facebook web

W jaki sposób poradzili sobie z RODO, czyli o tym, jak PSPR przetwarza dane – case study

Pod koniec kwietnia Polskie Stowarzyszenie Public Relations uruchomiło swoją nową witrynę internetową. W tym wydarzeniu nie byłoby nic wyjątkowego, gdyby nie fakt, że stała się ona dosyć wyjątkowym narzędziem do gromadzenia danych osobowych oraz wspomagania Stowarzyszenia w wypełnianiu jego obowiązków jako administratora tych danych.

Obowiązki spoczywające na administratorze wynikają z aktualnego ustawodawstwa dotyczącego ochrony danych osobowych, które PSPR przetwarza, realizując swoje cele statutowe. Są to nie tylko dane osobowe członków Stowarzyszenia, ale też dziennikarzy i sympatyków.

Z punktu widzenia stowarzyszenia branżowego, którego działanie opiera się na pracy społecznej i zaangażowaniu członków, a misją jest budowa wizerunku profesjonalnej branży komunikacji i zawodu PR-owca, wyzwaniem było takie zorganizowanie przetwarzania, aby nie powodowało ono kłopotów operacyjnych, ale także zapewniało elastyczność i było zgodne z prawem.

Zastosowanie nowego sposobu organizacji przetwarzania miało też pokazać, że wprowadzone niedawno przepisy o ochronie danych osobowych są prawem korzystnym dla branży, a zapewnienie zgodności z nim wbrew pozorom nie jest takie trudne.

Branża public relations cały czas nie uzmysławia sobie korzyści płynących z RODO. W praktyce legalizuje ono bowiem możliwość gromadzenia i wykorzystywania danych pozyskiwanych ze źródeł publicznych. Jednak zauważalnym wynikiem wprowadzenia RODO było znikanie formularzy subskrypcji w witrynach biur prasowych wielu firm, a to właśnie stosowanie tych formularzy jawi się jako najbezpieczniejszy sposób na zbieranie danych. Można się domyślać, że specjaliści od PR jeszcze nie zrozumieli istoty nowego prawa.

Jakie dane osobowe przetwarza PSPR w swojej witrynie?

Jak zwykle najtrudniejszą kwestią było określenie zbiorów, które będzie przetwarzała organizacja w ramach realizacji swoich celów. W szczególności dotyczyło to kategorii i zakresu przetwarzanych danych oraz celów i podstaw przetwarzania. Analizując temat, zwracano uwagę na to, aby zakres przetwarzanych danych nie był nadmiarowy, czyli aby była spełniona zasada minimalizacji.

Członkowie Stowarzyszenia – zbiór obejmuje dane aktywnych członków Stowarzyszenia oraz kandydatów na członków

  • zakres: imię, nazwisko, e-mail, telefon kontaktowy, stanowisko, profil w social mediach lub opis doświadczenia zawodowego, adres korespondencyjny, specjalizacja zawodowa, specjalizacja sektorowa
  • cel przetwarzania: realizacja statutowych celów Polskiego Stowarzyszenia Public Relations, w tym komunikowanie się – również drogą elektroniczną – w sprawach organizacyjnych (np. związanych z przystąpieniem do Stowarzyszenia) oraz dotyczących działalności Stowarzyszenia
  • podstawa prawna: art. 6 pkt. 1 lit. b RODO (na podstawie zawartej umowy)

Odbiorcy newslettera – subskrybenci newslettera Stowarzyszenia pozyskani przez serwis internetowy

  • zakres: adres e-mail
  • cel przetwarzania: wysyłka newslettera ogólnego Stowarzyszenia
  • podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie)

Dziennikarze, którzy wyrazili zgodę

  • zakres: imię, nazwisko, e-mail, telefon kontaktowy, nazwa redakcji, specjalizacja tematyczna
  • cel przetwarzania: wysyłka drogą elektroniczną newslettera zawierającego informacje o działalności Stowarzyszenia, a także podtrzymywanie kontaktu i dobrych relacji na podstawie udzielonej zgody
  • podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie)

Redakcje i dziennikarze

  • zakres: imię, nazwisko, e-mail, telefon kontaktowy, nazwa, adres pocztowy, telefon do redakcji, rodzaj medium, geograficzny zakres działalności, specjalizacja tematyczna
  • cel przetwarzania: prowadzenie działań z zakresu public relations, a w szczególności udostępnianie informacji o działalności Polskiego Stowarzyszenia Public Relations
  • podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)

 

W trakcie analizy struktury danych zwrócono szczególną uwagę na fakt, że dane tej samej osoby mogą być przetwarzane w więcej niż tylko jednym celu i realizacja każdego z nich może wymagać innego zakresu danych.

 

Klauzule informacyjne i warunki wyraźnej zgody

 

Istotnym elementem, jeśli chodzi o zmianę sposobu przetwarzania danych przez Stowarzyszenie, było również przygotowanie klauzul informacyjnych. To te informacje, które powinny znaleźć się:

  • w formularzach subskrypcji na stronach internetowych PSPR,
  • w mailach wysyłanych w ramach realizacji obowiązków informacyjnych względem osób, których dane są przetwarzane na podstawie prawnie uzasadnionego interesu administratora,
  • w udzielanych informacjach na temat przetwarzania danych osób przez Stowarzyszenie przy realizacji ich praw.

 

Wyżej wymienione klauzule to bardzo podobne teksty, ale jednak różniące się w kilku szczegółach. To, co powinno się w nich znaleźć, jest dokładnie sprecyzowane w art. 13 i 14 RODO. Jednak chyba najtrudniejszą kwestią jest takie sformułowanie klauzuli, aby była ona zrozumiała. To wymóg aktualnego prawodawstwa, który wcale nie jest taki łatwy do spełnienia, choć z pozoru to tylko zredagowanie i sformatowanie tekstu, a Stowarzyszenie to eksperci od komunikowania.

 

Oprócz przygotowania klauzul informacyjnych wyświetlanych w formularzach subskrypcji oraz wniosku członkowskiego konieczne było również zapewnienie warunków do odebrania tzw. wyraźnej zgody. W przypadku formularzy na stronie Stowarzyszenia wykorzystano checkbox z opisem zgody, którą wyraża osoba poprzez jego zaznaczenie. Opracowanie struktury danych i klauzul bardzo ułatwia i przyśpiesza konfigurację oprogramowania wspomagającego administratora w zadaniach związanych z przetwarzaniem danych.

 

Oprogramowanie do przetwarzania danych

 

Aby zapewnić bezproblemowe wykorzystanie danych w działalności Stowarzyszenia, zastosowano uniwersalne oprogramowanie zaprojektowane pod wymogi RODO przez netPR.pl. Oprogramowanie to w pierwszej kolejności pozwoliło wiernie odwzorować strukturę przetwarzanych danych i w praktyce zapewniło spełnienie wymogu minimalizacji przetwarzanych danych dla każdego ze zbiorów.

 

Uwaga! Zwykle oprogramowanie nieprzystosowane do wymogów RODO nie daje możliwości dostosowania zakresu przetwarzanych danych do celów przetwarzania. W rezultacie struktura danych w interfejsie dostępnym dla operatorów oprogramowania jest szersza niż dane faktycznie określone w celu przetwarzania. To automatycznie naraża firmy korzystające z takich rozwiązań na niepotrzebne naruszenia RODO.

 

Formularze – wypełnienie obowiązku informacyjnego i odebranie zgody

Oprogramowanie witryny Stowarzyszenia pozwala na elastyczne tworzenie formularzy subskrypcji, przypinanie do nich klauzul informacyjnych oraz odbieranie zgód w sposób wyraźny. Zostało wykorzystane do stworzenia aż 3 formularzy – wniosku członkowskiego, formularza zbierającego kontakty od dziennikarzy oraz formularza gromadzącego adresy e-mail odbiorców newslettera.

 

Każdy formularz zawiera stosowne zgody, a także kieruje do osobnych profili/zbiorów, które funkcjonują jednak w jednej centralnej bazie danych osobowych.

 

Takie rozwiązanie powoduje, że osoba, której dane są przetwarzane, może być jednocześnie np. kandydatem na członka Stowarzyszenia oraz odbiorcą newslettera – jednym rekordem w centralnej bazie, ale z przejrzyście rozdzielonym profilem, z którym związany jest cel i podstawa przetwarzania. Takie podejście zapewnia wygodne zarządzanie danymi (oraz wyrażonymi zgodami) nie tylko przez PSPR, ale także osoby, których dane są przetwarzane. Mogą one w dowolnym momencie zobaczyć, jak się to odbywa za pomocą panelu prywatności.

 

Prawo dostępu do informacji zautomatyzowane

Kto, w jakim zakresie i w jakim celu przetwarza moje dane? Takie pytanie od dowolnego kontaktu może zostać zadane w dowolnej chwili. Udostępnienie takich informacji to obowiązek administratora, ale jak zrobić to bezpiecznie, a jednocześnie nie dołożyć sobie dużego zestawu dość skomplikowanych obowiązków?

 

W praktyce nie jest łatwo zapewnić realizację tego obowiązku z uwagi na to, że informacji tych nie można wysłać mailem, a konieczność szyfrowania danych wymaga dysponowania dwoma kanałami komunikacji. W rezultacie przesłanie prostego zestawu danych staje się problematyczne i złożone.

 

W rozwiązaniu wykorzystywanym przez PSPR zastosowano zdalny dostęp do danych. W rezultacie każda osoba, której dane są przetwarzane, w dowolnym momencie może zobaczyć, które jej dane są przetwarzane, w jakich celach i w jaki sposób. Może także realizować swoje prawa, tj. prawo do usunięcia, sprzeciwu, zablokowania wysyłki mailowej.

 

Co najważniejsze, sposób dostępu do danych przez panel prywatności spełnia wymogi bezpieczeństwa, a zarazem jest wygodny dla osób, których dane są przetwarzane. Link do panelu prywatności znajduje się w każdym mailu wysyłanym z oprogramowania witryny Stowarzyszenia. Link ten może być również wykorzystany w razie potrzeby w odpowiedzi mailowej na zadane pytanie dotyczące szczegółów przetwarzania danych.

 

Funkcjonalność panelu prywatności umożliwia wysłanie linku zabezpieczonego tokenem czasowym na adres mailowy osoby, której dane są przetwarzane. Klikniecie w link umożliwia zdalny i bezpieczny dostęp do szczegółów przetwarzania danych.

 

Procesy i procedury

Chociaż dobrze zaprojektowana struktura danych i właściwie zaimplementowane oprogramowanie upraszczają, a czasami wręcz eliminują złożone i trudne do zrozumienia procesy wynikające z RODO, to jednak praca z danymi wymaga też przestrzegania pewnych uniwersalnych zasad. Użytkownicy oprogramowania w szczególności muszą wiedzieć, jak zachować się w niektórych typowych sytuacjach, takich jak powiększanie bazy, chęć zostania usuniętym z bazy przez osobę, dodanie nowego zbioru/profilu odbiorców itd.

 

Zestaw działań i procesów dotyczących tych sytuacji powinien być określony w każdej organizacji przetwarzającej dane. W przypadku Polskiego Stowarzyszenia Public Relations jest o tyle łatwiej, że niektóre z nich zostały zautomatyzowane i uproszczone. Ponadto razem z oprogramowaniem został dostarczony edytowalny plik zawierający zestaw typowych działań związanych z obsługą, co znacznie ułatwia opracowanie własnych procesów.

 

Podsumowanie

 

Opisane rozwiązanie stosowane przez Polskie Stowarzyszenie Public Relations wykorzystuje technologię rozwijaną przez netPR.pl, która w ostatnich 2.5 latach została gruntownie przebudowana i przystosowana do wymogów RODO. Witryna Stowarzyszenia spełnia wymagania mobilności i jest dostosowana do Google Mobile-first Index, z czym ma cały czas problem większość serwisów w Polsce.

 

Wdrożenie rozwiązania – skonfigurowanie struktury danych oraz serwisu www, a także podłączenie formularzy – zabrało łącznie ok. 20 godzin i praktycznie nie wymagało prac programistycznych i kompetencji technicznych. Serwis wykorzystuje standardową wizualizację, która została dostosowana funkcjonalnie i kolorystycznie do potrzeb Stowarzyszenia.


Autor: NetPR.pl

Źródło: https://blog.netpr.pl/entry/438910/w-jaki-sposob-poradzili-sobie-z-rodo-czyli-o-tym-jak-pspr-przetwarza-d

Najnowsze

A czy ty potrafisz sprzedawać na LinkedInie?. „LinkedIn jest świetnym narzędziem do sprzedaży. Nie zmienia to faktu, że niektórzy nie potrafią z niego korzystać” – mówi Angelika Chimkowska, strateg social sellingu i silnych marek. Zobacz całą wypowiedź. ...

Czy duże firmy powinny tworzyć własne media?. „Firmy globalne absolutnie powinny stawiać na rozwój mediów własnych i swoich kanałów […]. Budowanie własnych kanałów komunikacji jest dzisiaj absolutnie niezbędne” – mówi Adam Burak, dyrektor wykonawczy ds. komunikacji korporacyjnej w PKN ORLEN. ...

Zakończyła się druga edycja Business Insider Trends Festival. Zakończyła się druga edycja Business Insider Trends Festival, największej konferencji w Europie Środkowo-Wschodniej o trendach, które będą kształtowały biznes w najbliższych latach. Jest to również największe wydarzenie organizowane pod marką Business Insider, które w tym roku przyciągnęło dwa razy więcej uczestników niż w poprzedniej edycji. ...

Dziennikarze nie łykają wszystkiego jak młody pelikan. „U dziennikarza, który ma jakieś doświadczenie, jest już gdzieś w tyle głowy jakiś taki »instynkt«, który pozwala wyłapać rzeczy, które nie do końca są sprawdzone, nie do końca są wiarygodne, nie do końca odpowiadają rzeczywistości” – mówi Paweł Gadomski, dziennikarz „Wydarzeń” Polsatu. ...

Wideo

A czy ty potrafisz sprzedawać na LinkedInie?. „LinkedIn jest świetnym narzędziem do sprzedaży. Nie zmienia to faktu, że niektórzy nie potrafią z niego korzystać” – mówi Angelika Chimkowska, strateg social sellingu i silnych marek. Zobacz całą wypowiedź. ...

Czy duże firmy powinny tworzyć własne media?. „Firmy globalne absolutnie powinny stawiać na rozwój mediów własnych i swoich kanałów […]. Budowanie własnych kanałów komunikacji jest dzisiaj absolutnie niezbędne” – mówi Adam Burak, dyrektor wykonawczy ds. komunikacji korporacyjnej w PKN ORLEN. ...

Dziennikarze nie łykają wszystkiego jak młody pelikan. „U dziennikarza, który ma jakieś doświadczenie, jest już gdzieś w tyle głowy jakiś taki »instynkt«, który pozwala wyłapać rzeczy, które nie do końca są sprawdzone, nie do końca są wiarygodne, nie do końca odpowiadają rzeczywistości” – mówi Paweł Gadomski, dziennikarz „Wydarzeń” Polsatu. ...

Influencer jest jak żona – też trzeba mu zaufać. Firma współpracująca z influencerem nie powinna narzucać mu stylu komunikacji. „Trzeba zaufać influencerowi. Kontrolować, ale zaufać – żeby jego komunikacja ze społecznością była jak najbardziej naturalna” – mówi Maciej Budzich, autor bloga mediafun.pl. ...