5 pytań o pierwsze kroki w świecie RODO

5 pytań o pierwsze kroki w świecie RODO

Wywiad z Damianem Michalakiem (nastykusieci.pl)

Co czuje przedsiębiorca dostosowujący działanie swojej firmy do wymogów RODO? Jak wygląda RODO w małej firmie? Czy pierwsze kroki budzą strach? A może jawią się jako niewykonalne zadania? Między innymi o to pytam Damiana Michalaka – przedsiębiorcę i prowadzącego serwis nastykusieci.pl. Jak wyglądały pierwsze kroki w świat RODO? Jak wdrożone rozwiązania proceduralne oraz teleinformatyczne usprawniły i zabezpieczyły działanie biznesu.

 

Pytanie: Kiedy pierwszy raz usłyszałeś, że Twój cały biznes musi być zgodny z RODO to co sobie wyobraziłeś?

Odpowiedź na to pytanie zacznę od wprowadzenia dodatkowego kontekstu – a jest nim pierwsza styczność z RODO. Każdy z nas chyba pamięta falę maili od różnych firm i organizacji, gdy te regulacje weszły w życie. Wtedy byliśmy niejako „po drugiej stronie barykady”. Odbiór RODO w tamtym momencie oczywiście był dość subiektywną sprawą, na dodatek mocno zależną od jakości przeprowadzonych kampanii informacyjnych. Moje odczucia były wtedy dość negatywne, nie podobało mi się w świecie rodo.
Z jednej strony poirytowanie zalewem maili, z drugiej pewne rozdrażnienie w związku z brakiem pełnego zrozumienia tematu. Mnie osobiście brakowało jakościowej kampanii informacyjnej.Negatywne odczucia jednak bardzo szybko odeszły w niepamięć, gdy już po wprowadzeniu RODO spotkałem się z pierwszymi naruszeniami związanymi z przetwarzaniem moich danych. Wtedy to sobie przypomniałem, że RODO jest orężem do walki z tego typu przewinieniami. Z chęcią wykorzystałem przysługujące mi prawa, chociażby do wycofania zgody na przetwarzanie moich danych osobowych. Tego typu doświadczenia uświadomiły mi, jak istotne jest RODO, zwłaszcza gdy jesteśmy stroną, która te dane przetwarza.
W pewnym momencie tak też się stało i u mnie, gdy otworzyłem moją działalność gospodarczą. Spadł na mnie pewien ciężar odpowiedzialności. O ile rozumiałem, po co jest RODO i jakie są podstawy tych regulacji, to dostosowanie mojej działalności do wymogów prawnych było zadaniem, które nie za bardzo wiedziałem, jak ugryźć.Wyobrażałem sobie, że oto teraz będę musiał spędzić godziny na czytaniu ustaw, aby zrozumieć każdy szczegół RODO, a stworzenie integralnej polityki prywatności zajmie mi dni z uwagi na delikatną kwestię doboru odpowiedniego słownictwa. Można powiedzieć, że trochę się bałem tego na wyrost, ale od czasu afery Rywina i słynnego „lub czasopisma” zacząłem z wielką powagą traktować wszelkie kwestie prawne. Podsumowując, na starcie RODO było dla mnie olbrzymią górą, na którą nie wiedziałem, jak się wdrapać i od której strony. Otuchy nie dodawał fakt, że w mojej ocenie nie posiadałem odpowiedniego ekwipunku to zmierzenia się z tym wyzwaniem.
Pytanie: Czy trudno było wykonać pierwsze świadome kroki, które nie były kopiowaniem gotowców z innych stron albo szablonów. Jak wyglądała Twoja pierwsza dokumentacja RODO?
Owszem, przyszło mi to z trudem. Cieszę się, że poruszamy kwestię kopiowania gotowców z innych stron. Ja również popełniłem ten grzech zaniechania na początku i poszedłem niejako na łatwiznę. Ot znalazłem wydeptaną ścieżkę i nią podążyłem. Moja polityka prywatności w tamtym momencie stanowiła zlepek tekstów z trzech innych stron. Wybrałem takie fragmenty, które poruszały jak najszerszy zakres zagadnień i dostosowałem je delikatnie do mojej działalności. Wprowadziłem oczywiste modyfikacje takie jak wprowadzenie danych mojej firmy, czy też opisanie narzędzi firm trzecich, z których korzystałem. Wydawało mi się, że osiągnąłem zamierzony efekt – że jestem „zgodny z RODO”. Jak się później okazało, po konsultacji z Tobą, wydeptana ścieżka doprowadziła mnie ledwie na jakiś pagórek, a pełna zgodność z RODO nadal majaczyła daleko na horyzoncie ???? Generalnie moje odczucie jest takie, że trudno wykonać WŁAŚCIWIE, pierwsze, świadome kroki.
Dlaczego? W tekstach prawnych bardzo często pojawiają się dość enigmatycznie brzmiące sformułowania, które odstraszają przeciętnego Kowalskiego. Większość z nas nie została nauczona jak czytać teksty prawne. Gdy więc pierwszy raz trafimy chociażby na konieczność przygotowania „wykazu powierzeń” na potrzeby RODO to większość poczuje się jakby stała pod ścianą. Teraz gdy mam już cały proces redagowania polityki prywatności OD ZERA za sobą to wiem, że nie jest to „rocket science”. Nie zmienia to faktu, że mamy dwie opcje. Pierwsza to próba przeskoczenia tej ściany poprzez spędzenie długich godzin na samodzielnym zapoznawaniu się z wymogami prawnymi. Druga, znacznie lepsza opcja, to poświęcenie kilku minut na znalezienie kogoś, kto da nam drabinę, czyli osoby, która już taką wiedzę posiada i nas odpowiednio pokieruje.

Pytanie: Jesteś osobą z branży IT – jak oceniasz, czy w obecnych czasach przedsiębiorca może skutecznie wdrożyć wymogi RODO bez znajomości podstaw teleinformatyki lub wsparciu kogoś, kto „ogarnia IT”?

Tu się odwołam do mojej poprzedniej odpowiedzi. Przedsiębiorca może skutecznie samodzielnie wdrożyć wymogi RODO, ale musi być gotowy do zainwestowania znacznej ilości czasu. Ponadto trzeba się również pogodzić z faktem, że najprawdopodobniej i tak się znajdą jakieś niedociągnięcia. Znacznie lepszym pomysłem jest skonsultowanie się z kimś, kto się już na tych regulacjach zna – na przykład z Tobą. Zaoszczędzimy w ten sposób czas i będziemy mogli spać spokojnie, nie martwiąc się, czy czegoś nie pominęliśmy.Z systemami teleinformatycznymi jest generalnie tak, że istnieją one po to, by nam ułatwiać życie. W większości przypadków są one skonstruowane tak, aby poradził sobie z nimi przeciętny Kowalski, nieznający się na technikaliach.
Schody zaczynają się w momencie, gdy mamy do czynienia z kilkoma bądź kilkunastoma systemami IT, które na dodatek są ze sobą w jakiś sposób powiązane. A tak jest niemal w każdym przedsiębiorstwie w branży IT – mamy do czynienia chociażby z hostingiem strony, mailingu, mediami społecznościowymi, bazami danych itd. Przygotowanie polityki prywatności uwzględniającej te zawiłości może być nie lada wyzwaniem – dlatego też warto zasięgnąć opinii konsultanta.

 

Pytanie: Czy wdrożenie przez Ciebie nowych narzędzi dobranych pod kątem RODO usprawniło w innych aspektach to jak pracujesz, lub jak chronisz inne informacje?

Tak, z pewnością. Przede wszystkim postawienie na mailing oparty o G Suite od Google zdjęło z ramion pewien ciężar odpowiedzialności związany z RODO. Możliwość ustawiania polityk retencji to zaledwie jedna z zalet. Śmiem stwierdzić, że przenosiny na G Suite dały mojej firmie również wymierne korzyści w postaci chociażby dostępu do ujednoliconej platformy komunikacyjnej (Google Hangouts + Meet) czy też dodatkowego storage’u opartego o chmurę, który wykorzystujemy do backupowania owoców naszej pracy. Kolejną zaletą, którą dostrzegam po dostosowaniu się do RODO i po wprowadzeniu odpowiednich narzędzi jest większa świadomość mojej firmy. Co mam na myśli? Teraz doskonale zdaję sobie sprawę z tego, jakie dane przetwarzam oraz jaka w związku z tym ciąży na mnie odpowiedzialność. Ponadto bardzo cenna jest wiedza o tym, które z zewnętrznych podmiotów, z którymi współpracuję, również przetwarza dane moich klientów.

 

Pytanie: Czy Twoim zdaniem przygotowanie do RODO małej firmy wymaga angażowania prawnika?

Dobre pytanie, na które odpowiem trochę przekornie – to zależy. W przypadku dużych firm i korporacji, które przetwarzają ogromne ilości różnego rodzaju danych i powierzają te dane wielu zewnętrznym podmiotom, z pewnością angażowanie prawnika ma sens. Gracze dużego rozmiaru nie mogą sobie zwyczajnie pozwolić na błędy, które w ich przypadku mogłyby kosztować miliony. Inaczej ma się sprawa w przypadku sektora MŚP. Tutaj nadal na nas spoczywa odpowiedzialność za solidne dostosowanie firmy do wymogów RODO, rownież dokumentacja RODO musi być specjalistyczna. Natomiast skala „problemu” jest na tyle mała, że można sobie z nim ze spokojem poradzić bez angażowania funduszy na konsultacje prawne.

Odpowiadając kolokwialnie – prawnik w takiej sytuacji to według mnie trochę overkill. Z pewnością jednak warto się zastanowić nad zasięgnięciem opinii zewnętrznego konsultanta, który pomoże nam poukładać wszystkie klocki na miejscu. Ja osobiście się bardzo cieszę, że przyszło nam razem współpracować. Dogłębne zrozumienie tematyki RODO oraz doświadczenie po Twojej stronie były dla mnie kluczowe. Owocem naszej współpracy był zestaw bardzo praktycznych porad, które udało mi się z powodzeniem wdrożyć w mojej firmie. Tak wygląda ochrona danych osobowych i RODO w małej firmie krok po kroku .

Dziękuję za rozmowę 🙂

Poznaj pakiet RODO dla jednoosobowej działalności.

.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Double opt-in przy zbieraniu zgód

Double opt-in przy zbieraniu zgód

Jednym z obowiązków, jakie RODO oraz Ustawa o Świadczeniu Usług Drogą Elektroniczną nakładają na przedsiębiorcę, jest zebranie zgody na przetwarzanie danych osobowych w celach marketingowych. Wymogi stawiane przed przedsiębiorcą wynikające z tych dwóch różnych aktów prawnych mają jedną wspólną cechę – to do przedsiębiorcy należy wykazanie, że zgoda została wyrażona. Mechanizm Double Opt-in jest jedną z technik, które mają za zadanie zebrać jednoznaczną i weryfikowalną zgodę.

Po co te zgody marketingowe?

Marketing może być prowadzony na bardzo wiele sposobów. W internecie spotkamy się z reklamami graficznymi, zarówno sprofilowanymi, jak i wyświetlanymi w sposób losowy. Mniej popularne są formy afiliacyjne czy marketing szeptany. Jedną z najstarszych i nadal najpopularniejszych metod dotarcia do klienta jest jednak marketing za pomocą e-maili. Może on przyjąć wiele form. Najczęściej jest to newsletter z treściami przynoszącymi odbiorcy konkretną wartość. Spotkać się możemy też z bezpośrednim przeniesieniem idei gazetki reklamowej do postaci elektronicznej. Z kuponami zniżkowymi włącznie.

RODO, tam gdzie nie wynika to z innych przepisów, nakłada obowiązek zebrania zgody na przetwarzanie danych osobowych do wszelkich czynności. Nie inaczej jest, gdy chcemy te dane przetwarzać w celach marketingu produktów własnych czy remarketingu oferty firm trzecich. Jednak w przypadku tego typu działań w formie elektronicznej musimy się liczyć także z zapisami Ustawy o Świadczeniu Usług Drogą Elektroniczną. Szczególnie ważne są zapisy zawarte w artykule 10 ustawy.

  1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
  2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny

Zatem jasno wynika, że zgoda na marketing w formie newslettera jest wymagana. Co więcej, zarówno RODO, jak i Prawo Telekomunikacyjne wprost mówią, że zgoda ta „nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”. Zatem administrator musi mieć możliwość wykazania w przypadku kontroli, że dana osoba zgodę wyraziła. Double Opt-In jest metodą na wykazanie dopełnienia wszystkich obowiązków przez przedsiębiorcę.

Wzory zgód marketingowych znajdziesz w pakiecie Regulamin sklepu internetowego 2021 + pakiet RODO na stronę

Single Opt-In

Typowy mechanizm pozwalający zapisać się do newslettera ma postać formularza. Zainteresowana osoba wypełnia go wpisując w odpowiednim polu swój adres e-mail i klika przycisk rejestracji. Następnie na jego skrzynkę mailową przychodzi potwierdzenie w formie wiadomości powitalnej. Taki proces nazywamy Single Opt-In, gdyż zgoda na dopisanie się wyrażana jest jednokrotnie poprzez wypełnienie formularza. Nawet jeżeli do formularza dodamy dodatkowy checkbox z przygotowaną formułą typu „wyrażam zgodę na przesyłanie informacji handlowych”. Przy dobrze spełnionym obowiązku informacyjnym jest on w wielu przypadkach zbędny.

OPT1

Single Opt-In jest bardzo prostą i wydajną metodą lecz nie w każdej sytuacji

Zalety

  • Prostszy proces zapisu przekłada się na szybszą budowę bazy odbiorców newslettera
  • Szybciej przyrastająca liczba subskrybentów

Wady

  • Mniejszy poziom zaangażowania uczestników listy mailowej, większa liczba „martwych dusz”.
  • Wyższy wskaźnik osób wypisujących się z newslettera i odbitych maili (bounce rate), który negatywnie może wpływać na Twoją reputację i efektywność dostarczania maili.
  • Potencjalnie lista może łatwo zostać zaśmiecona nieistniejącymi adresami przez Twoją konkurencję.
  • Wymaga innych dodatkowych metod potwierdzających, że zgoda została wydana świadomie.

 

Kiedy warto stosować

Model Single Opt-In możemy z powodzeniem stosować w formularzach dedykowanych jedynie do zapisu do listy mailingowej. Osoba zapisująca się na listę musi wykonać świadomą i jednoznaczną czynność polegającą na wpisaniu swojego adresu e-mail i jednoznacznego potwierdzenia odpowiednim przyciskiem. Formularz powinien zawierać w sobie dobrze wypełniony obowiązek informacyjny, w tym jednoznaczną informację, że podanie danych jest dobrowolne i będzie skutkowało wyrażeniem zgody na otrzymywanie informacji o charakterze marketingowym. Zatem sam formularz jest kluczem do poprawnego zebrania zgody i wypełniania obowiązku informacyjnego

 

Double Opt-In

W modelu Double Opt-In stosuje się dwa kroki celem weryfikacji udzielonej zgody. Wypełnienie przez zainteresowanego odbiorcę formularza na stronie nie kończy procesu dodawanie nowej osoby do listy. Powoduje natomiast wysłanie na podany adres e-mail wiadomości zawierającej specjalnie przygotowany link potwierdzający chęć rejestracji. W tym etapie system obsługujący wysyłkę newslettera ma już informacje podane w formularzu, lecz nie wysyła jeszcze wiadomości marketingowych. Osoba, która dołącza do newslettera musi potwierdzić swoją chęć klikając na wygenerowany dla niej specjalny link, który wysyłany jest do niej w wiadomości zwrotnej. Jeżeli nie odbierze ona maila lub nie potwierdzi chęci zapisania się do newslettera, to po określonym czasie wygenerowany odnośnik wygaśnie. Pozyskany zaś adres zostanie usunięty z systemu mailowego. Dokończenie rejestracji możliwe jest tylko poprzez świadome otwarcie maila i kliknięcie na załączony odnośnik. Dopiero po wykonaniu tych czynności system mailingowy zarejestruje wyrażoną zgodę i przeniesie osobę do wskazanej grupy odbiorców.

OPT2

Zalety

  • Lepsza weryfikacja fałszywych adresów e-mail oraz osób niezainteresowanych wysyłanymi do nich wiadomościami
  • Lepszy (niższy) wskaźnik niedoręczonych wiadomości (bounce rate)
  • Subskrybenci rzeczywiście zainteresowani wysyłanymi do nich wiadomościami

 

Wady

  • Wolniej przebiegający proces budowy listy mailowej.
  • Młodsi odbiorcy, szczególnie nastolatkowie, są mniej przyzwyczajeni do sprawdzania skrzynki pocztowej, co powoduje, że mogą nie potwierdzić na czas subskrypcji.
  • Wyższy koszt pozyskania subskrybenta, jeżeli korzysta się z usług operatora, u którego koszt zależy także od ilości wysyłanych maili.

 

Kiedy warto stosować

Proces Double Opt-In jest przydatny w sytuacji, gdy dajemy osobom możliwość dopisania się do odbiorców newslettera przy okazji innej czynności. Jest to bardzo wygodne rozwiązanie dla prowadzących sklepy internetowe. Zazwyczaj oferują oni możliwość wyrażenia zgody na otrzymywanie wiadomości marketingowych w finalnym kroku dokonywania zakupów. Metoda Double Opt-In pozwoli im zebrać jednoznaczną i wiarygodnie udokumentowaną zgodę. Pozwoli to uniknąć podejrzeń o bezprawne dopisywanie do listy lub domyślne zaznaczenie w formularzu zamówienia zgody na marketing. Skorzystają na niej też osoby, którym zależy na dodatkowej weryfikacji adresów e-mail i automatycznym odrzucaniu nieprawidłowych adresów.

Polecany artykuł:

Utrata subskrybenta – kłopotliwa sprawa

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Darmowa skrzynka e-mail a RODO

Darmowa skrzynka e-mail a RODO

Darmowa skrzynka e-mail a RODO

Praktycznie nie istnieją już chyba przedsiębiorstwa, które mogą obejść się bez poczty elektronicznej. Służy nam ona do kontaktu z klientami, partnerami handlowymi czy urzędami administracji publicznej. W samych listach znajdują się natomiast dane osobowe, które przetwarzamy poprzez odbieranie, przechowywanie, przesyłanie czy kasowanie wiadomości. Zatem usługa poczty elektronicznej musi być zgodna z RODO. Czy zatem darmowy e-mail możemy za taki uznać?

Darmowa skrzynka pocztowa e-mail, czyli kto za to płaci?

W biznesie nie ma nic za darmo. Nie inaczej jest z usługami darmowej poczty. Polskie firmy czy globalne koncerny przecież nie wydają swoich pieniędzy na zbudowanie i utrzymanie darmowej poczty bezinteresownie. Walutą, którą za taką usługę płacimy, jest prywatność – nasza i osób, z którymi korespondujemy. Dokonując analizy treści przesyłanych wiadomości e-mail, można bardzo wiele dowiedzieć się o danej osobie, o jej nawykach, upodobaniach, hobby, animozjach, kręgu znajomych itp. A wszystkie te dane firma oferująca darmowe skrzynki może potem sprzedać lub samodzielnie przetwarzać w celach marketingowych. Za naszą zgodą. Jej brak skutkowałby zakończeniem świadczenia „darmowej” usługi dla nas.

Aby profilować użytkowników darmowej poczty, operator musi zaglądać w jej treść. Oczywiście dzieje się to w sposób automatyczny bez udziału człowieka, niemniej naraża to przedsiębiorcę na odpowiedzialność z tytułu złamania RODO. Jeżeli skorzystamy z usługi darmowej poczty, to nie podpiszemy z jej operatorem umowy powierzenia. Pozwolimy także profilować naszych klientów, na co oni przecież mogą nie wyrażać zgody. Przyjrzyjmy się kilku najpopularniejszym w Polsce dostawcom usługi darmowej poczty elektronicznej.

Gmail

Niewątpliwie GMail jest jedną z najpopularniejszych platform darmowej poczty elektronicznej nie tylko w Polsce, ale na całym świecie. Jest jedną z usług całego ekosystemu darmowych usług, do korzystania z których Google zaleca, by być na stałe zalogowanym przy pomocy swojej tożsamości identyfikowanej przez konto GMail. Wraz z wejściem RODO przejrzystość dokumentów opisujących warunki użytkowania usług się znacznie poprawiła. Nie oznacza to jednak, że łatwo się połapać w zależnościach i przetwarzanych danych. Świadczą o tym nagłaśniane w mediach co jakiś czas potencjalne nadużycia ze strony Google, a także działania organizacji społecznych wymierzone przeciwko praktykom giganta.

W warunkach użytkowania usługi możemy napotkać następujący fragment: “Nasze automatyczne systemy analizują treść (w tym wiadomości e-mail) w celu oferowania spersonalizowanych funkcji usług, takich jak wyniki wyszukiwania, reklamy indywidualne i wykrywanie spamu oraz złośliwego oprogramowania. Tę analizę przeprowadzamy podczas wysyłania, odbierania oraz zapisywania treści.”

Warunki korzystania z usług Google (https://policies.google.com/terms?hl=pl)

Zapis ten w pewnym uproszczeniu oznacza, mówiąc potocznie, że automaty Google „czytają” pocztę”, gdy ją wysyłamy, odbieramy, a także przechowujemy w usłudze GMail. Jeżeli prowadzimy przedsiębiorstwo, oznacza to, że przekazujemy celem automatycznego przetwarzania dane osobowe, które nasi klienci czy kontrahenci przekazali nam w zupełnie innym celu. Nie można też powiedzieć, że te dane są poufne, skoro analizuje je automat. Google co prawda zapowiedziało wycofywanie się z takiego analizowania poczty, lecz zapisy takie nadal są w regulaminach.

Outlook.com, czyli dawny hotmail.com

Popularny Hotmail jest obecnie darmową usługą realizowaną w ramach Office365, czyli zestawu usług od Microsoft, w skład których wchodzi także darmowa poczta. Podobnie jak Google darmowa poczta wymaga od użytkownika zrzeczenia się części prywatności. Microsoft nie mówi wprost o skanowaniu poczty w celach marketingowych, natomiast nie ma usług za darmo. Pamiętajmy także, że konto może zostać powiązane z systemem Windows, na którym pracujesz, a cały ekosystem może zostać rozszerzony o wiele wtyczek i dodatków, to któreś z rozszerzeń może mieć pełen dostęp do Twojej poczty.

Jedną z takich wtyczek jest popularny Boomerang, który pozwala między innymi na opóźnienie wysłania poczty wysyłając ją za Ciebie w ustalonym momencie. Rozszerzenie takie nie zadziała jednak, jeżeli nie nadamy mu pełnego dostępu do naszej skrzynki pocztowej.

Pamiętajmy, że zarówno korzystając z konta od Googla jak i od Microsoft ustawienia prywatności mogą znajdować się w różnych miejscach. Choć trzeba docenić, że obie firmy starają się stan rzeczy uporządkować i wyjaśniać użytkownikom. Natomiast, jak już wcześniej wspomniałem, darmowa poczta nie jest tak na prawdę darmowa. Wielkie koncerny udostępniając nam usługę darmowej poczty nie oczekują pieniędzy, ale nie znaczy że za nią nie płacimy. Walutą jest prywatność – nasza, a także osób z którymi korespondujemy.

Interia

Polscy dostawcy działają w bardzo podobny sposób, choć informacje o metodach profilowania nie są tak bezpośrednie. Mając trochę wiedzy technicznej i znając sposoby, w jaki profilowanie zapisane w regulaminie usługi się odbywa, można wywnioskować stopień zagrożenia dla powierzonych nam danych. W regulaminie usługi darmowej poczty Interii znajdziemy następujący fragment:

W przypadku chęci skorzystania przez Użytkownika z opcji Konta Bezpłatnego Użytkownik przyjmuje do wiadomości, że korzystanie z Usługi bez opłat wymaga od Użytkownika wyrażenia zgód na przetwarzanie danych osobowych w sposób umożliwiający INTERIA.PL dokonywania operacji na danych osobowych Użytkownika w celu kierowania do Użytkownika spersonalizowanej reklamy. Powyższe operacje na danych osobowych dokonywane są przez INTERIA.PL z poszanowaniem praw Użytkownika, umożliwiają INTERIA.PL świadczenie usługi za darmo, gdyż dopasowanie reklam do preferencji użytkownika umożliwia INTERIA.PL zarabianie na reklamach.

REGULAMIN ŚWIADCZENIA USŁUG UDOSTĘPNIANIA KONT POCZTOWYCH PRZEZ GRUPA INTERIA.PL SPÓŁKA z o.o. Sp. k. (Cz VIII pkt. 9) (https://konto-pocztowe.interia.pl/agreements/item/50/file/10)

Zapis mówi enigmatycznie o „operacjach na danych osobowych” nie przekazując wprost na czym to polega, ani czyje dane są przetwarzane. Zatem można przyjąć, że każde, w tym dane nam powierzone w nagłówkach czy treści poczty e-mail. Na liście podmiotów, którym dane zaś mogą być udostępniano znajdziemy przede wszystkim firmy trudniące się marketingiem i profilowaniem pod kątem marketingu. Cel zatem wydaje się jasny.

O2

Regulamin i polityka serwisu O2 jest mało czytelna, jednak zakładając darmowe konto pocztowe musimy zaznaczyć następujące zgody

email darmowy
Darmowa skrzynka e-mail a RODO 4

 

Zgody marketingowe mówią o zbieraniu danych w celu reklamy w tym jej dopasowania, zatem do profilowania. Dodatkowo w polityce prywatności możemy przeczytać, że firma wykonuje „pomiary statystyczne (…) marketing (w tym analizowanie i profilowanie danych w celach marketingowych)” zarówno w odniesieniu do marketingu własnego jak i firm trzecich. Zatem należy założyć, że także jakiś automat czyta pocztę i zbiera dane.

Czy da się zgodnie z RODO prowadzić działalność gospodarczą korzystając z usług darmowej poczty?

Da się, nie jest to jednak proste. Akceptując regulamin takiej usługi nie podpisujemy umowy powierzenia danych osobowych z operatorem takiej poczty. Zatem ciężko wykazać, że wypełniony został obowiązek formalny. Można próbować na podstawie regulaminu czy polityki prywatności, bo umowę na koniec formalnie zawieramy, lecz jest to działanie, które UODO może w trakcie kontroli podważyć. Warto też zastanowić się nad taką darmową pocztą od strony wizerunku naszej firmy. Adres w domenie darmowych skrzynek e-mail takich jak @gmail.com, @wp.pl i podobne nie wyglądają profesjonalnie i mogą zniechęcić część klientów.

Najlepszym i niedrogim rozwiązaniem, jest płatna usługa pocztowa. Oferuje je bardzo wielu dostawców, często jest elementem składowym bardziej kompleksowego pakietu usług biurowych. Wybierając dostawcę, musisz zwrócić uwagę na to by podpisana została umowa powierzenia, tak aby przetwarzanie danych na serwerze usługodawcy miało poparcie w odpowiednich dokumentach. Przeanalizuj też dokładnie regulamin i politykę prywatności komercyjnej usługi, aby uzyskać pewność, że nie ma w niej uderzających w Twoje interesy zapisów. W razie wątpliwości zapytaj się o wykładnię Inspektora Danych Osobowych dostawcy lub swojego prawnika.

Warto też przyjrzeć się całemu pakietowi usług, nie tylko samej poczcie elektronicznej. Zarówno Google, jak i Microsoft oferują całe pakiety usługi i aplikacji dedykowane przedsiębiorcom. Odsprzedają je także polscy dostawcy, oferując do nich własne dodatkowe serwisy.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

NEWSLETTER zgodny z RODO

NEWSLETTER zgodny z RODO

NEWSLETTER zgodny z RODO

W tym artykule przyjrzymy się na powszechnemu mechanizmowi, który w skrócie można określić „wartość za e-mail”. Przedsiębiorca oferuje jakiś dokument czy innego rodzaju produkt za darmo w zamian za możliwość przetwarzania danych osobowych w celach marketingowych, które realizuje np. poprzez newsletter. Newsletter zgodny z RODO zrealizujemy min poprzez pobranie jasnej zgody czytelnika na jego otrzymywanie.

Obowiązek informacyjny

Obowiązek informacyjny opisany jest w artykułach 12, 13 i 14 RODO. Pierwszy z nich mówi wprost, że komunikacja musi być prowadzona w sposób jasny i zrozumiały dla odbiorcy.

„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. (…)’

RODO, art 12, pkt. 1 (fragment)

Oznacza to, że w momencie podawania swoich danych osobowych osoba ta musi być już w sposób jasny poinformowana choćby w jakim celu te dane są zbierane, co się stanie, gdy wypełni formularz i wciśnie przycisk Wyślij. Takie informacje zazwyczaj zawarte są w polityce prywatności. Ponieważ jest to zazwyczaj dokument długi, zawierający bardzo dużo informacji, to w wielu przypadkach może być niewystarczającym.

Klauzule informacyjne znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.

Plik na zachętę w zamian za newsletter

RODO dopuszcza, że możesz zachęcać osobę odwiedzającą Twoją stronę, aby zostawiła swoje dane osobowe w celach marketingowych. Wszyscy tego doświadczamy – operatorzy telefonii komórkowej czy telewizji kablowej oferują kilka złotych upustu ceny abonamentu w zamian za wyrażenie takiej zgody. Zazwyczaj jest ona konieczna zarówno do promowania usług własnych operatora, jak i firm trzecich. Podobną sytuację stworzysz, gdy zaoferujesz darmowy dokument, zestaw dokumentów czy inny produkt w zamian za zapisanie się na newsletter.

Nie ma w tym nic złego, w końcu wszyscy jako przedsiębiorcy chcemy docierać do nowych potencjalnych klientów. Oto przykład z jednej z napotkanych stron takiej zachęty. Osoba, która kliknie podany odnośnik zostaje przeniesiona do formularza, na którym proszona jest o podanie swoich danych. Wypełnienie i wysłanie formularza kończą pierwszy proces rejestracji użytkownika w liście mailowej właściciela serwisu.

news23

Tylko czy osoba, która chciała pobrać e-booka, była świadoma tego, że musi dołączyć do newslettera?

Lepiej nie zakładaj, że ktoś wie jak to działa

Dla osób, które spędzają dużo czasu w sieci, lub wręcz ich biznes jest oparty o usługi czy produkty oferowane przez Internet, zapewne nie byłyby zaskoczone takim komunikatem po wypełnieniu formularza. Jako przedsiębiorca tworzący taką zachętę nie możesz jednak zakładać, że wiedzą o tym wszyscy, czy nawet większość osób, które będą chciały taki e-book pobrać. Pamiętaj, że większość wyłudzeń i innych przekrętów w Internecie bazuje na trzech słabościach – niewiedzy, zaufaniu i naiwności ofiary. Wielu czytelników Twojego portalu może w takiej sytuacji mieć do Ciebie pretensję, że nie dostali jasnej informacji, po co Tobie ich adres e-mail. Przecież oferowałeś e-booka, prawda?

Jak zatem interpretować informację umieszczoną pod przyciskiem „odbierz prezent”? Co można jej zarzucić? Na pewno lakoniczność i spore braki. Nie każdy użytkownik internetu wie czym jest SPAM i newsletter i potrafi powiązać to pojęcie z funkcjonalnością poczty elektronicznej. Zawsze gdy masz wątpliwości co do jasności zapisów na swojej stronie możesz przeprowadzić „test dziadków” – posadź swoich dziadków przed komputerem, poprowadź przez oferty Twoich materiałów, rejestracji i pobrania, a następnie spytaj, czy był on dla nich zrozumiały i czy rozumieją, co się teraz stanie. Ręczę Ci, że jeżeli zapytasz, czy wiedzą, że teraz będą otrzymywali od Ciebie e-maile z propozycjami Twoich usług, jest bardzo wysokie prawdopodobieństwo, że odpowiedź będzie negatywna.

Co mogę zrobić lepiej?

news3W tym konkretnym przykładzie poprawy wymaga drugi krok całego procesu, czyli moment zbierania danych osobowych w formularzu. Bardzo dobrze, że autor zaznaczył wymóg podania jedynie adresu poczty elektronicznej – żądanie podania także imienia prawdopodobnie zostałoby uznane za zbieranie danych nadmiarowych, nieadekwatnych względem celu przetwarzania. Imię nie jest niezbędne, aby do odbiorcy dotarł e-mail z newslettera.

Rozbudowana powinna zostać sekcja informacyjna. Należałoby dodać czytelny opis, że oferujemy prezent, w zamian za możliwość wysyłania newslettera i oferowania swoich usług. Dobrze też już w tym miejscu zaznaczyć, że osoba ta, może w każdym momencie się z listy wypisać. Ponadto powinien w opisie znaleźć się odnośnik to polityki prywatności, w której dokładnie zostanie opisane czym jest newsletter i przedstawimy cel, czas i zakres przetwarzanych w tym celu danych osobowych.

Umieszczenie w tym miejscu odnośnika jest szczególnie jeżeli nie znajduje się on w stopce strony lub odczytanie polityki wymagałoby przerwanie procesu rejestracji. Wielu świadomych czytelników, gdy przerwie podawanie swoich danych, by sprawdzić politykę prywatności może do procesu rejestracji już nie powrócić. Nie dlatego, że znajdzie w niej zapisy, które nie będą tej osobie pasować, lecz może uznać proces za skomplikowany i niewygodny.

Podpięcie odnośnika do polityki prywatności należy uznać za dobrą praktykę spełniania obowiązku informacyjnego. Pamiętaj tylko, aby odnośnik domyślnie otwierał się w nowym oknie lub zakładce.

Gdybym miała zmodyfikować informacje zawarte pod formularzem rejestracji do newslettera w drugim kroku zarekomendowałabym następującą formę:

„W zamian za pobranie mojego e-booka proszę Cię zapisz się do mojego newslettera podając swój adres e-mail. Nie wysyłam SPAM-u, moim celem jest dzielić się z Tobą wartościową wiedzą o tym, co znalazłem ciekawego w sieci oraz tym, co mam do zaoferowania. Jeżeli uznasz wysyłane informacje za nieprzydatne, to w każdej chwili możesz wypisać się z listy korzystając ze specjalnego odnośnika znajdującego się na końcu każdej wiadomości. Będę wysyłał Ci informacje tylko tak długo, jak będziesz chcieć je otrzymywać! Jeżeli chcesz dokładnie zapoznać się w jaki sposób będą przetwarzane powiązane z Tobą dane osobowe, w każdej chwili możesz wejść na stronę opisującą stosowaną przeze mnie politykę prywatności.”

Tak sformułowana informacja jest jasna dla czytelnika i jednoznacznie informuje co się stanie z jego adresem e-mail w zamian za przygotowany dokument oraz odsyła go do polityki prywatności po bardziej szczegółowe informacje. Nie pozostawia ona pola do niedomówień i każdy, kto ją przeczyta będzie świadomy zapisania się na newsletter

RODO nie mówi, w jaki sposób należy pewne rzeczy robić, mówi jedynie jaki stan należy uzyskać. Dlatego będę opisywała różne napotkane w Internecie sytuacje, które moim zdaniem wymagają poprawy. Na tej stronie znajdziesz nowe artykuły, ale także inne wydarzenia związane z RODO, które mogą mieć wpływ na to, w jaki sposób działa Twoja firma, a w szczególności o tym, jak usprawnić i zabezpieczyć jej codzienne funkcjonowanie.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

 

NEWSLETTER zgodny z RODO 7
Współadministrator – brzmi odpowiedzialnie

Współadministrator – brzmi odpowiedzialnie

Współadministrator – brzmi odpowiedzialnie

Jesteś prężnym przedsiębiorcą, prowadzisz już nie jedną, a kilka firm. Czasem te firmy działają w zupełnie innych branżach, realizują całkowicie inne zadania. Niejednokrotnie jednak Twoje firmy działają w tym samym sektorze, współpracują ze sobą, wzajemnie się dopełniają. Być może prowadzą one wspólne kampanie marketingowe czy obsługują tych samych Twoich klientów, a nie tylko świadczą sobie usługi nawzajem. Czy istnieje zatem sposób na to, by administrowanie danymi osobowymi było dla nich łatwiejsze? Tak! Jest nią współadministrator.

Jeden, czy wielu administratorów?

Administratorem danych osobowych jest firma lub czasem osoba prywatna, która decyduje o celach i sposobach przetwarzania pozyskanych danych osobowych. Administrator może podpisywać umowy powierzenia, zlecając wykonanie zadania związanego z przetwarzaniem innej spółce. Nie oznacza to jednak, że podwykonawca ma jakiekolwiek prawa do decydowania o celach i sposobach przetwarzania. Jego rolą jest jedynie wykonanie zadanej czynności. Zatem platforma, za pomocą której wysyłasz newsletter, nie może określić sobie nowego celu przetwarzania. Gdyby jej administrator tak postąpił to złamałby prawo wykorzystując powierzone mu dane osobowe niezgodnie z określonym przez administratora celem przetwarzania.

Jeżeli jednak pomiędzy dwoma lub więcej firmami zawierane są różne umowy współpracy, warto zastanowić się, czy nie lepiej by było one współadministratorami. Możliwość taką precyzuje artykuł 26 RODO. Przed takim pytanie staną na przykład przedsiębiorcy powołujący do życia konsorcjum, czy właściciele firm działających w ramach grupy kapitałowej. Każdy dowolny inny sposób powiązania ze sobą spółek może także skutkować chęcią powołania współadministratora. Jeżeli posiadają oni pewną wspólną grupę klientów czy kontrahentów mogą rozważyć, czy nie powinny one być współadministratorami danych osobowych.

Jeżeli prowadzisz sieć kawiarni, lecz każda z nich jest oddzielną spółką, to być może jest to dobre dla Ciebie rozwiązanie. Pozwoli ono zmniejszyć koszty i zoptymalizować zarządzanie danymi. Twoja firma szkoleniowa może dopełniać portfolio produktów Twojej firmy świadczącej usługi informatyczne. Jako współadministratorzy będą mogły razem prowadzić bardziej efektywne kampanie marketingowe wspólnie zarządzając listą kontaktów. Jeżeli wraz z zaprzyjaźnioną firmą organizujesz konkurs to także w takim przypadku oba podmioty mogą być współadministratorami. O ile realizują cel, jakim jest przeprowadzenie konkursu. Przykładów takiego współdziałania jest bardzo wiele.

Współadministrator – brzmi odpowiedzialnie?

Przede wszystkim współadministratorzy razem ustalają cele i sposoby przetwarzania. Oznacza to, że każda z firm ma prawo współdecydowania o tym, jak wygląda ochrona i przetwarzania danych osobowych. Dokładnie tak samo jak każda z nich ma prawo współdecydować o strategii marketingowej. Pamiętaj, że podstawą jest, aby cel był ten sam. Niezależnie od tego każdy współadministrator może być niezależnie administratorem danych osobowych w stosunku do innych celów przetwarzania.

Aby współadministrować danymi osobowymi spółki muszą zawrzeć umowę, w której będzie zapisany zakres współodpowiedzialności każdego ze współadministratorów. Umowa ta powinna też zawierać zapisy o sposobie realizacji praw osób, których dane są przetwarzane. Określić zatem trzeba która spółka i w jakim trybie realizować będzie prawo do informacji. Nie musi to być ta sama spółka w grupie, której systemy teleinformatyczne służą do samego przetwarzania danych. Ponadto warto by w umowie zawarte zostały jasne zapisy odnoszące się do wypełnienia obowiązku informacyjnego.

Firmy będące współadministraotrami muszą także stworzyć dokument, zawierający najważniejsze informacje dotyczące zawartej umowy. Na życzenie muszą udostępnić go osobom, których dane są przetwarzane.

W przypadku wystąpienia szkody współadministratorzy odpowiadają za nią solidarnie. Co nie oznacza, że każdy z podmiotów musi odpowiadać w takiej samej proporcji. Jeżeli jeden z nich jest odpowiedzialny za techniczną stronę procesu przetwarzania, i to przez jego błąd czy niedopatrzenia nastąpi naruszenie, to ten współadministrator powinien ponosić większą odpowiedzialność. Pozostali współadministratorzy mogą domagać się od niego pokrycia kosztów naprawienia szkody.

Współadministrator to bardzo wygodna instytucja i na pewno uprości wspólne korzystanie przez podmioty z baz. Korzystanie z tych informacji wspólnie jest w takim przypadku w pełni legalne, a formalności sprowadzają się do podpisania odpowiedniej umowy. Wspólne realizowanie celów, choćby marketingowych, pozwoli także obniżyć koszty prowadzenia działalności każdego ze współadministratorów.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Double opt-in przy zbieraniu zgód