Tomasz Ciupka odpowiada na Wasze pytania dotyczące RODO

06.06.2019 AUTOR: REDAKCJA

Tomasz Ciupka to radca prawny, doktor nauk prawnych i Inspektor Ochrony Danych z wieloletnim doświadczeniem w zakresie świadczenia usług prawnych w przedsiębiorstwach technologicznych. Odpowiada na Wasze pytania dotyczące RODO.

AMA, czyli ask my anything na facebookowej grupie Marketing i Biznes to cykliczne spotkania z ekspertami z różnych branż, którym nasi czytelnicy zadają nurtujące pytania i otrzymują satysfakcjonujące odpowiedzi. AMA z Tomaszem Ciupką znajdziesz pod tym linkiem.

rodo

1. Co zmieniło się po 4 maja w sprawie RODO?

Przepisy, które weszły w życie 4 maja, dotyczą głównie doszczegółowienia stosowania RODO w konkretnych sektorach i branżach. Jeśli chodzi o zmiany, które dotykają większość przedsiębiorców, to są to kwestie danych pracowniczych oraz marketingu bezpośredniego. 

Jest również ważna zmiana dla mikroprzedsiębiorców.

W zakresie prawa pracy została zawężona lista danych, które możemy zbierać bez zgody pracownika. Doprecyzowano też kwestie biometrii w miejscu pracy.

2. Jak zgodnie z przepisami zbierać dane (np. pliki cookies) w ramach remarketingu? 

Przepisy o plikach cookies nie uległy zmianie. Art. 173 prawa telekomunikacyjnego nadal pozwala, aby zgoda była udzielana przez ustawienia aplikacji. Jest to działanie świadome i według uzasadnienia do ustawy zmieniającej stanowi szczególną formę zgody zgodną z RODO.

Łączenia zbiorów, np. własnych danych z Google Ada i Pixel jest dość skomplikowane. Nie potrafię odpowiedzieć jednym zdaniem. Mogą bowiem wchodzić kwestie łączenia zbiorów i profilowania. Trzeba więc analizować konkretny projekt.

3. Ostatnio zrobiło się głośno w związku z karą za nie przestrzeganie przepisów wynikających z RODO. Jaki błąd popełniła firma?

Firma, która pozyskiwała dane z ogólnodostępnych rejestrów (np. CEIDG) niewłaściwie zrealizowała obowiązek informacyjny. Umieścili informacje na swojej www, a według urzędu powinni wysłać informacje do osób, które mieli w bazie. Sprawa budzi sporo kontrowersji. Poczekajmy na wyrok sądu.

4. Jeżeli prowadzę sklep internetowy, a klient kupił u mnie jakiś towar, to czy mam prawo wykorzystać adres e-mail klienta, który podał podczas transakcji, do reklamowania innych produktów?

Z poziomu RODO, tak (uzasadniony prawnie interes). Ale pozostaje jeszcze kwestia art. 10 ustawy o świadczeniu usług drogą elektroniczną i 172 prawa telekomunikacyjnego. Ostatnio UOKiK nałożył 30 tysięcy złotych kary za naruszenie 172. Najbezpieczniej jest pozyskać jakąś zgodę na takie działania.

5. Co pan sądzi o artykułach art. 18 §1-§4 ustawy o świadczeniu usług drogą elektroniczną? Są one sprzeczne z RODO, a może bardziej restrykcyjne?

Profilowanie, szczególnie zautomatyzowane (a w kontekście przywołanego art. 18 uśue nie tylko), zawsze będzie czynnością podwyższonego ryzyka. Ale tu jakiś szczególnych zmian nie było. Istotne ograniczenia wprowadzone zostały np. dla branży ubezpieczeniowej i bankowej, ale to dotyczy wąskiej grupy przedsiębiorców. 

6. Czy z perspektywy RODO ważne jest, by przechowywać dokumenty w zamkniętych archiwach (np. szafy z kluczykiem), czy wystarczy, że znajdują się w zamykanym biurze, do którego dostęp mają jedynie osoby upoważnione?

RODO wymaga jedynie właściwego zabezpieczenia. Nie określa, jak ma być to zrealizowane Moim zdaniem np. dokumenty kadrowe w segregatorach na otwartych półkach w zamykanym pomieszczeniu działu kadr, gdzie nie kręci się nikt niepowołany są właściwie zabezpieczone.

7. Czy sprzedając firmę innemu podmiotowi, a w tym bazę klientów, musimy informować klientów o transakcji?

Sprzedający firmę w większości przypadków nic nie musi robić. Za to kupujący powinien się zastanowić, czy nie będzie go dotyczył obowiązek informacyjny z art. 14

8. Czy w związku z RODO powinienem zawrzeć dodatkową umowę biurem rachunkowym, które mnie obsługuje? Kto odpowiada w przypadku wycieku danych klientów?

Z biurem rachunkowym powinna zostać zawarta umowa powierzenia. Z odpowiedzialnością może być różnie. Zależy od konkretnej sytuacji. Może się zdarzyć, że będzie ona dotyczyć też administratora.

9. Czy przepisy RODO różnią się w przypadku firm B2C i B2B?

W sumie tak. W B2B możemy nawet nie mieć danych osobowych (choć to mało prawdopodobne). Poziom ryzyk dla naruszenia praw i wolności jest z reguły niższy. Nie będzie przepisów konsumenckich. Firmy B2C mają gorzej.

10. Jak wyegzekwować zgodę na marketing w Messengerze? Czy jest ona potrzebna do wysłania płatności i umówienia wizyty?

Nie jest potrzebna zgoda na wysłanie płatności lub umówienie wizyty, bo tu podstawą przetwarzania jest umowa, czyli art. 6 ust. 1 lit b RODO.

11. Czy jeżeli ktoś prowadzi sprzedaż C2C musi posiadać politykę RODO?

Nikt nie musi posiadać „polityki RODO”. Każdy w taki, czy inny sposób powinien zrealizować obowiązek informacyjny.

https://dbms.com.pl/

https://datamakesales.pl

Strona główna

Do góry!

Polecane artykuły

19.08.2019

Rekrutacja programistów. Jak pozyskiwać talenty do zespołu IT ...

Głodny wiedzy? Zapraszamy do sklepu z kursami i ebookami

Sprawdzam