Czym jest RODO?

RODO (Rozporządzenie o Ochronie Danych Osobowych) to nowe unijne prawo dotyczące ochrony danych osobowych. Zostało przyjęte w kwietniu 2016 roku i zastąpi Dyrektywę w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych z 1995 roku. To największa od 20 lat reforma w kwestii ochrony danych. Od 25 maja 2018 roku rozporządzenie będzie stosowane w całej Unii Europejskiej, istotnie zmieniając sposób, w jaki przedsiębiorcy przetwarzają dane osobowe.

Dlaczego RODO jest takie ważne?

W ostatnich latach gwałtownie wzrosła ilość tworzonych i przechowywanych danych. RODO ma być odpowiedzią na wynikające z tego wyzwania – m.in. wprowadzając bardziej przejrzyste zasady przetwarzania danych i zmierzając do ułatwienia prowadzenia firmy w skali międzynarodowej. Rozporządzenie zapewni również podmiotom danych większą kontrolę nad danymi i sposobem ich wykorzystania.

Zatem, gdy Ty jako podmiot danych zyskasz większe prawo do ochrony danych, przedsiębiorcy będą zmuszeni przetwarzać je zgodnie z nowymi zasadami.

Celem naszego poradnika jest pomóc Ci zrozumieć, czym jest RODO i jaki ma wpływ na Ciebie. Znajdziesz w nim też przykłady i wskazówki, jak dostosować materiały marketingowe, żeby ich odbiorcy mieli pewność, że poważnie podchodzisz do kwestii bezpieczeństwa danych.

Niniejszy przewodnik ma charakter wyłącznie informacyjny. Nie należy traktować go jako substytutu profesjonalnej opinii prawnej. Zawsze zasięgaj porady prawnika lub innego specjalisty odpowiedzialnego za ochronę danych w Twojej firmie.

Informacje zawarte w tym dokumencie mogą ulec zmianie bez uprzedniego powiadomienia. Nie udzielamy również gwarancji, że nie zawierają błędów. GetResponse dokłada wszelkich starań, aby przewodnik był kompletny i zawierał poprawne informacje oraz właściwe treści, jednak nie bierzemy odpowiedzialności za jego przydatność w każdej możliwej sytuacji.

Na informacjach zawartych w poradniku polegasz na własną odpowiedzialność. GetResponse nie odpowiada za jakiekolwiek szkody pośrednie, szczególne, przypadkowe lub wynikowe powstałe na skutek tego, że korzystano lub opierano się na treściach czy materiałach zawartych w niniejszym dokumencie

Na początek – kilka definicji

Czy dotyczą Cię nowe regulacje prawne? Żeby to sprawdzić, zacznijmy od wyjaśnienia terminów, które napotkasz w rozporządzeniu i w naszym poradniku.

Dane osobowe

Twoje dane osobowe to wszelkie informacje, jakie Cię dotyczą. Należą do nich Twoje imię i nazwisko, miejsce zamieszkania i dane kontaktowe. Są to też numery, które umożliwiają identyfikację oraz inne informacje dotyczące cech fizycznych, fizjologicznych, genetycznych, psychicznych oraz ekonomicznych, kulturalnych i społecznych, jakie Cię charakteryzują.

Zdjęcia, filmy i nagrania głosu to też dane osobowe, podobnie jak adresy email, adresy IP, pliki cookie i wiele innych informacji, na podstawie których można Cię zidentyfikować.

Przetwarzanie danych

Przetwarzasz dane osobowe, kiedy wykonujesz na nich jakiekolwiek operacje, czy to ręcznie, czy automatycznie.

Oto kilka przykładów przetwarzania danych:

  • gromadzenie i przechowywanie danych
  • zapisywanie, porządkowanie i strukturyzacja danych
  • usuwanie i niszczenie danych
  • zmiana, ujawnianie, przesyłanie, udostępnianie lub wykorzystywanie danych w jakikolwiek inny sposób

Czyli właściwie wszystko, co robisz z danymi osobowymi, stanowi ich przetwarzanie.

Administrator danych

Czy decydujesz, dlaczego i w jaki sposób przetwarzane są dane osobowe? Jeśli tak, to znaczy, że jesteś administratorem danych. Załóżmy, że prowadzisz sklep internetowy i korzystasz z bazy danych klientów do wysyłania zamówień lub mailingów. W ten sposób administrujesz danymi osobowymi klientów, a Twoi klienci są osobami, których dane dotyczą.

Podmiot przetwarzający dane

Czy przetwarzasz dane osobowe w imieniu administratora danych? Jeśli tak, to jesteś podmiotem przetwarzającym. Załóżmy, że zlecasz agencji marketingowej promocję swojego sklepu internetowego. Dajesz jej dostęp do swojej bazy, aby mogła prowadzić komunikację w Twoim imieniu. Agencja staje się wówczas podmiotem przetwarzającym dane.

Jeśli powierzysz GetResponse bazę danych swoich kontaktów, to staniemy się podmiotem przetwarzającym zawarte w niej dane osobowe.

Czy RODO mnie dotyczy?

RODO dotyczy Cię, jeżeli jesteś administratorem danych lub przetwarzasz je i:

  • masz siedzibę w Unii Europejskiej, nawet jeżeli przetwarzasz dane osobowe poza Unią.
  • masz siedzibę poza Unią Europejską, ale przetwarzasz dane osób przebywających w Unii. Obejmuje to m.in. sytuacje, gdy oferujesz towary lub usługi (odpłatnie lub nie) osobom przebywającym na terenie Unii Europejskiej albo monitorujesz zachowania takich osób.

Skąd wiadomo, czy oferuję towary lub usługi odbiorcom z Unii Europejskiej?

  • Posługujesz się językiem lub walutą używaną w jednym lub większej liczbie krajów unijnych, aby pomóc ich mieszkańcom skorzystać z Twojej oferty.
  • Powołujesz się na klientów lub użytkowników z Unii Europejskiej.

W tych przypadkach będziesz musiał działać zgodnie z RODO.

Jak RODO wpłynie na mnie?

Warto pamiętać, że przetwarzając dane osobowe przed RODO, też musieliśmy stosować się do regulacji prawnych mających na celu ochronę danych osobowych.

Administratorzy danych będą jednak musieli dołożyć większych starań, aby przetwarzać dane osobowe zgodnie z nowymi przepisami. Muszą m.in. jasno określić, w jaki sposób dane będą przetwarzane i zadbać o odpowiednią podstawę prawną przetwarzania (np. gromadzić zgody). Jeśli dojdzie do naruszenia bezpieczeństwa danych osobowych, administrator będzie zobowiązany jak najszybciej powiadomić o tym organy nadzorcze i właścicieli danych.

W przeciwieństwie do dotychczasowych przepisów, RODO dotyczy bezpośrednio także podmiotów przetwarzających dane i określa, jakie wymagania muszą spełnić.

Jeśli masz konto w GetResponse, jesteś administratorem danych osób z Twojej bazy adresowej. Jest tak, ponieważ to Ty decydujesz, dlaczego i w jaki sposób te informacje mogą być użyte.

Co, jeśli nie zastosuję się do RODO?

Przewidziano dwa rodzaje kar za nieprzestrzeganie rozporządzenia:

  • Do 2% całkowitego rocznego światowego obrotu lub 10 mln EUR (w zależności od tego, która z tych kwot jest wyższa). Kara obejmuje kwestie związane z powiadamianiem o przypadkach naruszenia bezpieczeństwa i ochrony danych, certyfikacją oraz współpracą z organem nadzorczym.
  • Do 4% całkowitego rocznego światowego obrotu lub 20 mln EUR (w zależności od tego, która z tych kwot jest wyższa). Kara obejmuje naruszenia związane z podstawowymi zasadami przetwarzania danych, jak warunki dotyczące zgody, prawa osób, których dane dotyczą oraz przekazywanie danych osobowych do państw trzecich.

Organy nadzorcze są również uprawnione do wprowadzania ograniczania przetwarzania danych. Mogą zakazać administratorowi przetwarzać dane lub nakazać dostarczenie wskazanych informacji.

Jak GetResponse stosuje się do zapisów RODO?

W GetResponse bezpieczeństwo danych zawsze było priorytetem. Przestrzegamy i monitorujemy przepisy obowiązujące na terenie Unii Europejskiej, w szczególności te, które dotyczą ochrony danych osobowych.

Dlatego w marcu zeszłego roku – na ponad rok przed wejściem w życie RODO – przyjęliśmy plan jego wdrożenia.

Jako lider online marketingu jesteśmy aktywnym członkiem organizacji branżowych zajmujących się ochroną danych, RODO oraz jego stosowaniem w biznesie i mediach. Przyglądamy się negocjacjom z organami nadzorczymi dotyczącym kodeksów postępowania i w niedalekiej przyszłości planujemy wdrożyć zatwierdzony kodeks lub certyfikację. Uważnie analizujemy też zalecenia organów odpowiedzialnych za ochronę danych oraz Grupy Roboczej Art. 29 ds. ochrony osób fizycznych. A ponieważ nasza usługa jest dostępna na całym świecie, dokładamy wszelkich starań, aby mieć na uwadze przepisy obowiązujące również poza Unią Europejską.

Nasz plan przygotowań do RODO zakłada jak najlepsze wsparcie klientów oraz osób, których dane osobowe przetwarzają. Będziemy publikować informacje i aktualizacje na temat nowych zasad i przepisów dotyczących przetwarzania danych. Pokażemy też, w jaki sposób pomagamy klientom przetwarzać dane w zgodzie z obowiązującymi wymogami. Nie postrzegamy nowych przepisów jako problemu, a raczej widzimy w nich okazję do zapewnienia Ci jeszcze lepszej obsługi i utrzymywania – jak dotychczas – standardów bezpiecznego przetwarzania Twoich danych. Chcielibyśmy również, aby wszyscy nasi klienci postępowali tak samo w stosunku do swoich kontaktów.

Jak przygotować swoje konto

Przede wszystkim, przyjrzyj się swojemu procesowi zbierania danych i przejrzyj materiały marketingowe. Sprawdź, jakie działania musisz podjąć w ramach i poza GetResponse.

Zajmijmy się teraz szczegółowo wybranymi obowiązkami wynikającymi z RODO oraz tym, w jaki sposób mogą one mieć wpływ na Twoje konto.

Uzyskiwanie zgody

Masz obowiązek zapytać swoich subskrybentów, czy zgadzają się na przetwarzanie danych osobowych. RODO definiuje zgodę jako:

“Każde dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.”

To ważna kwestia: subskrybenci muszą wyraźnie udzielić zgody – a jej udzielenie nie może warunkować świadczenia usługi (chyba że informacje te są potrzebne do wykonania usługi). Musisz również być w stanie udowodnić, że subskrybenci zgodę wyrazili.

Wycofanie zgody musi być równie łatwe jak jej wyrażenie. W takim wypadku, musisz zaprzestać przetwarzania danych, jeżeli nie masz do tego innej podstawy prawnej.

Zanim zaczniesz gromadzić dane osobowe, musisz poinformować osobę, której dotyczą, i wyjaśnić:

  • kim jesteś i podać swoje dane kontaktowe;
  • dlaczego i w jaki sposób będziesz wykorzystywać jej dane oraz na jakiej podstawie prawnej;
  • czy zamierzasz komukolwiek przekazywać dane osobowe;
  • czy planujesz przekazać dane do kraju trzeciego lub organizacji międzynarodowej oraz jak będą one zabezpieczone.

Musisz również podać osobie, której dane dotyczą, m.in. informacje o:

  • okresie przechowywania danych,
  • jej prawie dostępu do danych, ich sprostowania, usunięcia danych lub wniesienia sprzeciwu wobec przetwarzania, prawie do cofnięcia zgody,
  • prawie wniesienia skargi do organu nadzorczego, tym, dlaczego jej dane osobowe są potrzebne. Czy jest to wymóg ustawowy czy umowny? Czy są niezbędne do zawarcia umowy? Czy osoba ta musi podać swoje dane osobowe? Co się stanie, jeśli ich nie poda?
  • profilowaniu, zasadach jego działania oraz znaczeniu i konsekwencjach przetwarzania danych w ten sposób.

Przede wszystkim, Twoi nowi subskrybenci muszą dokładnie wiedzieć, jak wykorzystasz dane, które Ci przekażą.

Jak możesz udowodnić, że otrzymałeś zgodę na przetwarzanie danych? Znajdziesz ją w sekcji Kontakty w swoim koncie. Więcej informacji na temat wyszukiwania kontaktów znajdziesz w sekcji FAQ.

Prawo do zapomnienia

Jeżeli osoba, której dane dotyczą, prosi o usunięcie dotyczących jej danych osobowych, należy to zrobić jak najszybciej, jeśli nie ma żadnych podstaw prawnych do dalszego ich przetwarzania. Dane należy również usunąć, jeżeli nie są już niezbędne do celów, w których zostały zebrane, były przetwarzane niezgodnie z prawem lub osoba, której dane dotyczą, skorzystała z przysługującego jej prawa sprzeciwu.

W koncie GetResponse dostępne są trzy opcje umożliwiające spełnienie tego wymogu:

  1. Kontakty mogą wypisać się z bazy (lub baz) w każdej otrzymanej od Ciebie wiadomości. Do każdej stopki wiadomości automatycznie dodawany jest link do rezygnacji z subskrypcji. Aby dowiedzieć się więcej, zobacz, jak kontakt może anulować subskrypcję oraz jakie linki do aktualizacji danych dostępne są w stopce.
  2. Możesz usunąć dane z bazy, jeśli subskrybent bezpośrednio Cię o to poprosi. Zobacz, jak usunąć je z listy lub całego konta.
  3. Ty lub Twoje kontakty możecie też poprosić nasz dział obsługi klienta o usunięcie danych. Jesteśmy do dyspozycji całą dobę przez siedem dni w tygodniu na chacie. Możesz też skontaktować się z nami emailowo.

Jeśli inny podmiot przetwarzający dane (np. podmiot oferujący usługi, z których korzystasz) przetwarza dane osobowe Kontaktu, należy również poinformować go o żądaniu ich usunięcia lub – o ile masz taką możliwość - zrobić to samodzielnie.

Prawo do sprzeciwu

Osoby, których dane dotyczą, mogą w dowolnym momencie wnieść sprzeciw wobec przetwarzania ich danych osobowych na potrzeby marketingu bezpośredniego lub innych prawnie uzasadnionych interesów administratora, takich jak:

  • Twoje wewnętrzne cele administracyjne,
  • zapewnienie bezpieczeństwa sieci i informacji (w przypadku dostawców sieci i usług łączności elektronicznej, dostawców technologii i usług w zakresie bezpieczeństwa),
  • zapobieganie oszustwom.

Aby spełnić ten wymóg, postępuj zgodnie z instrukcjami podanymi w poprzednim rozdziale.

Prawo do sprostowania

RODO przyznaje też osobom, których dane dotyczą, prawo żądania sprostowania dotyczących ich danych osobowych, jeśli są one nieprawidłowe lub niekompletne. Takie żądanie należy spełnić niezwłocznie.

Oto jak to zrobić:

Kontakty mogą przeglądać i aktualizować swoje dane zgromadzone w Twoim koncie GetResponse. Mogą po prostu kliknąć link „Zmień dane kontaktowe” dołączany automatycznie do stopki wiadomości.

W każdej chwili możesz zaktualizować dane kontaktów w swoim koncie. Przejdź do Kontaktów, wyszukaj ich nazwisko, kliknij je i edytuj pola niestandardowe. Nie możesz jedynie zmienić adresu email i zgody na dołączenie do bazy.

Ty lub Twój kontakt możecie też poprosić dział obsługi klienta GetResponse o edycję danych. Jesteśmy do dyspozycji całą dobę przez siedem dni w tygodniu na chacie. Możesz też skontaktować się nami emailowo.

Prawo dostępu do danych

Osoby z Twojej bazy mają też prawo wiedzieć:

  • czy ich dane są wykorzystywane;
  • jak mogą uzyskać do nich dostęp;
  • w jakim celu dane są przetwarzane;
  • komu są udostępniane;
  • jak długo będą przechowywane.

Powinieneś również poinformować, w jaki sposób podmioty danych mogą m.in. zmienić lub usunąć swoje dane lub zażądać ograniczenia sposobu ich przetwarzania.

Masz pytania lub wątpliwości?

Możesz napisać bezpośrednio do naszych ekspertów do spraw ochrony prywatności i zadać im pytanie.

Słowniczek terminów prawnych

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Dane osobowe wrażliwe – specjalna kategoria danych osobowych, które z racji swojego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności i jako takie zasługują na szczególną ochronę, ponieważ kontekst ich przetwarzania może stwarzać poważne ryzyko dla wspomnianych podstawowych praw i wolności. Do tej kategorii zalicza się:

  • dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe albo przynależność do związków zawodowych, dane genetyczne,
  • dane biometryczne służące do jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej.

Takie dane osobowe co do zasady nie powinny być przetwarzane, chyba że spełniony jest jeden z warunków enumeratywnie wskazanych w RODO.

Przetwarzanie danych – każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone prawem Unii Europejskiej ub państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczania również mogą być przewidziane prawem Unii lub państwa członkowskiego.

Podmiot przetwarzający – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot przetwarzający dane osobowe w imieniu administratora.