Newsletter - jak to zrobić? Cz. 3 - obowiązki administratora danych

/ / Brak komentarzy / Edytuj


Na zakończenie cyklu newsletterowego, kiedy już wiesz, że prowadząc newsletter, przetwarzasz dane osobowe i wiesz, jak zbierać je poprawnie, opowiem Ci, jakie masz obowiązki, jako administrator danych osobowych. Tak jak poprzednio, skupiamy się na danych osobowych takich, jak adres e-mail, imię i nazwisko. Nie są to więc dane wrażliwe - nie będziemy omawiać obowiązków związanych z przetwarzaniem tego szczególnego rodzaju danych.
Obowiązki administratora danych osobowych reguluje znana Ci już dobrze ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jeśli już zbierzesz dane osobowe i będziesz chciał je przetwarzać, musisz robić to w zgodzie z przepisami. 

Ogólne obowiązki określa art. 26 ust. 1 ustawy: 


Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były:


  1. przetwarzane zgodnie z prawem;

  2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami (z zastrzeżeniem ust. 2 przepisu);
  3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzanie;
  4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Chodzi więc o to, żeby dane osobowe przetwarzać staranie, zgodnie z prawem i zasadniczo zgodnie z celem przetwarzania.
Administrator danych ma także bardziej szczegółowe, techniczne obowiązki. Powinności administratora nie są zawieszone w próżni i abstrakcyjne. Administrator musi w bardzo dosłownym rozumieniu chronić dane osobowe przed dostaniem się w niepowołane ręce. Jak wskazuje art. 36 ustawy:

  1. Administrator danych jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przez udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.


Oprócz tego administrator powinien czuwać nad zgodnością przetwarzania danych z ustawą, zapewnieniem zapoznania osób przetwarzających dane z przepisami o ochronie danych osobowych.

Dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki ich ochrony
Administrator danych musi w specjalnych dokumentach opisać, jak przetwarza dane osobowe oraz jakie stosuje środki ich ochrony. Szczegółowo te dokumenty zostały wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dokumentacja, o której mowa w rozporządzeniu składa się z:
  • polityki bezpieczeństwa,
  • instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (instrukcja).
Co ważne, to są dokumenty praktyczne, w których opisujemy, jakie konkretnie działania podejmujemy w związku z przetwarzaniem danych osobowych. Na przykład polityka bezpieczeństwa musi zawierać wykaz budynków, pomieszczeń lub części pomieszczeń,  tworzących obszar, w którym przetwarzane są dane osobowe, a instrukcja - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.
Upoważnione osoby

Co, jeśli - jako administrator danych osobowych - chcemy upoważnić do ich przetwarzania inne osoby, np. konkretnego pracownika, który zajmuje się prowadzeniem bazy danych subskrybentów newslettera?
Należy nadać takiej osobie upoważnienie. Powinno ono być nadane odrębnie, a nie tylko wynikać np. z umowy o pracę czy z zakresu obowiązków pracowniczych. Najlepiej, aby miało formę pisemną, powinno też być imienne i określać dozwolony zakres przetwarzania danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer 2015).
Administrator powinien prowadzić ewidencję upoważnionych osób, ze wskazaniem w niej ich imienia, nazwiska, daty nadania i ustania upoważnienia, jego zakres, a jeżeli dane są przetwarzane w systemie informatycznym - dodatkowo identyfikatora tej osoby. Osoby upoważnione do przetwarzania danych osobowych muszą zachować te dane w tajemnicy - podobnie jak sposoby ich zabezpieczenia. Osoba upoważniona może w tym zakresie podpisać stosowne oświadczenie.
Rejestracja zbioru danych osobowych
Czym jest zbiór danych osobowych? 

Zgodnie z art. 7 ust. 1 ustawy, przez zbiór danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest rozproszony lub podzielony funkcjonalnie.

Ustawa przewiduje, że co do zasady - zbiór danych podlega rejestracji Generalnemu Inspektorowi Danych Osobowych. Od tej reguły są pewne wyjątki, ale niestety newsletter nie jest jednym z nich. Ustawa co prawda nie mówi o nim wprost, ale GIODO wyraźnie - i moim zdaniem słusznie - przyjmuje, że zbiór danych osób korzystających z newslettera należy zgłosić do GIODO jako zbiór danych osobowych.
W złoszeniu zbioru do rejestracji (określonym w art. 41 ustawy) podajemy takie dane, jak:
  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  • oznaczenie administratora danych osobowych i adres jego siedziby lub miejsca zamieszkania, w tym numer REGON (jeśli został mu nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru,
  • jeżeli przetwarzanie danych zostało powierzone innemu podmiotowi  w drodze umowy zawartej na piśmie lub jeśli przedstawicielowi w Polsce podmiotu przetwarzającego dane, który ma swoją siedzibę albo miejsce zamieszkania w państwie trzecim - należy oznaczyć ten podmiot i adres jego siedziby lub miejsca zamieszkania,
  • cel przetwarzania danych,
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  • sposób zbierania oraz udostępniania danych,
  • Informacja o odbiorcach lub kategriach odbiorców, którym dane moga być przekazywane,
  • opis środków technicznych i organizacyjnych zastosowanych w celu przetwarzania danych zgodnie z wymogami ustawowymi (w tym w celu przestrzegania obowiązków administratora danych), wymaganych również przez ustawę o ochronie danych osobowych,
  • informację o sposobie wypełnienia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Do GIODO należy również zgłaszać wszelkie zmiany powyższych informacji - w terminie 30 dni od jej dokonania w zbiorze.
Czy zatem zgłaszając zbiór danych osobowych do rejestracji, zgłaszamy również każdy adres e-mail, imię czy nazwisko, jakie znajduje się w tym zbiorze? Na szczęście nie. Zgłaszamy sam zbiór, a nie wszelkie zawarte w nim informacje. Nie tylko nie wpisujemy posiadanych adresów mailowych, ale także nie musimy wysyłać nowych zgłoszeń z każdą kolejną daną osobową w naszej bazie.
Kiedy można rozpocząć przetwarzanie danych osobowych? W przypadku danych osobowych takich, jak e-mail, imię i nazwisko (a więc nie danych wrażliwych), można rozpocząć ich przetwarzanie w zbiorze po jego zgłoszeniu.


Wzór zgłoszenia określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. W sprawie wzrou zgłoszenia zbiotu danych do rejestracji Generalnemu Inspektorowi Danych Osobowych. Więcej informacji o zgłaszaniu zbiorów znajdziecie na stronie internetowej GIODO.
Odpowiedzialność karna
Warto pamiętać, że za przetwarzanie danych osobowych niezgodnie z ustawą o ochronie danych osobowych (np. nie będąc do tego uprawnionym czy umożliwianie dostepu do danych osobom nieuprawnionym), ustawa przewiduje odpowiedzialnośc karną i kary: grzywny, ograniczenia wolności a nawet jej pozbawienia.
Podsumowanie
Na wskazaniu wybranych obowiązków administratora danych osobowych kończymy wycieczkę po prawnych regulacjach dotyczących newsletterów - oczywiście w pewnym zakresie :) Mam nadzieję, że po lekturze części pierwszej, drugiej i niniejszej trzeciej będzie Ci łatwiej poruszać się w kwestii podawania takich danych osobowych, jak adres e-mail, imię i nazwisko - obojętnie, po której stronie newslettera stoisz, odbiorcy czy nadawcy.
Z jakimi ciekawymi sytuacjami spotkaliście się, jeśli chodzi o newslettery? Jakie macie spostrzeżenia o podawaniu i przetwarzaniu danych osobowych? Dajcie znać poniżej!

Photo credit: mcfarlandmo via Foter.com / CC BY

Tagi: , , , , ,

0 komentarze:

Prześlij komentarz

Subskrybuj: Komentarze do posta (Atom)

Popularne posty

KLAUZULA INFORMACYJNA

Drogi Użytkowniku, droga Użytkowniczko,

Zanim klikniesz przycisk: „Przejdź do serwisu” lub zamkniesz to okno, prosimy o przeczytanie poniższych informacji.

Jakich danych dotyczy przetwarzanie?

Kiedy wchodzisz na Prawnointelektualny.pl i czytasz artykuły lub komentujesz, danymi osobowymi, które przetwarzamy, mogą być w szczególności adres IP Twojego urządzenia, dane pozyskiwane na podstawie plików cookies lub innych, podobnych mechanizmów zapisywania informacji w urządzeniach Użytkowników – jeżeli pozwalają one na zidentyfikowanie Ciebie. Szczegółowe informacje na temat przetwarzania Twoich danych osobowych oraz cookies znajdziesz w Polityce prywatności: https://www.prawnointelektualny.pl/p/polityka-prywatnosci.html.

Kto jest administratorem danych?

Administratorem danych jest Martyna Czapska prowadząca działalność gospodarczą pod firmą Kancelaria Radcy Prawnego Martyna Czapska, ul. Pawilońska 47, 91-487 Łódź, NIP: 7282692394, e-mail: m.czapska@prawnointelektualny.pl. Administrator danych jest podmiotem, który decyduje, jakie Twoje dane osobowe będą przetwarzane, w jakim celu i w jaki sposób.

Jaki jest cel i podstawa przetwarzania Twoich danych osobowych?

Administrator przetwarza Twoje dane , aby umożliwić Ci korzystanie z Prawnointelektualny.pl oraz prowadzić pomiary jakości usługi i ulepszać ją, aby zapewniać bezpieczeństwo przetwarzania informacji i zarządzać systemem teleinformatycznym.

Podstawą przetwarzania Twoich danych jest prawnie uzasadniony interes administratora, który obejmuje ulepszanie wyświetlanych treści, zapewnienie ich najlepszej jakości o informowanie o tym Użytkowników. W części przypadków podstawą przetwarzania Twoich danych może być Twoja zgoda, o czym będziemy Cię informować – w takim wypadku możesz w każdej chwili wycofać swoją zgodę.

Podanie danych osobowych jest dobrowolne.

Jakie masz prawa wobec administratora w zakresie przetwarzanych danych?

Możesz żądać od administratora: dostępu do Twoich danych, ich sprostowania, usunięcia, przenoszenia, a w niektórych wypadkach do ograniczenia przetwarzania, a także masz prawo do wyrażenia sprzeciwu wobec przetwarzania Twoich danych, kiedy Twoje dane są przetwarzane na podstawie prawnie uzasadnionego interesu administratora.

Masz prawo wnieść skargę dotyczącą przetwarzania Twoich danych do Prezesa Urzędu Ochrony Danych Osobowych.

Komu administrator udostępnia Twoje dane osobowe?

Administrator co do zasady nie udostępnia Twoich danych osobom trzecim, za wyjątkiem sytuacji, kiedy ma ku temu podstawę prawną lub kiedy jest to niezbędne do wykonania usług świadczonych przez administratora, na przykład podmiotowi zapewniającemu hosting czy obsługę informatyczną administratorowi. Takie przekazywanie danych opiera się na odpowiednich umowach o powierzenie przetwarzania danych, która zobowiązuje takie podmioty do zabezpieczenia danych w odpowiedni sposób. Administrator wykorzystuje także narzędzie Google Analytics do celów statystycznych, a wszystkie komentarze i dane z nimi związane są przechowywane na platformie Google Blogger. Dowiedz się więcej: https://privacy.google.com/

Jak długo administrator przechowuje Twoje dane osobowe?

Administrator przechowuje Twoje dane tylko przez czas, jaki jest niezbędny dla zrealizowania celów, dla których dane zostały zebrane oraz pod warunkiem zachowania aktualności jednej z wyżej opisanych podstaw prawnych bądź, gdy pojawiła się nowa podstawa, taka jak np. przepis prawny lub konieczność dochodzenia roszczeń.

W jaki sposób możesz uzyskać więcej informacji?

Jeżeli masz pytania dotyczące przetwarzania Twoich danych osobowych, skontaktuj się z Administratorem pod adresem mailowym m.czapska@prawnointelektualny.pl. Możesz się również zapoznać z pełną Polityką Prywatności https://www.prawnointelektualny.pl/p/polityka-prywatnosci.html serwisu Prawnointelektualny.pl

Wiadomość od Bloggera (cytat)

„W tej witrynie są wykorzystywane pliki cookie, których Google używa do świadczenia swoich usług i analizowania ruchu. Twój adres IP i nazwa klienta użytkownika oraz dane dotyczące wydajności i bezpieczeństwa są udostępniane Google, by zapewnić odpowiednią jakość usług, generować statystyki użytkowania oraz wykrywać nadużycia i na nie reagować.”

Copyright © Prawnointelektualny - prawo autorskie i doradztwo dla twórców Martyna Czapska

Distributed By My Blogger Themes | Blogger Theme By NewBloggerThemes Up ↑