Blog

Nie-rewolucja RODO – co zmieni się w ochronie danych?

RODO to nie rewolucja – opisywane w rozporządzeniu kwestie przetwarzania danych wywołały jednak wiele dyskusji. Zwłaszcza w przypadku marketingu SMS, który już jest obwarowany szeregiem przepisów prawnych (poruszyliśmy ten temat na blogu [link]). Dlaczego więc RODO jest takie ważne i porusza branżę marketingową?

Jak zmieniające się wytyczne ochrony danych osobowych wpłyną na działanie firmy? Takie pytania pojawiają się w gronie naszych klientów – tym wpisem postaramy się rozwiać wszelkie wątpliwości dotyczące RODO. Opowiemy m.in. jak wpłynie na zbieranie zgód od klientów i co zrobić z posiadanymi już bazami.

RODO – podstawy

RODO ma poprawić bezpieczeństwo przetwarzania danych. Aktualnie odpowiada za tę kwestię UODO – ustawa o ochronie danych osobowych. Podkreśla ona pięć zasad, jakimi trzeba kierować się przetwarzając dane osobowe.

Czy wiesz, że?

  • Aktualnie wg ustawy o ochronie danych osobowych należy kierować się: legalnością, celowością, merytoryczną poprawnością, niezbędnością, ograniczeniem czasowym.
  • RODO wskazuje siedem takich zasad: ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność; zgodność z prawem, rzetelność i przejrzystość.
  • Znajduje to odzwierciedlenie w aktualnym, krajowym prawodawstwie. Ważne jest także powiązanie zgód z aktualną polityką informacyjną firmy.

Co RODO zmienia?

Względem dotychczasowych uwarunkowań prawnych RODO daje firmom możliwość własnej oceny ryzyka ochrony danych osobowych. Od niej zależny będzie rodzaj i treść dokumentacji potrzebnej przy administrowaniu danymi. Często obowiązkiem firmy będzie powołanie inspektora danych. W przypadku masowych wysyłek SMS będzie to prawdopodobnie konieczne – ze względu na przetwarzaniu danych na dużą skalę (tak jak u nas). Jeżeli prawa osoby, której dane są przetwarzane zostaną naruszone, należy to zgłosić w ciągu 72 h – do odpowiedniego organu nadzoru, a jeżeli wystąpi taka konieczność to także bezpośrednio tej osobie.

Czy trzeba ponownie pozyskiwać zgodę dla posiadanej bazy?

W marketingu sms najważniejsza jest baza wysyłkowa – ona ma także kluczowe znaczenie w kontekście wdrożenia RODO w firmie. Najczęściej firmy używają własnej bazy – pozyskanej podczas zakupów, zapisów do newslettera, czy poprzez programy lojalnościowe. Czy w tym przypadku będzie potrzebna ponowna zgoda? Według ekspertów, udzielona wcześniej zgoda powinna być prawnie wiążąca (czyli skonstruowana, tak że obejmuje to co za ważne uznają nowe przepisy – przynajmniej wskazuje kto jest administratorem danych i jaki jest cel przetwarzania oraz informuje o możliwości wycofania zgody w każdym momencie, oraz zgodności z prawem przetwarzania mającego miejsce przed wycofaniem zgody). Ponieważ UODO na tyle precyzyjnie podchodzi od pozyskiwania zgód i jest przy tym zgodna z RODO, możliwe jest dalsze przetwarzanie danych bez pozyskiwania nowych zgód.

Dowiedz się więcej

Dla cierpliwych zdobywców wiedzy – jest to podkreślone w motywie 171 preambuły RODO.

Nowe zgody według RODO

Aby zgoda na przetwarzanie danych wg RODO była ważna musi być spełnione kilka warunków. Podawane przez nowe rozporządzenie wytyczne określają, że zgoda powinna być:

  1. Świadoma, konkretna, jednoznaczna
  2. Napisana prostym, zrozumiałym językiem
  3. Powiązanie z polityką informacyjną firmy
  4. Zgoda musi być „wyraźna”, tzn. Nie może budzić wątpliwości, że została wyrażona
  5. Związana z określonym celem przetwarzania – w sposób precyzyjny określa czego dotyczy oraz zakreśla ramy czasowe trwania zgody
  6. Musi być dobrowolna
  7. Klient w każdej chwili może się zwrócić z prośbą o usunięcie jego zgody z bazy (a wycofanie zgody musi być równie łatwe jak je wyrażenie)
  8. Jeżeli działania dotyczą osób niepełnoletnich – potrzebna jest zgoda opiekuna (w przypadku dzieci, które nie ukończyły 16 roku życia, gdyż dzieci, które ukończyły lat 16 samodzielnie mogą udzielić zgody na przetwarzanie danych osobowych. Państwa członkowskie mogą obniżyć tę granicę wiekową do lat 13).

Ważnym elementem nowych wytycznych o ochronie danych osobowych jest polityka informacyjna firmy, w której powinniśmy zawrzeć:

  • dane administratora,
  • cel przetwarzania danych i podstawa prawna,
  • prawo wniesienia sprzeciwu lub cofnięcia zgody,
  • źródło danych, jeśli zbieramy je od innych podmiotów,
  • komu zamierzamy udostępnić dane,
  • planowany okres przechowywania danych,
  • informacja o prawach przysługujących osobie fizycznej,
  • prawo wniesienia skargi do organu nadzoru,
  • czy podanie danych jest dobrowolne czy obowiązkowe, czy jest warunkiem zawarcia umowy i jakie są konsekwencje niepodania danych.

W trosce o swoich klientów warto pamiętać, że należy ich poinformować o przysługujących im prawach, z których mogą, lecz nie muszą korzystać. Klienci muszą mieć dostęp do swoich danych, powinni także mieć możliwość żądania ich kopii. Ponadto, mają prawo do przenoszenia danych, ich usunięcia lub sprostowania. Mogą także zgłosić prośbę o ograniczenie przetwarzania danych bądź całkowite zaniechanie ich przetwarzania.

Dokładne analizy stanu prawnego w łatwej do zrozumienia formie, która pomogła nam w tworzeniu tego wpisu opracowali już: lookreatywni.pl i prakreacja.pl. Zachęcamy do dalszego przyswajania wiedzy!

Jakie akty prawne mogą jeszcze mieć znaczenie?

Do tej pory dla menedżera korzystającego z masowych wysyłek SMS  najistotniejszymi aktami prawnymi były: Ustawa o ochronie danych osobowych, Ustawa o świadczeniu usług drogą elektroniczną i Ustawa prawo telekomunikacyjne. Od tego roku warto zwrócić uwagę na Przepisy wprowadzające ustawę o ochronie danych osobowych, a także rozporządzenie E-privacy, które niezależnie od RODO wpływają na wykorzystanie marketingu sms.

Na jakie paragrafy z RODO zwrócić uwagę?


– zasady przetwarzania danych – art. 5 RODO,

– obowiązki administratora danych – art. 24-39 RODO,

– usprawnienia podmiotu danych – art. 12-22 RODO,

– transfer danych do państw trzecich – art. 44-50 RODO.