facebook web

RODO a sprawa PRowska

Szum marketingowy wokół RODO jest taki, że niektórzy mówią już o RODOzaurze polującym na przerażone budżety :) Tak się szczęśliwie składa, że my przy tej okazji nie mamy nic do sprzedania, więc po prostu podzielimy się z Wami naszymi przemyśleniami odnośnie tego, jak RODO wpłynie na pracę działów komunikacji - mamy nadzieję, że pomoże to również Wam przygotować się na maj 2018.

A właściwie to na kwiecień 2018, bo wtedy wszystkich czeka Wielkie Sprzątanie w agencjach i działach komunikacji :) Niszczarki będą dziarsko pomrukiwały, będziecie pilnie przeglądać stare dyski twarde, backupy, notatki, segregatory z konferencji itd.. Nie wierzycie? Uwierzcie!

Nowe regulacje dotyczące ochrony danych osobowych to wynik przepisów przyjętych przez Parlament Europejski znanych  jako RODO lub – po angielsku - GDPR (General Data Protection Regulation) i - w intencji jej twórców - będą przede wszystkim lepiej chronić konsumentów przed nieuprawnionym przetwarzaniem danych osobowych przez firmy.

Myślisz, że ściągniesz z sieci parę regulaminów, wstawisz dane firmy je i włożysz do segregatora? Błąd!

Zacznijmy od tego, że RODO diametralnie różni się w swoim podejściu od poprzednich regulacji dotyczących ochrony danych osobowych. Twórcy rozporządzenia (poniekąd słusznie) zauważyli, że zamiast tylko tworzyć ściśle określone procedury ochrony danych, skuteczniej będzie zmusić firmy do stworzenia  procesów i rozwiązań gwarantujących kontrolę nad danymi.

Tak więc w miejsce katalogu dokumentów i procedur, których spełnienie gwarantowało firmie "spokój sumienia" (takich jak prowadzenie ewidencji osób, które mają dostęp do danych osobowych, wdrożenie polityki bezpieczeństwa systemów informatycznych itd..) wprowadzono obowiązek wykazania przez administratora że spełnia podstawowe zasady przetwarzania danych osobowych (rozliczalność) 

A co to ma wspólnego z komunikacją?

Wyobraźcie  sobie taką sytuację: 25 maja 2018 r o godzinie 23:59 (piątek) na skrzynkę e-mail [pracownik]@neuron.pl wpływa od dziennikarza żądanie usunięcia danych. Skrzynka jest aktywna, ale pracownik jest akurat na trzytygodniowym urlopie; ponieważ klienci pracownika są powiadomieni i ustanowione jest zastępstwo, w celu ułatwienia procesu  ustalono, że poczta urlopowicza będzie sprawdzana tylko awaryjnie, raz dziennie.

I co teraz?

Według nowych regulacji, naszym obowiązkiem będzie niezwłoczne usunięcie danych dziennikarza. W praktyce oznacza to, że po pierwsze trzeba potwierdzić tożsamość osoby zgłaszającej takie żądanie (przy mailach nie mamy 100% pewności, czy żądanie jest od tej osoby). Po drugie – trzeba sprawdzić przesłanki określone w przepisach – czy to prawo w ogóle przysługuje – a sprawa wcale nie jest łatwa ani oczywista.

O pomoc w zinterpretowaniu tego poprosiliśmy pani Agatę Szeligę z warszawskiej kancelarii Sołtysiński Kawecki Szlęzak:

„Prawo do bycia zapomnianym przysługuje tylko w określonych przypadkach wyraźnie wskazanych w art. 17 RODO np. jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.

Ponadto RODO określa sytuacje w których mimo, że mogłyby zachodzić podstawy do usunięcia danych, to jednak nie znajdują one zastosowania. Dotyczy to sytuacji, gdy przetwarzania danych takiej osoby jest niezbędne np. do korzystania z prawa do wolności wypowiedzi informacji albo do ustalania, dochodzenia lub obrony roszczeń.  Dlatego warto wprowadzić przynajmniej krótką instrukcję, która pozwoli na sprawne zarządzanie takimi wnioskami. RODO podchodzi też racjonalnie do terminów – administrator powinien w ciągu miesiąca od otrzymania żądania odpowiedzieć wnioskodawcy o podjętych działaniach, a termin ten można przedłużyć w uzasadnionych przypadkach o kolejne dwa miesiące".

Na wstępie ustalmy, co to są Dane osobowe. Do niedawna toczono spory o to, co jest uważane za daną osobową: e-mail? Telefon redakcyjny? A może data urodzin? Pani Szeliga wyjaśnia, że są to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Katalog danych osobowych jest otwarty i obejmuje dane identyfikujące daną osobę wprost  np. : imię i nazwisko, osobisty e-mail, jak również dane, które pośrednio pozwalają ustalić konkretną osobę (np. zdjęcie). O tym czy taka osoba jest możliwa do zidentyfikowania decydują również zasoby jakimi dany podmiot dysponuje Na przykład tablice rejestracyjne lub numery VIN samochodu osób trzecich dla postronnej osoby nie są danymi osobowymi a dla ministra właściwego do spraw administracji publicznej nimi będą, ponieważ dysponuje on bazami łączącymi tablice z nazwiskami  i numerami identyfikującymi właścicieli. 

Zastanówmy się teraz przez chwilę, jakiego typu danymi osobowymi dysponują komunikatorzy

(Jako profesjonaliści zajmujący się komunikacją wykorzystaliśmy tę okazję do opracowania kolejnego Autorskiego Produktu Neurona: AUTOOBDUKCJA RODO ™, przy czym „obdukcja” dobrze oddaje sens, bo będzie bolało :) )

 Oto gdzie i jakie dane osobowe (według RODO) przechowujemy w Neuronie: 

  1. Dane pracowników
  2. Dane osobowe przedstawicieli klientów, podwykonawców: w umowach, telefonach i na dyskach twardych.
  3. Dane osobowe na nieaktualnych materiałach marketingowych i promocyjnych, np. na starych zaproszeniach na imprezy.
  4. Dane osobowe kandydatów do pracy przechowywane w skrzynce e-mail dedykowanej do rekrutacji oraz w formie wydruków oraz w skrzynkach osób odpowiedzialnych za daną rekrutacje
  5. Dane osobowe (IP i ciasteczka) osób, które odwiedziły stronę neuron.pl
  6. Dane osobowe (IP, ciasteczka oraz inne dane) pozostawione przez potencjalnych klientów na różnych produktowych landing pages http://sotiria.neuron.pl, przechowywane w serwisie landingi.com
  7. Dane osobowe dziennikarzy, ( przechowywane w różnych systemach np. w serwisie netPR.pl, na wewnętrznym serwerze sharepoint, czy przechowywane w systemach bazodanowych)

Wróćmy zatem do naszej historii: co wydarzy się w Neuronie w poniedziałek 27 maja 2018?

Po pierwsze, wszystkie procesy związane z komunikacją muszą działać. Pracownik, który zastępuje urlopowanego pracownika nie może zapomnieć sprawdzić skrzynki.

A skoro już poweźmiemy informację o żądaniu usunięcia danych / bycia zapomnianym (i zweryfikujemy, że takie prawo dziennikarzowi przysługuje), powinniśmy zidentyfikować wszystkie miejsca, w których dane te występują, w tym przypadku:

  • telefony pracowników,
  • bazę danych dziennikarzy (w naszym przypadku w systemie dystrybucyjnym netPR.pl),
  • wszystkie listy dystrybucyjne, które są na dyskach pracowników - pobrane w celu edycji, aktualizacji itd.,
  • inne miejsca, w których teoretycznie mogą być dane (np. dyski backupów).

Po stworzeniu takiej listy powinniśmy uruchomić procedurę usunięcia danych dziennikarza,  a następnie nigdy więcej nie skontaktować się z nim z wykorzystaniem usuniętych danych (nie dzwonić, nie mailować) - chyba, że uzyskamy podstawy do przetwarzania takich danych np. zawrzemy z umowę z dziennikarzem lub ponownie uzyskamy jego zgodę, przy czym po 25 maja będziemy musieli wykazać, w jaki sposób i kiedy ta zgoda została wyrażona.

Co robić, jak żyć?

Po pierwsze nie panikować. RODO wygląda bardzo groźnie, ale należy przyjąć, że intencją ustawodawcy jednak nie jest całkowity paraliż biznesu w całej Europie. RODO długofalowo przyniesie wiele dobrego, również w relacjach PRowców/komunikatorów z dziennikarzami, tak samo jak ucywilizuje proceder wykorzystywania i handlowania danymi osobowymi konsumentów bez ich zgody. Wolna amerykanka na dłuższą metę nie jest korzystna dla nikogo, bo za chwilę nikt nie zechce zostawić maila nawet do najlepszego newslettera, ponieważ będzie się bał, że jego adres trafi na spamlisty.

Po wtóre, polskie akty prawne są dopiero na etapie przygotowywania (konsultacje społeczne zakończyły się 13. października) i  dopiero po ich przyjęciu będziemy mieli jasność co do ich ostatecznego kształtu.  Ale na pewno już dziś należy zastanowić się m.in. nad następującymi kwestiami:

  • gdzie i jak przechowywane są dane osobowe,
  • czy na pewno potrzebujemy danych, które mamy (często możemy je usunąć lub zanonimizować ponieważ nie są już wykorzystywane),
  • czy nasze systemy są zabezpieczone pod względem IT i fizycznym,
  • w jakim celu gromadzimy dane,
  • czy spełniamy warunki przetwarzania danych np. czy mamy zgody na gromadzenie danych i ich przetwarzanie, oraz czy osoby przekazujące nam swoje dane wiedzą, w jakim celu je będziemy przetwarzać,
  • czy komuś powierzamy je do przetwarzania lub je przekazujemy,
  • jak opracować procedurę identyfikacji miejsc, w których przetwarzamy dane.

W tym poście zwracamy Waszą uwagę na liczbę miejsc, w których przechowujemy dane osobowe w działach komunikacji. W kolejnych zastanowimy się, w jakich celach pozyskujemy dane od dziennikarzy i jak je przetwarzamy. 

O projekcie:

Rozporządzenie o Ochronie Danych Osobowych jest nowoczesnym aktem prawnym, który zacznie nas obowiązywać od maja 2018 roku. Dla wielu firm może być źródłem trudności. Dlatego Fundacja internetPR.pl, redakcja infoWire.pl oraz Neuron Agencja PR przygotowują cykl artykułów dla specjalistów z branży komunikacyjnej i PR. Celem naszej akcji jest wyjaśnianie wątpliwości, które będą pojawiały się wokół nowych regulacji. 

Przy tworzeniu tego kompendium wiedzy korzystamy z pomocy ekspertów z renomowanych kancelarii prawnych oraz Ministerstwa Cyfryzacji. Zbieramy wiedzę w postaci artykułów i wypowiedzi eksperckich wideo. Pozwoli ona firmom z branży komunikacji przygotować się na nowe warunki, w których będziemy działać.

Najnowsze

Onet zamyka Blog.pl. „Efekt rosnącej roli mediów społecznościowych”. Serwis blogowy Blog.pl (należący do Grupy Onet-RAS Polska) z końcem stycznia 2018 roku zostanie zamknięty. - To efekt rosnącej roli mediów społecznościowych, które - jako centrum tworzenia społeczności i wymiany myśli w internecie - przejęły rolę blogów - mówi Wirtualnemedia.pl Paweł Jurek, dyrektor zarządzający segmentem Onet. ...

Polscy internauci w zagraniczych e-sklepach kupują głównie odzież, elektronikę i biżuterię - najpopularniejszy AliExpress. Ponad połowa kupujących online ufa zagranicznym sprzedawcom w takim samym stopniu, jak krajowym. Najpopularniejszym kierunkiem e-zakupów transgranicznych są Chiny. Polscy internauci kupują za granicą ubrania, elektronikę i biżuterię - wynika z badania SW Research. 41% osób, które robią zakupy w sieci, skorzystało z oferty zagranicznych sklepów i serwisów internetowych w ciągu...

Bitcoin przekracza cenę 15 tysięcy dolarów. „Psychologia rynku, korekta jest bliska”. Według czwartkowych danych rynkowych kryptowaluta Bitcoin przekroczyła historyczny próg ceny w wysokości 15 tysięcy dolarów. To oznacza, że kapitalizacja Bitcoina jest wyższa niż 256 miliardów dolarów. Jednak eksperci rynku finansowego nie kryją braku zaufania do Bitcoina. ...

Osoby nieoglądające telewizji i używające AdBlocka intensywnie korzystają z internetu i chętnie płacą za treści. W Polsce jest 1,9 mln osób, którzy jednocześnie nie oglądają linearnej telewizji oraz używają AdBlocka - wynika z badania „Kontrreklamowi” agencji badawczej SW Research oraz ScreenLovers. Reklamodawcy do takich osób mogą jednak dotrzeć wieloma kanałami, m.in. poprzez social media, radio (zarówno FM jak i internetowe) oraz prasę. ...

Wideo

Nowy obowiązek informacyjny – co oznacza dla przedsiębiorców?. Obowiązek informacyjny to kolejne zagadnienie, z którym powinni zapoznać się przedsiębiorcy przed wejściem w życie RODO. Na czym on polega i jak go wprowadzić do swojej firmy? Na te i inne pytania odpowiada Ewa Kurowska-Tober z kancelarii DLA Piper. Po pierwsze informować „Kiedy otrzymujemy dane nowej osoby, naszym obowiązkiem jako administratora danych osobowych [ADO] jest...

Co może grozić za naruszenie przepisów RODO?. Z dniem wejścia w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) każde naruszenie ochrony danych osobowych będzie musiało zostać zgłoszone do Urzędu Ochrony Danych Osobowych. Dodatkowo, w sytuacjach poważniejszych, firma będzie zobowiązana poinformować podmiot, którego te dane dotyczą. ...

RODO to dla firm nie tylko minusy. Przyczyni się do rozwoju przedsiębiorstw i zwiększy konkurencyjność na rynku. Za około pół roku, w zacznie obowiązywać RODO czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych. Jest to też ostatni dzwonek dla firm, aby przygotować się na nowe przepisy. Rozporządzenie wprowadza wiele zmian, jednak nie wszystkie są negatywne. ...

Jak przygotować firmę na wejście RODO?. Pod koniec maja 2018 roku, w życie wchodzi rozporządzenie RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Oznacza to, że przedsiębiorcy dostaną nowe obowiązki, jednocześnie nalezy pamiętać, że niewywiązanie się z nowych obowiązków może skutkować poważnymi konsekwencjami. ...