Tomasz Ciupka to radca prawny, doktor nauk prawnych i Inspektor Ochrony Danych z wieloletnim doświadczeniem w zakresie świadczenia usług prawnych w przedsiębiorstwach technologicznych. Odpowiada na Wasze pytania dotyczące RODO.
AMA, czyli ask my anything na facebookowej grupie Marketing i Biznes to cykliczne spotkania z ekspertami z różnych branż, którym nasi czytelnicy zadają nurtujące pytania i otrzymują satysfakcjonujące odpowiedzi. AMA z Tomaszem Ciupką znajdziesz pod tym linkiem.
1. Co zmieniło się po 4 maja w sprawie RODO?
Przepisy, które weszły w życie 4 maja, dotyczą głównie doszczegółowienia stosowania RODO w konkretnych sektorach i branżach. Jeśli chodzi o zmiany, które dotykają większość przedsiębiorców, to są to kwestie danych pracowniczych oraz marketingu bezpośredniego.
Jest również ważna zmiana dla mikroprzedsiębiorców.
W zakresie prawa pracy została zawężona lista danych, które możemy zbierać bez zgody pracownika. Doprecyzowano też kwestie biometrii w miejscu pracy.
2. Jak zgodnie z przepisami zbierać dane (np. pliki cookies) w ramach remarketingu?
Przepisy o plikach cookies nie uległy zmianie. Art. 173 prawa telekomunikacyjnego nadal pozwala, aby zgoda była udzielana przez ustawienia aplikacji. Jest to działanie świadome i według uzasadnienia do ustawy zmieniającej stanowi szczególną formę zgody zgodną z RODO.
Łączenia zbiorów, np. własnych danych z Google Ada i Pixel jest dość skomplikowane. Nie potrafię odpowiedzieć jednym zdaniem. Mogą bowiem wchodzić kwestie łączenia zbiorów i profilowania. Trzeba więc analizować konkretny projekt.
3. Ostatnio zrobiło się głośno w związku z karą za nie przestrzeganie przepisów wynikających z RODO. Jaki błąd popełniła firma?
Firma, która pozyskiwała dane z ogólnodostępnych rejestrów (np. CEIDG) niewłaściwie zrealizowała obowiązek informacyjny. Umieścili informacje na swojej www, a według urzędu powinni wysłać informacje do osób, które mieli w bazie. Sprawa budzi sporo kontrowersji. Poczekajmy na wyrok sądu.
4. Jeżeli prowadzę sklep internetowy, a klient kupił u mnie jakiś towar, to czy mam prawo wykorzystać adres e-mail klienta, który podał podczas transakcji, do reklamowania innych produktów?
Z poziomu RODO, tak (uzasadniony prawnie interes). Ale pozostaje jeszcze kwestia art. 10 ustawy o świadczeniu usług drogą elektroniczną i 172 prawa telekomunikacyjnego. Ostatnio UOKiK nałożył 30 tysięcy złotych kary za naruszenie 172. Najbezpieczniej jest pozyskać jakąś zgodę na takie działania.
5. Co pan sądzi o artykułach art. 18 §1-§4 ustawy o świadczeniu usług drogą elektroniczną? Są one sprzeczne z RODO, a może bardziej restrykcyjne?
Profilowanie, szczególnie zautomatyzowane (a w kontekście przywołanego art. 18 uśue nie tylko), zawsze będzie czynnością podwyższonego ryzyka. Ale tu jakiś szczególnych zmian nie było. Istotne ograniczenia wprowadzone zostały np. dla branży ubezpieczeniowej i bankowej, ale to dotyczy wąskiej grupy przedsiębiorców.
6. Czy z perspektywy RODO ważne jest, by przechowywać dokumenty w zamkniętych archiwach (np. szafy z kluczykiem), czy wystarczy, że znajdują się w zamykanym biurze, do którego dostęp mają jedynie osoby upoważnione?
RODO wymaga jedynie właściwego zabezpieczenia. Nie określa, jak ma być to zrealizowane Moim zdaniem np. dokumenty kadrowe w segregatorach na otwartych półkach w zamykanym pomieszczeniu działu kadr, gdzie nie kręci się nikt niepowołany są właściwie zabezpieczone.
7. Czy sprzedając firmę innemu podmiotowi, a w tym bazę klientów, musimy informować klientów o transakcji?
Sprzedający firmę w większości przypadków nic nie musi robić. Za to kupujący powinien się zastanowić, czy nie będzie go dotyczył obowiązek informacyjny z art. 14
8. Czy w związku z RODO powinienem zawrzeć dodatkową umowę biurem rachunkowym, które mnie obsługuje? Kto odpowiada w przypadku wycieku danych klientów?
Z biurem rachunkowym powinna zostać zawarta umowa powierzenia. Z odpowiedzialnością może być różnie. Zależy od konkretnej sytuacji. Może się zdarzyć, że będzie ona dotyczyć też administratora.
9. Czy przepisy RODO różnią się w przypadku firm B2C i B2B?
W sumie tak. W B2B możemy nawet nie mieć danych osobowych (choć to mało prawdopodobne). Poziom ryzyk dla naruszenia praw i wolności jest z reguły niższy. Nie będzie przepisów konsumenckich. Firmy B2C mają gorzej.
10. Jak wyegzekwować zgodę na marketing w Messengerze? Czy jest ona potrzebna do wysłania płatności i umówienia wizyty?
Nie jest potrzebna zgoda na wysłanie płatności lub umówienie wizyty, bo tu podstawą przetwarzania jest umowa, czyli art. 6 ust. 1 lit b RODO.
11. Czy jeżeli ktoś prowadzi sprzedaż C2C musi posiadać politykę RODO?
Nikt nie musi posiadać „polityki RODO”. Każdy w taki, czy inny sposób powinien zrealizować obowiązek informacyjny.
Inteligentna platforma do prospectingu i pozyskiwania leadów b2b
Zostaw komentarz