Najważniejsze pytania o przepisy RODO

RODO (Rozporządzenie o Ochronie Danych Osobowych) lub GDPR (General Data Protection Regulation) to prawo unijne, które obowiązuje od 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej. W Polsce zastąpiło ono ustawę o ochronie danych osobowych. Przepisy, jakie wprowadza, dotyczą wszystkich podmiotów będących administratorami danych osobowych.
Pełną treść rozporządzenia znajdziesz tutaj.

Nie, RODO nie wymaga zbierania zgód na przetwarzanie danych na nowo. Jeśli wcześniej były zebrane w prawidłowy sposób, czyli zgodny z zasadą marketingu za przyzwoleniem, to zachowują swoją moc.

Wręcz przeciwnie! RODO nakazuje, by wszelkie komunikaty dotyczące ochrony danych osobowych pisać prostym, zrozumiałym językiem. Jak dla laika.

Ilość check-boxów po RODO nie powinna ulec zmianie, bo nowe przepisy nie wymagają wcale większej ilości zgód niż stara ustawa. W praktyce jednak nie każdy stosował się do dotychczasowych przepisów, więc w takim przypadku powinien zbierać osobną zgodę na każdy cel przetwarzania danych, np. osobną na przesyłanie ofert handlowych, a osobną na wysyłanie informacji marketingowych.
Ponadto RODO odchodzi od zasady, że zgoda na przetwarzanie danych osobowych musi mieć formę komunikatu pisanego (chek-box przy tekście, oświadczenie, mail itp.) Możliwe jest odebranie zgody w każdej, dostatecznie jednoznacznej formie. A więc możliwe są różne rozwiązania informatyczne.

Nie, nie jest zakazane. Profilowanie, o jakim myśli większość firm interaktywnych, to takie operacje, które docelowo mają kierować do klientów spersonalizowane reklamy. Takie działanie jest nadal możliwe jako element marketingu własnych produktów lub usług. To, co musimy w tym przypadku zrobić, to po prostu poinformować swoich odbiorców o fakcie prowadzenia takich działań oraz umożliwić im wyrażenie sprzeciwu.

Nie. RODO wymaga, żeby udzielać prostych i jasnych informacji o profilowaniu. Ma to być napisane językiem zrozumiałym dla użytkownika. Nie trzeba więc (a nawet nie jest wskazane) podawać matematycznych reguł. Powinno się raczej wytłumaczyć „kawa na ławę”, jakie dane są zbierane i konkretnie do jakich celów (wyświetlanie reklam, wysyłanie spersonalizowanych e-mailingów itp.).

RODO nic nie zmienia w kwestii ciasteczek, jeśli stosujesz je w sposób, który nie umożliwia Ci identyfikacji konkretnej osoby. Obecnie tworzony jest projekt jeszcze jednego rozporządzenia unijnego, tzw. rozporządzenia e-Privacy, który przewiduje w kwestii ciasteczek nawet ułatwienia w stosunku do obecnej sytuacji – informacja o ciasteczkach będzie musiała być udzielona przy każdej instalacji przeglądarki, a nie przy każdym wyświetleniu nowej strony WWW. Jeśli stosujesz ciasteczka w połączeniu z innymi rozwiązaniami, które umożliwiają Ci identyfikację konkretnej osoby i przypisanie jej konkretnych cech – takie operacje będą traktowane tak samo jak każde inne przetwarzanie danych osobowych.

RODO nie ma na celu zablokowania wymiany danych pomiędzy firmami z UE a USA. Jako podmiot unijny możesz przesyłać dane osobowe do kontrahentów w USA (korzystać z aplikacji amerykańskich), jeśli spełniony jest chociaż jeden z tych warunków:
a) podmiot amerykański wpisany jest na tzw. listę Privacy Shield;
b) przekazanie danych do USA jest niezbędne do wykonania umowy między Tobą a osobą, której dane dotyczą;
c) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, wyraźnie wyraziła zgodę na przekazanie swoich danych (nie musi być to zgoda pisemna, ważne żeby była wyraźna).

Prawo do bycia zapomnianym nie jest bezwzględne. Chodzi w nim o zaprzestanie przetwarzania danych danej osoby oraz przede wszystkim o usunięcie publicznie dostępnych informacji o takim przetwarzaniu. Prawo do bycia zapomnianym nie może ingerować w bezpieczeństwo innych danych osobowych. Dlatego nie ma konieczności ingerowania w back-up, jeśli wymagałoby to nadmiernych wysiłków technicznych i kosztowych.

Rozporządzenie nakłada kary w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Są to kwoty maksymalne, jakie przewiduje rozporządzenie, jednak wysokość kary będzie proporcjonalna do zawinienia.

Prawo nie działa wstecz, dlatego jeśli zbierałeś bazę zgodnie z obowiązującymi dotychczas przepisami oraz według dobrych praktyk email marketingu, możesz dalej używać swojej bazy. Pamiętaj jednak o rozbudowanym obowiązku informacyjnym. Rekomendujemy, aby spełnić obowiązek w pierwszej kampanii, jaką wyślesz do swoich odbiorców, jeśli jeszcze tego nie zrobiłeś.

Według RODO zgoda musi być:
a) dobrowolna
b) świadoma
c) konkretna i jednoznaczna
Oznacza to, że jest wyrazem woli użytkownika, dlatego, aby zbierać bazę w prawidłowy sposób, należy stosować model double opt-in oraz nie uzależniać realizacji usługi od wyrażenia zgody.

Czas przetwarzania danych osobowych uzależniony jest od celu przetwarzania. Zgodnie z RODO sam jako Administrator powinieneś zadbać o to, aby okres przetwarzania danych był ograniczony do czasu, jaki jest niezbędny do tego, aby osiągnąć założony cel przetwarzania danych.

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, co oznacza, że checkboxy są jedną z wielu możliwości. W formularzu na stronie internetowej musi znaleźć się element, którym użytkownik w jasny sposób potwierdza udzielenie zgody. Podczas tworzenia formularza zapisu trzeba więc mieć na względzie to, że okienka domyślnie zaznaczone nie oznaczają zgody, tak samo jak niepodjęcie żadnego działania.