Polityka prywatności

Zgodność z RODO

Prowadzimy różnego rodzaju działalności związane ze wsparciem procesów sprzedażowych u naszych Partnerów i doskonale wiemy jak ważnym elementem w konstruowaniu procesów sprzedaży jest właśnie ochrona danych osobowych. Zgodność naszych usług z RODO jest kluczowa zarówno dla nas jak i naszych Partnerów. Z uwagi na wiele mitów, które powstały wokół RODO zdecydowaliśmy się przygotować politykę prywatności wraz z objaśnieniami.

RODO jest rozporządzeniem UE, które nie wymaga implementacji ustawodawstwa wewnętrznego państw członkowskich do tego, aby uzyskać moc prawną i równolegle obowiązywać w każdym państwie UE.

RODO dotyczy ochrony danych osobowych osób fizycznych. Rozporządzenie nie traktuje zatem o ochronie danych firm, czy organizacji.

Czy wyrażenie „Jan Kowalski” to dana osobowa?
Art. 4 ust. 1 RODO mówi, że „dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.”. Kluczowym elementem przedstawionej definicji jest zatem IDENTYFIKACJA. Oznacza to, że w zależności od okoliczności dana informacja może być uznana za daną osobową lub też nie. Odpowiadając zatem na pytanie z początku czy wyrażenie „Jan Kowalski” jest daną osobową: to zależy.

– Wyobraźmy sobie sytuację, gdy wyrażenie „Jan Kowalski” widnieje na stronie internetowej firmy w zakładce „nasz zespół” wraz z oznaczeniem „Project Manager” – wówczas nie ma wątpliwości, że identyfikacja takiej osoby jest możliwa. W tym przypadku zatem będziemy mieli do czynienia z danymi osobowymi.

– Z drugiej zaś strony możemy sobie również łatwo wyobrazić sytuację kiedy ujrzymy wyrażenie „jan.kowalski@gmail.com” bez żadnych dodatkowych informacji, napisane na kartce przylepionej do słupa na ulicy. Wówczas ani w momencie znalezienia owej kartki ani w najbliższej przyszłości nie możemy jednoznacznie stwierdzić o którego Jana Kowalskiego chodzi – zatem nie będzie to dana osobowa.

RODO zawiera bardzo szeroką definicję przetwarzania danych. Nazywa się tak każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

RODO obowiązuje wszystkich przedsiębiorców, przy czym nie ma tu znaczenia czy działalność jest prowadzona w ramach jednoosobowej działalności gospodarczej, czy w ramach spółki prawa handlowego.

Przetwarzanie danych jako sama czynność jest czasem trudna do uchwycenia. Zazwyczaj odbywa się w środowisku internetowym, w chmurach obliczeniowych czy na dyskach, dlatego trudno jest wyznaczyć kiedy przetwarzanie odbywa się w granicach UE a kiedy już poza. Aby unormować jednak tę kwestię legislator zaznaczył, że RODO dotyczy również sytuacji, gdy:

  1. a) Przedsiębiorca ma swoją siedzibę poza terenem UE, ale realizuje czynności związane z działalnością gospodarczą na jej terenie
  2. b) Przedsiębiorca oferuje swoje usługi klientom spoza UE, natomiast posiada swoją siedzibę na terenie UE
  3. c) Przedsiębiorca przetwarza dane za pośrednictwem chmury obliczeniowej. Przy czym dotyczy to zarówno sytuacji, gdy sam serwer znajduje się na terenie UE jak i gdy samo urządzenie przetwarzające dane znajduje się na terenie UE.

Podstawą przetwarzania danych osobowych odbiorców kampanii marketingowych jest dobrowolna zgoda, wyrażona poprzez kontakt z nami (art. 6 ust. 1 lit. a RODO) lub pozyskanie przez nas informacji, udostępnionej dobrowolnie przez firmę np. poprzez ogłoszenia lub propozycje współpracy zamieszczane w domenie publicznej (internet, prasa), co uzasadnione jest szczególnymi potrzebami administratora, jako podmiotu posiadającego bazę informacji o podmiotach zainteresowanych współpracą handlową w obszarze objętym ogłoszeniem lub ofertą współpracy (art. 6 ust. 1 lit f RODO).

Ściśle określiliśmy cele przetwarzania danych osobowych odbiorców kampanii marketingowych do których należą:

  1. a) realizacja wspólnych przedsięwzięć biznesowych oraz wykonywanie zleceń lub zawartych umów o współpracy;.
  2. b) w celu marketingu usług oferowanych przez partnerów administratora; (co znajduje dodatkowe umocowanie na podstawie motywu 47 RODO)
  3. c) w celu wyszukiwania optymalnych ofert i rozwiązań w zakresie usług przeznaczonych dla biznesu w oparciu o informacje dotyczące działalności potencjalnych odbiorców kampanii;

Czynności przetwarzania danych ograniczyliśmy wyłącznie do celów wskazanych powyżej.

Zakres przetwarzanych przez nas danych jest ograniczony do danych niezbędnych do realizacji wyznaczonych celów przetwarzania. Podmioty, których dane są przetwarzane to przedstawiciele i reprezentanci firm i podmiotów prawnych, pracownicy odpowiedzialni za zakupy i współpracę w ramach firm i podmiotów prawnych lub wyznaczone przez te podmioty osoby do kontaktu, właściciele firm, członkowie organów statutowych firm i podmiotów prawnych. Kategorie zaś, które są przetwarzane to imię, nazwisko, dane kontaktowe (e-mail, nr telefonu), stanowisko osoby kontaktowej.

Dane przez nas generowane są w sposób organiczny „od zera” dla każdej kampanii, co zapewnia nam wysoki poziom ich aktualności. Poszczególne dane są ponadto weryfikowane ręcznie przez naszych pracowników, aby dodatkowo uwiarygodnić ich poprawność. W ramach prowadzonej podczas kampanii marketingowych komunikacji, każdorazowo umożliwiamy odbiorcom łatwy do nich dostęp, ich sprostowania, ograniczenia ich przetwarzania czy usunięcia.

Wdrożyliśmy wewnętrzną politykę bezpieczeństwa danych osobowych w której szczegółowo uregulowaliśmy procedury dotyczące:

– zasad dostępu do danych

– zasad dotyczących powierzenia danych

– zasad dotyczących udostępnienia danych

– zabezpieczeń zbiorów danych

– postępowania na wypadek naruszeń

W naszej spółce obowiązują odpowiednio polityka prywatności, polityka bezpieczeństwa danych oraz dodatkowe dokumenty i rejestry, które umożliwiają nam rozliczenie z obowiązków nakładanych przez RODO.

Jako PROTIP w ramach naszych działań nie przetwarzamy ani danych osobowych dzieci ani tzw. danych wrażliwych.

W ramach naszych kampanii marketingowych realizujemy pełny obowiązek informacyjny w stosunku do każdej osoby, której dane są przetwarzane. Wraz z wysyłanymi komunikatami biznesowymi zawieramy  wszelkie informacje, które są wymagane odpowiednio przez art. 13 lub 14 RODO.

W ramach prowadzonej przez nas działalności nie profilujemy danych osobowych reprezentantów naszych partnerów handlowych ani nie podejmujemy zautomatyzowanych decyzji opartych na profilowaniu.

Dokonaliśmy analiz wpływu prowadzonych przez nas projektów na prawa lub wolności osób fizycznych oraz analizy ryzyka ich wystąpienia. Na podstawie przeprowadzonych analiz byliśmy w stanie obrać adekwatne systemy mające na celu zabezpieczyć przetwarzane dane.

Do naszych procesów związanych z przetwarzaniem danych osobowych zaimplementowaliśmy mechanizmy, które ograniczają zakres przetwarzanych danych do pewnego minimum, które jest niezbędne dla osiągnięcia naszych celów przetwarzania. Projektując natomiast nowe usługi w sposób domyślny podchodzimy do ochrony prywatności danych osobowych.

– Woodpecker sp. z o.o., za pomocą której systemu realizowany jest proces wysyłki kampanii mailingowych (POLITYKA PRYWATNOŚCI >https://woodpecker.co/privacy-policy/)

– Google LLC, na której serwerach trzymane są zabezpieczone dane dotyczące kampanii (poprzez Google Drive oraz poprzez wymianę informacji za pomocą poczty Gmail pomiędzy pracownikami) (POLITYKA PRYWATNOŚCI >https://policies.google.com/privacy?hl=en)

– ASANA, Inc., na której to aplikacji przechowywane są zabezpieczone dane dotyczące realizacji niniejszej Umowy i kampanii, (POLITYKA PRYWATNOŚCI >https://asana.com/terms#privacy-policy)

– Mixmax Inc., na której aplikacji dokonywana jest analiza prowadzonej korespondencji mailowej dotyczącej realizacji kampanii. (POLITYKA PRYWATNOŚCI > https://www.mixmax.com/legal/privacy-policy/)”

Cold Email – zgodność z RODO

PROTIP realizuje swoje usługi w postaci kampanii cold e-mailingowych z poszanowaniem i w zgodzie z obowiązującymi przepisami prawa, jak również przestrzega najwyższych standardów w zakresie zabezpieczania i ochrony powierzonych jej danych oraz realizacji obowiązków związanych z prowadzoną działalnością gospodarczą.

PROTIP do budowania bazy potencjalnych klientów wykorzystuje dane udostępnione przez firmy publicznie (np. w sieci internet, na ulotkach, folderach, czy wizytówkach) dla celu przesyłania ofert oraz kontaktu dla potencjalnych partnerów i współpracowników oraz dane publicznie udostępnione przez pracowników tych firm na biznesowych portalach społecznościowych (np. LinkedIn, Goldenline).

W oparciu o powyższe dane dostępne publicznie za pomocą autorskiego algorytmu PROTIP tworzony jest potencjalny adres e-mail, który w domyśle PROTIP stanowi prawidłowy kanał komunikacji z odbiorcą.

PROTIP wysyła na tak stworzone potencjalne adresy e-mail zaproszenie do podjęcia współpracy i dopiero w przypadku uzyskania odpowiedzi i tym samym potwierdzenia prawidłowości danych – włącza dane do swoich zbiorów. W przypadku braku intencji podjęcia współpracy lub zgody na przetwarzanie danych i przesyłanie informacji marketingowych, dane kontaktowe nie są wykorzystywane do wysyłki komunikatów o charakterze ofertowym.

PROTIP w pierwszej wiadomości kierowanej do każdego potencjalnego odbiorcy zawiera klauzulę informacyjną, która udziela odbiorcom następujących informacji:

– dane o administratorze danych osobowych

– kategorie danych jakie są lub będą mogły być przetwarzane

– cele przetwarzania danych osobowych

– podstawy prawne przetwarzania danych osobowych

– informacje o przekazywaniu lub możliwości przekazywania danych osobowych do podmiotów trzecich

– pouczenie o przysługującym prawie do dostępu do swoich danych, możliwości ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, cofnięcia ewentualnej zgody na ich przetwarzanie

– pouczenie o możliwości złożenia skargi do organu nadzorczego

– oraz pozostałe informacje wymagane na podstawie odpowiednio art. 13 lub 14 RODO.

W każdym przypadku PROTIP oferuje możliwość zgłoszenia w łatwy sposób żądania do usunięcia lub ograniczenia zakresu przetwarzania danych osobowych i żądania takie niezwłocznie realizuje. PROTIP powołał wewnątrz swojej organizacji wyspecjalizowany dział RODO, który na bieżąco analizuje i egzekwuje dyspozycje osób, których dane są przetwarzane.

– dane o administratorze danych osobowych

– kategorie danych jakie są lub będą mogły być przetwarzane

– cele przetwarzania danych osobowych

– podstawy prawne przetwarzania danych osobowych

– informacje o przekazywaniu lub możliwości przekazywania danych osobowych do podmiotów trzecich

– pouczenie o przysługującym prawie do dostępu do swoich danych, możliwości ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, cofnięcia ewentualnej zgody na ich przetwarzanie

– pouczenie o możliwości złożenia skargi do organu nadzorczego

– oraz pozostałe informacje wymagane na podstawie odpowiednio art. 13 lub 14 RODO.

RODO wymaga jednoznacznego określenia podmiotu, który będzie występował w charakterze Administratora danych, pozostawiając przy tym następujące przesłanki które pozwolić mają na wyłonienia Administratora w danym procesie:

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

W definicji znajdujemy zatem 2 kluczowe elementy: ustalanie celów przetwarzania oraz ustalanie sposobów przetwarzania danych. Celem przetwarzania danych w zakresie współpracy PROTIP z Zamawiającym jest realizacja wspólnego przedsięwzięcia biznesowego zawartego w umowie współpracy, które polega na wyszukiwaniu optymalnych rozwiązań w zakresie usług przeznaczonych dla biznesu w oparciu o informacje dotyczące działalności potencjalnych odbiorców kampanii.

Umowa współpracy pomiędzy PROTIP a Zamawiającym opiera się na współdziałaniu obydwu Stron w zakresie doprecyzowania zakładanych rezultatów kampanii (celów), poprzez: wspólne określenie grupy docelowej odbiorców kampanii w oparciu o potrzeby Zamawiającego oraz doświadczenie Wykonawcy, wspólne przygotowanie treści wiadomości które będą wysyłane do potencjalnych odbiorców. Baza potencjalnych odbiorców jest budowana w sposób organiczny przez Wykonawcę. Dane osobowe będące częścią składową owej bazy są zbierane w sposób faktyczny przez Wykonawcę, który ma pewną swobodę w ich selekcji. Granice owej swobody ograniczają się jedynie do wcześniej ustalonych wspólnie z Zamawiającym parametrów uwzględnionych w Ankiecie.

Opierając się zatem tylko na przesłance celu, jednoznaczne określenie Administratora zdaje się być problematyczne.

Analizując natomiast drugą przesłankę zawartą w definicji, która dotyczy ustalania sposobów przetwarzania danych, dochodzimy do wniosku, że jest ona w przypadku naszego stanu faktycznego decydująca. Wniosek ten oparty jest również na wytycznych Grupy Roboczej art. 29, których fragmenty brzmią następująco:

„(…)W przypadku wątpliwości w celu znalezienia administratora danych przydatne mogą być elementy inne niż warunki umowy, jak na przykład poziom faktycznej kontroli sprawowanej przez stronę(…)”

„(…)Organu, który nie ma prawnego ani faktycznego wpływu na określanie sposobu przetwarzania danych osobowych, nie można uważać za administratora danych. (…)”

PROTIP jest podmiotem, który faktycznie kontroluje wszelkie procesy związane z przetwarzaniem danych osobowych w ramach realizacji kampanii:

– PROTIP samodzielnie buduje bazę potencjalnych odbiorców wykorzystując autorskie wypracowane metody

– Procesy dotyczące przetwarzania danych odbywają się w środowisku dyskowym PROTIP

– PROTIP w sposób faktyczny kontroluje infrastrukturę służącą do prowadzenia wysyłki wiadomości ( ustawia statusy, follow-upy, prowadzi blacklistę odbiorców)

Kierując się dodatkowo wykładnią celowościową, dochodzimy do wniosku, iż przyczyną pojawienia się obowiązku wyznaczenia w sposób jednoznaczny Administratora jest umożliwienie osobom których dane dotyczą realizacji ich praw związanych z ochroną tych danych. Administratorem zatem powinien być podmiot, który ma możliwość faktycznej i sprawnej realizacji dyspozycji tych osób w oparciu o kontrolowaną przez siebie infrastrukturę do której ma stały dostęp. Administrator musi również posiadać pełną wiedzę dotyczącą źródła pozyskanych danych oraz wszelkich operacji na nich wykonywanych.

W rezultacie rekomendowanym modelem współpracy jest następująca konfiguracja:
PROTIP – Administrator, Zamawiający – Podmiot Przetwarzający,

Przekazywanie danych Zamawiającemu odbywa się w ramach naszych usług na 2 sposoby:

– powierzenie danych następuje na potrzebę weryfikacji przez naszych Partnerów bazy danych potencjalnych odbiorców kampanii oraz na potrzebę udzielenia Partnerom dostępu do platformy z której prowadzona jest wysyłka. Na tym etapie realizacji kampanii nasi Partnerzy występują w charakterze Procesora, a co za tym nie mogą oni wykorzystywać tych danych do innych celów niż właśnie wskazana weryfikacja bazy, czy kontrola postępów kampanii w obrębie udostępnionej platformy wysyłkowej. Powierzane zatem są wszystkie dane, które zostaną wygenerowane w ramach danej kampanii.

– udostępnienie danych natomiast odbywa się już po pozytywnie zakończonej kampanii mailingowej. Udostępniana jest wygenerowana przez nas baza danych potencjalnych klientów wyłączając dane osób, które w trakcie trwania kampanii wyraziły sprzeciw wobec przetwarzania ich danych. Podstawą prawną udostępnienia przedmiotowych danych jest uzasadniony prawnie interes administratora, który przejawia się w formie marketingu bezpośredniego (motyw 47 RODO). W momencie udostepnienia danych Partnerowi, staje się on samodzielnym Administratorem owych danych, a w konsekwencji sam decyduje o sposobach i celach przetwarzania danych.