RODO i Partnerzy

Co partnerzy powinni wiedzieć o zgodności z RODO w odniesieniu dla naszych rozwiązań marketingowych Channel Marketing Solution.

Jakie są moje obowiązki w zakresie prywatności danych podczas uczestnictwa w programie Extu?

Istnieją cztery kluczowe obowiązki partnerów, którzy korzystają z usług Extu w celu wysyłania materiałów marketingowych do swoich subskrybentów:

  1. Ustal podstawę prawną przetwarzania danych osobowych na Listach Subskrybentów.
    Oznacza to, że:
    • uzyskałeś(-aś) wyraźną zgodę od indywidualnego odbiorcy z listy subskrybentów na otrzymywanie materiałów marketingowych od Ciebie w drodze jasnego, dobrowolnego, w pełni świadomego i potwierdzonego działania
    • opierasz się na uzasadnionych interesach jako podstawie prawnej do korzystania z adresu e-mail na Twojej liście subskrybentów w celu wysyłania materiałów marketingowych po przeprowadzeniu udokumentowanej oceny uzasadnionych interesów (tj. odbiorca ma uzasadnione oczekiwanie, że może otrzymywać materiały marketingowe ze względu na istniejące relacje biznesowe, a wpływ na prywatność został oceniony jako niski). Więcej informacji znajdziesz na stronie Jak upewnić się, że moja lista subskrybentów jest zgodna z RODO?
  2. Informacja o polityce prywatności musi zawierać pełne informacje na temat przetwarzania danych osobowych.
    Twoja informacja o ochronie prywatności jako administratora danych powinna być zgodna z wymogami uczciwości i przejrzystości wynikającymi z RODO i wskazywać:
    • podstawę prawną, na której opiera się gromadzenie i przetwarzanie danych osobowych, w tym przetwarzanie adresów e-mail do celów marketingu bezpośredniego. W większości przypadków podstawą prawną będzie zgoda lub uzasadniony interes. Możesz również oprzeć się na innych podstawach, np. wykonanie umowy lub obowiązek prawny w przypadku przetwarzania danych osobowych w ramach prowadzonej działalności (np. dane kontaktowe w celu dostarczania produktów lub usług konkretnemu klientowi).
    • jakie dane osobowe udostępniasz Extu (powinno to obejmować powiadomienie, że adresy e-mail klientów i kopie faktur/pokwitowań będą udostępniane w celu zarządzania kampaniami i ich zatwierdzania).
    • komu udostępniasz dane osobowe oraz listę zewnętrznych podmiotów przetwarzających dane, w tym Extu.
  3. Stosuj właściwe środki techniczne i organizacyjne Twoje systemy powinny być bezpieczne – obejmuje to posiadanie odpowiednich zabezpieczeń informatycznych i zapewnienie cyberbezpieczeństwa, a także posiadanie odpowiednich wewnętrznych środków kontroli dostępu, polityk i wytycznych dotyczących gromadzenia, wykorzystywania, udostępniania i przetwarzania danych osobowych.
  4. Współpracuj z Extu w zakresie ochrony prywatności. Musimy współpracować, aby upewnić się, że przestrzegamy odpowiednich standardów prywatności i dokładamy wszelkich starań, aby chronić dane osobowe, które zbieramy i przetwarzamy w trakcie wysyłania materiałów marketingowych. Musimy pomagać sobie nawzajem w odpowiadaniu na wszelkie pytania, skargi lub wnioski dotyczące prywatności, reagowaniu na potencjalne naruszenie danych oraz przeprowadzaniu dochodzeń lub ocen dotyczących prywatności. Jesteśmy tutaj, aby Cię wspierać. Musisz nas niezwłocznie powiadomić:
    • w przypadku potencjalnego lub faktycznego naruszenia danych
    • w przypadku otrzymania wniosku o dostęp do danych osoby, której one dotyczą
    • w przypadku otrzymania skarg lub roszczeń od subskrybenta lub organu regulacyjnego dotyczących prywatności lub danych osobowych
    • w przypadku jakichkolwiek pytań lub wątpliwości dotyczących prywatności.

Jak upewnić się, że moja lista subskrybentów jest zgodna z RODO?

Partnerzy powinni przeprowadzić audyt swojej listy subskrybentów i przetestować ją pod kątem zgodności z RODO przy pierwszym przystąpieniu do programu, a następnie czynić to w sposób regularny. Nawet jeśli nie podlegasz pod RODO, regulamin Extu wymaga, abyś miał podstawę prawną do przetwarzania list subskrybentów i świadczenia usług marketingowych przez Extu.

Audyt Twojej listy klientów obejmuje ocenę zebranych adresów e-mail i innych informacji oraz sprawdzenie, czy istnieje zgodna z prawem podstawa do takiego przetwarzania. Jeśli nie masz zgodnej z prawem podstawy do gromadzenia danych, adres e-mail nie powinien znajdować się na Twojej liście subskrybentów.

Choć zgodnie z RODO istnieje sześć zgodnych z prawem podstaw przetwarzania danych, najbardziej prawdopodobne jest, że do gromadzenia i wykorzystywania adresu e-mail do celów marketingu bezpośredniego będą miały zastosowanie następujące podstawy:

  • zgoda; lub
  • uzasadniony interes.

Twoim obowiązkiem jest przeanalizowanie działań związanych z przetwarzaniem danych i wybranie właściwej podstawy. Jeśli nie masz pewności, która z podstaw prawnych wymienionych w RODO ma zastosowanie do Ciebie, skonsultuj się ze swoimi doradcami prawnymi, aby upewnić się, że czynności związane z przetwarzaniem są właściwie uzasadnione. Należy pamiętać, że RODO ustanawia zasadę „odpowiedzialności”, co oznacza, że musisz być w stanie wykazać zgodność. Kluczowe znaczenie dla poparcia tych uzasadnień ma więc staranne prowadzenie dokumentacji.

Biuro Komisarza ds. Informacji (Information Commissioner’s Office) posiada również dalsze informacje na temat podstawy prawnej, wraz z interaktywnym narzędziem z dotyczącym podstawy prawnej, które pomagają określić, jaka podstawa prawna ma zastosowanie.

Zgoda

Zgoda oznacza, że dana osoba fizyczna dobrowolnie wyraziła wyraźną zgodę na przetwarzanie jej danych osobowych w określonym celu.

Podczas przeglądu listy subskrybentów musisz sprawdzić, czy wyrażono wyraźną zgodę i czy jest ona nadal ważna. Ważna zgoda wynikająca z RODO to taka, która:

  • została udzielona dobrowolnie; oznacza to zapewnienie odbiorcom stałego wyboru i kontroli nad sposobem wykorzystywania ich danych.
  • zawiera oczywiste postanowienia i wymaga działania w celu jej wyrażenia. Prośby o wyrażenie zgody muszą być dobrze widoczne, oddzielone od innych warunków, zwięzłe i łatwe do zrozumienia, przyjazne dla użytkownika i na zasadzie oferowania opcji umożliwiającej wybranie opcji „wyrażam zgodę”, a nie w formie już zaznaczonego domyślnie pola lub konieczności rezygnacji z niej.
  • szczegółowo określa nazwę administratora, cele przetwarzania i rodzaje przetwarzania.

Upewnij się, że prowadzisz dokumentację potwierdzającą wyrażenie zgody – kto wyraził zgodę, kiedy, w jaki sposób i o czym go poinformowano.

Przykłady wyraźnej zgody są następujące:

  • opcja „wyrażam zgodę” za pośrednictwem formularza internetowego, pod warunkiem, że opcjata nie jest domyślnie zaznaczona.
  • wypełniony formularz „offline”, który wyraźnie wskazuje, że dana osoba może zostać dodana do listy subskrybentów marketingu e-mailowego i wyraźnie wyraziła chęć otrzymywania takich wiadomości e-mail.
  • Przekazanie Użytkownikowi swojej wizytówki; pod warunkiem, że 1) wyraźnie wskazałeś(-aś), że swoją przekazując jej swoją wizytówkę, dana osoba wyraża zgodę na dodanie jej do listy subskrybentów marketingu e-mailowego; lub 2) dana osoba dodała swoją wizytówkę do pojemnika lub stosu, który wyraźnie wskazywał, że dodając ją, wyraża zgodę na dodanie tej osoby do listy subskrybentów marketingu e-mailowego. W obu przypadkach należy w przejrzysty sposób poinformować o podstawie przetwarzania danych za pośrednictwem informacji o ochronie prywatności.
  • Udzielenie Użytkownikowi innej wyraźnej pisemnej zgody przez daną osobę na dodanie jej do listy subskrybentów marketingu e-mailowego przed skontaktowaniem się z nią za pośrednictwem poczty elektronicznej.

Dalsze informacje na temat zgóddostępne są na stronie internetowej Biura Komisarza ds. Informacji (Information Commissioner’s Office):ICO: Zgoda i Przewodnik dotyczący zgód

Uzasadniony interes

Mogą wystąpić przypadki, w których będzie można powołać się na uzasadniony interes subskrybentów, i ustanowić „miękką zgodę”.

Na uzasadniony interes można się powoływać, jeśli marketing, który ma być prowadzony, leży w uzasadnionym interesie Twojej firmy lub strony trzeciej, co może obejmować dostawców oprogramowania, gdzie istnieją uzasadnione podstawy, że dana osoba oczekuje przetwarzania i prawdopodobnie będzie to miało minimalny wpływ na prywatność. Komisja Europejska potwierdziła, że przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za prowadzone w uzasadnionym interesie, pod warunkiem spełnienia wszystkich niezbędnych kryteriów.

Aby powołać się na uzasadniony interes jako podstawę zgodnego z prawem przetwarzania danych, należy prowadzić rejestr oceny uzasadnionego interesu. Na stronie internetowej Biura Komisarza ds. Informacji znajduje się przykładowy szablon oceny uzasadnionego interesu, który można wykorzystać jako punkt odniesienia.

Po ustaleniu i zarejestrowaniu uzasadnienia prawnie uzasadnionego interesu jako podstawy zgodnego z prawem przetwarzania, możesz przejrzeć listę subskrybentów, aby ustalić, czy którykolwiek z adresów e-mail spełnia kryteria „miękkiej zgody”.

„Miękka zgoda” dotyczy wyłącznie istniejących klientów (a nie potencjalnych klientów). Aby kwalifikować się do uwzględnienia w ramach „miękkiej zgody”, adres e-mail musi zostać uzyskany w trakcie sprzedaży produktu lub usługi tej osobie.

Nie ma prawnych ograniczeń czasowych dotyczących „miękkiej zgody”, ale okres dokonania zakupu od sześciu do 24 miesięcy od daty przeglądu można uznać za rozsądne ramy czasowe. Pamiętaj, że musi istnieć uzasadnione oczekiwanie, że subskrybent wyrazi zgodę na otrzymywanie marketingowych wiadomości e-mail.

Więcej informacji na temat uzasadnionego interesu można znaleźć na stronie internetowej Biura Komisarza ds. Informacji: ICO: Uzasadniony interes i Przewodnik dotyczący uzasadnionego interesu.

Najczęściej zadawane pytania

Możliwe, że tak. RODO może mieć zastosowanie, jeśli:

  • Twoja firma ma siedzibę w UE
  • Oferujesz towary lub usługi osobom w UE lub monitorujesz zachowania osób w UE
  • przetwarzasz dane osobowe osób w UE.

Nawet jeśli RODO nie ma zastosowania do Twojej firmy, nadal masz obowiązek przestrzegania lokalnych przepisów o ochronie prywatności i uzyskania niezbędnych zgód od subskrybentów w odniesieniu do gromadzonych danych osobowych.

Jesteś również zobowiązany na mocy Ogólnych warunków świadczenia usług Extu do przestrzegania określonych wymogów dotyczących prywatności danych (patrz: Jakie są moje obowiązki dotyczące ochrony prywatności, jeśli biorę udział w programie Extu?)

Dodatkowe informacje lub zasoby dotyczące lokalnych obowiązków w zakresie ochrony prywatności:

Nie będziemy współpracować z partnerami korzystających z zakupionej listy, jeśli nie mogą zagwarantować 100% pewności, że zakupiona lista składa się wyłącznie z osób, które wyraziły zgodę zgodnie z RODO. Partnerzy nigdy nie powinni korzystać z adresów e-mail skopiowanych lub pobranych z Internetu lub grup dyskusyjnych; z zakupionych, wypożyczonych lub wynajętych list; lub innych adresów e-mail, które zostały uzyskane bez a) wyraźnej zgody odbiorcy wiadomości e-mail lub b) innej zgodnej z prawem podstawy gromadzenia takiej jak uzasadniony interes.

Korzystanie z list stron trzecich, które nie spełniają wymogów RODO dotyczących podstawy prawnej gromadzenia danych lub wymogów dotyczących zgody wynikających z lokalnych przepisów o ochronie prywatności, stanowi naruszenie warunków Extu.

RODO to pozytywny krok naprzód w zakresie ochrony danych. Nie chodzi w nim o uniemożliwienie firmom realizacji ich interesów handlowych. Extu bardzo się stara, aby upewnić się, że wspieramy naszych partnerów w zakresie zgodności z RODO (patrz RODO i Extu), a jako administrator i podmiot przetwarzający dane Twoje i Twoich subskrybentów, chcemy Ci w tym pomóc. Mimo że dokładamy wszelkich starań, aby nasze usługi były dostarczane zgodnie z RODO, to Ty jesteś właścicielem swojej listy subskrybentów i masz nad nią kontrolę. Oznacza to, że jako administrator danych musisz zapewnić, że:

  • listy subskrybentów obejmują osoby, w odniesieniu do których istnieje zgodna z prawem podstawa gromadzenia danych
  • odpowiednie komunikaty są zawarte w oświadczeniu o ochronie prywatności
  • wiesz, co zrobić, jeśli otrzymasz wniosek lub skargę dotyczącą ochrony prywatności
  • wdrożyłeś(-aś) odpowiednie środki techniczne i organizacyjne.

Aby uzyskać więcej informacji, zapoznaj się z informacją o zobowiązaniach partnerów.

Administrator to podmiot, który określa cele, warunki i sposoby przetwarzania danych osobowych, natomiast podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu administratora. Partnerzy są administratorami danych osobowych swoich klientów (w tym list subskrybentów). Biorąc pod uwagę charakter usług marketingu cyfrowego świadczonych przez wielu dostawców bezpośrednio przez Extu, jesteśmy również uważani za administratora danych na mocy RODO.

W przypadku, gdy skarga lub wniosek dotyczy danych osobowych, których Extu jest administratorem, należy niezwłocznie powiadomić Extu, wysyłając wiadomość e-mail do naszego inspektora ds. prywatności na adres privacy@extu.com. Będziesz musiał(a) osobno przeanalizować swoje inne obowiązki w związku z taką skargą lub wnioskiem i rozważyć zasięgnięcie porady prawnej co do kroków, jakie należy podjąć.

Nie. Lista subskrybentów należy do Ciebie, a my nie udostępnimy jej sponsorom bez Twojej wyraźnej zgody. W celu dostarczenia naszych usług Twoim subskrybentom otrzymamy licencję na dostęp i wykorzystanie Twojej listy.

Dane statystyczne, behawioralne i dotyczące wydajności w formie łącznej i pozbawionej elementów umożliwiających identyfikację. Możemy również udostępniać szczegóły sprzedaży i transakcji, które przekażesz nam w formie paragonów/faktur, w celu potwierdzenia skuteczności kampanii marketingowych. Zanim udostępnimy sponsorom jakiekolwiek dane potencjalnych klientów, poprosimy Cię o zgodę. Więcej informacji można znaleźć w naszych Warunkach świadczenia usług i Informacji dotyczącej ochrony prywatności.

Możemy udostępniać dane osobowe (w tym Twoją listę subskrybentów) stronom trzecim, ale wyłącznie w celu świadczenia lub optymalizacji usług, co określono bardziej szczegółowo Informacji dotyczącej ochrony prywatności na naszej stronie internetowej. Pełną listę zewnętrznych dostawców usług lub podmiotów przetwarzających dane Extu można znaleźć tutaj.

Zastrzeżenie: niniejszy dokument stanowi ogólny przewodnik po niektórych wymaganiach RODO. Nie stanowi on porady prawnej ani oświadczenia o krokach, które należy podjąć w celu zapewnienia własnej zgodności. Przyjmujesz do wiadomości, że nie będziesz polegać na informacjach zawartych w niniejszym dokumencie w celu zapewnienia własnej zgodności. W celu uzyskania pełnych informacji doradczych prosimy o zapoznanie się ze stroną internetową Brytyjskiego Biura Komisarza ds. Informacji (UK Information Commissioner’s Office) –Przewodnik po RODO. W przypadku dodatkowych pytań zachęcamy do zasięgnięcia porady specjalisty w zakresie prawa lub ochrony prywatności.

Należy pamiętać, że zgodnie z umową o świadczenie usług zawartą z Extu, ponosisz pełną odpowiedzialność za dostarczenie i poświadczenie zgodności z prawem adresów e-mail swoich klientów