SALESmanago Marketing Automation & RODO

Rozporządzanie o Ochronie Danych Osobowych

RODO lub GDPR to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Finalna wersja RODO dostępna jest tutaj. Prace nad polską ustawą trwają i najprawdopodobniej wejdą w życie w 2018 roku.

Jak SALESmanago przygotowało się do zmian

Zmiany w systemie

Przycisk "Zapomnij mnie"

RODO przyznaje osobom fizycznym, których dane osobowe są przetwarzane, wiele nowych nowych uprawnień. Jednym z ważniejszych jest „prawo do bycia zapomnianym”, czyli trwałego usunięcia danych osobowych przetwarzanych przez daną firmę na podstawie zgody marketingowej. Prawo to dotyczy danych przechowywanych zarówno w formie cyfrowej jak i papierowej i kopii zapasowej. Jeśli dane są przetwarzane na podstawie umowy to konieczne jest jej wcześniejsze rozwiązanie. Z tej okazji SALESmanago dostanie nowy przycisk na karcie kontaktu “zapomnij mnie”. To oznacza, że prawo do bycia zapomnianym będzie egzekwowane jednym kliknięciem bezpośrednio z poziomu karty kontaktu!

Eksport danych

Kolejnym przywilejem, który RODO przyniesie konsumentom będzie prawo do żądania przeniesienia danych np. do innego podmiotu przy zmianie umowy. Dotyczy przetwarzania: na podstawie zgody na podstawie umowy jeżeli przetwarzanie odbywa się w sposób zautomatyzowany.

Prawo żądania przesłania danych przez administratora bezpośrednio innemu administratorowi obowiązuje jednak tylko o tyle, o ile jest to technicznie możliwe np. systemy są kompatybilne.

Nasza platforma odpowiada i na tę potrzebę. W SALESmanago możesz w prosty sposób przekazać wszystkie dane zebrane o kontakcie do systemów zewnętrznych w wygodnej formie – pliku płaskiego lub przez API.

Włączenie/ wyłączenie monitorowania

RODO daje wprost możliwość wyrażenia zgody zarówno na przetwarzanie danych jak i profilowanie za pomocą zmiany ustawień przeglądarki internetowej. Dodatkowo w SALESmanago jest możliwość ręcznego włączenia / wyłączenia monitorowania danego kontaktu. Kontakt może być ponownie monitorowany dopiero wtedy, kiedy wyrazi na to zgodę - poprzez ponowne wypełnienie formularza i zaznaczenie zgód marketingowych.

Monitorowanie anonimowych kontaktów

RODO daje wprost możliwość wyrażenia zgody zarówno na przetwarzanie danych jak i profilowanie za pomocą zmiany ustawień przeglądarki internetowej. Na razie nie ma sztywnych wytycznych jak wyrażona w ten sposób zgoda ma wyglądać. Istotnym jest, by móc wykazać, że użytkownikowi pojawiła się informacja (np. pop-up) o stosowaniu cookies celem obserwacji i zapisywania sposobów zachowania (tzw. profil behawioralny).

Formularze

Wygląd formularzy pozostanie bez zmian. Nie ma konieczności umieszczania na nich dodatkowych zgód. W systemie pojawi się ekran ustawień, gdzie łatwo zdefiniujesz listy zgód, których udzielenie bądź wycofanie będzie monitorowane i rejestrowane.

Określenie źródła pozyskania danych

Platforma będzie ułatwiała realizację nowych obowiązków nałożonych przez RODO, w tym poznania źródła pozyskania danych.

Zmiany prawne

Zmiany w umowach

Przy zawarciu umowy licencyjnej na korzystanie z systemu SALESmanago będzie konieczne jednoczesne podpisanie umowy z klientem na powierzenie danych do przetwarzania przez Benhauer, w której powinny zostać określone m. in.: zakres danych (np. imię i nazwisko, e-mail, nr IP, itp) oraz zakres przetwarzania (zwykle przechowywanie, ale przy obsłudze dedykowanej możliwy jest szerszy zakres).

Dokumenty dla klientów

SALESmanago jako podmiot przetwarzający dane osobowe dysponuje Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym, które mogą być udostępnione klientom Systemu. Ta dokumentacja pozwoli wykazać, w razie kontroli, stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych dla zabezpieczenia danych.

Przechowywanie danych

Zgodnie z zapisami rozporządzenia, transfer danych osobowych do państw spoza EU będzie możliwy wtedy, gdy zapewnią one adekwatny poziom ochrony (decyzja Komisji Europejskiej) oraz po zapewnieniu odpowiednich gwarancji tj. na podstawie klauzul modelowych, wiążących reguł korporacyjnych, zatwierdzonych kodeksów postępowania oraz jeśli zarówno przekazujący, jak i odbierający dane uzyskali „certyfikat europejskiej ochrony danych osobowych”. Mówiąc prościej, dane osobowe a więc i serwery, na których są przechowywane i inna dokumentacja muszą fizycznie znajdować się na terenie UE. Jesteśmy na to gotowi! Zarówno siedziba główna spółki, jak i nasze serwery są zlokalizowane w Polsce, a więc w 100% spełniają ten wymóg!

Często zadawane pytania

  • Co z moją dotychczasową bazą danych?

    Przepisy prawa nie działają wstecz, czyli korzystanie z profili behawioralnych pozyskanych w sposób legalny przed wejściem w życie RODO będzie możliwe. Usunięcie danych będzie konieczne w sytuacji wystąpienia przez zainteresowanego z takim żądaniem.

  • Jak uzyskać ważną i weryfikowalną zgodę?

    Zgoda jest wyrażeniem woli użytkownika i musi być: dobrowolna (np. nie można uzależniać zawarcia umowy od uzyskania danych) świadoma (osoba musi wiedzieć na co się godzi) konkretna i jednoznaczna (wymóg odseparowania od innych zgód) wyraźnym działaniem – oświadczeniem lub potwierdzeniem (nie można uzyskać przez przemilczenie). Praktyczne wskazówki: czytelne, zrozumiałe i proste formularze zgoda może być ustna, także wyrażona za pomocą ustawień przeglądarki, ale trzeba to wykazać w trakcie kontroli.

  • Jakie są najważniejsze zmiany wprowadzone przez RODO?
    • Twoje dane (dane osobowe Twoich klientów) muszą być przechowywane na terenie Unii Europejskiej.
    • Twój klient ma prawo do bycia zapomnianym i musisz mu umożliwić usunięcie wszystkich jego danych.
    • Twój klient ma prawo zażądać przeniesienia swoich danych do innej firmy.
    • Nadal musisz zbierać zgody marketingowe na przetwarzanie danych Twoich klientów.
    • Musisz uwzględnić ochronę danych osobowych już w fazie projektowania rozwiązań informatycznych.
    • Rosną kary za naruszenie przepisów dot. ochrony danych osobowych - za ich złamanie zapłacisz nawet do 20 mln €.
    • Nowa zasada rozliczalności – to ty jako administrator jesteś odpowiedzialny za przestrzeganie ww. zasad i musi być w stanie wykazać ich przestrzeganie.
    • Jesteś zobowiązany prowadzić inwentaryzację danych i obowiązują Cię wymagania związane z dokumentacją.
    • Masz obowiązek zgłaszania naruszeń.
  • Co muszę zrobić, żeby działać zgodnie z prawem?

    Niezbędne będzie opracowanie następujących dokumentów:


    • polityka bezpieczeństwa,
    • instrukcja zarządzania systemem informatycznym,
    • procedura zarządzania użytkownikami i dostępem (ewidencja osób upoważnionych),
    • rejestr operacji przetwarzania danych osobowych,
    • polityka monitorowania i reagowania na naruszenia ochrony danych,
    • rejestr incydentów,
    • polityka zarządzania kopiami zapasowymi,
    • opisać stosowane standardy zabezpieczeń.

    Należy też zwrócić uwagę, czy dane osobowe są przetwarzane na podstawie zgody osoby, której dotyczą oraz zwrócić uwagę na specyfikę prowadzonej działalności.

  • Jak wygląda kontrola? Jakie dokumenty muszę przygotować?

    Podczas kontroli na podstawie przepisów RODO należy wykazać zgodność przetwarzania danych z przepisami, a w szczególności wykazać, że: dane zostały pozyskane na podstawie zgód osób lub przepisów prawa, osoby przetwarzające dane mają do tego pisemne upoważnienie (nadaje je administrator danych), czy jest prowadzony rejestr incydentów (przypadki utraty lub zniszczenia lub bezprawnego ujawnienia danych), czy incydenty są zgłaszane do organu nadzoru w przewidzianym 72 h terminie (organem nadzoru jest krajowy GIODO). Przed kontrolą przychodzi pisemna informacja o zamiarze jej przeprowadzenia, a sama kontrola polega na wizycie kontrolerów z GIODO, którzy sprawdzają dokumentację i sposób postępowania z danymi osobowymi (w tym stosowany poziom zabezpieczeń).


    SALESmanago jako podmiot przetwarzający dane wdraża procedury zgodne z RODO, w tym między innymi: procedurę zarządzania użytkownikami i dostępem (ewidencja osób upoważnionych), rejestr operacji przetwarzania danych osobowych, politykę monitorowania i reagowania na naruszenia ochrony danych, rejestr incydentów, politykę zarządzania kopiami zapasowymi, stosowane standardy zabezpieczeń. System będzie umożliwiać wykonywanie nowych obowiązków, takich jak realizacja prawa użytkownika do zapomnienia czy szyfrowanie przesyłanych przez klientów danych osobowych.

    • Wyrażając zgodę na działania i przekazując nam dane, uprawniasz Benhauer z o.o., operatora SALESmanago do przetwarzania ich. Zobowiązujemy się wówczas do ochrony i poszanowania twojej prywatności, aby dowiedzieć się więcej, zapoznaj się z naszą Polityką
    Prywatności     oraz Regulaminem