zadzwoń:

22 455 56 01

Jeżeli potrzebujesz pomocy odwiedź nasze:

Centrum Wiedzy

lub

Zadzwoń 

Jeśli masz pytanie

zadzwoń:

22 455 56 00

lub

Wypełnij formularz kontaktowy

Oddzwonimy do Ciebie 

 

Każdego roku ustawodawca przygotowuje ponad

25 000 stron aktów prawnych

Podpowiemy Ci, jak poradzić sobie w gąszczu tak często zmieniających się przepisów. 

Zapisz się na Newsletter Prawny Sage

RODO: miesiąc po. Co zrozumieliśmy, a czego nie? Część 3

RODO: miesiąc po. Co zrozumieliśmy, a czego nie? Część 3

02 lipca 2018

Legislacja

– Dlaczego do wizytówki dołącza Pan kilkanaście stron jakiejś polityki i jeszcze żąda Pan ode mnie jakichś zgód?
– Bo RODO.


Przy okazji RODO znów pojawił się temat wizytówek, można powiedzieć, że stary jak świat (a przynajmniej: jak świat ochrony danych osobowych). Na nowo więc na wielu forach rozgorzały dyskusje: czy przyjmować wizytówki? A jeśli tak: co z nimi robić? Czy konieczne jest spełnienie obowiązku informacyjnego? Czy trzeba zbierać zgody? i choć dla wielu brzmi to jak żart, to niektórzy naprawdę na serio rozważają konieczność odbierania zgód na przetwarzanie danych osobowych przed przyjęciem wizytówki…


Czy to prawda?


I tak, i nie…


Tak: w większości przypadków dane na wizytówce to dane osobowe; jeśli będzie to imię i nazwisko oraz (dodatkowo) informacje o nazwie firmy, adres e-mail, numer telefonu (nawet jeśli jest to numer firmowy), to prawdopodobieństwo możliwości jednoznacznej identyfikacji danej osoby znacząco wzrasta. Tak więc jeśli wizytówka zawiera taki (standardowy) zakres danych, bezwzględnie powinna być traktowana jako nośnik danych osobowych.


Nie: gdy mamy do czynienia z wizytówką, która zawiera dane osoby będącej formalnie zarejestrowanej jako „wspólnik spółki” i informacje o takiej osobie znajdują się w KRS, bo wówczas te dane nie podlegają RODO i danymi osobowymi wg definicji nie są. Bo RODO nie ma zastosowania do danych „osób prawnych”.


Nie: gdy wymieniamy się wizytówkami w życiu prywatnym, w celach prywatnych lub odbiorcami są osoby prywatne. Taki proces przetwarzania danych osobowych na nich zawartych jest wyłączony spod zakresu RODO. To ważne w kontekście wizytówek jako takich: w znacznej większości bowiem wykorzystujemy je każdego dnia w celach pozyskiwania klienta końcowego, którym jest osoba prywatna.


Ale pamiętajmy: RODO ma zastosowanie do danych osób fizycznych prowadzących działalność gospodarczą.


Nie: jeśli przetwarzanie danych osobowych z wizytówek nie będzie miało charakteru zbioru uporządkowanego, usystematyzowanego. Czyli gdy przyjmowanych wizytówek – w większości przecież w formie papierowej – nie będziemy w żaden sposób ewidencjonować, układać w porządku alfabetycznym, czy (zwłaszcza) digitalizować, np. przez dodanie do systemu CRM w celu dalszego przetwarzania czy też dodania do listy adresowej w aplikacji do zarządzania kontaktami. Wówczas możemy założyć, że wizytówki nie będą objęte RODO, na podstawie Motywu (15) RODO.


Ale umówmy się – to zdarza się rzadko.


Nie: nie ma konieczności pobierania odrębnych, pisemnych zgód na przetwarzanie danych osobowych zawartych na wizytówce w celach kontaktu związanego z kontekstem otrzymania wizytówki (np. kontakt telefoniczny po spotkaniu i zaprezentowanie oferty handlowej). Już sam fakt przekazania wizytówki przez osobę, której dane są na niej zawarte, to czytelny i jednoznaczny akt wyrażenia zgody na przetwarzanie danych osobowych zawartych na wizytówce w procesie dalszych kontaktów zainicjowanych jej przekazaniem. Ale – uwaga! – absolutnie nie powinniśmy przekazywać wizytówek, które do nas nie należą i robić tego w imieniu innej osoby, gdyż tego rodzaju działanie nie jest równoznaczne z wolą okazaną przez osobę, której dane są zawarte na wizytówce. Warto wiec zainwestować w firmie w zestaw wizytówek firmowych czy nawet działu, zawierających jedynie dane formowe, bez konkretnej osoby.


Tak: jesteśmy zobowiązani do wykonania obowiązku informacyjnego względem osoby, od której pobieramy wizytówkę. Bo zgodnie z art. 13 RODO po otrzymaniu wizytówki stajemy się administratorem danych na niej zawartych i, co za tym idzie, musimy wykonać obowiązek informacyjny podyktowany przez rozporządzenie. Ale – oczywiście – można to zrobić na wiele sposobów (niekoniecznie zaś poprzez dołączanie do wizytówki polityki prywatności). i tak – możemy osobę, której dane pozyskaliśmy z wizytówki, poinformować o przysługujących jej prawach poprzez np. wysłanie wiadomości
e-mail i umieszczenie w niej treści obowiązku informacyjnego. Możemy też umieścić treść obowiązku informacyjnego w stopce samej wiadomości, którą wysyłamy do naszych klientów, co w przypadku działów handlowych, które właściwie cały dzień komunikują się z klientami, a sporo z ich kontaktów pochodzi właśnie z wizytówek, ma uzasadnienie: nikt nigdy nie zapomni o umieszczeniu właściwej klauzuli informacyjnej. To również skuteczny sposób wywiązania się z wymogów zasady rozliczalności: mail zawsze pozostawia ślad i dowód na zrealizowanie obowiązku informacyjnego.


Pamiętajmy o tym, że choć RODO nie doprecyzowuje dokładnie, ile mamy czasu na wykonanie obowiązku informacyjnego, to z założenia powinniśmy zrobić to niezwłocznie. Tu pewną wskazówką może być art. 14 ust.3 pkt. a) RODO, który – w odniesieniu do pozyskiwania danych „w sposób inny niż od osoby, której dane dotyczą” – definiuje ten okres w sposób następujący: „administrator podaje te informacje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych”.


Niezwłocznie znaczyć więc może „tak szybko, jak będzie to możliwe” po pozyskaniu danych osobowych zawartych na wizytówce, np.: na targach, wystawach, kongresach, np. poprzez umieszczenie informacji na pojemniku, do którego zbieramy wizytówki. Ważne: niech to będą pojemniki zamknięte i nieprzezroczyste, by zachować prywatność zawartych w niej wizytówek.


Tak: uporządkowane i posegregowane w wizytowniku wizytówki to zbiór danych osobowych i jako taki podlega regulacjom RODO. Dlatego jako ADO jesteśmy zobowiązani do prawidłowego, uwzględniającego zidentyfikowane ryzyka zabezpieczenia takich zbiorów danych.


Ważne: RODO to pragmatyka w podejściu do ochrony danych osobowych. Dlatego ADO powinien zorganizować w odpowiedni do sytuacji sposób proces przetwarzania, w tym przechowywania danych osobowych pozyskanych z wizytówek, tak by stosowane zabezpieczenia dopasować do ilości danych, jakie będą znajdować się w zbiorze oraz charakteru ich użycia.



Tomasz Mamys

  • studiował na Wydziale Prawa uniwersytetu Adama Mickiewicza w Poznaniu;
  • od ponad 20 lat związany z branżą IT;
  • od ponad 15 lat menadżer zespołów sprzedażowych i wdrożeniowych;
  • menadżer projektów IT;
  • trener profesjonalnych prezentacji;
  • aktualnie w Sage prowadzi zespół PreSales oraz zarządza wybranymi projektami wewnętrznymi;

Prowadził projekt dostosowania i wdrożenia RODO w Sage w Polsce, jako części globalnej organizacji. Ekspert, autor publikacji i wystąpień w obszarze ochrony danych osobowych w biznesie.

Zafascynowany rozwojem AI i nowych technologii w służbie ludzkości.



/*gatedcontent/