RODO: FAQ – odpowiedzi na najczęściej zadawane pytania

Kontynuujemy cykl rozpoczęty zestawieniem RODO: 5 rzeczy, które musisz wiedzieć zanim ustawa wejdzie w życie. Dziś zebraliśmy pytania, które najczęściej padają w rozmowach z klientami w związku z ustawą. Poniżej zestawienie (ujednolicone i podzielone na grupy) pytań i odpowiedzi na nie.

1. Co to jest to RODO i jak ma wygladać finalna wersja ustawy?
2. Jak SALESmanago przygotowuje się do zmian w ustawie o danych osobowych, które to zmiany zostaną wprowadzone w przyszłym roku? Czy mają już Państwo przygotowane jakieś rozwiązania/mechanizmy, które pozwolą na utrzymanie naszej współpracy zgodnie z prawem oraz poszerzenie współpracy o nowe narzędzia?
3. Czy firma korzystająca z SALESmanago będzie musiała uzyskać dodatkową zgodę klienta na przekazywanie jego danych do SALESmanago?
4. Kto ponosi odpowiedzialność, ja jako firma korzystająca z systemu, czy SALESmanago?
5. Jak sobie poradzimy z nowymi przepisami, czy coś zmieni się w użytkowaniu platformy, jaki wpływ będą miały zmiany na bazy/kontakty które obecnie klieci posiadają w systemie?
6. Czy zmieni się wygląd okienka pop-up i innych formularzy? czy praktyka double opt-in wciąż będzie obowiązywać?
7. Czy korzystanie z SALESmanago jest zgodne z prawem?
8. W momencie wejścia w życie RODO będzie wymagana zgoda na monitorowanie kontaktów – co się stanie z dotychczasowymi profilami behawioralnymi kontaktów? Czy będzie można w dalszym ciągu wykorzystywać te dane? Czy będzie konieczność usunięcia tych danych?
9. Co się dzieje, kiedy kontakt wypisuje sie z mailingów? Czy oznacza to konieczność usunięcia go z bazy całkowicie?
10. Czy muszę wypełnić jakieś dokumenty?
11. Czy macie jakieś wzory dokumentów?
12. Jak ma przebiegać kontrola i co będę musiał wykazać w jej trakcie?

Pytanie #1 – Co to jest to RODO i jak ma wygladać finalna wersja ustawy?

RODO lub GDPR to rozporządzenie Parlementu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Finalna wersja RODO dostępna jest tutaj http://www.giodo.gov.pl/pl/1520284/9745. Prace nad polską ustawą trwają i najprawdopodobniej wejdą w życie w 2018 roku.

Pytanie #2 – Jak SALESmanago przygotowuje się do zmian w ustawie o danych osobowych, które to zmiany zostaną wprowadzone w przyszłym roku? Czy mają już Państwo przygotowane jakieś rozwiązania/mechanizmy, które pozwolą na utrzymanie naszej współpracy zgodnie z prawem oraz poszerzenie współpracy o nowe narzędzia?

SALESmanago jako podmiot przetwarzający dane wdraża procedury zgodne z RODO, w tym między innymi: procedurę zarządzania użytkownikami i dostępem (ewidencja osób upoważnionych), rejestr operacji przetwarzania danych osobowych, politykę monitorowania i reagowania na naruszenia ochrony danych, rejestr incydentów, politykę zarządzania kopiami zapasowymi, stosowane standardy zabezpieczeń. System będzie umożliwać wykonywanie nowych obowiązków, takich jak realizacja prawa użytkownika do zapomnienia czy szyfrowanie przesyłanych przez klientów danych osobowych.

Pytanie #3 – Czy firma korzystająca z SALESmanago będzie musiała uzyskać dodatkową zgodę klienta na przekazywanie jego danych do SALESmanago?

Na przekazywanie danych do systemu SALESmanago nie będzie wymagana odrębna zgoda.

Pytanie #4 – Kto ponosi odpowiedzialność, ja jako firma korzystająca z systemu,  czy SALESmanago?

SALESmanago jako podmiot przetwarzący ponosi odpowiedzialność za stosowanie odpowiednich środków technicznych i organizacyjnych przy przetwarzaniu Państwa danych w systemie SALESmanago. Natomiast za dane osobowe przetwarzane w Państwa infrastrukturze w firmie odpowiedzialnośc spoczywa na Państwu.

Pytanie #5 – Jak sobie poradzimy z nowymi przepisami, czy coś zmieni się w użytkowaniu platformy, jaki wpływ będą miały zmiany na bazy/kontakty które obecnie klieci posiadają w systemie?

Platforma będzie ułatwiała realizację nowych obowiązków nałożonych przez RODO, w tym w szczególności realizację prawa do bycia zapomnianym.

Pytanie #6 – Czy zmieni się wygląd okienka pop-up i innych formularzy? czy praktyka double opt-in wciąż będzie obowiązywać?

W tym zakresie nie przewidujemy rewolucji.

Pytanie #7 – Czy korzystanie z SALESmanago jest zgodne z prawem?

Tak.

Pytanie #8 – W momencie wejścia w życie RODO będzie wymagana zgoda na monitorowanie kontaktów – co się stanie z dotychczasowymi profilami behawioralnymi kontaktów? Czy będzie można w dalszym ciągu wykorzystywać te dane? Czy będzie konieczność usunięcia tych danych?

Przypominamy, że przepisy prawa nie działają wstecz, czyli korzystanie z profili behawioralnych pozyskanych w sposób legalny przed wejściem w życie RODO będzie możliwe. Usunięcie danych będzie konieczne w sytuacji wystąpienia przez zainteresowanego z takim żądaniem.

Pytanie #9 – Co się dzieje, kiedy kontakt wypisuje sie z mailingów? Czy oznacza to konieczność usunięcia go z bazy całkowicie?

Nie. To jest tylko cofnięcie zgody na wysyłanie informacji handlowych. Dane osobowe mogą być nadal przetwarzane (przechowowane).

Pytanie #10 – Czy muszę wypełnić jakieś dokumenty?

Aby korzystać z Systemu SALESmanago konieczne jest podpisanie umowy licencyjnej i umowy o powierzenie danych do przetwarzania. Po wejściu w życie RODO ustane obowiązek zgłaszania zbioru danych osobowych do rejestracji.

Pytanie #11 – Czy macie jakieś wzory dokumentów?

Dokumentacja potwierdzająca zgodność z RODO jest indywidualną sprawą każdego przedsiębiorcy, który dostsowuje procedury do specyfiki prowadzonej działalności. SALESmanago jako podmiot przetwarzający dane osobowe dysponuje Polityką Bezpieczeństwa oraz Instrukcją Zraządzania Systemem Informatycznym, które mogą być udostępnione klientom Systemu. Ta dokumentacja pozwoli wykazać, w razie kontroli, stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych dla zabezpieczenia danych.

Pytanie #12 – Jak ma przebiegać kontrola i co będę musiał wykazać w jej trakcie?

Podczas kontroli na podstawie przepisów RODO należy wykazać zgodność przetwarzania danych z przepisami, a w szczególności wykazać, że:

• dane zostały pozyskane na podstawie zgód osób lub przepisów prawa,
• osoby przetwarzające dane mają do tego pisemne upoważnienie (nadaje je administrator danych),
• czy jest prowadzony rejestr incydentów (przypadki utraty lub zniszczenia lub bezprawnego ujawnienia danych),
• czy incydenty są zgłaszane do organu nadzoru w przewidzianym 72 h terminie (organem nadzoru jest krajowy GIODO).

Przed kontrolą przychodzi pisemna informacja o zamiarze jej przeprowadzenia, a sama kontrola polega na wizycie kontrolerów z GIODO, którzy sprawdzają dokumentację i sposób postępowania z danymi osobowymi (w tym stosowany poziom zabezpieczeń).