"Legalność" kontaktów w komunikacji z mediami | Konwalidacja baz danych w czasach RODO cz. II

"Legalność" kontaktów w komunikacji z mediami | Konwalidacja baz danych w czasach RODO cz. II

RODO zrób to lepiej
Piotr Ślusarczyk

Piotr Ślusarczyk

Jeśli gromadziłeś kontakty medialne zgodnie z obecnie obowiązującymi przepisami, to prawdopodobnie możesz określić bazę mianem „legalnej”, czyli nieobciążonej wadami prawnymi. Przed tobą jednak pewien wysiłek związany z przystosowaniem jej do warunków po 24 maja 2018 roku i implementacją rozwiązań, które pomogą wywiązać się z obowiązków narzucanych przez nowe regulacje.

Dane kontaktów medialnych w dziale komunikacji czy w agencji PR to w pierwszej kolejności takie, które w zgodzie z prawem pozwalają na wysyłanie informacji prasowych, zaproszeń na konferencje, zrobienie follow upów, itp. Wchodzi w grę komunikacja mailowa, czy szerzej - komunikacja drogą elektroniczną i telefoniczną, ale też możliwość wysyłki pocztą. W związku z tym komunikacja z mediami może wymagać dość szerokiego zbioru gromadzonych danych.

Legalne dane czyli jakie?

Warunki legalności danych osobowych po 24 maja 2018 można dowolnie komplikować i uszczegóławiać, ale pryncypia są niezmienne. Niezbędne jest dysponowanie nie budzącą wątpliwości zgodą na przetwarzanie danych w określonym celu/celach oraz zapewnienie danym bezpieczeństwa oraz rozliczalności. 

Rozliczalność to właściwość pozwalająca jednoznacznie przypisać określone działanie do osoby fizycznej lub procesu oraz umiejscowić to działanie w czasie. W odniesieniu do danych w praktyce oznacza to konieczność zastosowania oprogramowania, które pozwoli śledzić operację na zgromadzonych w nim danych. Jest to realizowane za pomocą różnych form rejestrowania i logowania zdarzeń w połączeniu z ochroną integralności i autentyczności danych.

Upraszczając więc trochę zagadnienie, legane bazy danych to takie, które zawierają niepodważalną zgodę na przetwarzanie w określonym celu/celach (o wyznaczeniu których będziemy mówić osobno) oraz przetwarzane są w oprogramowaniu, które będzie w stanie zapewnić bezpieczeństwo i rozliczalność gromadzonych danych. 

Niepodważana zgoda na przetwarzanie danych - wymaganie I

Wyrazić zgodę na przetwarzanie danych można elektronicznie, pisemne, a nawet ustnie. Spektrum możliwości jest szerokie, ale naczelny warunek jeden - wyrażenie zgody musi odbyć się w sposób wyraźny i nie budzący wątpliwości. 

Problem po stronie administratora polega na tym, że fakt wyraźnej zgody musi udokumentować. Trudno zatem rekomendować uzyskiwanie zgody ustnej, której niezaprzeczalnym dowodem byłoby tylko nagrywanie rozmowy (po uprzednim poinformowaniu o tym osoby, której dane dotyczą), a następnie odpowiednia jej archiwizacja dla celów dowodowych. 

Dlatego optymalnym sposobem jest uzyskanie potwierdzenia zgody w systemie teleinformatycznym przez wypełnienie formularza, zakliknięciae zgody na przetwarzanie danych w określonym celu, a następnie potwierdzenie tego faktu przez kliknięcie linku, który dociera do osoby wypełniającej formularz w mailu - metoda Double Opt-in. Metoda Double Opt-in jest metodą szczególnie polecaną, gdyż w zasadzie, poza wyjątkowymi przypadkami, mamy pewność iż dana osoba rzeczywiście osobiście wyraziła zgodę, zaś jej dane nie zostały wprowadzone przez osobę trzecią. 

Należy tylko pamiętać o tym, że na administratorze danych osobowych spoczywa obowiązek informacyjny szeroko opisany w art 13. i 14. RODO, który wskazuje wyraźnie jakie dane o administratorze i prawach osoby której dane dotyczą, powinny zostać przekazane w momencie odbierania zgody. 

W tym miejscu należy wspomnieć, że nowe prawo przynosi trochę uproszczeń. Nie zawsze będzie konieczne budowanie odstraszających formularzy z wieloma klauzulami zgody napisanych skomplikowanym prawniczym językiem. W pewnych przypadkach możliwe będzie zbieranie danych wykorzystując formularze bez żadnych checkboxów, a także zbieranie danych z jednego formularza obejmującego różne cele przetwarzania danych. Będziemy o tym mowić w kolejnych publikacjach. 

Rozliczalność danych, czyli oprogramowanie - wymaganie II

Jeżeli dysponujesz zgodą na przetwarzanie danych lub myślisz o konwalidacji danych nie zrobisz tego bez oprogramowania, które pomoże realizować wymogi RODO. Ma ono nie tylko zapewnić bezpieczeństwo danych i ich rozliczalność. Jego zadanie to również konieczność wspomagania administratora danych osobowych w realizacji obowiązków informacyjnych, dla osób których dane są przetwarzane. Powinno także pomagać w wywiązywaniu się z obowiązków względem organów kontrulujących.

Legalność danych osobowych wykorzystywanych w komunikacji z mediami po 24 maja 2018 roku - nawet jeżeli już dzisiaj zawierają wymagane zgody na przetwarzanie danych - można zapewnić tylko operując nimi w taki sposób, aby zapewnić osobom których dane zbieramy dostęp do informacji zagwarantowanych im przez prawo, a firmie warunki do gromadzenia i aktualizowania danych w zgodzie z prawem.

 

W kolejnej części cyklu "Konwalidacja baz danych w czasach RODO" postaramy się przenalizować możliwości konwalidacji danych w zależności od źródeł ich pochodzenia. 

Powyższy tekst nie jest poradą prawną.