konferencja sare

18
Jak współpracowad z agencją e-mail marketingową w zakresie powierzenia przetwarzania danych Michał Sztąberek iSecure Sp. z o.o.

Upload: guest01a5a3

Post on 29-Nov-2014

1.317 views

Category:

Documents


3 download

DESCRIPTION

 

TRANSCRIPT

Page 1: Konferencja sare

Jak współpracowad z agencją e-mail marketingową w zakresie

powierzenia przetwarzania danych

Michał Sztąberek

iSecure Sp. z o.o.

Page 2: Konferencja sare

Agenda

• Kilka podstawowych pojęć

• Przegląd obowiązków spoczywających na administratorze

danych

• Zgoda na przetwarzanie danych osobowych w UODO i

UŚUDE

• Umowa powierzenia przetwarzania danych osobowych

• Odpowiedzialność stron umowy

Page 3: Konferencja sare

Kilka podstawowych pojęd

• dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamośd można określid bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ciekawostka:adres e-mail, adres IP

• przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych

Page 4: Konferencja sare

Kilka podstawowych pojęd

• informacja handlowa - każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagao określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacja o towarach i usługach niesłużących osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi

Page 5: Konferencja sare

Kilka podstawowych pojęd

• administrator danych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych będzie na przykład firma będąca właścicielem bazy e-mailowej, do której ma byd robiona wysyłka marketingowa

• procesor – podmiot (inna firma), któremu ADO powierzył dane osobowe w oparciu o pisemną umowę zgodnie z art. 31 ust. 1 UODO

Page 6: Konferencja sare

Przegląd obowiązków ADO

• Legitymowanie się jedną z przesłanek dopuszczalności przetwarzania danych osobowych

• Przestrzeganie zasad przetwarzania danych: adekwatnośd, celowośd i czasowośd

• Dopełnienie obowiązku informacyjnego

• Dopełnienie obowiązku zabezpieczenia danych od strony organizacyjnej

• Dopełnienie obowiązku zabezpieczenia danych od strony technicznej

• Legalny outsourcing przetwarzania danych osobowych

Page 7: Konferencja sare

Przegląd obowiązków ADO

• Legalne udostępnianie danych osobowych

• Rejestracja zbiorów w GIODO

Page 8: Konferencja sare

Zgoda na przetwarzanie danych osobowych w UODO

• zgoda osoby, której dane dotyczą to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może byd domniemana lub dorozumiana z oświadczenia woli o innej treści *art. 7 pkt. 5+

• zgoda jako jedna z pięciu przesłanek legalnego przetwarzania danych osobowych [art. 23 ust. 1 pkt. 1]

• pisemna zgoda jeżeli przetwarzane mają byd tzw. dane wrażliwe np. informacje o stanie zdrowia [art. 27 ust. 2 pkt. 1]

Page 9: Konferencja sare

Zgoda na przetwarzanie danych osobowych w UŚUDE

• zgoda w UŚUDE *art. 4+:- nie może byd domniemana lub dorozumiana z oświadczenia woli o innej treści- może byd odwołana w każdym czasie- koniecznośd wykazania uzyskania zgody dla celów dowodowych

• koniecznośd uzyskania zgody na otrzymywanie informacji handlowych, w szczególności poprzez udostępnienie w tym celu adresu elektronicznego [art. 10 ust. 2]

• odesłanie w zakresie przetwarzania danych do UODO, chyba że UŚUDE przewiduje inne reguły (wyjątki) *art. 16 ust. 1+

Page 10: Konferencja sare

Umowa powierzenia przetwarzania danych

ADO

samodzielne przetwarzanie

danych

powierzenie przetwarzania

outsourcing

Page 11: Konferencja sare

Umowa powierzenia przetwarzania danych

• Administrator danych może powierzyd innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych *art. 31 ust. 1 UODO]

• Elementy niezbędne umowy powierzenia:

- umowa sporządzona na piśmie

- określenie celu powierzenia (przeznaczenia danych np. świadczenie usług e-mail marketingu na bazie danych należącej do ADO)

- określenie zakresu powierzenia (rodzaju danych)

- podjęcie środków zabezpieczających zbiór danych (środki organizacyjne i techniczne – Rozdział 5 UODO)

Page 12: Konferencja sare

Umowa powierzenia przetwarzania danych

§21. Zleceniobiorca może przetwarzad dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową.2. W celu wykonania postanowieo niniejszej Umowy Zleceniobiorca może przetwarzad dane osobowe wyłącznie w celu wykonywaniu usługi e-mail marketingu polegającej na ……............

Page 13: Konferencja sare

Umowa powierzenia przetwarzania danych

§21. Zleceniobiorca może przetwarzad dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową.2. W celu wykonania postanowieo niniejszej Umowy Zleceniobiorca może przetwarzad dane osobowe wyłącznie w celu wykonywaniu usługi e-mail marketingu polegającej na ……............3. W celu wykonania obowiązków wynikających z niniejszej Umowy Zleceniobiorca może przetwarzad takie dane osobowe jak: imię, nazwisko i adres e-mail.

Page 14: Konferencja sare

Umowa powierzenia przetwarzania danych

§31. Zleceniobiorca jest zobowiązany do przestrzegania przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz przepisów wykonawczych.2. Zleceniobiorca oświadcza, że przed rozpoczęciem przetwarzania danych podejmie środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w art. 36-39 oraz spełni wymagania określone w przepisach, o których mowa w art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)

Page 15: Konferencja sare

Umowa powierzenia przetwarzania danych

• Elementy dodatkowe umowy powierzenia:

- określenie środków przetwarzania danych

- forma przekazania danych osobowych

- informacje na temat zwrotu powierzonych danych

- kwestie płatności

- możliwośd dalszego powierzenia danych osobowych (subprocesor)

- odpowiedzialnośd procesora np. kary umowne

- uprawnienia kontrolne

- możliwośd przeprowadzenia audytu

Page 16: Konferencja sare

Odpowiedzialnośd stron umowy

• odpowiedzialnośd za przestrzeganie przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę powierzenia przetwarzania danych, za ich przetwarzanie niezgodnie z tą umową *art. 31 ust. 3 UODO]

• możliwośd przeprowadzenia przez GIODO kontroli u procesora oraz wydania decyzji administracyjnej, której adresatem jest procesor[art. 31 ust. 4 UODO]

Page 17: Konferencja sare

Odpowiedzialnośd stron umowy

• odpowiedzialnośd procesora:-odpowiedzialnośd cywilna wobec ADO wynikająca z postanowieo umowy łączącej oba podmioty (odpowiedzialnośd kontraktowa) oraz za wyrządzenie szkody ADO (odpowiedzialnośd deliktowa) [art. 471 KC oraz art. 415 KC]- odpowiedzialnośd administracyjna z tytułu spełnienia wymogów w zakresie zabezpieczenia danych [art. 18 w zw. z art. 35-39a UODO]- odpowiedzialnośd karna przewidziana w Rozdziale 8 UODO- odpowiedzialnośd z tytułu naruszenia dóbr osobistych (odpowiedzialnośd ADO i procesora) *art. 23 i 24 KC+

Page 18: Konferencja sare

Dziękuję za uwagęZapraszam do zadawania pytao

iSecure Sp. z o.o.

[email protected]

www.isecure.pl