Jako InStream Group zdawaliśmy sobie sprawę z wyzwania z jakim przyjdzie się nam zmierzyć wraz z wejściem w życie Rozporządzenia dotyczącego ochrony przetwarzania danych osobowych osób fizycznych („RODO”). Od kilku lat prowadzimy różnego rodzaju działalności związane ze wsparciem procesów sprzedażowych u naszych klientów i doskonale wiemy jak ważnym elementem w konstruowaniu procesów sprzedaży jest właśnie ochrona danych osobowych. Stwierdziliśmy, że przygotowania naszych usług do RODO, na które składały się odpowiednio: audyt oraz działania dostosowujące wymagają odpowiedniej ilości czasu i należytej rzetelności. Dlatego zdecydowaliśmy się zająć tym tematem już na wiele miesięcy przed wejściem w życie samego rozporządzenia oraz zaangażować w ten proces kancelarie prawne specjalizujące się w ochronie danych osobowych.
RODO jest niczym innym jak rozporządzeniem UE, które nie wymaga implementacji ustawodawstwa wewnętrznego państw członkowskich do tego, aby uzyskać moc prawną i równolegle obowiązywać w każdym państwie UE.
RODO dotyczy ochrony danych osobowych osób fizycznych. Rozporządzenie nie traktuje zatem o ochronie danych firm, czy organizacji.
Czy wyrażenie „Jan Kowalski” to dana osobowa? Art. 4 ust. 1 RODO mówi, że „dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.”. Kluczowym elementem przedstawionej definicji jest zatem IDENTYFIKACJA. Oznacza to, że w zależności od okoliczności dana informacja może być uznana za daną osobową lub też nie. Odpowiadając zatem na pytanie z początku czy wyrażenie „Jan Kowalski” jest daną osobową: to zależy.
– Wyobraźmy sobie sytuację, gdy wyrażenie „Jan Kowalski” widnieje na stronie internetowej firmy w zakładce „nasz zespół” wraz z oznaczeniem „Project Manager” – wówczas nie ma wątpliwości, że identyfikacja takiej osoby jest możliwa. W tym przypadku zatem będziemy mieli do czynienia z danymi osobowymi.
– Z drugiej zaś strony możemy sobie również łatwo wyobrazić sytuację kiedy ujrzymy wyrażenie „[email protected]” bez żadnych dodatkowych informacji, napisane na kartce przylepionej do słupa na ulicy. Wówczas ani w momencie znalezienia owej kartki ani w najbliższej przyszłości nie możemy jednoznacznie stwierdzić o którego Jana Kowalskiego chodzi – zatem nie będzie to dana osobowa.
RODO zawiera bardzo szeroką definicję przetwarzania danych. Nazywa się tak każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
RODO obowiązuje wszystkich przedsiębiorców, przy czym nie ma tu znaczenia czy działalność jest prowadzona w ramach jednoosobowej działalności gospodarczej, czy w ramach spółki prawa handlowego.
Przetwarzanie danych jako sama czynność jest czasem trudna do uchwycenia. Zazwyczaj odbywa się w środowisku internetowym, w chmurach obliczeniowych czy na dyskach, dlatego trudno jest wyznaczyć kiedy przetwarzanie odbywa się w granicach UE a kiedy już poza. Aby unormować jednak tę kwestię legislator zaznaczył, że RODO dotyczy również sytuacji, gdy:
a) Przedsiębiorca ma swoją siedzibę poza terenem UE, ale realizuje czynności związane z działalnością gospodarczą na jej terenie
b) Przedsiębiorca oferuje swoje usługi klientom spoza UE, natomiast posiada swoją siedzibę na terenie UE
c) Przedsiębiorca przetwarza dane za pośrednictwem chmury obliczeniowej. Przy czym dotyczy to zarówno sytuacji, gdy sam serwer znajduje się na terenie UE jak i gdy samo urządzenie przetwarzające dane znajduje się na terenie UE.
PRZED 25 MAJA 2018 ROKU PODJĘLIŚMY NASTĘPUJĄCE CZYNNOŚCI CELEM UZYSKANIA PEŁNEJ ZGODNOŚCI NASZYCH DZIAŁAŃ Z RODO (CHECKLISTA):
Podstawą przetwarzania danych osobowych odbiorców kampanii marketingowych jest dobrowolna zgoda, wyrażona poprzez kontakt z nami (art. 6 ust. 1 lit. a RODO) lub pozyskanie przez nas informacji, udostępnionej dobrowolnie przez firmę np. poprzez ogłoszenia lub propozycje współpracy zamieszczane w domenie publicznej (internet, prasa), co uzasadnione jest szczególnymi potrzebami administratora, jako podmiotu posiadającego bazę informacji o podmiotach zainteresowanych współpracą handlową w obszarze objętym ogłoszeniem lub ofertą współpracy (art. 6 ust. 1 lit f RODO).
Ściśle określiliśmy cele przetwarzania danych osobowych odbiorców kampanii marketingowych do których należą:
a) realizacja wspólnych przedsięwzięć biznesowych oraz wykonywanie zleceń lub zawartych umów o współpracy;.
b) w celu marketingu usług oferowanych przez partnerów administratora; (co znajduje dodatkowe umocowanie na podstawie motywu 47 RODO)
c) w celu wyszukiwania optymalnych ofert i rozwiązań w zakresie usług przeznaczonych dla biznesu w oparciu o informacje dotyczące działalności potencjalnych odbiorców kampanii;
Czynności przetwarzania danych ograniczyliśmy wyłącznie do celów wskazanych powyżej.
Zakres przetwarzanych przez nas danych jest ograniczony do danych niezbędnych do realizacji wyznaczonych celów przetwarzania. Podmioty, których dane są przetwarzane to przedstawiciele i reprezentanci firm i podmiotów prawnych, pracownicy odpowiedzialni za zakupy i współpracę w ramach firm i podmiotów prawnych lub wyznaczone przez te podmioty osoby do kontaktu, właściciele firm, członkowie organów statutowych firm i podmiotów prawnych. Kategorie zaś, które są przetwarzane to imię, nazwisko, dane kontaktowe (e-mail, nr telefonu), stanowisko osoby kontaktowej.
Dane przez nas generowane są w sposób organiczny „od zera” dla każdej kampanii, co zapewnia nam wysoki poziom ich aktualności. Poszczególne dane są ponadto weryfikowane ręcznie przez naszych pracowników, aby dodatkowo uwiarygodnić ich poprawność. W ramach prowadzonej podczas kampanii marketingowych komunikacji, każdorazowo umożliwiamy odbiorcom łatwy do nich dostęp, ich sprostowania, ograniczenia ich przetwarzania czy usunięcia.
Wdrożyliśmy wewnętrzną politykę bezpieczeństwa danych osobowych w której szczegółowo uregulowaliśmy procedury dotyczące:
– zasad dostępu do danych
– zasad dotyczących powierzenia danych
– zasad dotyczących udostępnienia danych
– zabezpieczeń zbiorów danych
– postępowania na wypadek naruszeń
W naszej spółce obowiązują odpowiednio polityka prywatności, polityka bezpieczeństwa danych oraz dodatkowe dokumenty i rejestry, które umożliwiają nam rozliczenie z obowiązków nakładanych przez RODO.
Jako InStream Group w ramach naszych działań nie przetwarzamy ani danych osobowych dzieci ani tzw. danych wrażliwych.
W ramach naszych kampanii marketingowych realizujemy pełny obowiązek informacyjny w stosunku do każdej osoby, której dane są przetwarzane. Wraz z wysyłanymi komunikatami biznesowymi zawieramy wszelkie informacje, które są wymagane odpowiednio przez art. 13 lub 14 RODO.
W ramach prowadzonej przez nas działalności nie profilujemy danych osobowych reprezentantów naszych partnerów handlowych ani nie podejmujemy zautomatyzowanych decyzji opartych na profilowaniu.
Dokonaliśmy analiz wpływu prowadzonych przez nas projektów na prawa lub wolności osób fizycznych oraz analizy ryzyka ich wystąpienia. Na podstawie przeprowadzonych analiz byliśmy w stanie obrać adekwatne systemy mające na celu zabezpieczyć przetwarzane dane.
Do naszych procesów związanych z przetwarzaniem danych osobowych zaimplementowaliśmy mechanizmy, które ograniczają zakres przetwarzanych danych do pewnego minimum, które jest niezbędne dla osiągnięcia naszych celów przetwarzania. Projektując natomiast nowe usługi w sposób domyślny podchodzimy do ochrony prywatności danych osobowych.
– Google LLC, na której serwerach trzymane są zabezpieczone dane dotyczące kampanii (poprzez Google Drive oraz poprzez wymianę informacji za pomocą poczty Gmail pomiędzy pracownikami) (POLITYKA PRYWATNOŚCI >https://policies.google.com/privacy?hl=en)
– ASANA, Inc., na której to aplikacji przechowywane są zabezpieczone dane dotyczące realizacji niniejszej Umowy i kampanii, (POLITYKA PRYWATNOŚCI >https://asana.com/terms#privacy-policy)
– RingCentral Inc., na której aplikacji upoważnieni pracownicy wymieniają się informacjami dotyczącymi realizacji niniejszej Umowy oraz kampanii. (POLITYKA PRYWATNOŚCI >https://www.ringcentral.com/legal/last-update-November-30-2018/privacy-notice.html)