Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Transkrypt

1 Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS Michał Sztąberek isecuresp. z o.o. Dwa słowa o osobowych Administrator (ADO) Procesor organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania osobowych. Administratorem będzie na przykład firma będąca właścicielem bazy owej, do której ma być robiona wysyłka marketingowa podmiot (inna firma), któremu ADO powierzył dane osobowe w oparciu o pisemną umowę zgodnie z art. 31 ust. 1 ustawy o ochronie osobowych (UODO) 1

2 Informacja handlowa Spamowanie(spam) Dwa słowa o osobowych każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacja o towarach i usługach niesłużących osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi (UŚUDE) przesyłanie informacji handlowych w sytuacji gdy odbiorca nie wyraził zgody na ich otrzymywanie, w szczególności nie udostępnił w tym celu identyfikującego go adresu elektronicznego (poprzez zgodę)(uśude) Przetwarzanie w celach marketingowych Zgoda na przetwarzanie osobowych Usprawiedliwiony cel administratora 1) oświadczenie woli, którego treścią jest zgoda na przetwarzanie osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie 2) zgoda będzie podstawądo wysyłania informacji handlowych SMS emna nr telefonu komórkowego udostępniony w tym celu za prawnie usprawiedliwionycel uważa się m.in. marketing bezpośredni własnych produktów lub usług 2

3 Przykład zgody Czy wyraża Pan/Pani zgodę na otrzymywanie informacji handlowych na podany nr telefonu komórkowego przez (administrator )? Czy wyraża Pan/Pani zgodę na przetwarzanie osobowych w celach marketingowych, w tym na przesyłanie informacji handlowych na podany nr telefonu komórkowego przez (administrator )? A może zgoda jako zapłata? Uzależnienie świadczenia usługi od zgody na przetwarzanie dopuszczalne jest jedynie wyjątkowo, gdy usługa świadczona jest nieodpłatnie, a zgoda traktowana jest jako swoiste jedyne świadczenie wzajemne. Zastosowanie: przede wszystkim np. dostawcy darmowej poczty elektronicznej jak wp.pl 3

4 Brak zgody - ryzyka Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2(UODO) Kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny (UŚUDE) Możliwość wydania decyzji przez GIODO nakazującej usunięcie uchybień poprzez usunięcie Proces cywilny o naruszenie dóbr osobistych Obowiązek informacyjny nazwa i siedziba administratora cel przetwarzania, odbiorcy wgląd do, możliwość ich poprawiania dobrowolność, obowiązek podania źródło uprawnienia z art. 32 ust. 1 pkt. 7 i 8 4

5 Obowiązek informacyjny - ryzyka Niedopełnienie obowiązku informacyjnego może skutkować sankcjąkarnąokreślonąwart.54uodo,gdziemowajestotym,że kto administrując zbiorem nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w UODO, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku Możliwość wydania decyzji przez GIODO nakazującej usunięcie uchybień poprzez konieczność dopełnienia obowiązku informacyjnego Czym nas może zaskoczyć właściciel osobowych uzyskanie wyczerpującej informacji, czy zbiór istnieje, oraz prawo do ustalenia administratora, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem jest osoba fizyczna- jej miejsca zamieszkania oraz imienia i nazwiska uzyskanie informacji o celu, zakresie i sposobie przetwarzania zawartych w takim zbiorze uzyskanie informacji, od kiedy przetwarza się w zbiorze dane dotyczące zainteresowanego (właściciela ), oraz podania w powszechnie zrozumiałej formie treści tych 5

6 Czym nas może zaskoczyć właściciel osobowych uzyskanie informacji o źródle, z którego pochodzą dane dotyczące zainteresowanego (właściciela ), chyba że administrator jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej uzyskanie informacji o sposobie udostępniania, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane są udostępniane żądanie uzupełnienia, uaktualnienia, sprostowania osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane Czym nas może zaskoczyć właściciel osobowych wniesienia, w określonych przypadkach, pisemnego, umotywowanego żądania zaprzestania przetwarzania ze względu na szczególną sytuację właściciela wniesienie sprzeciwu wobec przetwarzania w określonych przypadkach, gdy administrator zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej osobowych innemu administratorowi 6

7 Outsourcing marketingowych kampanii SMS? Kampania SMS UMOWA Przykłady: zrealizowanie kampanii marketingowej z użyciem SMS udostępnienie aplikacji do realizowania kampanii SMS Powierzenie przetwarzania - wprowadzenie ADO Legalne pozyskiwanie Procesor Działanie w zakresie wynikającym z umowy powierzenia przetwarzania Zgodność z zasadami przetwarzania Działanie w zakresie wynikającym z umowy powierzenia przetwarzania Dopełnienie obowiązków informacyjnych Zawieranie umów powierzenia przetwarzania Możliwość zlecenia dopełnienia obowiązku informacyjnego przez procesora Wymogi wynikające z umowy powierzenia przetwarzania Zgodne z prawem udostępnianie - Zabezpieczenie osobowych Zabezpieczenie osobowych Rejestracja zbioru (zbiorów) w GIODO - 7

8 Powierzenie przetwarzania elementy obligatoryjne umowa na piśmie określenie celu powierzenia określenie zakresu powierzenia zabezpieczenie Powierzenie przetwarzania elementy obligatoryjne Cel przetwarzania : powinien być wskazany w umowie wprost może również wynikać z odwołania do innej umowy cel zapisany w umowie powierzenia powinien być tożsamy z celem, dla którego ADO pozyskał dane 8

9 Powierzenie przetwarzania elementy obligatoryjne Zakres przetwarzania określa jakie dane osobowe ADO powierza procesorowi do przetwarzania zakres należy wskazać przez określenie, jakie dane osobowe będą przetwarzane np. imię, nazwisko, PESEL itd. powinien określać zakres operacji wykonywanych na osobowych np. wprowadzanie do systemu informatycznego, aktualizowanie (nowe podejście GIODO do tematu) można posłużyć się też określeniami ogólnymi np. informacje o stanie zdrowia musi być zgodny z zasadą adekwatności Powierzenie przetwarzania elementy obligatoryjne Obowiązki procesora stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania osobowych odpowiednią do zagrożeń oraz kategorii będących przedmiotem przetwarzania przygotowanie i wdrożenie dokumentacji ochrony osobowych wyznaczenie administratora bezpieczeństwa informacji (ABI) nadzorującego przestrzeganie zasad ochrony, chyba że administrator sam wykonuje te czynności 9

10 Powierzenie przetwarzania wymogi fakultatywne sposób przetwarzania forma przekazania kwestia zwrotu/usunięcia kary umowne uprawnienia kontrolne subprocesor Outsourcing przetwarzania Sposób przetwarzania : sposób przetwarzania powiązany jest z definicją pojęcia przetwarzania na podstawie ww. definicji doprecyzowujemy sposoby przetwarzania przez procesora 10

11 Outsourcing przetwarzania Zwrot/usunięcie powierzonych : opisanie co ma się stać z danymi osobowymi po rozwiązaniu umowy powierzenia przetwarzania usunięcie lub anonimizacja wskazanie odpowiedniej procedury zobowiązanie do sporządzenia protokołu zniszczenia (usunięcia) lub ich anonimizacji uregulowanie w jakim czasie procesor ma usunąć dane osobowe, licząc od dnia wygaśnięcia umowy Outsourcing przetwarzania Uprawnienia kontrolne administratora : kontrola dokumentów, urządzeń, pomieszczeń związanych z przetwarzaniem osobowych przez procesora wskazanie na czym będzie polegała kontrola przetwarzania np. zawiadomienie procesora z wyprzedzeniem, kontrola ad hoc wskazanie kto będzie mógł przeprowadzić kontrolę ze strony administratora określenie czasu trwania kontroli np. ilość dni, godziny w którym może być przeprowadzana kary umowne z tytułu nienależytego wykonania zobowiązania i powstałej w związku z tym szkody 11

12 Outsourcing przetwarzania Podpowierzenie (subprocesor): brak wyraźnego przepisu zakazującego stosowanie subpowierzenia dopuszczalność subpowierzeniawnioskuje się również na podstawie swobody działalności gospodarczej i swobody kontraktowania zapis o możliwości dalszego powierzenia w umowie powierzenia np. pod warunkiem uzyskania zgody ze strony ADO Outsourcing przetwarzania Odpowiedzialność podmiotu, któremu powierzono dane: odpowiedzialność administracyjna możliwość przeprowadzenia kontroli przez GIODO, w tym wydanie decyzji administracyjnej nakazującej np. zastosowanie dodatkowych środków zabezpieczających odpowiedzialność karna osób administrujących powierzonymi danymi osobowymi(pracownicy procesora) odpowiedzialność cywilnoprawna wynikająca z postanowień umowy 12

13 Rejestracja zbioru w GIODO Jeśli dane będą wykorzystywane w celach marketingowych/wysyłania informacji handlowych rejestracja w GIODO jest konieczna Rejestracja musi poprzedzić czynności związane ze zbieraniem osobowych - najpierw zgłaszamy zbiór do GIODO (przy zwykłych a taką daną będzie nr telefonu komórkowego decyduje moment zgłoszenia, a nie faktycznego dopisania do rejestru- zarejestrowania) Dziękuję za uwagę Michał Sztąberek isecure Sp. z o.o. tel. (+48) mail: michal.sztaberek@isecure.pl 13