz danych

Firma Y nabyła dane swoich klientów na podstawie zgody, która obejmowała również możliwość przekazania danych do innych podmiotów trzecich dla ich własnych celów marketingu bezpośredniego.

Firma X chce nabyć dane od firmy Y. Obowiązkiem  firmy Y jest wykazanie, że dane zostały pozyskane zgodnie z ogólnym rozporządzeniem o ochronie danych i że podmiot trzeci może je wykorzystać w celach reklamowych.

Po nabyciu danych od firmy Y obowiązkiem firmy X jest poinformowanie osób, których dane dotyczą – najpóźniej w momencie pierwszego kontaktu z nimi – o tym, że zebrała ich dane osobowe i że będzie je przetwarzać podczas przesyłania im materiałów reklamowych.

X

Y

Ochrona danych a marketing bezpośredni

Obowiązek firmy Y:

• firma Y musi podpisać z kupującym (firmą X) umowę powierzenia przetwarzania danych osobowych, która określać będzie obowiązki w zakresie ochrony danych zarówno firmy X, jak i firmy Y.

Obowiązki firmy X:

• Obowiązkiem firmy X jest aktualizacja listy lub bazy danych po to, by nie wysyłać materiałów reklamowych osobom, które sprzeciwiły się przetwarzaniu ich danych osobowych do celów marketingu bezpośredniego.
• Firma X musi dbać o aktualność i adekwatność danych zawartych w zakupionej bazie danych.

X

Y

Ochrona danych a dane uzyskane od pomiotu trzeciego:

RODO a ePrivacy:

Dodatkowo firma X, używając do celów marketingu bezpośredniego takich form komunikowania się jak wiadomość e-mail, musi przestrzegać przepisów określonych w tzw. rozporządzeniu ePrivacy - rozporządzeniu w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej.

Celem rozporządzenie ePrivacy jest wzmocnienie ochrony użytkowników urządzeń końcowych (komputerów, telefonów, smartfonów, czy tabletów) przed nadmierną ingerencją w sferę ich prywatności.

RODO a programy afiliacyjne

Kto odpowiada za ochronę danych osobowych potencjalnego klienta po wypełnieniu formularza na stronie wydawcy? Wydawca, sieć afiliacyjna czy reklamodawca?

W przypadku formularza, który przekierowuje pośrednio przez sieć afiliacyjną do strony reklamodawcy za ochronę danych jest odpowiedzialny reklamodawca – pod warunkiem, że ani wydawca, ani sieć afiliacyjna nie mają dostępu do danych.

RODO a programy afiliacyjne

Partner/właściciel strony www powinien:

• zaktualizować zasady korzystania, regulaminy i politykę prywatności swoich serwisów, tak aby spełniały wszystkie wymogi RODO;

​

• odpowiednio zabezpieczyć bazy mailingowe (przeprowadzenie oceny ryzyka + zastosowanie odpowiednich środków technicznych i organizacyjnych);

​

• zadbać, aby każdorazowa wysyłka e-mail marketingowa była realizowana według wytycznych przedstawionych przez reklamodawców - reklamodawca powinien zaakceptować treść, wygląd i inne szczegóły wiadomości;

​

• w przypadku gdy wydawca/partner ma dostęp do danych - pamiętać o obowiązkowej umowie powierzenia przetwarzania danych.

RODO a firmowy CRM

Pracodawca (administrator danych osobowych) powinien zadać o to, aby każdy pracownik - handlowiec został upoważniony do przetwarzania danych klientów firmy.

W jaki sposób handlowcy w jednej firmie powinni bezpiecznie przekazywać pomiędzy sobą dane klientów?

Upoważnienie do przetwarzania danych osobowych

Upoważnienie dla X [stanowisko]

do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych na zajmowanym stanowisku.  X uzyskuje upoważnienie do przetwarzania danych osobowych w zakresie [...].

Upoważnienie jest ważne w okresie zatrudnienia/wykonywania czynności na rzecz XYZ [administrator danych]. Upoważnienie jest podstawą do nadania X uprawnienia do poszczególnych Systemów informatycznych funkcjonujących w YXZ.

Dodatkowo należy zobowiązać handlowca do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami RODO oraz przepisami ochrony danych osobowych oraz do zachowania poufności przetwarzanych danych osobowych.

RODO a zostawianie wizytówek na eventach

Zgoda na przetwarzanie danych w określonym może być wyrażona również poprzez określoną czynność, na przykład:

• wrzucenie wizytówki do oznaczonego miejsca na potrzeby losowania nagród konkursowych podczas eventu;
• wrzucenie wizytówki do określonego miejsca wskazanego jednoznacznie przez organizatora jako miejsce zbierania danych na cele wysyłki informacji o kolejnych wydarzeniach organizowanych przez agencję eventową X;
• przekazanie innemu przedsiębiorcy swojej wizytówki jako udzielenie zgody na późniejszy kontakt;
• ....

RODO a zostawianie wizytówek na eventach

Udzieleniem zgody na przesyłanie informacji marketingowych/newslettera nie jest:

• wrzucenie wizytówki do maszyny losującej w celu otrzymania nagrody konkursowej;
• zaakceptowanie zaproszenia do grona znajomych na Linkedin lub Facebook;

RODO a zbieranie leadów/budowanie bazy kontaktów

Lista potencjalnych klientów = CRM wypełniany przez dane potencjalnych klientów znalezione w sieci.

Zgodnie z RODO takie działanie nie powinno mieć miejsca. Nie mamy bowiem żadnej podstawy prawnej do zbierania takich danych = przetwarzanie danych nie ma podstawy prawnej.

Ryzyka: brak podstawy dla przetwarzania (brak zgody podmiotu danych) brak informacji o aktualności danych.

RODO a chatboty - kto odpowiada za dane klientów?

Kto odpowiada za dane klientów?

Firma X, która zdecydowała się na skorzystanie z usług chatbota i wyznaczyła grupę klientów, z którymi komunikuje się bot, czy dostawca chatbota - firma Y?

Obowiązek zapewnienia bezpieczeństwa  danych dotyczy zarówno firmy Y (dostawcy chatbota), który jest w tym procesie nie tylko projektantem i wykonawcą rozwiązań, ale i doradcą, jak i firma X, która ustala cele i sposoby przetwarzania danych klientów.

Kto jest kim w takim układzie?

RODO a chatboty - kto odpowiada za dane klientów?

W tym układzie podmiot, który odpowiada za cele i sposoby przetwarzania danych - firma X = administrator danych osobowych. Dostawca chatbota = podmiot przetwarzający.

Dostawca chatbota również może przetwarzać dane osobowe użytkowników komunikujących się z botem.

Pomiędzy firmą X (administratorem danych osobowych) a firmą Y - dostawcą chatbota (podmiotem przetwarzającym) będzie musiała być podpisana umowa powierzenia przetwarzania danych osobowych (należy wybrać takiego dostawcę chatbota, który będzie gwarantował wdrożenie odpowiednich środków technicznych i organizacyjnych).

O czym powinien pamiętać marketer w związku z RODO?

Każdy marketer - jeszcze na etapie planowania nowych działań marketingowych - powinien pamiętać o:

• konieczności zaprojektowania ochrony danych osobowych w nowych działaniach marketingowych, w których będą przetwarzane dane osobowe;
• konieczności przeprowadzania oceny skutków przetwarzania dla ochrony danych osobowych w przypadku planowania nowych działań marketingowych z wykorzystaniem danych osobowych lub w przypadku, gdy w dotychczasowych działaniach marketingowych następuje zmiana wpływająca na ochronę danych osobowych;
• konieczności regularnej aktualizacji przeprowadzonej oceny skutków przetwarzania;

O czym powinien pamiętać marketer w związku z RODO?

Każdy marketer - jeszcze na etapie planowania nowych działań marketingowych - powinien pamiętać o:

• konieczności wcześniejszego zaplanowania działań marketingowych – w przypadku, gdy z oceny skutków przetwarzania wyjdzie wysokie ryzyko dla praw lub wolności osób, których dane dotyczą, niezbędne będą jeszcze konsultacje z organem nadzorczym, które mogą potrwać nawet ok. 8 tygodni (a termin ten może być przedłużony);
• konieczności uwzględnienia nowych obowiązków informacyjnych wobec osób, których dane osobowe będą przetwarzane dla celów marketingowych;
• brak możliwości łatwego kupowania baz danych marketingowych zawierających dane osobowe - ograniczenie możliwości wykonywania „cold call” do potencjalnych klientów;

RODO w marketingu  i sprzedaży - zagadnienia praktyczne vol. 2

RODO a wysyłanie newslettera

Aby wysyłać newsletter legalnie administrator danych osobowych musi:

• powiadomić kto będzie zbierał dane i do jakich celów;
• uzyskać zgodę od osoby, która będzie otrzymywać newsletter - najlepiej w modelu Double Opt-in, a więc wraz z linkiem weryfikacyjnym, do którego będzie dołączona klauzula informacyjna;
• odnotować fakt zbierania danych w rejestrze czynności przetwarzania danych;
• dbać o aktualność i prawidłowość danych na przyszłość.

 Newslettera a obowiązki informacyjne

Administratorem Twoich danych osobowych jest Jan Kowalski, ul. Mazowiecka 1, Warszawa e-mail: kontakt@jankowalski.pl. Podstawą prawną przetwarzania Twoich danych osobowych będzie Twoja zgoda, którą wyraziłeś, zaznaczając stosowne checkboxy w formularzu zapisu do newslettera, a którą potwierdzisz, klikając w powyższy link.

Twoje dane zostaną zapisane w bazie systemu MailChimp/GetReponse etc. i będą przechowywane na serwerze znajdującym się w Stanach Zjednoczonych Ameryki (USA). Bez obaw - MailChimp przystąpił do programu Tarczy Prywatności i zapewnia odpowiedni poziom ochrony danych osobowych wymagany przez przepisy europejskie. Twoje dane będą przetwarzane przez czas prowadzenia przeze mnie działalności gospodarczej, chyba że wcześniej zrezygnujesz z otrzymywania newslettera, co spowoduje usunięcie danych z bazy.

 Newsletter a obowiązki informacyjne - c.d.

Będziesz mieć prawo żądania dostępu do swoich danych osobowych oraz do ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych – na zasadach określonych w art. 16 – 21 RODO.

Twoje dane będą przetwarzane wyłącznie w celu przesyłania Ci newslettera.

W każdej chwili będziesz mógł zrezygnować z otrzymywania newslettera.

Jeżeli uznasz, że Twoje dane są przetwarzane niezgodnie z przepisami prawa, będziesz mógł wnieść skargę do organu nadzorczego.

Podanie danych jest dobrowolne, ale niezbędne, by otrzymywać newsletter.

MailChimp i GetResponse a RODO

• Podmiot, który zleca wysyłkę newslettera = administrator danych osobowych
• Dostawca systemu mailingowego = podmiot przetwarzający

​

Czy w przypadku korzystania z systemów mailingowych konieczne jest zawarcie umowy powierzenia przetwarzania danych?

Tak. Na stronach dostawców systemów mailingowych typu MailChimp, FreshMail czy GetResponse znajduje się link, który pozwoli wygenerować automatycznie umowę powierzenia:

https://mailchimp.com/legal/forms/data-processing-agreement/?_ga=2.95611098.710127398.1524772391-1955024402.1524772391

MailChimp i GetResponse a RODO

Rabat lub prezent za zielone światło na przetwarzanie danych?

Wiele firm przy zamówieniu usługi, m.in. internetu czy telewizji, proponuje swoim klientom ulgę finansową (np. w wysokości kilku złotych miesięcznie) w zamian za wyrażenie zgody na komunikację marketingową poprzez np. e-mail oraz SMS. Zgodę można cofnąć w dobrowolnym momencie trwania umowy, jednak trzeba się przy tym liczyć ze zwiększeniem abonamentu o wysokość rabatu. Czy RODO daje zielone światło na tego typu działanie?

Rabat lub prezent za zielone światło na przetwarzanie danych?

RODO daje zielone światło na takie działanie.

Firmy mają prawo aktywnie zachęcać klientów, aby udzielali zgód na przetwarzanie danych, np. poprzez promocje czy programy lojalnościowe.

Warunek?

Klient w trakcie zamawiania usługi ma mieć zapewnioną pełną swobodę (wybór) w zakresie udzielania bądź nie zgody na komunikowanie się z nim w celach marketingowych Zgoda na przetwarzanie może być w każdej chwili cofnięta.

RODO a rozporządzenie ePrivacy

Rozporządzenie ePrivacy - czego dotyczą nowe przepisy?

Rozporządzenie ePrivacy - kogo dotyczą nowe przepisy?

Przepisy rozporządzenia ePrivacy nakładają obowiązki na wszelkich dostawców usług łączności online, takich jak np.

• WhatsApp, Facebook Messenger, Skype, Gmail, iMessage oraz Viber a także
• dostawców publicznie dostępnych spisów numerów oraz
• dostawców oprogramowania umożliwiającego łączność elektroniczną, łącznie z odzyskiwaniem i przedstawianiem informacji w sieci.

Terytorialnie rozporządzenie obejmuje wszelkie usługi łączności elektronicznej świadczone odbiorcom usług znajdującym się w Unii Europejskiej, korzystanie z takich usług oraz przetwarzanie informacji związanych ze sprzętem elektronicznym użytkowników znajdujących się w UE.

Rozporządzenie ePrivacy - kogo chronia nowe przepisy?

Zakresem ochrony przepisów ePrivacy są objęte:

• osoby fizyczne i osoby prawne, korzystające z usług łączności elektronicznej,
• w celu wysyłania materiałów handlowych w ramach marketingu bezpośredniego, lub
• gromadzące informacje związane ze urządzeniem elektronicznym użytkowników, bądź przechowywane na takim urządzeniu (jak np. pliki cookies).

Rozporządzenie ePrivacy jest komplementarne do RODO, a jednocześnie stanowi wobec niego regulację szczególną, w przypadku gdy dane pozyskiwane w związku ze świadczeniem usług łączności są danymi osobowymi.

Rozporządzenie ePrivacy a RODO

We wszystkich kwestiach danych osobowych, które nie zostały uregulowane wprost w rozporządzeniu ePrivacy, stosuje się RODO.

ePrivacy nakazuje stosowanie gwarancji wynikających z RODO również do danych osób prawnych (obowiązek wdrożenia odpowiednich środków bezpieczeństwa danych, a także warunki pozyskiwania zgody określone w RODO).

Obowiązek przeprowadzenia oceny skutków dla bezpieczeństwa danych (data privacy impact assessment), jeśli przetwarzanie wiąże się z wysokim ryzykiem naruszenia praw i wolności użytkowników urządzeń końcowych (w szczególności w przypadku przetwarzania metadanych).

Retencja danych: stosowane przepisy RODO w stosunku do danych osobowych.

Rozporządzenie ePrivacy - kogo chronia nowe przepisy?

Jakie dane są objęte ochronę rozporządzenia ePrivacy?

• Rozporządzenie dotyczy danych w zakresie w jakim sieci łączności są udostępniane nieokreślonej grupie użytkowników (np. publiczne hot spoty).
• Nie ma ono  zastosowania do sieci firmowych, dostępnych dla użytkowników wyłącznie jednej organizacji.

ePrivacy ma również zastosowanie do komunikatów przesyłanych w trybie maszyna-maszyna, jeśli dochodzi do przekazywania sygnału w ramach sieci. Ma to w szczególności zastosowanie do rozwiązań opartych na internecie rzeczy (Internet of Things, IoT).

Jakie zmiany w zakresie ochrony poufności komunikacji

w łączności elektronicznej zakłada

rozporządzenie ePrivacy?

Zmiany wprowadzone przez rozporządzenie ePrivacy

ePrivacy chroni poufność informacji pozyskiwanych zarówno w związku ze świadczeniem tradycyjnych usług łączności, jak również pozyskiwanych w związku z opartymi na Internecie usługami umożliwiającymi komunikację jak np.:

• usługi telefonii internetowej (VoIP) np. Skype,
• komunikatory internetowe (Messenger, WhatsApp),
• usługi poczty elektronicznej przez internet (tzw. usługi OTT).

Zasada ochrony poufności danych pochodzących z komunikacji elektronicznej:

Zmiany wprowadzone przez rozporządzenie ePrivacy

ePrivacy chroni poufność danych pochodzących z komunikacji elektronicznej, która obejmuje zarówno:

• treść komunikacji elektronicznej, czyli tekst, głos, dźwięk, obraz,
• jak i metadane pochodzące z takiej komunikacji takie jak: data, godzina, wybierany numer, czas trwania rozmowy czy lokalizację użytkownika.

Zasada ochrony poufności danych pochodzących z komunikacji elektronicznej:

Zasady korzystania z danych z łączności elektronicznej:

Zasada: Wszystkie dane pochodzące z łączności traktowane są jako poufne = zakazane jest przechwytywanie danych, tj. słuchanie, czytanie, skanowanie, czy przechowywanie danych, a także monitorowanie odwiedzanych stron, interakcji z innymi użytkownikami etc.

Przetwarzanie danych możliwe tylko w szczególnych przypadkach:

• na przetwarzanie danych np. dla celów marketingowych, należy uzyskać uprzednią zgodę użytkownika. Zgoda taka powinna spełniać warunki określone w RODO, czyli w szczególności być dobrowolna, świadoma i jednoznaczna;
• dostęp do informacji przechowywanych na urządzeniu końcowym (np. listy kontaktów, zdjęć przechowywanych w telefonie) wyłącznie za zgodą użytkownika oraz w konkretnych i przejrzystych celach.

Zasady korzystania z danych z łączności elektronicznej:

• wyjątek: dane pochodzące z łączności mogą być przetwarzane np. w celu zapewnienia bezpieczeństwa i ciągłości, a także odpowiedniej jakości usług łączności elektronicznej bez wyraźnej zgody użytkownika;
• dostępne opcje prywatności: przed instalacją oprogramowania należy przedstawić użytkownikowi dostępne opcje prywatności i poprosić o dokonanie wyboru;
• zgody za pomocą ustawień przeglądarki internetowej -  wyraźne działanie ze strony użytkownika (konkretna zgoda) np. na przechowywanie plików cookie podmiotów trzecich.
• należy spełnić obowiązki informacyjne względem użytkownika = w sposób jasny i zrozumiały o celach przetwarzania danych i sposobie wykorzystania danych (np. kompilowanie danych z historii przetwarzania i wykorzystywaniu ich do wysyłania reklam ukierunkowanych).

Zmiany wprowadzone przez rozporządzenie ePrivacy

Do tej pory użytkownicy otrzymywali zbyt dużą ilość próśb o zaakceptowanie tzw. ciasteczek.

Zgodnie z ePrivacy użytkownicy w ustawieniach przeglądarek mogą trwale zaakceptować bądź odrzucić wybrane przez siebie cookies

= informacja o ciasteczkach będzie musiała być udzielona przy każdej instalacji przeglądarki, a nie przy każdym wyświetleniu nowej strony.

Nie wymagają już zgody użytkownika ciasteczka, które nie stwarzają zagrożenia dla prywatności, a ułatwiają korzystanie ze strony – np. pliki zapamiętujące zawartość koszyka w sklepie internetowym.

Uproszczenie przepisów dotyczących plików cookie

Zmiany wprowadzone przez rozporządzenie ePrivacy

Zgodnie z ePrivacy istnieje zakaz wysyłania do użytkowników niechcianych wiadomości, niezależnie od sposobu komunikacji – zarówno niechcianych SMS-ów, mailingu, jak i telefonicznego marketingu, jeżeli użytkownik nie wyrazi na nie zgody.

Co więcej, państwa członkowskie UE mogą na własną rękę zastosować rozwiązania oferujące obywatelom możliwość zastrzeżenia, że nie życzą sobie otrzymywania niechcianych połączeń od telemarketerów w ogóle. 

Firmy telemarketingowe muszą stosować specjalne numery telefonów lub prefiksy przed numerami wskazujące na to, że połączenie przychodzące będzie rozmową marketingową.

Lepsza ochrona przed spamem

Zmiany wprowadzone przez rozporządzenie ePrivacy

Naruszenie przepisów ePrivacy może skutkować:

• nałożeniem administracyjnej kary pieniężnej w kwocie nawet do 10 milionów euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy,
• za nieprzestrzeganie zasad poufności komunikacji, czy legalności przetwarzania danych pochodzących z łączności elektronicznej może być ukarane kwotą do 20 milionów euro i do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy.

Surowe kary za naruszenie przepisów o prywatności

ePriavacy zakłada możliwość uzyskania rekompensaty z tytułu poniesionej szkody majątkowej lub niemajątkowej w wyniku naruszeń przepisów e-prywatności.

Zmiany wprowadzone przez rozporządzenie ePrivacy

Możliwość uzyskania rekompensaty za naruszenie przepisów o prywatności

ePriavacy zakłada możliwość uzyskania rekompensaty z tytułu poniesionej szkody majątkowej lub niemajątkowej w wyniku naruszeń przepisów e-prywatności.

RODO a prawa podmiotów danych

Prawo do wyrażenia świadomej zgody na przetwarzanie

Zapytanie o zgodę musi być Ci przedstawione w jasny i zwięzły sposób, pozwalający wyraźnie odróżnić je od pozostałych kwestii podanych w tekście, takich jak warunki korzystania z określonej usługi. Zapytanie o zgodę musi być napisane zrozumiałym językiem.

Zapytanie musi dokładnie określać, w jaki sposób dane osobowe zostaną wykorzystane, oraz zawierać dane kontaktowe podmiotu zajmującego się przetwarzaniem danych.

Aby firma mogła uznać, że ma prawo przetwarzać Twoje dane, musi uzyskać zgodę wyrażoną przez Ciebie w sposób dobrowolny, konkretny i świadomy.

Prawo do wyrażenia dobrowolnej zgody na przetwarzanie

„Świadoma zgoda” oznacza, że zanim ją wyrazisz powinieneś otrzymać informacje o procesie przetwarzania danych osobowych, określające co najmniej:

• tożsamość firmy/organizacji przetwarzającej dane;

• zamierzone cele przetwarzania danych;

• rodzaj przetwarzanych danych;

• możliwość wycofania zgody (przykład: możliwość wysłania wiadomości e-mail zawierającej wycofanie zgody);

• jeśli dotyczy - informację o tym, że dane zostaną wykorzystane do celów całkowicie zautomatyzowanego podejmowania decyzji, w tym profilowania;

• informację o tym, czy zgoda dotyczy międzynarodowego przekazywania danych osobowych, o możliwym ryzyku związanym z przesłaniem danych do krajów spoza UE.

Czy mogę odmówić rejestrowania rozmowy telefonicznej?

Tak. Co więcej, podmiot, który będzie chciał zarejestrować rozmowę będzie miał obowiązek zapytać Cię o to, czy zgadzasz się aby rozmowa była rejestrowana - a nie jedynie poinformować tak jak to było do tej pory:

"Informuję jedynie, że rozmowa może być rejestrowana".

Informacja powinno brzmieć:

Nazywamy się X. Mamy Pani/Pana dane osobowe od X, które uzyskaliśmy na podstawie....  Dzwonimy do Pani/Pana w celu ....Czy wyraża Pan/Pani zgodę abyśmy mogli zarejestrować naszą rozmowę? Zapis naszej rozmowy będzie wykorzystywany w celach.....

Kiedy można żądać ode mnie danych dot. przekonań religijnych lub poglądów politycznych?

Szczególne kategorie danych takie jak:

• pochodzenie rasowe lub etniczne;
• poglądy polityczne;
• przekonania religijne lub światopoglądowe;
• przynależność do związków zawodowych;
• przetwarzanie danych genetycznych;
• dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej;
• zdrowie;
• seksualność lub orientacja seksualna.

​to dane uznawane za „wrażliwe” i na mocy RODO podlegają szczególnej ochronie.

Kiedy można żądać ode mnie danych dot. przekonań religijnych lub poglądów politycznych?

Ogólna zasada mówi, że przetwarzanie wymienionych powyżej typów danych jest zabronione. Wyjątki, kiedy firma lub organizacja może przetwarzać wrażliwe dane osobowe, występują gdy:

• osoba, której dane wrażliwe dotyczą, w sposób oczywisty udostępniła je publicznie;
• osoba, której dane wrażliwe dotyczą, wyraźnie udzieliła na to zgody;
• przepisy prawa określają szczególny rodzaj przetwarzania danych w określonym celu związanym z interesem publicznym lub zdrowiem;
• przepisy prawa zawierające odpowiednie zabezpieczenia przewidują przetwarzanie danych w takich dziedzinach, jak zdrowie publiczne, zatrudnienie i ochrona socjalna.

Kiedy można żądać ode mnie danych dot. przekonań religijnych lub poglądów politycznych?

Przykład:

Główny Urząd Statystyczny (organ państwowy) regularnie organizuje spis powszechny. Otrzymujesz link do ankiety, którą masz obowiązek wypełnić. Zawiera ona pytania o płeć i pochodzenie rasowe lub etniczne.

Czy taka ankieta jest zgodna z prawem?

Tak, gdyż służy celom interesu publicznego i zawiera odpowiednie zabezpieczenia danych wrażliwych (np. dostęp do danych mają wyłącznie uprawnione osoby opracowujące wyniki spisu).

GUS może przetwarzać dane szczególnie chronione. Ale już prywatna firma musiałaby uzyskać Twoją wyraźną zgodę na przetwarzanie danych szczególnie chronionych przez prawo.

Co oznacza przyznane mi prawo do bycia zapomnianym?

Prawo do zapomnienia to uprawnienie osoby, której dane dotyczą, do żądania usunięcia jej danych, jeśli:

• są one nieprawdziwe lub
• zostały zebrane w sposób sprzeczny z prawem.​

Prawo do bycia zapomnianym to prawo zaprzestania przetwarzania danych danej osoby sprowadzające się do usunięcia publicznie dostępnych informacji o takim przetwarzaniu.

ALE! Prawo do bycia zapomnianym nie może ingerować w bezpieczeństwo innych danych osobowych lub jest nadmierne do celów. ADO nie będzie musiał ingerować w back-up, jeśli wymagałoby to podjęcia nadmiernych wysiłków technicznych i kosztowych.

RODO a prawo do bycia zapomnianym

W dwóch przypadkach administrator może odmówić prawa do zapomnienia: 

• gdy istnieje przepis prawa, który nakazuje przetwarzanie/przechowywanie danych osobowych przez określony czas, dotyczy to, np. dokumentacji medycznej, kadrowej, księgowej;
• dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń, np. przez internet kupiliśmy telefon komórkowy, i sprzedawca nie może od razu usunąć danych, bo kupującemu przysługuje prawo do reklamacji.

Co się stanie, gdy nastąpi wyciek moich danych?

Dojdzie wtedy do naruszenia przepisów o ochronie danych osobowych.

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

W takich sytuacjach administrator danych osobowych musi niezwłocznie zgłosić to organowi nadzorczemu.

Jeżeli istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych -  osoba, której dane dotyczą, także musi zostać powiadomiona o takim naruszeniu.

Co się stanie, gdy nastąpi wyciek moich danych?

Przykład:

Zamawiasz taksówkę za pośrednictwem aplikacji internetowej.

Firma przewozowa ucierpiała z powodu poważnego naruszenia ochrony danych osobowych, polegającego na wykradzeniu danych kierowców oraz klientów. Okazało się, że dane osobowe nie były chronione za pomocą konkretnych zabezpieczeń.

• Firma:  miała obowiązek powiadomić o tym naruszeniu swoich klientów.
• Ty: masz prawo złożyć skargę przeciwko firmie przewozowej do organu ochrony danych

Nowe obowiązki administratora danych osobowych i podmiotu przetwarzającego

Administrator danych osobowych

Warto, aby każda firma miała wybraną osobę, która będzie całościowo odpowiedzialną za przetwarzanie danych osobowych w firmie.

Obowiązki administratora danych wg RODO:

Przykład: sklep internetowy

Obowiązki administratora dzielą się na dwa podstawowe rodzaje:

• Obowiązki zewnętrze to wszystkie te, które widzi użytkownik zaraz po odwiedzeniu strony www: polityka prywatności, klauzula informacyjna, treści zgód na  przetwarzanie danych (checkboxy) ;
• Obowiązki wewnętrzne (niewidoczne dla konsumenta) - zabezpieczenia organizacyjne i techniczne przechowywanych danych np. odpowiednio mocne hasło dostępu do CRM, hasło do systemu mailingowego, protokół SSL na stronie etc.; dokumentacja wymagana przez RODO, umowa powierzenia z podmiotami, które przetwarzają dane, np. z dostawcą systemu mailingowego.​

Administratorzy = sprzedawcy online powinni zaktualizować zasady korzystania, regulaminy i politykę prywatności swoich serwisów, aby spełniały wszystkie wymogi RODO.

Podmiot przetwarzający

Podmiot przetwarzający:

• dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora (obowiązki podmiotu przetwarzającego względem administratora są określone w umowie);
• jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy.

Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym akcie prawnym.

Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych.

Podmiot przetwarzający

Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, w tym usług przechowywania danych w chmurze.

Podmiotem przetwarzającym może być podmiot świadczący usługi CRM-owe lub związane z helpdeskiem, który przetwarza dane swoich kontrahentów.

Rejestr kategorii czynności przetwarzania

Podmiot przetwarzający ma obowiązek prowadzić "rejestr kategorii czynności przetwarzania". Kategoria czynności przetwarzania (kategoria przetwarzań) to rodzaj usługi realizowanej przez podmiot przetwarzający na zlecenie administratora związanej ze zleconymi czynnościami przetwarzania.  Rodzajami takich usług mogą być np.:

• przechowywanie danych klienta (administratora) rozumiane jako udostępnienie zamawiającemu określonej przestrzenii dyskowej w infrastrukturze przetwarzającego na przechowywanie danych, którymi zlecający (ADO) sam zarządza - np. wykonuje kopie zapasowe danych elektronicznych;
• udostępnianie klientowi (administratorowi) mocy obliczeniowej procesorów, przestrzenii pamięci operacyjnej i dyskowej;
• udostępnianie klientowi (administratorowi) określonej platformy programistyczmej (np. serwera www do prowadzenia własnej strony www);

Rejestr kategorii czynności przetwarzania

• przechowywanie dokumentacji podatkowej, księgowej, kadrowej i medycznej;
• prowadzenie dokumentacji podatkowej, księgowej, kadrowej;
• archiwizacja danych elektronicznych;
• skanowanie i digitalizacja danych;
• niszczenie nośników informacji.

W odróżnieniu od rejestru czynności - rejestr kategorii czynności nie obejmuje:

• celów przetwarzania,
• opisu kategorii osób, których dane dotyczą,
• kategorii danych osobowych; oraz
• kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione.

Jak wybrać odpowiednie środki bezpieczeństwa?

Administrator danych odpowiada za legalność wszelkich operacji wykonywanych na danych osobowych i decyduje o tym, jakie środki techniczne i organizacyjne należy podjąć.

Wybrane przez administratora środki techniczne i organizacyjne powinny być oparte na przeprowadzonej wcześniej ocenie ryzyka - dokumenty mają uzasadniać podjętą decyzję administratora o wyborze takich, a nie innych środków ochrony danych osobowych.

Jedną z kluczowym zasada RODO jest zasada rozliczalności - administrator ma ma zadanie wykazać (właśnie poprzez dokumentację), że podjął środki ochrony danych osobowych adekwatne do zakresu przetwarzania danych.

Jakie środki bezpieczeństwa powinien zastosować ADO?

O tym, jakie środki bezpieczeństwa będzie należało podjąć decydować będą 4 elementy:

• charakter
• zakres
• kontekst
• cele przetwarzania danych osobowych.

Ale w pierwszej kolejności należy zweryfikować jakie dane osobowe przetwarzamy oraz przeprowadzić ich porządki.

Weryfikacja = jakie dane przetwarzamy?

Pierwszym krokiem jest weryfikacja aktualnej sytuacji danych osobowych w firmie:

• jakie dane osobowe są przetwarzane w firmie?
• w jakiej formie przetwarzane są dane - w formie elektronicznej? papierowej? innej?
• jak można pogrupować dane, które firma przetwarza obecnie (kategorie danych)
• jaki jest cel i zakres przetwarzania danych?
• legalność przetwarzania danych: jaka jest podstawa przetwarzania danych? czy firma dysponuje odpowiednimi zgodami?
• poprawność (aktualność, kompletność) danych oraz ich adekwatność do celu przetwarzania?

Dane powinny zostać uporządkowane

Dane powinny zostać pogrupowane zgodnie z definicją zbioru danych.

Zbiór danych = uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Np. zbiór danych klientów, zbiór danych kandydatów do pracy czy zbiór danych kontrahentów.

Kolejna weryfikacja

Przykład: zbiór danych kontrahentów. Weryfikacja:

• Jaka jest podstawa prawna przetwarzania danych? Zgoda? Kto jej udzielił?
• Jaki jest zakres przetwarzania danych? Czy taki zakres danych jest nam niezbędny?
• Jaki jest cel przetwarzania akurat tych danych?
• Czy posiadamy odpowiednie środki zabezpieczające wobec tego zbioru?
• Jaki jest okres przetwarzania tych danych? Przez jaki czas te dane powinny być jeszcze przetwarzane?
• Jaka jest forma przetwarzania tych danych osobowych?

Dalsza weryfikacja i dostosowywanie dokumentacji

Działania w zakresie legalności przetwarzania danych:

• posiadanie prawidłowych zgód na przetwarzanie danych osobowych;
• wprowadzanie i aktualizowanie klauzul informacyjnych zgodnie z obowiązkiem z art. 13 RODO;
• weryfikacja i dostosowanie umów powierzenia przetwarzania danych do nowych współprac;
• zadbanie o to, aby każdy z pracowników/współpracowników uzyskał odpowiednie do charakteru jego pracy upoważnienie do przetwarzania danych osobowych.

Obowiązek dokonania oceny skutków przetwarzania

Należy przeprowadzić ocenę skutków przetwarzania danych osobowych:

• wykonywania operacji przetwarzania wiążących się z wysokim ryzykiem naruszenia praw i wolności;
• zautomatyzowane przetwarzanie danych (profilowanie);
• przetwarzanie na dużą skalę danych wrażliwych;
• systematyczne monitorowanie na dużą skalę miejsc publicznych.

Rekomendacja: Warto przeprowadzić ocenę skutków dla każdego przetwarzania, nawet jeśli przetwarzamy tylko dane niewielkiej ilości klientów.

Proces przeprowadzania oceny skutków przetwarzania

Analiza ryzyka i podejście oparte na ryzyku jest kluczowe dla zrozumienia i zrealizowania obowiązków wynikających.

Podejście oparte na ryzyku oznacza, że:

• odchodzimy od sztywno określonych środków bezpieczeństwa danych (określone hasło, polityka bezpieczeństwa, zgłoszenie danych do GIODO itd.);

• dobór odpowiednich środków zależy od oceny ryzyka;

• opiera się na zasadzie proporcjonalności (nie zbieramy za dużo danych);

• ocena następuje w oparciu o elementy wskazane w RODO;

• uwzględnić należy perspektywę podejścia, tj. ochronę praw i wolności osób fizycznych.

Proces przeprowadzania oceny skutków przetwarzania

Ocenę skutków przetwarzania można przeprowadzić w tej kolejności:

• opis planowanych operacji przetwarzania;
• ocena konieczności i proporcjonalności;
• środki zaplanowane w celu wykazania zgodności;
• ocena ryzyka naruszenia praw i wolności podmiotów danych;
• środki zaplanowane w celu wyeliminowania ryzyka;
• dokumentacja - raport z przeprowadzonej analizy ryzyka (analizy skutków przetwarzania);
• monitorowanie i aktualizacja oceny skutków przetwarzania.

Rejestr czynności przetwarzania

Co to są "czynności przetwarzania"?

W kontekście obowiązku określonego w art. 30 ust. 1 RODO przyjąć należy, że czynności przetwarzania to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.

Obowiązek prowadzenia rejestru czynności spoczywa na administratorze danych osobowych ALE rejestr czynności przetwarzania to praca zespołowa = za jego poprawność odpowiadają wszystkie działy w firmie.

Dlaczego warto prowadzić rejestr czynności?

Rejestr czynności przetwarzania = bezpieczeństwo dla administratora

•  Rejestr jest przydatny szczególnie w kontekście wykazania zgodności wykonywanych czynności przetwarzania z przepisami RODO - jeśli w rejestrze dla każdej czynności wskażemy np. przepis prawa dający podstawę przetwarzania danych w ramach danej czynności, czy np. w odniesieniu do informacji wysyłanej drogą elektroniczną wskażemy sposób jej zabezpieczenia, wówczas łatwiej w przypadku kontroli będzie wykazać nam zgodność z zasadami RODO.                          
• Podczas jego tworzenia, aktualizacji i przeglądania będzie przypominał samemu administratorowi o obowiązku zapewnienia określonych w RODO zasad i warunków przetwarzania.               

W rejestrze zamieszcza się następujące informacje:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych (dane zwykłe, dane wrażliwe);
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
• gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
• opcjonalnie - planowane terminy usunięcia poszczególnych kategorii danych;
• opcjonalnie - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania

W rejestrze czynności mogą znaleźć się również (nieobligatoryjnie) takie elementy jak:

• wskazanie podstawy prawnej przetwarzania,
• wskazanie źródła pozyskania danych,
• wskazanie użytego do przetwarzania systemu informatycznego,

• informacje dotyczące przeprowadzonej oceny skutków dla ochrony danych itp.

Rejestry mają formę pisemną, w tym formę elektroniczną.

Rejestr nie jest dokumentem jawnym. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego mają obowiązek udostępnić rejestr na żądanie organu nadzorczego.

Rejestr czynności  = dokument operacyjny

Rejestr czynności przetwarzania to dokument operacyjny służący do weryfikacji nie tylko spełnienia samego obowiązku z art. 30 RODO ale również tego, czy nasze działanie wewnątrz organizacji są poprawne z punktu widzenia:

• zasad przetwarzania danych,
• ochrony praw podmiotów danych,
• oraz - w konsekwencji - pozostałych obowiązków, które nakłada na nas RODO.

​Rejestr czynności powinien być na bieżąco aktualizowany przez ADO.

Na podstawie rejestru czynności przetwarzania możemy dokonać pierwszych analitycznych czynności związanych z oceną ryzyka przetwarzania danych.

Cel przetwarzania danych osobowych

Przykład: rekrutacja pracowników:

W przypadku rekrutacji pracowników, jeden cel będzie obejmował wiele cząstkowych operacji niewymagających szczegółowego ich opisywania w rejestrze, takich jak:

• pozyskiwanie informacji o kandydatach z ofert nadesłanych w wyniku ogłoszenia,
• dokonywanie ich selekcji,
• uzyskiwanie dodatkowych informacji w ramach przeprowadzania wywiadów z wybranymi osobami,
• usunięcie danych osób, które nie zostały wskazane do zatrudnienia itp.
• Nie ma konieczności opisywania każdej poszczególnej operacji wykonywanej na danych w procesie określonym zbiorczo „rekrutacja pracowników”.

Cel przetwarzania danych osobowych

Przykład: obsługa umów sprzedaży:

Podobnie w przypadku przetwarzania danych w celu obsługi umów sprzedaży określonych towarów i usług jako „czynność przetwarzania” wskazać można ogólnie np. „obsługa umów sprzedaży”, bez konieczności wpisywania do rejestru cząstkowych operacji wykonywanych w ramach tego procesu, takich jak:

• rejestrowanie danych nabywcy (klienta),
• wystawienie faktury, wydanie klientowi oryginału faktury itd.

Nie ma zatem obowiązku opisywania każdej poszczególnej operacji wykonywanej na danych, takiej jak np. zbieranie, utrwalanie, porządkowanie, usuwanie. Rejestr powinien obejmować opis poszczególnych zespołów operacji związanych zbiorczo z realizacją określonego celu przetwarzania.

Kto (nie) jest zobowiązany do prowadzenia rejestru?

Obowiązki dokumentacyjne według RODO

Dokumentacja wewnętrzna administratora:

• rejestr czynności przetwarzania,
• raport z analizy ryzyka (jeśli analiza była przeprowadzona)
• rejestr naruszeń,
• rejestr uprawnień (upoważnienia do przetwarzania danych dla pracowników i współpracowników),
• standardy zabezpieczeń,
• rejestr urządzeń - rejestr urządzeń, w tym mobilnych, na których są lub mogą  być przetwarzane dane osobowe,
• lista oprogramowania - wykaz wykorzystywanych systemów (+ podpisane z dostawcami tych oprogramowań umowy powierzenia danych osobowych),
• politykę bezpieczeństwa/standardy zabezpieczeń.

Rejestr czynności przetwarzania

Upoważnienie do przetwarzania danych osobowych

Upoważnienie

dla X [stanowisko]

do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych na zajmowanym stanowisku. 

X uzyskuje upoważnienie do przetwarzania danych osobowych w zakresie [...].

Upoważnienie jest ważne w okresie zatrudnienia/wykonywania czynności na rzecz XYZ [administrator danych]. Upoważnienie jest podstawą do nadania X uprawnienia do poszczególnych Systemów informatycznych funkcjonujących w YXZ.

Rejestr urządzeń przetwarzających dane osobowe

Rejestr urządzeń przetwarzających dane osobowe w firmie może zawierać informacje dot.:

• typu urządzenia (desktop, laptop, smartphone)
• nazwy urządzenia (marka, model)
• numerze seryjnym
• systemie operacyjnym wykorzystywanym przez urządzenie
• zainstalowanym oprogramowaniu
• dacie wpisu do rejestru
• daty wydania użytkownikowi
• imienia i nazwiska użytkownika (korzystającemu z urządzenia)
• data zwrotu przez użytkownika
• data wykreślenia z rejestru
• inne informacje na temat np. środków zastosowanych przez wyrejestrowaniem.

Lista oprogramowania

Odpowiednie środki techniczne i organizacyjne

Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne:

• uwzględniając stan wiedzy technicznej,

• koszt wdrażania oraz

• charakter, zakres, kontekst i cele przetwarzania oraz

• ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, po to, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Standardy zabezpieczeń

• sposoby zabezpieczenia systemu informatycznego;
• zasady dotyczące haseł;
• tryb pracy na poszczególnych stacjach roboczych;
• nadawanie upoważnień i uprawnień do przetwarzania danych osobowych w systemach informatycznych;
• odbieranie uprawnienia do przetwarzania danych osobowych w systemach informatycznych;
• kopie zapasowe - regularnie wykonuje się kopie zapasowe wszystkich baz danych;

Standardy zabezpieczeń

• likwidacja nośników zawierających kopie danych osobowych;
• ochrona przed wirusami lub malware;
• tryb pracy na komputerach przenośnych i urządzeniach mobilnych;
• korzystanie z zewnętrznych nośników pamięci (pen drive, CD, DVD, dyski przenośne);
• korzystanie z drukarek;

Zgłoszenie naruszenia ochrony danych osobowych

Zgłoszenie musi być dokonane w przypadku stwierdzenia naruszenia ochrony danych osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. → OBOWIĄZEK BEZWZGLĘDNY (art. 33 ust. 3 RODO)

Zgłoszenie musi co najmniej:

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko administratora - punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych,

Zgłoszenie naruszenia ochrony danych osobowych

Czas reakcji: dokonania zgłoszenia należy dokonać w okresie do 72 godzin od zdarzenia → w przypadku opóźnienia w dokonaniu zgłoszenia należy do niego dołączyć wyjaśnienie przyczyn opóźnienia.

Dokumentacja naruszeń ochrony danych osobowych

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. (art. 33 ust. 5 RODO)

Obowiązki dokumentacyjne według RODO

Dokumentacja zewnętrzna administratora danych osobowych  

= wszystkie te, które podmiot danych widzi podczas kontaktu z administratorem danych (najczęściej podczas wejścia na stronę www):

• klauzula informacyjna z art. 13 RODO,

• polityka prywatności,

• treści zgód na przetwarzanie danych osobowych (checkboxy).

Treść klauzuli informacyjnej - art. 13 RODO

Administratorem Pani/Pana danych osobowych jest: XYZ z siedzibą XYZ Warszawa.

Celem przetwarzania Pani/Pana danych osobowych jest np. przesyłanie informacji o nowych usługach i promocjach Administratora oraz pozostanie w kontakcie z osobami, które za pośrednictwem serwisu www nawiązały kontakt z Administratorem. Podstawą prawną przetwarzania danych osobowych jest zapisanie się do bazy osób zainteresowanych usługami Administratora.

 

Administrator danych osobowych nie przewiduje przekazywania Pani/Pana danych osobowych innym odbiorcom lub do państwa trzeciego.
Pani/Pana dane osobowe będą przechowywane przez okres prowadzenia działalności  przez Administratora.

Treść klauzuli informacyjnej - art. 13 RODO

Administrator informuje, że ma Pani/Pan prawo dostępu do danych osobowych, jak również ma Pani/Pan prawo do ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz ma Pani/Pan prawo do wniesienia sprzeciwu wobec przetwarzania, a także ma Pani/Pan prawo do przenoszenia danych.

Administrator informuje, że ma Pani/Pan prawo do wniesienia skargi do organu nadzorczego.

 

Administrator informuje, że podanie danych osobowych dobrowolne, lecz jest niezbędne do korzystania otrzymywania informacji z nowymi usługami i promocjami.
 Administrator informuje, że nie są stosowane automatyczne metody podejmowania decyzji w tym oparte na profilowaniu.

RODO a polityka prywatności

Każdy podmiot przetwarzający dane osobowe osób fizycznych powinien posiadać dokument o nazwie "Polityka prywatności".

W "Polityce prywatności" powinny znaleźć się informacje o tym:

• kto jest administratorem danych osobowych,

• w jaki sposób administrator pozyskuje dane,

• jaka jest podstawa prawna przetwarzania danych,

• jaki jest cel przetwarzania danych osobowych,

• czy podanie danych jest dobrowolne,

• jak zabezpieczone są dane,

• jakie są uprawnienia podmiotów danych w związku z przetwarzaniem ich danych.

RODO a polityka prywatności

W zakresie plików cookies, użytkownik powinien być poinformowany:

• czy serwis internetowy wykorzystuje cookies (i czym są pliki cookies),

• jakie są rodzaje stosowanych plików cookies,

• jaki jest cel wykorzystywania plików cookies,

• jakie są możliwości odpowiednich ustawień przeglądarki w zakresie cookies.

Przykład: XYZ wykorzystuje pliki cookies (ciasteczka), czyli niewielkie informacje tekstowe, przechowywane na urządzeniu końcowym kupującego (np. komputerze, tablecie, smartfonie). Cookies mogą być odczytywane przez system teleinformatyczny XYZ. Administrator przechowuje pliki cookies na urządzeniu końcowym użytkownika, a następnie uzyskuje dostęp do informacji w nich zawartych w celach statystycznych oraz w celu zapewnienia prawidłowego działania serwisu.

Uprawnienia organu nadzorczego oraz kary pieniężne:

Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

• wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO;
• udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO;
• nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO;
• nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO a w stosownych przypadkach wskazanie sposobu i terminu;

Uprawnienia organu nadzorczego oraz kary pieniężne:

Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

• nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
• wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
• nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

Uprawnienia organu nadzorczego oraz kary pieniężne:

Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

• cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;
• zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy;
• nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

RODO

w marketingu i sprzedaży

Case study

RODO

a Facebook Lead Ads

RODO a Facebook Lead Ads

Facebook Lead Ads to reklamy służące pozyskiwaniu kontaktów na Facebooku = zbierania danych osobowych. Jak działa Facebook Lead Ads?

• użytkownik kilka w reklamę,
• wyświetla mu się określona propozycja,
• propozycja ma zachęcić użytkownika do przesłania formularza zawierającego określone dane.

Gdy użytkownik przesyła formularz w wyniku kliknięcia w reklamę, to przekazuje swoje dane osobowe. Najczęściej będzie to adres e-mail lub numer telefonu połączony z imieniem i nazwiskiem.

Kto odpowiada za dane zbierane w formularzu na Facebooku?  Facebook, który fizycznie zbiera i przechowuje dane? Czy podmiot, który korzysta z usługi Facebook Leads Ads, aby pozyskać nowe leady sprzedażowe?

RODO a Facebook Lead Ads

Za zapewnienie właściwej ochrony danych osobowych odpowiada zarówno Facebook, jak i podmiot, który zdecydował się skorzystać z Facebook Lead Ads w celu zdobycia kontaktów do nowych klientów, czyli administrator danych osobowych:

• Facebook
• podmiot, który zdecydował się skorzystać z Facebook Lead Ads = administrator danych osobowych.

Jakie obowiązki ciążą na administratorze danych osobowych w związku z pozyskiwaniem danych osobowych w ramach usługi Facebook Lead Ads?

RODO a Facebook Lead Ads

Administrator danych osobowych (firma, która zdecydowała się skorzystać z Facebook Lead Ads) musi uzyskać podstawę do przetwarzania danych użytkowników, którzy wypełnili formularz. Jakie podstawy przetwarzania danych wymienia RODO?

• zgodę użytkownika,
• realizację umowy z użytkownikiem,
• podjęcie działań przed zawarciem umowy na żądanie użytkownika,
• wypełnienie obowiązku prawnego ciążącego na administratorze,
• ochrona żywotnych interesów użytkownika,
• wykonanie zadania realizowanego w interesie publicznym,
• prawnie uzasadnione interesy administratora.

W przypadku wykorzystywania danych pozyskanych poprzez Facebook Lead Ads do celów marketingowych podstawą przetwarzania danych będzie najczęściej zgoda.

RODO a Facebook Lead Ads

Administrator danych osobowych ma obowiązek pozyskać od użytkownika jednoznaczną, świadomą i dobrowolną zgodę na przetwarzanie jego danych do celów marketingowych.

Sposobem na zebranie zgody może być np. zachęcenie użytkownika do zaznaczenia odpowiedniego checkboxa. Facebook Lead Ads umożliwia dodanie checkboxa w ramach formularza reklamy kontaktowej.

W przypadku zbierania adresów e-mail zgoda na przetwarzanie danych może brzmieć np.:

Wyrażam zgodę na otrzymywanie na mój adres e-mail informacji o produktach i usługach firmy X.

RODO a Facebook Lead Ads

W przypadku zaś zbierania numerów telefonu, aby móc kontaktować się z użytkownikiem w celach marketingowych lub sprzedażowych  zgoda na przetwarzanie danych może brzmieć np.:

Wyrażam zgodę na kontakt telefoniczny realizowany przez firmę X w celach marketingowych.

Ważne, aby zgoda odpowiadała celowi, w jaki administrator danych osobowych planuje wykorzystywać dane.  Inna będzie zgoda na mailing, a inna na kontakt telefoniczny. Jeżeli zgoda została odebrana na przesyłanie informacji poprzez e-mail to administrator nie powinien kontaktować się z użytkownikiem telefonicznie.

1 cel = 1 zgoda

RODO a Facebook Lead Ads

Kolejnym obowiązkiem administratora danych osobowych jest  posiadanie odpowiedniej polityki prywatności.

Na ten obowiązek wskazuje sam Facebook, nakazując administratorowi danych osobowych w treści reklamy kontaktowej podlinkowanie do własnej polityki prywatności.

Co powinno znaleźć się w "odpowiedniej polityce prywatności"?

RODO a Facebook Lead Ads

Wszystkie informacje, o których mowa w art. 13 RODO, a zatem:

• dane identyfikacyjne i kontaktowe administratora;
• dane kontaktowe inspektora ochrony danych osobowych – jeżeli dotyczy;
• cel i podstawę przetwarzania danych osobowych,
• informacje o odbiorcach danych osobowych – jeżeli dane udostępniane są podmiotom trzecim,
• informacje o przekazywaniu danych do państwa trzeciego – jeżeli dotyczy;
• okres przechowywania danych osobowych,
• pouczenie o uprawnieniach użytkownika (dostęp do danych, prawo do sprostowania, usunięcia, wniesienia skargi do organu nadzorczego),
• dobrowolność lub obowiązkowość podania danych,
• informacje o profilowaniu – jeżeli korzystasz z profilowania.

RODO a Facebook Lead Ads

Zgodnie z RODO obowiązek informacyjny powinien zostać zrealizowany podczas pozyskiwania danych osobowych.

Biorąc pod uwagę, że w formularzu (czy też obok niego) nie ma zbyt wiele miejsca na zamieszczenie wszystkich informacji z art. 13 RODO dobrym rozwiązaniem będzie wskazać w formularzu, że szczegóły związane z przetwarzaniem danych osobowych znajdują się w polityce prywatności (--> a następnie zamieścić link do polityki prywatności)

RODO a Facebook Lead Ads

Jakie jeszcze obowiązki RODO nakłada na administratora danych osobowych? Administrator musi pamiętać o wdrożeniu odpowiednich środków bezpieczeństwa niezbędnych do zapewnienia ochrony danych osobowych.  Środki bezpieczeństwa powinny być odpowiednich ze względu na:

• zakres,
• kontekst,
• charakter
• i cele przetwarzania danych osobowych oraz ze względu na ryzyko związane z przetwarzaniem danych osobowych.​

RODO nie wymienia żadnych konkretnych środków - to administrator ma obowiązek zastanowienia się, jakie środki będą odpowiednie w jego przypadku.

RODO a Facebook Lead Ads

Przykładowe środki bezpieczeństwa, które administrator może zastosować to np.:

• zabezpieczenie dostępu do komputera (lub innego urządzenia), z wykorzystaniem którego przetwarzane są dane osobowe użytkowników,
• zastosowanie systemu Firewall do dostępu do sieci komputerowej,
• zastosowanie środków ochrony antywirusowej,
• zastosowanie drugiego faktora przy dostępie do systemów w których przetwarzane są dane osobowe,
• wykonywanie kopii zapasowych danych osobowych i zabezpieczenie ich przed dostępem osób trzecich.

ADO powinien zawrzeć wszystkie powyższe środki w wewnętrznej dokumentacji ochrony danych osobowych.

RODO a Facebook Lead Ads

Dokumentacja ochrony danych osobowych nie będzie dot. wyłącznie Facebook Lead Ads, ale wszystkich działań marketingowych podejmowanych przez administratora danych osobowych. Dlatego administrator danych osobowych powinien (nie tylko przy okazji Facebook Lead Ads) prowadzić regularnie rejestr czynności przetwarzania, w którym pozyskiwanie leadów dzięki usłudze Facebook Lead Ads będzie kolejną czynnością przetwarzania danych osobowych:

RODO a Facebook Lead Ads - podsumowanie

Decydując się na skorzystanie z Facebook Lead Ads Twoim obowiązkiem jako administratora danych osobowych jest pozyskanie od użytkowników prawidłowych zgód na przetwarzanie ich danych osobowych, a następnie zapewnienie bezpieczeństwa danych, które pozyskałeś dzięki Lead Ads.

Twoim zadaniem jako administratora jest:

• zebranie prawidłowych zgód na działania marketingowe (np. poprzez checkbox),
• udostępnić użytkownikowi jasną i zrozumiałą politykę prywatności,
• wybrać odpowiednie środki bezpieczeństwa i ochrony danych osobowych,
• przygotować dokumentację ochrony danych osobowych (rejestr czynności przetwarzania);
• na bieżąco aktualizować zbiór danych.

RODO

a konkursy na Facebooku

RODO a konkursy na Facebooku

Każdy konkurs wiąże się nierozerwalnie ze zbieraniem danych osobowych.

Dlatego każde zgłoszenie konkursowe powinno zawierać jednoczenie wyrażenie zgody na przetwarzanie danych osobowych w celu udziału w konkursie, promocji organizatora poprzez opublikowanie danych zwycięzców na stronie internetowej organizatora czy upublicznianie wizerunku zwycięzcy na stronie internetowej organizatora.

Zgodnie z RODO (art. 4 RODO) zgoda:

to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

RODO a konkursy na Facebooku

Organizator konkursu (administrator danych osobowych) nie powinien zbierać więcej danych, niż jest to konieczne dla celów przeprowadzenia konkursu.

• W zgłoszeniu konkursowym powinny znaleźć się zapytania o zgody jedynie na przetwarzanie tych danych osobowych,  które są niezbędne do przeprowadzenia konkursu: imię, nazwisko, e-mail, wiek (jeśli konieczne) etc.
• Dodatkowe dane mogą być wymagane dopiero od zwycięzców - np. adres do przesyłki nagrody.
• Zgoda na przetwarzanie danych przez organizatora konkursu (administratora) powinna być wyrażona w sposób dobrowolny i świadomy. Nie wolno uzależniać możliwości wzięcia udziału w konkursie od udzielenia zgody na działania marketingowe administratora.
• Zebranie zgód na przetwarzanie danych osobowych może odbyć się poprzez zaznaczenie odpowiednich checboxów.
• Administrator musi pamiętać o obowiązku informacyjnym z art. 13 RODO.

RODO a konkursy na Facebooku

Czy każdy konkurs musi posiadać regulamin?

Tak, każdy konkurs powinien posiadać regulamin, który jest obowiązkowy z kilku powodów: 

• jest zabezpieczeniem interesu prawnego organizatora konkursu;
• jeżeli konkurs przeprowadzany jest drogą elektroniczną (tzn. zgłoszenia są dokonywane poprzez elektroniczne środki komunikacji) to obowiązek posiadania regulaminu wynika z art. 8 ust. 1 pkt 1-2 ustawy o świadczeniu usług drogą elektroniczną:

​Usługodawca określa regulamin świadczenia usług drogą elektroniczną (oraz ) nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług.

RODO a konkursy na Facebooku

• obowiązek posiadania regulaminu wynika wprost z regulaminu... Facebooka (w przypadku konkursów organizowanych właśnie za pomocą Facebooka);
• regulamin konkursu to dobre miejsce do zamieszczenia obowiązków informacyjnych, które RODO nakłada na podmiot zamierzający przetwarzać dane osobowe (w tym przypadku organizatora konkursu).

​Organizator konkursu = administrator musi podać następujące informacje:

• dane identyfikacyjne i kontaktowe administratora;
• cel i podstawę przetwarzania danych osobowych,
• informacje o odbiorcach danych osobowych – jeżeli dane udostępniane są podmiotom trzecim,
• okres przechowywania danych osobowych,
• pouczenie o uprawnieniach użytkownika (dostęp do danych, prawo do sprostowania, usunięcia, wniesienia skargi do organu nadzorczego),

RODO a konkursy na Facebooku

W przypadku organizacji konkursu na Facebooku należy pamiętać o regulaminie Facebooka, który wyznacza zasady przeprowadzania konkursów za pośrednictwem Facebooka.

W przypadku używania serwisu Facebook do przekazywania informacji na temat promocji lub przeprowadzania promocji (np. konkursów lub loterii) organizator odpowiada za zgodną z prawem obsługę tej promocji, w tym za:

• Oficjalny regulamin;
• Warunki oferty i wymagania wstępne (np. ograniczenia dotyczące wieku i miejsca zamieszkania);
• Zgodność z przepisami i warunkami dotyczącymi nagród oferowanych w ramach promocji (np. zarejestrowanie promocji i uzyskanie wszelkich obowiązkowych zezwoleń);

RODO a konkursy na Facebooku

Promocja = konkurs lub loteria

W świetle prawa konkurs to przyrzeczenie publiczne, o którym mowa w art. 919-921 Kodeksu cywilnego. Loteria to natomiast gra losowa, która w świetle ustawy o grach hazardowych musi spełnić szereg wymagań przewidzianych przez tę ustawę. Loteria charakteryzuje się elementem przypadku, losowości, który decyduje o przyznaniu nagrody. Będzie to miało miejsce w szczególności, gdy o wygranej będzie przesądzało losowanie. 

W konkursie wymagane jest świadome działanie uczestnika, który powinien wykazać się swoją wiedzą, umiejętnościami czy kreatywnością.

RODO a konkursy na Facebooku

Dlaczego to ważne?

Organizacja loterii promocyjnej bez wymaganego zezwolenia może pociągać za sobą konsekwencje zarówno dla jej organizatora, jak i uczestników. Aby zorganizować loterię promocyjną zgodnie z prawem należy spełnić szereg formalności:

• złożyć wniosek o zgodę na przeprowadzenie loterii do Izby Celnej,
• wnieść opłatę za udzielenie zezwolenia 10% wartości puli nagród brutto,
• nadzór nad loterią musi sprawować osoba ze specjalnym Świadectwem Ministra Finansów.

To właśnie o zezwoleniu na organizację loterii promocyjnej mówi Facebook w swoim regulaminie.

Konkurs jest zdecydowanie łatwiejszy (w organizacji) i bezpieczniejszy.

RODO a konkursy na Facebooku

Promocje na Facebooku muszą zawierać następujące zapisy:

• Pełne zwolnienie serwisu Facebook z odpowiedzialności przez każdego uczestnika.
• Informację, że promocja nie jest w żaden sposób sponsorowana, popierana ani przeprowadzana przez serwis Facebook ani z nim związana.
• Promocje można przeprowadzać na stronach lub w aplikacjach na Facebooku. Do przeprowadzania promocji nie można wykorzystywać prywatnych osi czasu ani połączeń ze znajomymi (np. niedozwolone jest stosowanie rozwiązań typu „udostępnij na swojej osi czasu, aby wziąć udział w promocji”, „udostępnij na osi czasu znajomego, aby uzyskać dodatkowe udziały w promocji” czy „oznacz znajomych w tym poście, aby wziąć udział w promocji”).
• Facebook nie pomaga w przeprowadzaniu promocji. Administrator promocji korzysta z serwisu Facebook do administrowania promocją na własną odpowiedzialność.

RODO a konkursy na Facebooku

Jak długo trzymać dane osobowe podane podczas zgłoszenia konkursowego?

Dane, które zostały pozyskane przez organizatora jedynie w celu wzięcia udziału w konkursie powinny zostać usunięte po zakończeniu konkursu = brak podstawy do przetwarzania danych osobowych wszystkich, którzy dokonali zgłoszenia.

Zgłoszenia zwycięzców, którzy otrzymali nagrody pieniężne należy trzymać tak długo, jak jest to konieczne ze względów podatkowych.

RODO a konkursy na Facebooku

Wizerunek jako dane osobowe.

Jeśli organizator zamierza prezentować wizerunki zwycięzców np. na Facebooku długo po zakończeniu konkursu, to karty zgłoszeniowe zawierające zgody na wykorzystanie danych i wizerunku należy przechowywać przez taki okres czasu, przez jaki wizerunek będzie wykorzystywany (pod warunkiem posiadania odpowiedniej zgody podmiotu danych).

RODO

a niedokończone zamówienie (porzucone koszyki)

RODO a porzucone koszyki

Nierzadko zdarza się, że kupujący rozpoczyna proces składania zamówienia, ale go nie kończy. Wdrożony mechanizm śledzi jednak poczynania użytkownika i wysyła mu wiadomość zachęcającą do dokończenia zamówienia. Ale aby tak się stało użytkownik musi pozostawić w bazie sklepu swój adres e-mail.

Pamiętasz jak wyjaśniałam kiedy adres e-mail jest daną osobową, a kiedy nie? W większości przypadków udostępnienie adresu e-mail (pod warunkiem, że nie brzmi on: misiaczek@gmail.com) będzie udostępnieniem danych osobowych. A to oznacza, że odzyskiwanie porzuconych koszyków = przesyłanie do użytkowników wiadomości e-mail z propozycją zakończenia procesu zamówienia będzie przetwarzaniem danych osobowych.

RODO a porzucone koszyki

Czym jest przetwarzanie danych osobowych?

Zgodnie z definicją zawartą w RODO przetwarzanie danych oznacza:

operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak:

• zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie,
• adaptowanie lub modyfikowanie,
• obieranie, przeglądanie, wykorzystywanie,
• ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
• dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

RODO a porzucone koszyki

Aby przetwarzanie danych osobowych było zgodnie z RODO musi istnieć podstawa prawna dla przetwarzania danych osobowych.

Zgodnie z art. 6 RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

RODO a porzucone koszyki

Aby przetwarzanie danych osobowych było zgodnie z RODO musi istnieć podstawa prawna dla przetwarzania danych osobowych.

• przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

RODO a podstawy do przetwarzania danych w e-biznesie

W przypadku sklepów online podstawą prawną dla przetwarzania danych osobowych będzie najczęściej:

• realizacja umowy lub
• zgoda użytkownika.

​

W przypadku zaś porzuconych koszyków podstawą prawną nie będzie realizacja umowy. Dlaczego? Dlatego, że do zawarcia umowy jeszcze w ogóle nie doszło. Użytkownik rozpoczął proces składania zamówienia, który miał doprowadzić do zawarcia umowy, ale zamówienia ostatecznie nie złożył, więc umowy nie ma.

Czy podstawą będzie zatem zgoda użytkownika?

RODO a niedokończone zamówienie

Odzyskiwanie porzuconych koszyków może być realizowane już po założeniu przez użytkownika konta w sklepie. W takiej sytuacji administrator - już w trakcie rejestracji - ma możliwość poprosić użytkownika o zgodę na przesyłanie wiadomości po ewentualnym "porzuceniu zamówienia".

W sytuacji jednak, gdy dochodzi do śledzenia użytkownika, który nie dokończył zamówienia pomimo tego, że nie dokonał on wcześniejszej rejestracji w sklepie, a jedynie wypełnił jakieś pole formularza zamówienia, to taka zgoda nie zostaje udzielona.  

W przypadku tych najbardziej zaawansowanych narzędzi śledzących zachowanie użytkownika w sieci podstawowy problem jest taki, że użytkownik w żadnym momencie nie wyraża zgody na przetwarzanie jego danych osobowych.

Niezrealizowane zamówienie a pliki cookies

Nawet, jeśli użytkownik godzi się na wykorzystywanie plików cookies i innych technologii śledzących (na przykład poprzez akceptację polityki prywatności i plików cookies), to nie wyraża on w żadnym momencie zgody na przetwarzanie danych osobowych.

Dlaczego nie wyraża zgody? Ponieważ zgoda - zgodnie z RODO - musi być:

• dobrowolna,
• świadoma,
• wyraźna,
• konkretna.

Zgoda nie może być dorozumiana.

RODO a zgoda na przetwarzanie danych osobowych

W jaki sposób najbezpieczniej uzyskiwać zgodę na przetwarzanie danych osobowych?

Najlepszym sposobem na uzyskania takiej zgody jest odpowiedniej treści checkbox do zaznaczenia.

Ten jednak zdecydowanie obniża atrakcyjność nowoczesnych metod śledzących, które w założeniu mają za zadanie śledzić użytkownika bez pytania go o jakąkolwiek zgodę.

Podzyskiwanie porzuconych koszyków to przetwarzanie danych osobowych w celach marketingowych, które może być realizowane wyłącznie w oparciu o legalną podstawę.

RODO a porzucone koszyki - czy wystarczy zgoda?

Kiedy zatem wysyłanie wiadomości e-mail zachęcających użytkownika do dokończenia procesu zakupowego będzie zgodne z RODO?

Jeżeli użytkownik wcześniej założył w sklepie konto lub złożył zamówienie, to taką podstawą będzie usprawiedliwiony cel administratora danych osobowych w postaci marketingu własnych produktów lub usług.

Natomiast jeżeli dane użytkownika nie znajdują się jeszcze w bazie sklepu i trafiają do niej dopiero w wyniku odzyskiwania porzuconego koszyka, to przetwarzanie danych w tym celu wymaga zgody użytkownika na przetwarzanie jego danych osobowych w celach marketingowych.

RODO a porzucone koszyki - czy wystarczy zgoda?

Usprawiedliwiony cel administratora danych osobowych to jednak nie wszystko.

Do tego, aby legalnie wysyłać wiadomość e-mail nie wystarczy tylko posiadać odpowiedniej podstawy przetwarzania danych osobowych. Dlaczego?

Dlatego, że na wysyłanie do użytkownika marketingowych wiadomości e-mail należy posiadać jeszcze zgodę z art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz z art. 172 prawa telekomunikacyjnego.

Innymi słowy, ustawa o ochronie danych osobowych to jedno, a ustawy o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne to drugie.

Niestety, ani usprawiedliwiony cel administratora, ani nawet zgoda na przetwarzanie danych osobowych w celach marketingowych nie pozwalają jeszcze wysyłać wiadomości marketingowych.

RODO a porzucone koszyki - czy wystarczy zgoda?

Mając usprawiedliwiony cel lub zgodę, administrator może przetwarzać dane w celach marketingowych, ale tylko w ramach takich działań, które nie prowadzą do komunikacji mailowej.

Co zatem potrzebujesz, by móc wysłać do użytkownika wiadomość e-mail? Potrzebujesz dodatkowych zgód (lub dodatkowej zgody, jeśli zgody zostaną połączone):

Art. 10 ustawy o świadczeniu usług drogą elektroniczną

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

RODO a porzucone koszyki - czy wystarczy zgoda?

Art. 172 ustawy Prawo telekomunikacyjne

Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Oba powyższe przepisy nakazują odebrać od użytkownika zgody na wysyłanie wiadomości marketingowych poprzez e-mail.  

• w art. 10 ustawy o świadczeniu usług drogą elektroniczną mowa o zgodzie na wysłanie informacji handlowej drogą elektroniczną, a
• w art. 172 prawa telekomunikacyjnego mowa o zgodzie na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

RODO a porzucone koszyki - czy wystarczy zgoda?

 Urządzeniem telekomunikacyjnym jest każde urządzenie podłączone do internetu, np. komputer lub smartfon.   Jeżeli użytkownik odbiera wiadomości marketingowe przy wykorzystaniu tych urządzeń, to mamy do czynienia z wykorzystaniem tych urządzeń dla celów marketingu bezpośredniego (art. 172 prawa telekomunikacyjnego). 

Podsumowując:

Aby wysyłać wiadomości z zachęceniem użytkownika do dokończenia procesu zakupowego (dokończenia zamówienia) drogą e-mail należy oprócz ewentualnej zgody na przetwarzanie danych osobowych w celach marketingowych, posiadać jeszcze dodatkową zgodę użytkownika na  otrzymywanie wiadomości marketingowych poprzez e-mail.

RODO a porzucone koszyki - czy wystarczy zgoda?

Warto zadbać o zgody na wysyłanie wiadomości marketingowych poprzez e-mail już na etapie zakładania konta w sklepie online.

Jeżeli w sklepie online nie ma możliwości założenia konta, to odpowiednie zgody powinny znaleźć się na etapie składania zamówienia. Użytkownik powinien mieć możliwość zaznaczenia odpowiednich zgód na etapie składania zamówienia.  

Co istotne, należy uzyskać zgodę jeszcze przed wysłaniem do użytkownika jakiejkolwiek wiadomości marketingowej.

RODO a porzucone koszyki - czy wystarczy zgoda?

Jak powinna brzmieć treść zgody (1 zgoda)?

Wyrażam zgodę na przetwarzanie moich danych osobowych przez X z siedzibą w....dla celów marketingu bezpośredniego przy użyciu poczty elektronicznej, tj. na przesyłanie mi na mój adres e-mail wiadomości marketingowych, w tym informacji handlowych.

Rozwiązanie bezpieczniejsze (2 zgody):

Wyram zgodę na przetwarzanie moich danych osobowych przez X z siedzibą w....dla celów marketingowych.

Wyrażam zgodę na marketing bezpośredni realizowany przez X z siedzibą w....przy użyciu poczty elektronicznej, tj. na otrzymywanie wiadomości marketingowych, w tym informacji handlowych, na podany w formularzu adres e-mail.

RODO a porzucone koszyki - czy wystarczy zgoda?

To wszystko? Zgodnie z RODO należy pamiętać jeszcze o obowiązku informacyjnym (art. 13 RODO):

• dane identyfikacyjne i kontaktowe administratora;
• dane kontaktowe inspektora ochrony danych osobowych – jeżeli dotyczy;
• cel i podstawę przetwarzania danych osobowych,
• informacje o odbiorcach danych osobowych – jeżeli dane udostępniane są podmiotom trzecim,
• informacje o przekazywaniu danych do państwa trzeciego – jeżeli dotyczy;
• okres przechowywania danych osobowych,
• pouczenie o uprawnieniach użytkownika (dostęp do danych, prawo do sprostowania, usunięcia, wniesienia skargi do organu nadzorczego),
• dobrowolność lub obowiązkowość podania danych,
• informacje o profilowaniu – jeżeli korzystasz z profilowania.

RODO

a sprzedaż biletów online

Polityka prywatności i regulamin a sprzedaż biletów online

Regularnie organizujemy wydarzenia branżowe i sprzedajemy bilety przez internet. Czy musimy mieć regulamin? Jeśli tak to jak powinien wyglądać nasz regulamin? I jak powinna wyglądać nasza polityka prywatności?

Sprzedaż biletów online to świadczenie usług drogą elektroniczną i zgodnie z art. 8 ustawy o świadczeniu usług drogą elektroniczną regulamin jest obowiązkowy.

W przypadku sprzedaży biletów poprzez formularz na stronie internetowej przesłanką do przetwarzania danych osobowych będzie umowa sprzedaży biletu. Dla celów realizacji zamówienia biletu organizatorzy wydarzenia (administrator) nie będzie musiał uzyskiwać dodatkowych zgód.

Regulamin w przypadku tego typu działalności może wyglądać następująco:

Polityka prywatności i regulamin a sprzedaż biletów online

art. 8 ust. 3.: Regulamin określa w szczególności:

1) rodzaje i zakres usług świadczonych drogą elektroniczną;

2) warunki świadczenia usług drogą elektroniczną, w tym:

a) wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca,

b) zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;

3) warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;

4) tryb postępowania reklamacyjnego.

Polityka prywatności i regulamin a sprzedaż biletów online

§1 Definicje

Poniższe pojęcia mają następującą definicję:
1. Organizator - dane organizatora X (dalej jako "X").
2. Bilet - potwierdzenie zawarcia umowy na udział w Wydarzeniu organizowanym przez X w miejscu i czasie wskazanym na Bilecie i uprawniający osobę wskazaną na Bilecie z imienia i nazwiska do wzięcia udziału w Wydarzeniu.
3. Wydarzenie - organizowana przez X impreza o charakterze kulturalnym, edukacyjnym lub naukowym, na którą wstęp mają osoby, które kupiły Bilet.
4. Regulamin - niniejszy Regulamin.

Warto rozpocząć regulamin od definicji:

Polityka prywatności i regulamin a sprzedaż biletów online

§2 Zakup Biletu

W celu zawarcia umowy, tj. w celu zakupu Biletu, należy wejść na stronę X i z odpowiedniej opcji menu wybrać funkcjonalność umożliwiającą zakup Biletu.
Zakup Biletu nie wymaga założenia konta na stronie X jednak wymaga  podania danych osobowych takich:

 

• jak imię i nazwisko,
• adres e-mail,
• numer telefonu ​

​oraz udzielenia odpowiedzi na dodatkowe pytania o wiek, o miejscowości i kraju zamieszkania oraz o wykonywanym zawodzie i statusie zawodowym.  

Następnie opisać procedurę zawarcia umowy = zakupu biletu online:

Polityka prywatności i regulamin a sprzedaż biletów online

Proces zakupu Biletu wygląda następująco:

a) w pierwszej kolejności zawierający umowę podaje imię, nazwisko, adres e-mail oraz numer telefonu,
b) następnie zawierający umowę dokonuje płatności za Bilet,
c) w dalszej kolejności zawierający umowę może podać dobrowolnie informacje o wieku, miejscowości i kraju zamieszkania oraz informacje o zawodzie i statusie zawodowym,
d) w dalszej kolejności zawierający umowę może dobrowolnie podać informacje o celu i częstotliwości uczestniczenia w Wydarzeniu, szczegółach wykonywanego zawodu oraz podać dobrowolnie dane do faktury.

Następnie opisać procedurę zawarcia umowy = zakupu biletu online:

Polityka prywatności i regulamin a sprzedaż biletów online

Bilet zostanie przesłany kupującemu na podany adres e-mail w terminie X dni od dnia zaksięgowania płatności na rachunku bankowym X lub innym właściwym rachunku oraz po udzieleniu odpowiedzi na zadane przez X pytania.
Podając dane osobowe, zawierający umowę oświadcza, że są one prawdziwe i aktualne.
Podanie adresu e-mail jest niezbędne do przesłania Biletu w formacie .pdf. X nie dostarcza Biletów w innych formach niż forma elektroniczna.
Zawierający umowę zobowiązany jest do sprawdzenia danych uwidocznionych na Bilecie z danymi wprowadzonymi podczas jego zakupu. (...)

Zakup Biletu jest równoznaczny z udzieleniem przez uczestnika Wydarzenia zgody na nieodpłatne utrwalanie jego wizerunku przez X (w szczególności poprzez fotografowanie lub filmowanie) podczas Wydarzenia.

Polityka prywatności i regulamin a sprzedaż biletów online

Ponadto zakup Biletu jest równoznaczny z udzieleniem przez uczestnika zgody na nieodpłatne wykorzystanie jego wizerunku w materiałach promocyjnych i informacyjnych X. 

Uczestnik ma prawo nieudzielenia zgody na publikację wizerunku w materiałach promocyjnych i informacyjnych. Informację o braku zgody należy zgłosić X wysyłając wiadomość na adres e-mail X najpóźniej przed rozpoczęciem Wydarzenia.

Wizerunek to też dana osobowa:

Polityka prywatności i regulamin a sprzedaż biletów online

§6 Dane osobowe

1. X informuje, że administratorem danych osobowych osoby zawierającej umowę jest .... (dane adresowe jak w §1 Definicje). Podanie danych osobowych jest dobrowolne, ale niezbędne do zawarcia umowy i uczestnictwa w Wydarzeniu.
2. Dane osobowe przetwarzane są w celu realizacji umowy i udziału w Wydarzeniu. Podstawą prawną przetwarzania danych jest zawarcie umowy.
3. Dane osobowe będą przetwarzane przez okres niezbędny do realizacji umowy, jak również będą przetwarzane przez czas niezbędny dla dochodzenia ewentualnych roszczeń przez X bądź przez okres przedawnienia zobowiązań podatkowych w zależności, który z tych okresów nastąpi później.
4. X informuje, że osoba zawierająca umowę ma prawo do dostępu do swoich danych osobowych oraz do danych osobowych Uczestnika, ich sprostowania, usunięcia lub ograniczenia przetwarzania.
5. X informuje, że osoba zawierająca umowę ma prawo do wniesienia skargi do organu nadzorczego.

Polityka prywatności i regulamin a sprzedaż biletów online

1. Administratorem danych osobowych przekazanych za pośrednictwem serwisu pod adresem www... jest X z siedzibą w.....

2. Administrator przetwarza dane osobowe osób, które zawarły umowę na udział w Wydarzeniu. Celem przetwarzania danych osobowych jest wysyłka Biletu oraz umożliwienie udziału w Wydarzeniu.
 

3. Dane osobowe uczestników Wydarzeń będą publicznie dostępne na stronach zarządzanych przez X i mogą być indeksowane przez wyszukiwarki.
 

Czy dodatkowo potrzebna jest polityka prywatności? Tak:

Polityka prywatności i regulamin a sprzedaż biletów online

4. W celu zawarcia umowy oraz zakupu Biletu niezbędne jest podanie adresu e-mail, numeru telefonu oraz imienia i nazwiska. Podanie danych jest dobrowolne ale niezbędne do zawarcia umowy.

Ponadto, Administrator żąda podania dodatkowych danych i udzielenia odpowiedzi na dodatkowe pytania takie jak:
- informacja o wieku,
- informacja o miejscowości i kraju zamieszkania,
- informacja o zawodzie i statusie zawodowym. Brak odpowiedzi na te pytania nie powoduje braku możliwości zakupu Biletu. Dane te nie są publikowane ani udostępniane podmiotom zewnętrznym. Dane te będą wykorzystywane przez Administratora dla celów poprawy jakości świadczonych usług.

Czy dodatkowo potrzebna jest polityka prywatności? Tak:

Polityka prywatności i regulamin a sprzedaż biletów online

5. Podstawą przetwarzania danych osobowych jest zawarcie umowy na udział w Wydarzeniu.  6. Administrator przetwarza również dane osobowe, które zostały dobrowolnie wprowadzone przez osoby do systemów informatycznych Administratora, w szczególności zdjęcia osób (wizerunki). Administrator przetwarza również dane takie jak:
- adres strony www,
- link do mediów społecznościowych,
- nr telefonu,
- adres e-mail,
- zainteresowania (hobby),
- informacja o poszukiwaniu pracy/klientów.

Czy dodatkowo potrzebna jest polityka prywatności? Tak:

Polityka prywatności i regulamin a sprzedaż biletów online

Administrator informuje, że każda osoba, która przekazała dane osobowe ma prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia.

8. Przeglądanie serwisu www X nie łączy się z podawaniem danych osobowych. Zapisanie się na newsletter łączy się z podaniem danych takich jaki imię i adres e-mail.
Administrator nie przekazuje danych osobowych podmiotom trzecim. Administrator może jednak zlecić obsługę techniczną Wydarzenia osobom trzecim, które mogą mieć dostęp do danych osobowych.

Administrator nie będzie przekazywać danych osobowych do państw trzecich (spoza UE). Administrator nie podejmuje decyzji odnośnie osób i przekazanych przez nich danych wyłącznie przy wykorzystaniu automatycznych systemów przetwarzania.  
Administrator może udostępniać przekazane mu dane osobowe organom państwowym na mocy ich wiążących decyzji lub orzeczeń.

RODO a remarketing, Google AdWords

i third-party cookies

RODO a third-party cookies

Pliki cookies = małe pliki tekstowe, które  instalują się na wykorzystywanych przez nas urządzeniach, gdy odwiedzamy strony internetowe i pozwalają hostującym je serwerom rozpoznać nasze urządzenie. To właśnie one zapamiętują nasze preferencje, liczą ruch na stronie i pozwalają administratorom na bieżąco sprawdzać statystyki stron www.

To wszystko to tzw. first-party cookies, czyli ciasteczka, które dostarczają nam (użytkownikom) różnego rodzaju funkcjonalności.

RODO a third-party cookies

Istnieją także tzw. third-party cookies, które dostarczają administratorom danych osobowych różnego rodzaju funkcjonalności związanych z funkcjonowaniem ich stron www.

Third-party cookies analizują zachowanie użytkownika w sieci poza serwisem, na którym są zainstalowane ciasteczka, po to, żeby stworzyć jego możliwie najdokładniejszy profil i móc dostarczać mu spersonalizowaną treść, opartą o szeroki zasób danych na temat jego preferencji, zainteresowań i aktywności.

RODO a third-party cookies

To właśnie dzięki istnieniu third-party cookies tak często pojawiające się nam treści w sieci są idealnie dopasowane do naszych potrzeb lub - co więcej - przewidują nasze potrzeby nawet na przyszłość.

I to właśnie dzięki nim wyszukiwarka Google tak często podpowiada nam trafne hasła.

Remarketing i third-party cookies

RODO a third-party cookies

Co na to RODO? W swoim założeniu RODO daje użytkownikowi prawo podjęcia decyzji o tym, czy godzi się na ciasteczka (i to zarówno first-party cookies, jak i third-party cookies).

To oznacza, że użytkownik powinien mieć nie tylko wiedzę o ciasteczkach, ale i powinien on móc świadomie podjąć decyzję, czy na ciasteczka się godzi.

Administratorzy danych mają zaś obowiązek informować o tym, jakie dane są przetwarzane, jaki jest cel ich przetwarzania, jakie jest źródło ich pochodzenia oraz jakie podmioty je udostępniają.

RODO a third-party cookies

O prywatności użytkowników (i zasadach korzystania z ciasteczek)  decyduje również rozporządzenie w sprawie prywatności i łączności elektronicznej (tzw. rozporządzenie ePrivacy).

Projekt rozporządzenia ePrivacy wprowadza zasadę, że wszystkie dane pochodzące z łączności elektronicznej mają być domyślnie traktowane jako dane poufne.

Rozporządzenie ePrivacy zabrania - bez uzyskania wcześniej zgody - wykorzystywania danych do innego celu, niż do tego, dla jakiego pierwotnie zostały zebrane dane użytkownika. 

A taka sytuacja ma miejsce właśnie wtedy, gdy osoby trzecie bez użytkownika monitorują odwiedzane przez niego strony internetowe (= third-party cookies).

Czy to oznacza koniec third-party cookies?

Jakakolwiek ingerencja w urządzenie końcowe użytkownika (np. instalowanie na jego laptopie lub smartfonie plików śledzących - third-party cookies) jest dozwolona jedynie za jego zgodą oraz w konkretnych i przejrzystych celach.

Aby korzystać z dostępu do informacji przechowywanych w urządzeniu końcowym konieczna jest zgoda.

Rozporządzenie ePrivacy odnosi się bezpośrednio do third-party cookies. Wyjątki od obowiązku uzyskania zgody na korzystanie z możliwości przechowywania, jakie daje urządzenie końcowe, lub dostępu do informacji przechowywanych w urządzeniu końcowym powinny ograniczać się jedynie do sytuacji, które nie wiążą się one z ingerencją w prywatność użytkownika.

Czy to oznacza koniec third-party cookies?

Jak użytkownik powinien  wyrazić zgodę? Możliwość udzielenia zgody powinien zapewnić użytkownikowi dostawca używanej przez niego przeglądarki internetowej. Przy instalacji oprogramowania (lub jego aktualizacji) użytkownik miałby być informowany o ustawieniach prywatności, i aby kontynuować instalację musiałby wyrazić zgodę na ustawienia.

Czy to oznacza, że domyślnie ustawienia w przeglądarce będą mogły umożliwiać instalowanie third-party cookies? Niestety nie.

Zgodnie z zasadą privacy by default (zasadą domyślnej ochrony prywatności) wyjściowe ustawienia przeglądarki, występujące w momencie instalacji oprogramowania, powinny zapewniać najszerszą możliwą ochronę przed śledzeniem, a więc m.in. blokować third-party cookies.

Czy to oznacza koniec third-party cookies?

Dlaczego? Ma to na celu przede wszystkim zabezpieczenie interesów osób, które nie są świadome zagrożeń wynikających ze śledzenia ich działań w Internecie. To użytkownik sam świadomie musi się zgodzić na third-party cookies. Ale spokojnie - rozporządzenie ePrivacy nie wejdzie w życie - tak jak planowano pierwotnie - wraz z RODO (25 maja 2018 r.).

Natomiast zgodnie z RODO użytkownik będzie musiał być poinformowany, że administrator/podmiot przetwarzający korzysta z plików cookies (zarówno first-party cookies, jak i third-party cookies) i powinien mieć możliwość udziela na ich wykorzystywania świadomej i dobrowolnej zgody.

RODO

w marketingu i sprzedaży

Q&A

Q1: W jaki sposób zgodnie z RODO przetwarzać dane dzieci?

RODO wprowadziło dodatkowe środki ochrony dzieci.  Dzieci są w mniejszym stopniu świadome zagrożeń, konsekwencji i swoich praw w odniesieniu do przetwarzania danych osobowych.

Wszelkie informacje skierowane do dzieci powinny być podane w łatwo dostępnej formie, i napisane jasnym i prostym językiem.

Zasada: administrator danych powinien zapewnić możliwość wyrażenia zgody na wykorzystanie danych dziecka przez jego opiekuna prawnego.

Odnosi się to do portali społecznościowych oraz platform umożliwiających pobieranie muzyki i zakup gier internetowych.

Q1: W jaki sposób zgodnie z RODO przetwarzać dane dzieci?

Zgodnie z polskim prawem cywilnym małoletni, który ukończył 13 rok życia może decydować o sobie w drobnych sprawach życia codziennego. Prawdopodobnie zostanie utrzymana ta granica wieku dla decyzji podejmowanych przez dzieci, przy czym legalność decyzji dziecka będzie zależała od oceny, czy rzeczywiście zgoda nastąpiła “w drobnej sprawie życia codziennego”.

Jak zweryfikować wiek dziecka i zgodę od rodzica?

Uwzględniając dostępną technologię, firma musi podjąć uzasadnione działania mające na celu sprawdzenie, czy uzyskana zgoda jest rzeczywiście zgodna z obowiązującymi przepisami. Może się to wiązać z zastosowaniem środków umożliwiających weryfikację wieku (np. zadanie takiego pytania, na które przeciętne dziecko nie potrafiłoby odpowiedzieć, lub prośba o podanie adresu e-mail rodzica w celu uzyskania pisemnej zgody).

Q2: Prawnie uzasadniony interes firmy/administratora

Co w praktyce oznacza jedna z przesłanek przetwarzania danych osobowych - prawnie uzasadniony interes firmy/administratora?

 

To znaczy, że administrator ma prawo informować podmioty, których dane już przetwarza (np. swoich klientów) o nowych usługach, nowościach w usłudze itp. pod warunkiem, że przetwarzanie danych odbywa się w ramach relacji z klientem.

Q2: Prawnie uzasadniony interes firmy/administratora

Przykład:

Użytkownik dokonał zakupu w sklepie internetowym, doszło więc do zawarcia umowy, a dane zostały zapisane w bazie na podstawie przesłanki legalizującej jaką jest realizacja umowy.

W takiej sytuacji na marketing własnych produktów i usług administrator nie musi mieć już zgody, bo działa podstawa usprawiedliwionego celu.

Q2: Prawnie uzasadniony interes firmy/administratora

Co w praktyce oznacza jedna z przesłanek przetwarzania danych osobowych - prawnie uzasadniony interes firmy/administratora?

Innym przykładem uzasadnionego interesu administratora jest sytuacja, gdy firma zapewnia bezpieczeństwo sieciowe, monitorując korzystanie z urządzeń IT przez swoich pracowników.

Firma może w tym celu zgodnie z prawem przetwarzać dane osobowe, ale tylko wtedy, gdy wybrano metodę o najmniejszym stopniu ingerencji w prywatność pracowników i ich prawa ochrony danych, na przykład poprzez ograniczenie dostępności określonych stron internetowych.

Q3: Kiedy zgoda nie jest wyrażona dobrowolnie?

Przykładem sytuacji, kiedy zgoda na przetwarzanie danych osobowych nie jest wyrażona dobrowolnie jest sytuacja, gdy

• w relacji pomiędzy dwoma podmiotami - na przykład w relacji pracodawca-pracownik - nie ma równowagi, pracodawca wymusza udzielenie zgody na pracowniku lub  
• gdy firma/organizacja wymaga wyrażenia zgody na przetwarzanie niepotrzebnych danych osobowych jako warunku koniecznego do wykonania umowy lub usługi.

Q4: Jakie kary grożą za przetwarzanie danych bez zgody?

Q4: Jakie kary grożą za przetwarzanie danych bez zgody?

Q5: Czy zgoda jest zawsze niezbędna do przetwarzania danych?

Nie zawsze. Zgoda jest potrzebna tylko tam, gdzie nie ma innej podstawy do przetwarzania danych.

Jeżeli pomiędzy kupującym a sprzedawcą jest zawarta umowa sprzedaży, to zgoda na korzystanie z danych dla celów realizacji zamówienia jest udzielana w momencie składania zamówienia (= moment udzielenia zgody).

Żadna dodatkowa zgoda na przetwarzanie danych dla celów realizacji umowy nie jest tutaj potrzebna.

Chyba, że sprzedawca po zakończonej transakcji zechce wykorzystywać dane konsumenta dodatkowo do celów marketingowych - wtedy dodatkowa zgoda będzie niezbędna.

Q6: O czym należy pamiętać zbierając zgody?

Zbierając zgody na przetwarzania danych osobowych należy pamiętać o tym, aby:

• dla każdego celu zebrać oddzielną zgodę

Oddzielna zgoda powinna być udzielona na marketing, oddzielna na newsletter, oddzielna na przesyłanie informacji handlowych etc.

• zgody powinny być zbierane dobrowolnie

Nie wolno wymuszać zgód. Nie można uzależniać możliwości złożenia zamówienia, czy założenia konta w sklepie od zgody na marketing, newsletter, czy informację handlową. Checkboxy nie mogą być automatycznie zaznaczone.

• daj dostęp do danych i pamiętaj, że zgoda nie jest wieczna

Klient ma prawo w każdym czasie cofnąć raz udzieloną zgodę. Klient powinien móc w każdym czasie dane zmienić lub usunąć dane. Sprzedawca jako administrator danych ma obowiązek zapewić bezpieczeństwo danych.

Q7: Czy zaznaczone automatycznie okienka = ważna zgoda?

Na mocy RODO domyślnie zaznaczone okienka są uznawane za nieważne.

Domyślnie zaznaczone okienka (checkboxy) = brak dobrowolności w wyrażeniu zgody na przetwarzanie danych osobowych = zgoda nieważna.

Q8: Czy administrator może być podmiotem przetwarzającym?

Istnieją przypadki, w których podmiot może być administratorem albo podmiotem przetwarzającym dane, albo prowadzi obie te działalności.

Q9: Kiedy mamy do czynienia ze współadministratorami?

Przykład: Firma X oferuje poprzez platformę internetową usługi opieki nad dziećmi. Jednocześnie firma X podpisała umowę z innym przedsiębiorstwem, co umożliwia jej oferowanie usług o wartości dodanej. Usługi te dają rodzicom możliwość nie tylko wyboru opiekunki do dziecka, ale także wypożyczenia gier i filmów na DVD, które opiekunka ze sobą przyniesie.

Obie firmy zajmują się technicznymi ustawieniami strony internetowej. W tym przypadku obie firmy postanowiły wykorzystać platformę do realizacji obu celów (opieka nad dziećmi i wypożyczalnia gier/DVD), w związku z czym będą bardzo często dzieliły się nazwiskami klientów.

Obie firmy są współadministratorami, ponieważ nie tylko zgodziły się na świadczenie „usług połączonych”, ale także tworzą i wykorzystują wspólną platformę.

Q10: Kiedy najpóźniej administrator musi przekazać podmiotom danych zasady przetwarzania danych?

Administrator danych osobowych powinien podać informacje wskazane w art. 13 RODO:

• w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
• jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dotyczą dane – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
• jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Q11: Jak zgodnie z RODO administrator ma spełnić obowiązek informacyjny?

To, w jaki sposób będzie realizowany obowiązek informacyjny wynikający z art. 13  zależy wyłącznie od kreatywności administratora danych.

Ważne jest, aby:

• administrator przekazał wszystkie niezbędne informacje w określonym przez RODO czasie oraz
• informacja była przedstawiona w sposób zrozumiały, prosty, zwięzły i była łatwo dostępna.

Q12: Jakie prawa RODO daje użytkownikom?

• prawo do informacji o tym, jakie dane i w jakich celach są przetwarzane, a w przypadku zautomatyzowanego podejmowania decyzji (w tym profilowania) – także do informacji o zasadach ich podejmowania, znaczeniu i przewidywanych konsekwencjach takiego przetwarzania (art. 12, 13 i 14 RODO);
• prawo do udostępniania i przeniesienia danych (art. 15 i 20 RODO);
• prawo do poprawienia i usunięcia danych (art. 16 i 17 RODO);
• prawo do wycofania zgody w każdym momencie, zgłoszenia sprzeciwu lub żądania ograniczenia przetwarzania danych (art. 7, 18 i 21 RODO);
• prawo do interwencji (art. 22 RODO).

Q13: Co w praktyce oznacza "podejście oparte na ryzyku"?

Podejście oparte na ryzyku (stałe monitorowanie zagrożeń - risk based approach) przejawia się w tym, że RODO wymaga od podmiotu przetwarzającego dane "proaktywnego" oraz zaradczego podejścia do ochrony danych osobowych.

Podmiot przetwarzający dane osobowe ma tak dobrać środki bezpieczeństwa, aby były one najlepsze dla ochrony danych, biorąc pod uwagę poziom wystąpienia ryzyka naruszenia bezpieczeństwa, stan wiedzy technicznej oraz możliwości (finansowe, organizacyjne itp.) administratora.

Przy określaniu środków bezpieczeństwa należy wziąć pod uwag charakter, zakres, kontekst i cel dokonywanego przetwarzania danych oraz prawdopodobieństwo i wagę ewentualnego zagrożenia dla bezpieczeństwa danych

Q14: Jakie środki bezpieczeństwa powinien zapewnić ADO?

Zgodnie z RODO administrator i podmiot przetwarzający powinien zapewnić:

• pseudonimizację i szyfrowanie danych osobowych,
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Q15: Kiedy stopień bezpieczeństwa jest odpowiedni?

Stopień bezpieczeństwa danych osobowych uwzględnia się poprzez przeprowadzenie analizy ryzyka wynikającego z przypadkowego lub niezgodnego z prawem:

• zniszczenia,
• utraty,
• modyfikacji,
• nieuprawnionego ujawnienia lub
• nieuprawnionego dostępu do przetwarzanych danych osobowych.

Q16: Jakie środki techniczne zastosować, aby chronić dane przetwarzane w formie elektronicznej?

Środkami technicznymi mogą być, przykładowo:

• oprogramowanie antywirusowe i różnego rodzaju firewall'e,
• szyfrowanie plików zawierających dane osobowe (w czasie przechowywania na dysku, a także w czasie przesyłania ich przez internet do odbiorców);
• kontrola dostępu do urządzeń, za pośrednictwem których dochodzi do przetwarzania danych osobowych (loginy i hasła, automatyczne blokowanie ekranu po możliwie krótkim okresie bezczynności itp.);
• kontrola dostępu do pomieszczeń, w których znajdują się te urządzenia (karty magnetyczne, zamki i klucze, kraty okienne, żaluzje antywłamaniowe itp.)
• odpowiednia architektura sieci komputerowych, w których przesyłane są dane osobowe;
• monitoring wizyjny pomieszczeń, w których przetwarzane są dane osobowe.

Q17: Przetwarzam dane w formie papierowej. Jakie środki techniczne i organizacyjne powinienem zastosować?

Odpowiednie do zakresu przetwarzanych danych. Przykładowymi środki technicznymi mogą być:

• kontrola dostępu do dokumentów zawierających dane osobowe (sejfy, szafy pancerne, szafy meblowe zamykane na klucz);
• kontrola dostępu do pomieszczeń, w których znajdują się dane osobowe (karty magnetyczne, zamki i klucze, kraty okienne, żaluzje antywłamaniowe itp.);
• zapewnienie w pomieszczeniach, w których przetwarzane są dane osobowe, środków bezpieczeństwa pożarowego;
• monitoring wizyjny pomieszczeń, w których przetwarzane są dane osobowe.

Q18: W jakim dokumencie najlepiej opisać wszystkie zastosowane środki organizacyjne?

Środki organizacyjne to zbiorcza nazwa dla wszelkiego rodzaju procedur i polityk, które mają za zadanie zminimalizować ryzyko naruszenia bezpieczeństwa danych osobowych w firmie. Wszystkie procedury mogą być opisane w jednym lub kilku dokumentach – np. w polityce ochrony danych osobowych, polityce prywatności lub w polityce bezpieczeństwa (ten ostatni dokument był wymogiem starych przepisów o ochronie danych osobowych).

W jednym lub kliku dokumentach powinno znaleźć się:

• określenie zasad nadawania uprawnień do przetwarzania danych osobowych;
• określenie zasad postępowania przy pozyskiwaniu, wykorzystywaniu, usuwaniu danych osobowych (np. kto i kiedy ma realizować obowiązek informacyjny wobec osób, których dane są pozyskiwane);

Q18: W jakim dokumencie najlepiej opisać wszystkie zastosowane środki organizacyjne?

• obowiązki określonych kategorii pracowników/współpracowników w zakresie ewidencjonowania i kontrolowania upoważnień do przetwarzania danych tworzenia i korzystania z baz danych osobowych;
• zasady tzw. "czystego biurka" i "czystego ekranu";
• wskazanie środków ostrożności, które należy zachować przy wynoszeniu nośników z danymi osobowymi poza teren biura (lub zakaz takiego postępowania);
• zasady dotyczące polityki tworzenia i zmieniania haseł do komputerów, systemów itp.
• zasady dotyczące korzystania z prywatnych urządzeń pracowników do celów przetwarzania danych osobowych, których administratorem lub podmiotem przetwarzającym jest firma (lub zakaz takiego postępowania);
• procedury realizacji uprawnień osób, których dotyczą dane osobowe;
• procedury raportowania naruszeń bezpieczeństwa danych osobowych.

RODO

w marketingu i sprzedaży

- podsumowanie

Od czego zacząć zmianę podejścia do danych osobowych?

Od czego zacząć zmiany w podejściu do ochrony danych osobowych? Co zrobić krok po kroku?

• Uporządkowanie: w pierwszej kolejności należy uporządkować zasady przetwarzania danych w firmie, to znaczy zidentyfikować i skatalogować dane osobowe, które firma przetwarza;
• Badanie przepływu danych: następie warto zbadać ścieżki przepływu danych w firmie – kto ma dostęp do danych, do kogo są przesyłane i w jakim celu;
• Podstawa prawna przetwarzania danych: następnie należy sprawdzić czy mamy podstawę przetwarzania danych osobowych - katalog podstaw prawnych do przetwarzania danych osobowych wskazuje RODO - począwszy od zgody osoby, której dotyczą, przez niezbędność ich przetwarzania do wykonania umowy, a skończywszy na uzasadnionym interesie administratora;

Od czego zacząć zmianę podejścia do danych osobowych?

Od czego zacząć zmiany w podejściu do ochrony danych osobowych? Co należy zrobić krok po kroku?

• Cel przetwarzania danych: należy zbadać, czy dane osobowe są potrzebne do realizacji jakiegoś celu, czy po prostu sobie są i czekają na moment, aż się przydadzą? Pamiętaj o zasadzie minimalizacji danych. RODO nie pozwala na trzymanie danych bez celu wprowadzając zasady ograniczenia przetwarzania, zarówno w odniesieniu do zakresu danych, jak i czasu ich przechowywania, które powinny zawsze odpowiadać celowi przetwarzania;
• Dokonaj analizy zasad przetwarzania danych opierając się na wszystkich poprzednich punktach: Efektem takiej analizy powinien być rejestr czynności przetwarzania. Jak finalnie powinien wyglądać taki rejestr? Jego ostateczny kształt będzie w dużej mierze zależeć będzie od rozmiaru podmiotu przetwarzającego dane, ilości i rodzaju przetwarzanych danych oraz stopnia skomplikowania operacji wykonywanych na tych danych;

Od czego zacząć zmianę podejścia do danych osobowych?

Od czego zacząć zmiany w podejściu do ochrony danych osobowych? Co należy zrobić krok po kroku?

• Aktualizacja zgód, regulaminów oraz umów: konieczne będzie zaktualizowanych dotychczas istniejących w firmie dokumentów (aneksowanie umów z podmiotami, którym zlecamy przetwarzanie naszych danych osobowych);
• Zmiana wewnętrznych procedur przetwarzania danych osobowych: tak, aby zarówno administrator, jak i podmiot przetwarzający mogli nauczyć się szybko reagować na wnioski osób, których dotyczą dane osobowe (prośba o udostępnienie danych, realizacja „prawa do bycia zapomnianym” czy  wycofanie zgody zaprzestania wysyłania do nich treści marketingowych);
• Spełnienie obowiązku informacyjnego administratora;
• Regularne aktualizowanie rejestru czynności przetwarzania + dbanie o aktualność danych.

RODO nie rewolucja, a ewolucja w podejściu do ochrony danych osobowych. Zupełnie nowa filozofia podejścia do przetwarzania i ochrony danych osobowych.

 

Filozofia, które opiera się na tzw. otwartym modelu ochrony danych osobowych. Dlaczego otwartym? RODO to nie jest zbiór gotowych rozwiązań, które ustawodawca narzuca na administratorów i podmioty przetwarzające - tak jak to było do tej pory.

RODO wyznacza kierunek działania pozostawiając przedsiębiorcom dowolność w dojściu do celu, czyli w dobraniu adekwatnych środków zabezpieczających dane osobowe. Adekwatnych czyli odpowiednich do poziomu ryzyka, z którym wiąże się przetwarzanie danych w określonej firmie.

Dlaczego RODO to szansa?

• Zaufanie:

RODO daje szansę na zbudowanie z klientami relacji opartej na zaufaniu i zrozumieniu ich potrzeb związanych z ochroną prywatności.

• Jedna regulacja = uproszczony przepływ danych w całej UE:

Jeden zbiór przepisów dla wszystkich firm przetwarzających dane w UE = łatwiejsze prowadzenie działalności gospodarczej na terenie całej UE. Zasady ochrony danych zostały zebrane w jednym akcie prawnym obowiązującym na terenie całej UE.

• Więcej praw dla nas wszystkich:

Głównym celem wprowadzenia nowych zasad ochrony danych osobowych jest wzmocnienie prawa do prywatności osób fizycznych. Zaostrzone przepisy dotyczące ochrony danych dają obywatelom UE większą kontrolę nad ich danymi osobowymi, zaś przedsiębiorcom korzyści wynikające z równych warunków działania.