Wiele przedsiębiorstw tworzy pracownikom konta i adresy e-mail, które zawierają ich imię i nazwisko. Lecz nawet gdy mamy jakąś formę skróconej nazwy lub samo imię to także ten adres stanowi daną osobową. Gdy wygasa lub zostanie rozwiązana umowa z danym pracownikiem powstaje pytanie co dalej z jego adresem i korespondencją zrobić. Czy nadal możemy korzystać ze skrzynki byłego pracownika czy może należy ja usunąć? Jak powinniśmy postąpić aby wszystko było zgodne z przepisami. W poniższym artykule pt. „Skrzynka byłego pracownika a RODO” znajdziecie odpowiedź na te pytania.
Pracownik odchodzi z firmy
Gdy współpraca z daną osobą się kończy, niezależnie od tego czy była to umowa o pracę, umowa-zlecenie czy kontrakt b2b, przedsiębiorca musi odpowiedzieć sobie na dwa pytania:
Co zrobić z pocztą, która znajduje się w skrzynce byłego pracownika?
Jak postępować, gdy klienci będą dalej wysyłać wiadomości do tej osoby?
Odpowiedź na pierwsze pytanie powinna być zawarta w regulaminie pracy oraz regulaminie wykorzystania sprzętu IT. Zazwyczaj skrzynka pocztowa jest udostępniana przełożonemu danej osoby, aby możliwe było skopiowanie z niej informacji niezbędnych do dalszego działania firmy. Jeżeli w regulaminie wykorzystania sprzętu IT nie zabroniliśmy wykorzystywania służbowego adresu do korespondencji prywatnej musimy uczulić przełożonych, że prywatna korespondencja nie może być czytana. Gdy wszystkie niezbędne dane zostaną ze skrzynki skopiowane powinna ona zostać zarchiwizowana. Archiwizacja pozwoli na dostęp do niej gdyby w przyszłości okazało się, że znajdują się tam potrzebne nam informacje.
Uzasadniony interes administratora
Nie spotkałam się jeszcze z przypadkiem, by firma informowała swoich klientów czy partnerów handlowych, że zakończyła współpracę z danym pracownikiem. Powstaje zatem problem co zrobić z nowymi wiadomościami, które osoby zarówno z naszej firmy jak i spoza organizacji mogą nadal wysyłać na adres tej osoby. Jednym z rozwiązań jest skonfigurowanie na serwerze pocztowym stałego przekierowania poczty przychodzącej na adres innej osoby. Nigdy nie byłam zwolennikiem tej metody – długoterminowo prowadzi ona do problemów ze spójnością konfiguracji usługi poczty. Może też prowadzić do ujawnienia prywatnych informacji o odchodzącej osobie innemu pracownikowi – nawet jeżeli zabronimy w regulaminie wykorzystywania poczty do celów prywatnych nie oznacza to, że wszyscy pracownicy się zastosują.
Urząd Ochrony Danych Osobowych rekomenduje inne podejście jako zgodne z RODO. Po pierwsze w komunikacie Prezes urzędu zauważa, że dalsze przetwarzanie danych osobowych odchodzącego pracownika ma swoje uzasadnienie prawne. Jest nim tak zwany uzasadniony interes administratora. Taka interpretacja jest też logiczna – to że pracownik odchodzi nie znaczy, że firma ma tracić wypracowane przez niego relacje biznesowe. Urząd wskazuje jednak, że właściwe rozwiązanie w takiej sytuacji to odrzucenie przychodzących wiadomości i ustawienie automatycznej wiadomości zwrotnej, informującej nadawcę o nowej osobie kontaktowej.
Zadbaj o procedury
Po pierwsze miej przygotowany stały plan postępowania w takiej sytuacji. Rotacja kadrowa nie jest niczym nadzwyczajnym nawet w małych przedsiębiorstwach. Ważne aby wszystkie czynności wykonywać sprawnie i krok po kroku. Zwróć uwagę na takie rzeczy:
Jeżeli zwalniasz pracownika lub on sam rozwiązał umowę o pracę to w okresie wypowiedzenia monitoruj jakie pliki będzie otwierał czy kopiował. Jeżeli to możliwe sprawdź logi z ostatnich kilku tygodni. Próby wyniesienia firmowych danych nie są niestety sytuacją marginalną.
Wyloguj pracownika ze wszystkich usług na wszystkich urządzeniach. Większość usług chmurowych (Google G Suite, Microsoft Office365 i inne usługi internetowe) pozwalają na wykonanie tej czynności z panelu administratora.
Zablokuj wszystkie konta pracownika by uniemożliwić mu ponowne logowanie. Nie kasuj ich jednak od razu. Skasowanie konta może spowodować usunięcie danych.
Ustaw odpowiedni komunikat zwrotny dla nowo przychodzącej poczty
Wykonaj kopię niezbędnych danych z każdego serwisu.
W możliwie krótkim terminie przełożony pracownika powinien przejrzeć zabezpieczone dane i skopiować te niezbędne do dalszej pracy.
Na koniec usuń wszystkie konta pracownika
Pamiętaj, że to tylko niektóre z czynności jakie musisz wykonać. Zadbaj o to by procedura była klarowna i zawsze aktualna. W razie potrzeby skonsultuj się ze swoim prawnikiem, aby upewnić się, że czynności które podejmujesz są zgodne z prawem.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Jak usunąć dane osobowe w poprawny sposób. Takie pytanie zadasz sobie w momencie, kiedy nie będziesz mógł już przetwarzać zebranych danych osobowych, które zapisałeś w chmurze, na dyskach komputerów czy na kartkach zgromadzonych w segregatorze. Gdy wygaśnie podstawa do ich przetwarzania, nie wystarczy po prostu je ignorować. RODO nakłada na Ciebie konkretne obowiązki. Jeżeli to możliwe warto zaplanować, co zrobisz z danymi, najlepiej już na etapie projektowania procesu ich przetwarzania. Pamiętaj, że przechowywanie danych samo w sobie jest czynnością przetwarzania. Usunięcie ich to minimum tego, co musisz zrobić. Czasem jednak będzie to niewystarczające. Z tego artykułu dowiesz się jak usunąć dane osobowe w poprawny sposób.
Kiedy wygasa prawo do przetwarzania danych
Danych osobowych nie można przetwarzać w nieskończoność. Istnieje kilka powodów, gdy wygasa Twoje prawo do przetwarzania danych osobowych, najczęściej spotykane to:
Wycofana zostanie zgoda na przetwarzanie. O ile zgoda nie wynika z innych przepisów wycofanie jej przez osobę, która powierzyła Ci dane osobowe, wymaga od Ciebie zaprzestania ich przetwarzania.
Osoba złoży żądanie usunięcia danych. Oczywiście tak jak w przypadku wycofania zgody przetwarzanie nie może być wymagane innymi przepisami.
Nie są już niezbędne do celów, w których zostały zebrane.
Upłynął okres, który został wyznaczony na przetwarzanie danych.
Dane są przetwarzane niezgodnie z prawem. Obecnie taka sytuacja powinna mieć jedynie miejsce, gdy nastąpi zmiana prawa. Jeżeli przetwarzasz dane zebrane niezgodnie z RODO, to od ponad roku przetwarzasz je nielegalnie
Usunięcie, a niszczenie danych osobowych
Jeżeli ustało Twoje prawo do przetwarzania danych osobowych, to w jakiś sposób musisz się ich pozbyć. Inaczej będziesz miał trupa w szafie, który może sprowadzić na Ciebie kłopoty. Dane możesz usunąć albo zniszczyć.
Jak usunąć dane osobowe.
Jest to operacja polegająca na ich trwałym skasowaniu z nośnika, na którym są one przechowywane. W przypadku danych cyfrowych mówimy o takich operacjach jak skasowanie odpowiednich plików z dysku twardego, czy usunięciu rekordów z bazy danych. W dokumentach papierowych odpowiednikiem tej operacji będzie anonimizacja polegająca na zamazaniu danych, których przetwarzać już nie wolno. Pamiętaj, że samo przechowywanie danych osobowych jest czynnością przetwarzania.
Niszczenie danych to proces, w którym destrukcji ulega nośnik, na którym dane są zapisane, oczywiście wraz z tymi danymi.
Polityka niszczenia danych osobowych powinna być ujednolicona. Dobra praktyką jest sporządzanie protokołów zniszczenia z procesu niszczenia danych osobowych zwłaszcza jeśli robimy to zbiorczo. Wtedy zabezpieczymy się przed ewentualnymi roszczeniami i zarzutami.
Kiedy niszczyć dane osobowe, a kiedy usunięcie danych osobowych wystarczy?
W zależności od sytuacji i potrzeb należy wybrać jeden z tych dwóch sposobów. W większości przypadków trwałe usunięcie danych osobowych będzie wystarczające. Jest jednak kilka sytuacji, w których zniszczenie jest rekomendowaną, lub jedyną metodą:
Sprzęt komputerowy lub sam nośnik danych w Twojej firmie zostanie przeznaczony do likwidacji z powodu jego uszkodzenia lub gdy stanie się on zbędny.
Zaistnieje konieczność zniszczenia dokumentacji papierowej, w przypadku gdy wszystkie dane na niej zapisane nie są już przetwarzane
Nośnik jednorazowego zapisu z kopią zapasową zawierać będzie dane, których firma nie ma podstaw już do przetwarzania (na przykład płyta CD/DVD)
Uszkodzeniu ulegnie nośnik wielokrotnego zapisu z kopią zapasową lub stanie się on dla firmy nieprzydatny z innych powodów (na przykład nośniki oparte o taśmę magnetyczną)
Urządzenia pamięci przenośnej przestaną być potrzebne na skutek ich uszkodzenia lub zużycia (na przykład pendrive)
Zatem jak usunąć dane osobowe? Podjęcie decyzji czy dane zostaną usunięte czy powinien zniszczony cały nośnik zawsze musi być podyktowane ochroną informacji, które zostały na nim zapisane. Jeżeli istnieją uzasadnione obawy, że zapisane na nim dane mogą zostać po skasowaniu odzyskane, należy nośnik odpowiednio zniszczyć inaczej usunięcie danych z nośnika będzie w takich sytuacjach nieskuteczne.
Czasy własnych serwerów pod biurkiem w domu czy biurze to już historia. Obecnie usługi utrzymania strony internetowej, niezależnie czy jest to strona statyczna czy cały system CMS taki jak WordPress, stanowią marginalny koszt dla większości przedsiębiorców. Ale co to takiego ten Hosting zgodny z RODO?
Z firmą, która świadczy na naszą rzecz tego typu usługę dzielimy się zarówno zadaniami jak i odpowiedzialnością. Powierzamy jej obszerny zbiór danych osobowych, często bardzo cennych dla naszej działalności gospodarczej. Gdy wybieramy hosting odpowiedni do potrzeb naszej firmy musimy wybrać firmę, która oferuje odpowiednie podejście do przetwarzania danych osobowych – zarówno to techniczne, jak i poprzez odpowiednie umowy.
Nie powinno być to dla nikogo zaskoczeniem, że hosting naszego serwisu wiąże się z przetwarzaniem danych osobowych. A jednak wielu przedsiębiorców, z którymi rozmawiam, nie widzi od razy tego związku. Powiązanie takie niewątpliwie istnieje i to na dwóch obszarach.
Do jakich danych ma dostęp hostingodawca
Po pierwsze hostingodawca posiada dostęp do treść samej strony internetowej. Informacje, które zamieszczamy na naszej witrynie mogą zawierać przeróżne dane osobowe. Najczęściej będą to dane kontaktowe do wybranych pracowników, często także ich zdjęcia. Fotografii może tam być o wiele więcej. Popularne jest umieszczanie zdjęć z organizowanych przez firmę wydarzeń. Dane osobowe możemy nie tylko udostępniać za pomocą strony internetowej, ale też i pozyskiwać. Wykorzystuje się do tego systemy komentarzy wbudowane w silnik WordPress-a, ankiety, czy formularze kontaktowe. Wiele z nich zapisuje zebrane dane w bazie lub plikach, które przechowywane są na serwerze dostawcy.
Ale nawet jeżeli dopilnujemy by na naszej stronie nie znalazły się wspomniane powyżej treści, to prawie na pewno w samym silniku CMS będziemy przechowywali dane osobowe osób zarządzających treściami na stronie. Wystarczy, że będzie to służbowy imienny adres e-mail powiązany z lokalnym kontem administratora czy moderatora.
Drugi obszar przetwarzania danych osobowych przez dostawcę hostingu jest nieco mniej oczywisty dla osób, które nie znają technicznych aspektów świadczenia usługi. Obowiązkiem dostawcy tego typu usługi jest zapewnienie najwyższej jakości jej działania. Równie ważne są jego zobowiązania w zakresie bezpieczeństwa świadczonej usługi i przechowywanych w niej danych. Jego obowiązkiem jest stosowana reakcja na incydenty związane z bezpieczeństwem, w tym także w zakresie współpracy choćby z uprawnionymi organami ścigania.
Aby wypełnić te zobowiązania operator hostingu między innymi zbiera informacje na temat połączeń z utrzymywanymi serwisami. Takie logi zawierają adres IP urządzenia, z którego nastąpiła próba połączenia. W świetle RODO adres IP jest daną osobową, gdyż na jego podstawie można ustalić konkretnego użytkownika, mimo że niekoniecznie jest to proste.
Zadbaj o Hosting zgodny z RODO
Niewątpliwie firma oferująca hosting dla naszego serwisu będzie przetwarzać dane osobowe. Najczęściej występować będzie ona w roli podmiotu przetwarzającego, czyli firmy, która przetwarza powierzone nam dane osobowe. Wykonywane jest ono na nasze żądanie i jest związane z realizowaniem przez nas wskazanego celu przetwarzania. Takim celem jest choćby marketing naszych usług lub produktów poprzez stronę WWW, czy kontakt z potencjalnymi klientami poprzez formularz na stronie. W przypadku takiej relacji wymagane jest abyśmy podpisali umowę powierzenia, która ureguluje zakres przekazywanych danych i cel ich przetwarzania. Muszą znaleźć się w niej także zapisy o odpowiedzialności każdej ze stron.
Firma hostingowa jest także administratorem danych na przykład w odniesieniu do danych kontaktowych związanych z realizacją usługi hostingowej. Mogą to być na przykład dane kontaktowe do osoby odpowiedzialnej za utrzymanie strony WWW w naszej firmie. W przypadku jednoosobowych działalności gospodarczych będą to dane samej firmy. W tym wypadku odpowiednie formalności najlepiej dopełnić poprzez uważne przeczytanie i zaakceptowanie regulaminu usługi. Jeżeli firma hostingowa zbiera dane o adresach IP jedynie na własny użytek zazwyczaj będzie też w odniesieniu do nich administratorem danych osobowych.
Nieco inaczej sytuacja wygląda, gdy do informacji od adresach IP masz także dostęp ty jako klient. Możesz wtedy wykorzystywać tą informację także na swoje potrzeby na przykład do prowadzenia własnych statystyk. W takiej sytuacji do wskazanych czynności zarówno Twoja firma jak i firma hostingowa jesteście współadministratorami. Wymaga ona podpisania specjalnej umowy, która w szczegółach będzie opisywać relację pomiędzy firmami, cele przetwarzania czy obowiązki każdej ze stron. Więcej o tej formie współpracy przeczytasz w moim artykule „Współadministrator to brzmi odpowiedzialnie„.
Polityka prywatności
Nie zapomnij o umieszczeniu odpowiednich informacji o tym komu udostępniasz dane w swojej polityce prywatności. Nie zalecam odsłaniania swojego warsztatu pracy i ujawniania szczegółowych informacji o firmach, które realizują na twoją rzecz usługi. Najlepiej gdy w polityce prywatności opiszemy jakiego typu usługi podwykonawcy dla nas realizują. Możemy też wymienić jakie kategorie danych osobowych im przekazujemy. Bardziej szczegółowego opisania wymagać będzie sytuacja, w której jesteście wspólnie współadministratorami.
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. umowę powierzenia przetwarzania danych osobowych to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Co czuje przedsiębiorca dostosowujący działanie swojej firmy do wymogów RODO? Jak wygląda RODO w małej firmie? Czy pierwsze kroki budzą strach? A może jawią się jako niewykonalne zadania? Między innymi o to pytam Damiana Michalaka – przedsiębiorcę i prowadzącego serwis nastykusieci.pl. Jak wyglądały pierwsze kroki w świat RODO? Jak wdrożone rozwiązania proceduralne oraz teleinformatyczne usprawniły i zabezpieczyły działanie biznesu.
Pytanie: Kiedy pierwszy raz usłyszałeś, że Twój cały biznes musi być zgodny z RODO to co sobie wyobraziłeś?
Odpowiedź na to pytanie zacznę od wprowadzenia dodatkowego kontekstu – a jest nim pierwsza styczność z RODO. Każdy z nas chyba pamięta falę maili od różnych firm i organizacji, gdy te regulacje weszły w życie. Wtedy byliśmy niejako „po drugiej stronie barykady”. Odbiór RODO w tamtym momencie oczywiście był dość subiektywną sprawą, na dodatek mocno zależną od jakości przeprowadzonych kampanii informacyjnych. Moje odczucia były wtedy dość negatywne, nie podobało mi się w świecie rodo.Z jednej strony poirytowanie zalewem maili, z drugiej pewne rozdrażnienie w związku z brakiem pełnego zrozumienia tematu. Mnie osobiście brakowało jakościowej kampanii informacyjnej.Negatywne odczucia jednak bardzo szybko odeszły w niepamięć, gdy już po wprowadzeniu RODO spotkałem się z pierwszymi naruszeniami związanymi z przetwarzaniem moich danych. Wtedy to sobie przypomniałem, że RODO jest orężem do walki z tego typu przewinieniami. Z chęcią wykorzystałem przysługujące mi prawa, chociażby do wycofania zgody na przetwarzanie moich danych osobowych. Tego typu doświadczenia uświadomiły mi, jak istotne jest RODO, zwłaszcza gdy jesteśmy stroną, która te dane przetwarza.W pewnym momencie tak też się stało i u mnie, gdy otworzyłem moją działalność gospodarczą. Spadł na mnie pewien ciężar odpowiedzialności. O ile rozumiałem, po co jest RODO i jakie są podstawy tych regulacji, to dostosowanie mojej działalności do wymogów prawnych było zadaniem, które nie za bardzo wiedziałem, jak ugryźć.Wyobrażałem sobie, że oto teraz będę musiał spędzić godziny na czytaniu ustaw, aby zrozumieć każdy szczegół RODO, a stworzenie integralnej polityki prywatności zajmie mi dni z uwagi na delikatną kwestię doboru odpowiedniego słownictwa. Można powiedzieć, że trochę się bałem tego na wyrost, ale od czasu afery Rywina i słynnego „lub czasopisma” zacząłem z wielką powagą traktować wszelkie kwestie prawne. Podsumowując, na starcie RODO było dla mnie olbrzymią górą, na którą nie wiedziałem, jak się wdrapać i od której strony. Otuchy nie dodawał fakt, że w mojej ocenie nie posiadałem odpowiedniego ekwipunku to zmierzenia się z tym wyzwaniem.Pytanie: Czy trudno było wykonać pierwsze świadome kroki, które nie były kopiowaniem gotowców z innych stron albo szablonów. Jak wyglądała Twoja pierwsza dokumentacja RODO?
Owszem, przyszło mi to z trudem. Cieszę się, że poruszamy kwestię kopiowania gotowców z innych stron. Ja również popełniłem ten grzech zaniechania na początku i poszedłem niejako na łatwiznę. Ot znalazłem wydeptaną ścieżkę i nią podążyłem. Moja polityka prywatności w tamtym momencie stanowiła zlepek tekstów z trzech innych stron. Wybrałem takie fragmenty, które poruszały jak najszerszy zakres zagadnień i dostosowałem je delikatnie do mojej działalności. Wprowadziłem oczywiste modyfikacje takie jak wprowadzenie danych mojej firmy, czy też opisanie narzędzi firm trzecich, z których korzystałem. Wydawało mi się, że osiągnąłem zamierzony efekt – że jestem „zgodny z RODO”. Jak się później okazało, po konsultacji z Tobą, wydeptana ścieżka doprowadziła mnie ledwie na jakiś pagórek, a pełna zgodność z RODO nadal majaczyła daleko na horyzoncie ???? Generalnie moje odczucie jest takie, że trudno wykonać WŁAŚCIWIE, pierwsze, świadome kroki.Dlaczego? W tekstach prawnych bardzo często pojawiają się dość enigmatycznie brzmiące sformułowania, które odstraszają przeciętnego Kowalskiego. Większość z nas nie została nauczona jak czytać teksty prawne. Gdy więc pierwszy raz trafimy chociażby na konieczność przygotowania „wykazu powierzeń” na potrzeby RODO to większość poczuje się jakby stała pod ścianą. Teraz gdy mam już cały proces redagowania polityki prywatności OD ZERA za sobą to wiem, że nie jest to „rocket science”. Nie zmienia to faktu, że mamy dwie opcje. Pierwsza to próba przeskoczenia tej ściany poprzez spędzenie długich godzin na samodzielnym zapoznawaniu się z wymogami prawnymi. Druga, znacznie lepsza opcja, to poświęcenie kilku minut na znalezienie kogoś, kto da nam drabinę, czyli osoby, która już taką wiedzę posiada i nas odpowiednio pokieruje.
Pytanie: Jesteś osobą z branży IT – jak oceniasz, czy w obecnych czasach przedsiębiorca może skutecznie wdrożyć wymogi RODO bez znajomości podstaw teleinformatyki lub wsparciu kogoś, kto „ogarnia IT”?
Tu się odwołam do mojej poprzedniej odpowiedzi. Przedsiębiorca może skutecznie samodzielnie wdrożyć wymogi RODO, ale musi być gotowy do zainwestowania znacznej ilości czasu. Ponadto trzeba się również pogodzić z faktem, że najprawdopodobniej i tak się znajdą jakieś niedociągnięcia. Znacznie lepszym pomysłem jest skonsultowanie się z kimś, kto się już na tych regulacjach zna – na przykład z Tobą. Zaoszczędzimy w ten sposób czas i będziemy mogli spać spokojnie, nie martwiąc się, czy czegoś nie pominęliśmy.Z systemami teleinformatycznymi jest generalnie tak, że istnieją one po to, by nam ułatwiać życie. W większości przypadków są one skonstruowane tak, aby poradził sobie z nimi przeciętny Kowalski, nieznający się na technikaliach.Schody zaczynają się w momencie, gdy mamy do czynienia z kilkoma bądź kilkunastoma systemami IT, które na dodatek są ze sobą w jakiś sposób powiązane. A tak jest niemal w każdym przedsiębiorstwie w branży IT – mamy do czynienia chociażby z hostingiem strony, mailingu, mediami społecznościowymi, bazami danych itd. Przygotowanie polityki prywatności uwzględniającej te zawiłości może być nie lada wyzwaniem – dlatego też warto zasięgnąć opinii konsultanta.
Pytanie: Czy wdrożenie przez Ciebie nowych narzędzi dobranych pod kątem RODO usprawniło w innych aspektach to jak pracujesz, lub jak chronisz inne informacje?
Tak, z pewnością. Przede wszystkim postawienie na mailing oparty o G Suite od Google zdjęło z ramion pewien ciężar odpowiedzialności związany z RODO. Możliwość ustawiania polityk retencji to zaledwie jedna z zalet. Śmiem stwierdzić, że przenosiny na G Suite dały mojej firmie również wymierne korzyści w postaci chociażby dostępu do ujednoliconej platformy komunikacyjnej (Google Hangouts + Meet) czy też dodatkowego storage’u opartego o chmurę, który wykorzystujemy do backupowania owoców naszej pracy. Kolejną zaletą, którą dostrzegam po dostosowaniu się do RODO i po wprowadzeniu odpowiednich narzędzi jest większa świadomość mojej firmy. Co mam na myśli? Teraz doskonale zdaję sobie sprawę z tego, jakie dane przetwarzam oraz jaka w związku z tym ciąży na mnie odpowiedzialność. Ponadto bardzo cenna jest wiedza o tym, które z zewnętrznych podmiotów, z którymi współpracuję, również przetwarza dane moich klientów.
Pytanie: Czy Twoim zdaniem przygotowanie do RODO małej firmy wymaga angażowania prawnika?
Dobre pytanie, na które odpowiem trochę przekornie – to zależy. W przypadku dużych firm i korporacji, które przetwarzają ogromne ilości różnego rodzaju danych i powierzają te dane wielu zewnętrznym podmiotom, z pewnością angażowanie prawnika ma sens. Gracze dużego rozmiaru nie mogą sobie zwyczajnie pozwolić na błędy, które w ich przypadku mogłyby kosztować miliony. Inaczej ma się sprawa w przypadku sektora MŚP. Tutaj nadal na nas spoczywa odpowiedzialność za solidne dostosowanie firmy do wymogów RODO, rownież dokumentacja RODO musi być specjalistyczna. Natomiast skala „problemu” jest na tyle mała, że można sobie z nim ze spokojem poradzić bez angażowania funduszy na konsultacje prawne.
Odpowiadając kolokwialnie – prawnik w takiej sytuacji to według mnie trochę overkill. Z pewnością jednak warto się zastanowić nad zasięgnięciem opinii zewnętrznego konsultanta, który pomoże nam poukładać wszystkie klocki na miejscu. Ja osobiście się bardzo cieszę, że przyszło nam razem współpracować. Dogłębne zrozumienie tematyki RODO oraz doświadczenie po Twojej stronie były dla mnie kluczowe. Owocem naszej współpracy był zestaw bardzo praktycznych porad, które udało mi się z powodzeniem wdrożyć w mojej firmie. Tak wygląda ochrona danych osobowych i RODO w małej firmie krok po kroku .
W jednym z poprzednich artykułów opisywałam przykład pułapki, w którą możesz wpaść, gdy nowa osoba zapisuje się jako odbiorca Twojego newslettera. Możesz przeczytać o tym tu. Ważne jest odpowiednie wypełnienie obowiązku informacyjnego w stosunku do osoby zapisującej się na naszą listę – zdecydowanie nie wystarczy zapisać stosowne informacje w polityce prywatności. Należy jasno w formularzu, w którym zbieramy dane wyjaśnić cel ich przetwarzania. Jednak pułapki czają się też, gdy ktoś rezygnuje z Twojego newslettera. Może ona potencjalnie sprowadzić na Ciebie kłopoty.
Jak się traci subskrybenta?
Utrata osoby subskrybującej Twój newsletter może być wynikiem wielu czynników – słaba treść, zbyt duża liczba wiadomości, spełnił się cel, dla którego osoba się zapisała. Jednak ja nie o tym chcę opowiedzieć. Skupię się na technicznym procesie związanym z tą czynnością oraz wymaganiami, jakie RODO przed każdym administratorem stawia.
W punkcie 3 artykułu 7 RODO znajdziemy zapis:
(…) Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
RODO, Artykuł 7 punkt 3 (fragment)
Zatem skoro aby zapisać się na newsletter wystarczy wypełnić formularz, to wypisanie się z niego musi być co najmniej tak samo nieskomplikowaną czynnością. Niedozwolone będzie żądanie od osoby zapisanej na Twoją listę dystrybucyjną, aby wysyłała do Ciebie podanie w formie papierowej z żądaniem zaprzestania przetwarzania danych i ich usunięcia.
Większość systemów do obsługi newsletterów pozwala na wypisanie się z listy na dwa sposoby. Pierwszy z nich nie wymaga żadnych czynności ze strony administratora. W stopce każdej wysłanej wiadomości odbiorca znajdzie unikalny odnośnik, za pomocą którego samodzielnie może wycofać swoją zgodę. Proces ten jest automatyczny i wbudowany w silnik usługi newslettera. Czasem może wymagać od strony użytkownika dodatkowego potwierdzenia chęci wypisania się, czasem tylko operacja ta potwierdzana jest odpowiednią wiadomością. Drugim ze sposobów jest ręczne usunięcie wskazanej osoby z listy subskrybentów przez administratora.
Wypisany, lecz nie usunięty
Wypisanie osoby z newslettera opiszę na przykładzie popularnego systemu do obsługi newslettera MailChimp. Gdy osoba zapisana do newslettera wypisuje się z niego, nie jest ona automatycznie usuwana z bazy danych kontaktów systemu MailChimp. Dane tej osoby nadal w nim widnieją, lecz zmienia się jej status na Unsubscribed.
MailChimp nie jest jedynym systemem do prowadzenia kampanii mailowych, w którym kontakt nie jest usuwany wraz z wypisaniem się użytkownika z ostatniej listy. Podobnie dzieje się choćby w ActiveCampaign czy GetResponse. Stawiam orzechy przeciw chrupkom ;), że użytkownicy pozostałych dostawców systemów do kampanii marketingowych także nie usuwają od razu kontaktu z bazy adresów.
Czy jest to zgodne z RODO?
Jest to bardzo uzasadnione pytanie. Stosując prostą logikę, należałoby przyjąć, że skoro dana osoba się wypisała z newslettera, to powinniśmy przestać przetwarzać informacje o niej. Samo przechowywanie informacji jest czynnością przetwarzania, zatem logicznym następstwem wycofania zgody wydaje się konieczność usunięcia danych. RODO nie jest jednak tak rygorystyczne. Co więcej, taka jednoznaczna interpretacja byłaby trudna do wdrożenia niezależnie od tego, czy dane przetwarzane są jedynie w formie cyfrowej, czy także papierowej. Aby zrozumieć jakie obowiązki ma administrator, przytoczę zapis całego punktu 3, który we fragmencie już cytowałam.
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
RODO, Artykuł 7 punkt 3
Kluczowe jest sformułowanie użyte w drugim zdaniu, które mówi o tym, że informacje uzyskane w procesie przetwarzania, czy same wykonane czynności przetwarzania, wykonane przed odwołaniem zgody nadal są legalne. Zresztą nie ma możliwości odwołania wysłanych już maili marketingowych. Po wycofaniu zgody nie możesz jednak wysyłać danej osobie kolejnych wiadomości.
Jest jeszcze druga podstawa wynikająca z RODO, która uprawnia Cię do zachowania informacji o subskrybencie. Systemy obsługujące kampanie marketingowe są skonstruowane w ten sposób, że użytkownik za pomocą wspomnianego wcześniej odnośnika zawartego w mailu cofa jedynie zgodę na przetwarzanie podanych przez niego danych w celu wysyłki newslettera. Nie jest to tożsame z żądaniem usunięcia danych. Pamiętaj jednak, że jeżeli takie żądanie zostanie przez niego złożone, to musisz ręcznie usunąć wszystkie dane.
Niebezpieczeństwa
Taki sposób działania produktów takich jak MailChimp, ActiveCampaign czy GetResponse, wydaje się być oczywisty z punktu widzenia administratora danych. Każda z osób prowadząca serwis internetowy czy sklep chce jak najwięcej wiedzieć o swoich czytelnikach, czy klientach. Jako administrator musisz jednak rozumieć, w jaki sposób działa produkt, z którego korzystasz, by nie złamać innych ograniczeń wynikających z RODO.
Pamiętaj, że masz prawo przechowywać i przetwarzać dane historyczne zebrane w czasie, gdy udzielona była zgoda. Zatem nadal możesz przeglądać informację o tym, które wiadomości przez daną osobę zostały otwarte, statystyki klikania w odnośniki czy innego zaangażowania. Dotyczy to wszystkich atrybutów, które system przypisał do danego kontaktu (pamiętaj jednak zawsze o zasadzie minimalizacji i nie zbieraj więcej danych, niż jest to niezbędne).
Nie wolno Ci jednak dopisywać żadnych nowych informacji czy przetwarzać tych już posiadanych w innym celu niż pierwotnie określony, nawet jeżeli zaktualizowana została przez Ciebie polityka prywatności. Swego rodzaju „wytrychem” w tej sytuacji jest odpowiednie skonstruowanie polityki prywatności. Możesz rozdzielić wszelkiego rodzaju czynności związane z profilowaniem czy statystykami od czynności wysyłki samego newslettera. Wtedy wycofanie zgody na otrzymywanie maili nie będzie cofać zgody na inne działania. Takie podejście może być jednak ryzykowne – musisz bardzo uważać, w jaki sposób spełniasz obowiązek informacyjny. Ponadto część takich działań może wymagać od profilowanej osoby wyrażonej świadomej dodatkowej zgody.
Oczywiście nie możesz danej osobie wysyłać już więcej wiadomości z newslettera. Bardzo łatwo jednak popełnić błąd migrując swoją bazę kontaktów pomiędzy różnymi systemami do kampanii marketingowych. Jeżeli przez nieuwagę lub pomyłkę przeniesiesz taką wypisaną z list osobę do nowego systemu, a następnie otrzyma ona od nas maila z newsletterem będzie miała ona solidne podstawy, by złożyć na Ciebie skargę do UODO, czy dochodzić zadośćuczynienia.
Moje rady
Końcowa decyzja o tym, co robić a czego nie zależy od Ciebie i tego, jakie cele chcesz osiągnąć. Ja mam dla Ciebie kilka porad:
Jeżeli jesteś początkującym przedsiębiorcą, to nie kombinuj. Zajmujesz się na pewno bardzo wieloma rzeczami i łatwo możesz przeoczyć drobnostki, jak niepoprawna migracja bazy kontaktów. Ja po prostu co miesiąc kasuję osoby, które nie są zapisane na żadną z moich list.
Oddzielanie profilowania od czynności związanych z newsletterem w polityce prywatności może być ryzykowne. Jeżeli się na to decydujesz, to postaraj się skorzystać z opinii prawnika i specjalisty od IT.
Postaraj się rozumieć jak najlepiej, w jaki sposób działa system do kampanii marketingowych, z którego korzystasz. Przeczytaj dokładnie dokumentację techniczną lub zadaj pytanie do wsparcia technicznego. Pamiętaj, że twórcy mogą szumnie określać swój produkt jako „zgodny z RODO”, co nie oznacza, że nie masz żadnych obowiązków.
Dbaj o jasne zapisy w polityce prywatności i samym formularzu zapisywania na newsletter.
Dołącz do mnie na 
Dołącz do mnie na 
Dołącz do mnie na 
Dołącz do mnie na 
Dołącz do mnie na 
