konferencja sare
DESCRIPTION
TRANSCRIPT
Jak współpracowad z agencją e-mail marketingową w zakresie
powierzenia przetwarzania danych
Michał Sztąberek
iSecure Sp. z o.o.
Agenda
• Kilka podstawowych pojęć
• Przegląd obowiązków spoczywających na administratorze
danych
• Zgoda na przetwarzanie danych osobowych w UODO i
UŚUDE
• Umowa powierzenia przetwarzania danych osobowych
• Odpowiedzialność stron umowy
Kilka podstawowych pojęd
• dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamośd można określid bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Ciekawostka:adres e-mail, adres IP
• przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych
Kilka podstawowych pojęd
• informacja handlowa - każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagao określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacja o towarach i usługach niesłużących osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi
Kilka podstawowych pojęd
• administrator danych (ADO) – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych będzie na przykład firma będąca właścicielem bazy e-mailowej, do której ma byd robiona wysyłka marketingowa
• procesor – podmiot (inna firma), któremu ADO powierzył dane osobowe w oparciu o pisemną umowę zgodnie z art. 31 ust. 1 UODO
Przegląd obowiązków ADO
• Legitymowanie się jedną z przesłanek dopuszczalności przetwarzania danych osobowych
• Przestrzeganie zasad przetwarzania danych: adekwatnośd, celowośd i czasowośd
• Dopełnienie obowiązku informacyjnego
• Dopełnienie obowiązku zabezpieczenia danych od strony organizacyjnej
• Dopełnienie obowiązku zabezpieczenia danych od strony technicznej
• Legalny outsourcing przetwarzania danych osobowych
Przegląd obowiązków ADO
• Legalne udostępnianie danych osobowych
• Rejestracja zbiorów w GIODO
Zgoda na przetwarzanie danych osobowych w UODO
• zgoda osoby, której dane dotyczą to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może byd domniemana lub dorozumiana z oświadczenia woli o innej treści *art. 7 pkt. 5+
• zgoda jako jedna z pięciu przesłanek legalnego przetwarzania danych osobowych [art. 23 ust. 1 pkt. 1]
• pisemna zgoda jeżeli przetwarzane mają byd tzw. dane wrażliwe np. informacje o stanie zdrowia [art. 27 ust. 2 pkt. 1]
Zgoda na przetwarzanie danych osobowych w UŚUDE
• zgoda w UŚUDE *art. 4+:- nie może byd domniemana lub dorozumiana z oświadczenia woli o innej treści- może byd odwołana w każdym czasie- koniecznośd wykazania uzyskania zgody dla celów dowodowych
• koniecznośd uzyskania zgody na otrzymywanie informacji handlowych, w szczególności poprzez udostępnienie w tym celu adresu elektronicznego [art. 10 ust. 2]
• odesłanie w zakresie przetwarzania danych do UODO, chyba że UŚUDE przewiduje inne reguły (wyjątki) *art. 16 ust. 1+
Umowa powierzenia przetwarzania danych
ADO
samodzielne przetwarzanie
danych
powierzenie przetwarzania
outsourcing
Umowa powierzenia przetwarzania danych
• Administrator danych może powierzyd innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych *art. 31 ust. 1 UODO]
• Elementy niezbędne umowy powierzenia:
- umowa sporządzona na piśmie
- określenie celu powierzenia (przeznaczenia danych np. świadczenie usług e-mail marketingu na bazie danych należącej do ADO)
- określenie zakresu powierzenia (rodzaju danych)
- podjęcie środków zabezpieczających zbiór danych (środki organizacyjne i techniczne – Rozdział 5 UODO)
Umowa powierzenia przetwarzania danych
§21. Zleceniobiorca może przetwarzad dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową.2. W celu wykonania postanowieo niniejszej Umowy Zleceniobiorca może przetwarzad dane osobowe wyłącznie w celu wykonywaniu usługi e-mail marketingu polegającej na ……............
Umowa powierzenia przetwarzania danych
§21. Zleceniobiorca może przetwarzad dane osobowe przekazane przez Zleceniodawcę wyłącznie w zakresie oraz w celu zgodnym z niniejszą Umową.2. W celu wykonania postanowieo niniejszej Umowy Zleceniobiorca może przetwarzad dane osobowe wyłącznie w celu wykonywaniu usługi e-mail marketingu polegającej na ……............3. W celu wykonania obowiązków wynikających z niniejszej Umowy Zleceniobiorca może przetwarzad takie dane osobowe jak: imię, nazwisko i adres e-mail.
Umowa powierzenia przetwarzania danych
§31. Zleceniobiorca jest zobowiązany do przestrzegania przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz przepisów wykonawczych.2. Zleceniobiorca oświadcza, że przed rozpoczęciem przetwarzania danych podejmie środki techniczne i organizacyjne mające na celu zabezpieczenie powierzonych danych osobowych stosownie do przepisów, o których mowa w art. 36-39 oraz spełni wymagania określone w przepisach, o których mowa w art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)
Umowa powierzenia przetwarzania danych
• Elementy dodatkowe umowy powierzenia:
- określenie środków przetwarzania danych
- forma przekazania danych osobowych
- informacje na temat zwrotu powierzonych danych
- kwestie płatności
- możliwośd dalszego powierzenia danych osobowych (subprocesor)
- odpowiedzialnośd procesora np. kary umowne
- uprawnienia kontrolne
- możliwośd przeprowadzenia audytu
Odpowiedzialnośd stron umowy
• odpowiedzialnośd za przestrzeganie przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę powierzenia przetwarzania danych, za ich przetwarzanie niezgodnie z tą umową *art. 31 ust. 3 UODO]
• możliwośd przeprowadzenia przez GIODO kontroli u procesora oraz wydania decyzji administracyjnej, której adresatem jest procesor[art. 31 ust. 4 UODO]
Odpowiedzialnośd stron umowy
• odpowiedzialnośd procesora:-odpowiedzialnośd cywilna wobec ADO wynikająca z postanowieo umowy łączącej oba podmioty (odpowiedzialnośd kontraktowa) oraz za wyrządzenie szkody ADO (odpowiedzialnośd deliktowa) [art. 471 KC oraz art. 415 KC]- odpowiedzialnośd administracyjna z tytułu spełnienia wymogów w zakresie zabezpieczenia danych [art. 18 w zw. z art. 35-39a UODO]- odpowiedzialnośd karna przewidziana w Rozdziale 8 UODO- odpowiedzialnośd z tytułu naruszenia dóbr osobistych (odpowiedzialnośd ADO i procesora) *art. 23 i 24 KC+
Dziękuję za uwagęZapraszam do zadawania pytao
iSecure Sp. z o.o.
www.isecure.pl