RODO i Partnerzy
Jakie są nasze obowiązki w zakresie ochrony prywatności danych podczas uczestnictwa w programie Extu?
Korzystając z usług Extu do wysyłania materiałów marketingowych do subskrybentów, partnerzy muszą spełnić cztery kluczowe obowiązki:
- Ustalenie podstawy prawnej przetwarzania danych osobowych znajdujących się na listach subskrybentów.
Oznacza to, że:- uzyskali Państwo od poszczególnych odbiorców na liście subskrybentów jednoznaczną zgodę (mającą formę wyraźnego, dobrowolnego, w pełni świadomego potwierdzenia) na otrzymywanie od Państwa materiałów marketingowych;
- opierają się Państwo na prawnie uzasadnionych interesach jako podstawie prawnej wykorzystania adresu e-mail znajdującego na liście subskrybentów do wysyłania materiałów marketingowych, co następuje po przeprowadzeniu udokumentowanej oceny prawnie uzasadnionych interesów (tzn. istnieje uzasadnione oczekiwanie odbiorcy, że może on otrzymywać materiały marketingowe ze względu na istniejące relacje biznesowe, a wpływ na prywatność został oceniony jako niski).
- Zawarcie w Informacji o polityce prywatności wszystkich informacji o przetwarzaniu danych osobowych.
Jako administrator listy subskrybentów mają Państwo obowiązek zapewnić, że Państwa informacja o polityce prywatności jest zgodna z wymogami uczciwości i przejrzystości wynikającymi z RODO oraz że zawiera informacje:- o podstawie prawnej, na której opiera się gromadzenie i przetwarzanie danych osobowych, w tym przetwarzanie adresów e-mail dla celów marketingu bezpośredniego. W większości przypadków podstawą prawną będzie zgoda lub prawnie uzasadnione interesy. Można również powołać się na inne podstawy, takie jak wykonanie umowy lub obowiązek prawny, w przypadku gdy dane osobowe są przetwarzane w ramach wykonywania działalności gospodarczej (np. informacje kontaktowe w celu dostarczenia produktów lub usług danemu klientowi);
- o tym, jakie dane osobowe udostępniają Państwo Extu (należy uwzględnić informację, że adresy e-mail klientów oraz kopie faktur/pokwitowań będą udostępniane w celu zarządzania kampaniami i ich zatwierdzania);
- o tym, komu udostępniają Państwo dane osobowe oraz listę podmiotów przetwarzających dane, w tym Extu.
- Wdrożenie odpowiednich środków technicznych i organizacyjnych Państwa systemy powinny być bezpieczne — obejmuje to wdrożenie odpowiednich zabezpieczeń informatycznych i cybernetycznych, dobrych wewnętrznych środków kontroli oraz zasad i wytycznych dotyczących gromadzenia, wykorzystywania, udostępniania i przetwarzania danych osobowych.
- Partnerstwo z Extu w zakresie ochrony prywatności. Aby zapewnić przestrzeganie odpowiednich standardów ochrony prywatności i dołożyć wszelkich starań, aby chronić dane osobowe, które zbieramy i przetwarzamy w trakcie wysyłania materiałów marketingowych, musimy ze sobą współpracować. Powinniśmy pomagać sobie nawzajem w rozpatrywaniu wszelkich pytań, skarg i żądań dotyczących prywatności, reagowaniu na przypadki potencjalnego naruszenia danych oraz prowadzeniu dochodzeń lub ocen dotyczących prywatności. Jesteśmy tu po to, aby Państwa wspierać, dlatego należy nas niezwłocznie powiadomić:
- w przypadku potencjalnego lub rzeczywistego naruszenia danych,
- w przypadku otrzymania od osoby, której dane dotyczą, żądania dostępu do danych,
- w przypadku otrzymania jakichkolwiek skarg lub roszczeń od subskrybenta lub organu regulacyjnego dotyczących prywatności lub danych osobowych,
- w przypadku jakichkolwiek ogólnych pytań lub wątpliwości z Państwa strony dotyczących prywatności.
Jak możemy zapewnić zgodność swojej listy subskrybentów z przepisami RODO?
Partnerzy powinni przeprowadzić audyt swoich list subskrybentów i sprawdzić ich zgodność z przepisami RODO, dołączając po raz pierwszy do programu, a następnie regularnie go powtarzać. Nawet jeśli nie obowiązują Państwa przepisy RODO, regulamin Extu wymaga, aby mieli Państwo podstawę prawną do przetwarzania list subskrybentów i na potrzeby świadczenia przez Extu usług marketingowych.
Audyt listy klientów oznacza ocenę zebranych przez Państwa adresów e-mail i innych informacji oraz sprawdzenie, czy mają Państwo podstawę prawną do ich przetwarzania. Jeśli nie mają Państwo podstawy prawnej do zbierania danych, to adres e-mail nie powinien się znaleźć na Państwa liście subskrybentów.
Podczas gdy zgodnie z rozporządzeniem RODO wyróżnia się sześć podstaw prawnych przetwarzania danych, podstawy, które najprawdopodobniej będą miały zastosowanie w przypadku gromadzenia i wykorzystywania adresu e-mail do celów marketingu bezpośredniego, to:
- zgoda; lub
- prawnie uzasadniony interes.
Analiza czynności związanych z przetwarzaniem danych i wybór właściwej podstawy stanowi Państwa obowiązek. Jeśli nie są Państwo pewni, które z podstaw prawnych wymienionych w RODO mają do Państwa zastosowanie, prosimy o skonsultowanie się z doradcami prawnymi, aby upewnić się, że działania związane z przetwarzaniem danych są odpowiednio uzasadnione. Należy pamiętać, że RODO wprowadza zasadę „rozliczalności”, co oznacza, że należy być w stanie wykazać zgodność z przepisami, a zatem sumienne prowadzenie dokumentacji ma kluczowe znaczenie dla poparcia uzasadnienia podstaw.
Dalsze informacje na temat podstaw prawnych można uzyskać w Biurze Komisarza ds. Informacji, które udostępnia także interaktywne narzędzie informacyjne dotyczące podstaw prawnych pomagające określić, która podstawa ma zastosowanie w danym przypadku.
Zgoda
Zgoda oznacza, że dana osoba dobrowolnie wyraziła jednoznaczną, wyraźną zgodę na przetwarzanie jej danych osobowych w określonym celu.
Podczas przeglądu listy subskrybentów należy rozważyć, czy wyrażono wyraźną zgodę i czy jest ona nadal ważna. Ważna zgoda na podstawie rozporządzenia RODO:
- musi być udzielona dobrowolnie; oznacza to umożliwienie danej osobie dokonywania na bieżąco rzeczywistego wyboru i kontrolowania tego, jak wykorzystywane są jej dane;
- powinna być oczywista i wymagać podjęcia działania w celu wyrażenia przyzwolenia. Prośby o zgodę muszą być widoczne, oddzielone od innych warunków, zwięzłe i łatwe do zrozumienia, przyjazne dla użytkownika i działające na zasadzie aktywnego wyrażenia zgody, a nie wstępnie zaznaczonego pola lub konieczności rezygnacji;
- musi szczegółowo wskazywać nazwę administratora, cele przetwarzania i rodzaje czynności przetwarzania.
Należy prowadzić dokumentację potwierdzającą uzyskanie zgody — kto wyraził zgodę, kiedy, w jaki sposób i o czym został poinformowany.
Przykłady wyraźnej zgody obejmują:
- wyrażenie zgody poprzez formularz internetowy lub online, pod warunkiem, że pole zgody nie jest domyślnie zaznaczone;
- wypełnienie formularza offline, który wyraźnie wskazuje, że dana osoba może zostać dodana do listy subskrybentów e-mail marketingu i wyraźnie wyraziła chęć otrzymywania takich wiadomości e-mail;
- przekazanie wizytówki; pod warunkiem, że 1) wyraźnie zaznaczyli Państwo, że przekazując wizytówkę dana osoba wyraża zgodę na dodanie jej do Państwa listy subskrybentów e-mail marketingu; lub 2) osoba ta załączyła wizytówkę do pojemnika lub stosu, który wyraźnie wskazuje, że załączając taką wizytówkę wyraża ona zgodę na dodanie jej do Państwa listy subskrybentów e-mail marketingu. W każdym przypadku należy w sposób przejrzysty poinformować o podstawie przetwarzania danych poprzez przekazanie informacji o polityce prywatności;
- przekazanie Państwu innej wyraźnej pisemnej zgody na dodanie do listy subskrybentów e-mail marketingu przed nawiązaniem przez Państwa kontaktu z tą osobą za pośrednictwem poczty elektronicznej.
Więcej informacji na temat zgody można znaleźć na stronie internetowej Biura Komisarza ds. Informacji: ICO: Zgoda oraz Wytyczne dotyczące zgody
Prawnie uzasadniony interes
Mogą wystąpić przypadki, w których podstawą może być Państwa prawnie uzasadniony interes w odniesieniu do subskrybentów i można ustanowić zgodę w tzw. systemie „soft opt-in”.
Na prawnie uzasadniony interes można się powołać, jeśli marketing, który ma być prowadzony, będzie realizowany w prawnie uzasadnionym interesie Państwa firmy lub strony trzeciej, np. sprzedawców oprogramowania, jeśli istnieją uzasadnione powody, dla których dana osoba może oczekiwać przetwarzania jej danych, a wpływ na prywatność będzie prawdopodobnie minimalny. Komisja Unii Europejskiej potwierdziła, że przetwarzanie danych osobowych do celów marketingu bezpośredniego może być uznane za realizowane z uwagi na prawnie uzasadniony interes, o ile spełnione zostaną wszystkie niezbędne przesłanki.
Aby powołać się na prawnie uzasadniony interes jako podstawę zgodnego z prawem przetwarzania, należy sporządzić i przechowywać dokumentację oceny prawnie uzasadnionego interesu. Na stronie internetowej Biura Komisarza ds. Informacji znajduje się przykładowy szablon oceny prawnie uzasadnionych interesów, który można wykorzystać jako wytyczne.
Po ustaleniu i udokumentowaniu prawnie uzasadnionego interesu jako podstawy zgodnego z prawem przetwarzania, można dokonać przeglądu listy subskrybentów w celu ustalenia, czy którykolwiek z adresów e-mail spełnia kryteria „soft opt-in”.
Zgoda „soft opt-in” dotyczy wyłącznie istniejących klientów (nie potencjalnych klientów). Aby kwalifikować się do włączenia w ramach systemu „soft opt-in”, adres e-mail musi zostać uzyskany w trakcie sprzedaży produktu lub usługi na rzecz danej osoby.
Nie ma żadnych obowiązujących ograniczeń czasowych dotyczących zgody typu „soft opt-in”, ale zgodnie z wytycznymi, za rozsądne ramy czasowe mogą być uznane zakupy dokonane w ciągu sześciu do 24 miesięcy od daty przeglądu. Należy pamiętać, że musi istnieć uzasadnione oczekiwanie, że subskrybent wyraża zgodę na otrzymywanie e-maili marketingowych.
Więcej informacji na temat prawnie uzasadnionego interesu można znaleźć na stronie internetowej Biura Komisarza ds. Informacji: ICO: Prawnie uzasadnione interesy i Wytyczne dotyczące prawnie uzasadnionych interesów.
Szybkie odpowiedzi na często zadawane pytania
Nasza firma nie znajduje się na terenie Unii Europejskiej. Czy rozporządzenie RODO mimo to nas obowiązuje?
Potencjalnie. Rozporządzenie RODO ma zastosowanie, jeśli:
- Państwa firma ma siedzibę w Unii Europejskiej;
- oferują Państwo towary lub usługi osobom w Unii Europejskiej lub monitorują zachowanie osób w Unii Europejskiej;
- przetwarzają Państwo dane osobowe osób przebywających w Unii Europejskiej.
Nawet jeśli rozporządzenie RODO nie ma zastosowania do Państwa firmy, nadal mają Państwo obowiązek przestrzegać lokalnych przepisów dotyczących prywatności i uzyskać niezbędne zgody subskrybentów w odniesieniu do gromadzonych przez Państwa danych osobowych.
Na podstawie Ogólnych warunków świadczenia usług Extu mają Państwo również obowiązek przestrzegania określonych wymogów dotyczących prywatności danych (patrz: Jakie są moje obowiązki dotyczące prywatności danych podczas uczestnictwa w programie Extu?)
Dodatkowe informacje lub zasoby dotyczące lokalnych obowiązków w zakresie ochrony prywatności:
- Zasoby dotyczące ochrony prywatności w Australii: ACMA i OAIC oraz Wytyczne OAIC dotyczące RODO
- Zasoby dotyczące ochrony prywatności w USA: CAN-SPAM oraz CCPA
- Zasoby dotyczące ochrony prywatności w Kanadzie: CASL oraz PIPEDA
Czy można korzystać z list należących do osób trzecich lub zakupionych?
Wspieramy partnerów korzystających z zakupionych list wyłącznie, jeśli mogą w 100% zagwarantować, że zakupiona lista składa się wyłącznie z osób, które wyraziły zgodę zgodnie z przepisami RODO. Partnerzy nie powinni nigdy używać adresów e-mail, które są skopiowane lub pozyskane z Internetu lub grup dyskusyjnych; z zakupionych, pożyczonych lub wynajętych list; lub innych adresów e-mail, które zostały uzyskane bez (a) wyraźnej decyzji i zgody odbiorcy wiadomości e-mail lub (b) innej zgodnej z prawem podstawy do gromadzenia danych, takiej jak prawnie uzasadniony interes.
Korzystanie z list pozyskanych od osób trzecich, które nie spełniają wymogów RODO dotyczących podstawy prawnej gromadzenia danych lub wymogów dotyczących zgody zawartych w lokalnych przepisach o ochronie prywatności, stanowi naruszenie regulaminu Extu.
Chcę dołączyć do programu, ale martwi mnie kwestia rozporządzenia RODO.
Rozporządzenie RODO to dobry krok naprzód w zakresie ochrony danych. Jego celem nie jest uniemożliwienie przedsiębiorstwom realizacji ich interesów handlowych. Extu dokłada wszelkich starań, aby zapewnić wsparcie naszym partnerom w zakresie zgodności z RODO (patrz: RODO i Extu), a jako administrator i podmiot przetwarzający dane Państwa oraz Państwa subskrybentów, jesteśmy tutaj, aby pomagać. Podczas gdy staramy się zapewnić świadczenie usług zgodnie z przepisami RODO, to Państwo są właścicielami swojej listy subskrybentów i nią zarządzają. Oznacza to, że jako administrator danych muszą Państwo zapewnić, że:
- Państwa listy subskrybentów zawierają dane osób, w stosunku do których istnieje podstawa prawna do gromadzenia ich danych;
- Państwa informacja o polityce prywatności zawiera obowiązkowe informacje;
- wiedzą Państwo, co zrobić w przypadku otrzymania żądania lub skargi dotyczącej ochrony prywatności;
- stosują Państwo odpowiednie środki techniczne i organizacyjne.
Więcej szczegółów można znaleźć w punkcieObowiązki partnerów.
Jaka jest różnica między administratorem danych a podmiotem przetwarzającym dane i który z nich ma zastosowanie w moim przypadku?
Administrator danych to strona, która określa cele, warunki i sposoby przetwarzania danych osobowych, natomiast podmiot przetwarzający to strona, która przetwarza dane osobowe w imieniu administratora. Partnerzy są administratorami danych osobowych swoich klientów (w tym swojej listy subskrybentów). Biorąc pod uwagę charakter usług w zakresie marketingu cyfrowego świadczonych na rzecz wielu dostawców bezpośrednio przez Extu, zgodnie z przepisami RODO również jesteśmy uważani za administratora danych.
Co zrobić, jeśli otrzymam skargę lub żądanie dotyczące prywatności?
Jeśli skarga lub żądanie dotyczy danych osobowych, których OneAffiniti jest administratorem, należy niezwłocznie powiadomić Extu, wysyłając wiadomość e-mail do naszego pracownika ds. ochrony prywatności na adres privacy@extu.com. Osobno należy rozważyć swoje inne zobowiązania w związku z taką skargą lub żądaniem oraz potrzebę zasięgnięcia porady prawnej co do kroków, jakie należy podjąć.
Czy udostępniacie moją listę subskrybentów sponsorom?
Nie. To Państwo są właścicielami swojej listy i nie będziemy jej udostępniać sponsorom bez Państwa wyraźnej zgody. W celu świadczenia naszych usług na rzecz Państwa subskrybentów, otrzymamy licencję na dostęp do Państwa listy i korzystanie z niej.
Jakie informacje udostępniacie sponsorom?
Dane statystyczne, behawioralne i dotyczące wydajności w formie zagregowanej i pozbawionej możliwości identyfikacji. Możemy również udostępniać szczegóły dotyczące sprzedaży i transakcji, które przekazują nam Państwo pod postacią paragonów/faktur, w celu potwierdzenia skuteczności kampanii marketingowych. Zanim udostępnimy sponsorom jakiekolwiek dane dotyczące leadów, poprosimy o Państwa zgodę. Więcej informacji można znaleźć w naszych warunkach świadczenia usług oraz w informacji o polityce prywatności.
Jakie informacje udostępniacie osobom trzecim?
Możemy udostępniać dane osobowe (w tym Państwa listę subskrybentów) osobom trzecim tylko w celu świadczenia lub optymalizacji usług, jak określono bardziej szczegółowo w informacji o polityce prywatności na naszej stronie internetowej. Pełna lista zewnętrznych dostawców usług lub podmiotów przetwarzających dane na rzecz Extu znajduje się tutaj.
Zastrzeżenie: Jest to ogólny przewodnik po niektórych wymogach rozporządzenia RODO. Przewodnik ten nie zawiera porad prawnych ani nie określa działań, które należy podjąć, aby zapewnić zgodność z przepisami, i zgadzają się Państwo nie polegać na informacjach w nim zawartych w celu zapewnienia zgodności z przepisami swojej firmy. W celu uzyskania pełnych informacji należy zapoznać się ze stroną internetową brytyjskiego Biura Komisarza ds. Informacji — Przewodnik po rozporządzeniu RODO. W przypadku dodatkowych pytań zachęcamy do skorzystania z porady specjalisty w dziedzinie prawa lub prywatności.
Należy pamiętać, że zgodnie z umową o świadczenie usług z Extu ponoszą Państwo całkowitą odpowiedzialność za podanie i potwierdzenie zgodności z prawem adresów e-mail swoich klientów.