Polityka prywatności - Instream Group
Skocz do treści

Polityka prywatności

ZGODNOŚĆ Z RODO

Jako InStream Group zdawaliśmy sobie sprawę z wyzwania z jakim przyjdzie się nam zmierzyć wraz z wejściem w życie Rozporządzenia dotyczącego ochrony przetwarzania danych osobowych osób fizycznych („RODO”). Od kilku lat prowadzimy różnego rodzaju działalności związane ze wsparciem procesów sprzedażowych u naszych klientów i doskonale wiemy jak ważnym elementem w konstruowaniu procesów sprzedaży jest właśnie ochrona danych osobowych. Stwierdziliśmy, że przygotowania naszych usług do RODO, na które składały się odpowiednio: audyt oraz działania dostosowujące wymagają odpowiedniej ilości czasu i należytej rzetelności. Dlatego zdecydowaliśmy się zająć tym tematem już na wiele miesięcy przed wejściem w życie samego rozporządzenia oraz zaangażować w ten proces kancelarie prawne specjalizujące się w ochronie danych osobowych.

CZYM JEST RODO?

RODO jest niczym innym jak rozporządzeniem UE, które nie wymaga implementacji ustawodawstwa wewnętrznego państw członkowskich do tego, aby uzyskać moc prawną i równolegle obowiązywać w każdym państwie UE.

KOGO CHRONI RODO?

RODO dotyczy ochrony danych osobowych osób fizycznych. Rozporządzenie nie traktuje zatem o ochronie danych firm, czy organizacji.

CZYM SĄ DANE OSOBOWE W ROZUMIENIU RODO?

Czy wyrażenie „Jan Kowalski” to dana osobowa? Art. 4 ust. 1 RODO mówi, że „dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.”. Kluczowym elementem przedstawionej definicji jest zatem IDENTYFIKACJA. Oznacza to, że w zależności od okoliczności dana informacja może być uznana za daną osobową lub też nie. Odpowiadając zatem na pytanie z początku czy wyrażenie „Jan Kowalski” jest daną osobową: to zależy 😊.

– Wyobraźmy sobie sytuację, gdy wyrażenie „Jan Kowalski” widnieje na stronie internetowej firmy w zakładce „nasz zespół” wraz z oznaczeniem „Project Manager” – wówczas nie ma wątpliwości, że identyfikacja takiej osoby jest możliwa. W tym przypadku zatem będziemy mieli do czynienia z danymi osobowymi.

– Z drugiej zaś strony możemy sobie również łatwo wyobrazić sytuację kiedy ujrzymy wyrażenie „jan.kowalski@gmail.com” bez żadnych dodatkowych informacji, napisane na kartce przylepionej do słupa na ulicy. Wówczas ani w momencie znalezienia owej kartki ani w najbliższej przyszłości nie możemy jednoznacznie stwierdzić o którego Jana Kowalskiego chodzi – zatem nie będzie to dana osobowa.

CZYM JEST PRZETWARZANIE DANYCH?

RODO zawiera bardzo szeroką definicję przetwarzania danych. Nazywa się tak każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

KTO MUSI PRZESTRZEGAĆ RODO?

RODO obowiązuje wszystkich przedsiębiorców, przy czym nie ma tu znaczenia czy działalność jest prowadzona w ramach jednoosobowej działalności gospodarczej, czy w ramach spółki prawa handlowego.

JAKI ZAKRES TERYTORIALNY OBEJMUJE RODO?

Przetwarzanie danych jako sama czynność jest czasem trudna do uchwycenia. Zazwyczaj odbywa się w środowisku internetowym, w chmurach obliczeniowych czy na dyskach, dlatego trudno jest wyznaczyć kiedy przetwarzanie odbywa się w granicach UE a kiedy już poza. Aby unormować jednak tę kwestię legislator zaznaczył, że RODO dotyczy również sytuacji, gdy:

a) Przedsiębiorca ma swoją siedzibę poza terenem UE, ale realizuje czynności związane z działalnością gospodarczą na jej terenie
b) Przedsiębiorca oferuje swoje usługi klientom spoza UE, natomiast posiada swoją siedzibę na terenie UE
c) Przedsiębiorca przetwarza dane za pośrednictwem chmury obliczeniowej. Przy czym dotyczy to zarówno sytuacji, gdy sam serwer znajduje się na terenie UE jak i gdy samo urządzenie przetwarzające dane znajduje się na terenie UE.

 

PRZED 25 MAJA 2018 ROKU PODJĘLIŚMY NASTĘPUJĄCE CZYNNOŚCI CELEM UZYSKANIA PEŁNEJ ZGODNOŚCI NASZYCH DZIAŁAŃ Z RODO (CHECKLISTA):

 

Zgodność z prawem, rzetelność, przejrzystość

Podstawą przetwarzania danych osobowych odbiorców kampanii marketingowych jest dobrowolna zgoda, wyrażona poprzez kontakt z nami (art. 6 ust. 1 lit. a RODO) lub pozyskanie przez nas informacji, udostępnionej dobrowolnie przez firmę np. poprzez ogłoszenia lub propozycje współpracy zamieszczane w domenie publicznej (internet, prasa), co uzasadnione jest szczególnymi potrzebami administratora, jako podmiotu posiadającego bazę informacji o podmiotach zainteresowanych współpracą handlową w obszarze objętym ogłoszeniem lub ofertą współpracy (art. 6 ust. 1 lit f RODO).

Ograniczenie celu

Ściśle określiliśmy cele przetwarzania danych osobowych odbiorców kampanii marketingowych do których należą:

a) realizacja wspólnych przedsięwzięć biznesowych oraz wykonywanie zleceń lub zawartych umów o współpracy;.
b) w celu marketingu usług oferowanych przez partnerów administratora; (co znajduje dodatkowe umocowanie na podstawie motywu 47 RODO)
c) w celu wyszukiwania optymalnych ofert i rozwiązań w zakresie usług przeznaczonych dla biznesu w oparciu o informacje dotyczące działalności potencjalnych odbiorców kampanii;

Czynności przetwarzania danych ograniczyliśmy wyłącznie do celów wskazanych powyżej.

Minimalizacja danych

Zakres przetwarzanych przez nas danych jest ograniczony do danych niezbędnych do realizacji wyznaczonych celów przetwarzania. Podmioty, których dane są przetwarzane to przedstawiciele i reprezentanci firm i podmiotów prawnych, pracownicy odpowiedzialni za zakupy i współpracę w ramach firm i podmiotów prawnych lub wyznaczone przez te podmioty osoby do kontaktu, właściciele firm, członkowie organów statutowych firm i podmiotów prawnych. Kategorie zaś, które są przetwarzane to imię, nazwisko, dane kontaktowe (e-mail, nr telefonu), stanowisko osoby kontaktowej.

Prawidłowość danych i ograniczenie przechowywania

Dane przez nas generowane są w sposób organiczny „od zera” dla każdej kampanii, co zapewnia nam wysoki poziom ich aktualności. Poszczególne dane są ponadto weryfikowane ręcznie przez naszych pracowników, aby dodatkowo uwiarygodnić ich poprawność. W ramach prowadzonej podczas kampanii marketingowych komunikacji, każdorazowo umożliwiamy odbiorcom łatwy do nich dostęp, ich sprostowania, ograniczenia ich przetwarzania czy usunięcia.

Integralność i poufność

Wdrożyliśmy wewnętrzną politykę bezpieczeństwa danych osobowych w której szczegółowo uregulowaliśmy procedury dotyczące:

– zasad dostępu do danych
– zasad dotyczących powierzenia danych
– zasad dotyczących udostępnienia danych
– zabezpieczeń zbiorów danych
– postępowania na wypadek naruszeń

Rozliczalność

W naszej spółce obowiązują odpowiednio polityka prywatności, polityka bezpieczeństwa danych oraz dodatkowe dokumenty i rejestry, które umożliwiają nam rozliczenie z obowiązków nakładanych przez RODO.

Przetwarzanie danych dzieci oraz danych wrażliwych

Jako InStream Group w ramach naszych działań nie przetwarzamy ani danych osobowych dzieci ani tzw. danych wrażliwych.

Obowiązek informacyjny

W ramach naszych kampanii marketingowych realizujemy pełny obowiązek informacyjny w stosunku do każdej osoby, której dane są przetwarzane. Wraz z wysyłanymi komunikatami biznesowymi zawieramy  wszelkie informacje, które są wymagane odpowiednio przez art. 13 lub 14 RODO.

Profilowanie

W ramach prowadzonej przez nas działalności nie profilujemy danych osobowych reprezentantów naszych partnerów handlowych ani nie podejmujemy zautomatyzowanych decyzji opartych na profilowaniu.

„Privacy by design”

Dokonaliśmy analiz wpływu prowadzonych przez nas projektów na prawa lub wolności osób fizycznych oraz analizy ryzyka ich wystąpienia. Na podstawie przeprowadzonych analiz byliśmy w stanie obrać adekwatne systemy mające na celu zabezpieczyć przetwarzane dane.

„Privacy by default”

Do naszych procesów związanych z przetwarzaniem danych osobowych zaimplementowaliśmy mechanizmy, które ograniczają zakres przetwarzanych danych do pewnego minimum, które jest niezbędne dla osiągnięcia naszych celów przetwarzania. Projektując natomiast nowe usługi w sposób domyślny podchodzimy do ochrony prywatności danych osobowych.

 

Z JAKICH DOSTAWCÓW ZEWNĘTRZNYCH KORZYSTAMY W RAMACH PRZETWARZANIA DANYCH OSOBOWYCH?

– Woodpecker sp. z o.o., za pomocą której systemu realizowany jest proces wysyłki kampanii mailingowych (POLITYKA PRYWATNOŚCI >https://woodpecker.co/privacy-policy/)

– Google LLC, na której serwerach trzymane są zabezpieczone dane dotyczące kampanii (poprzez Google Drive oraz poprzez wymianę informacji za pomocą poczty Gmail pomiędzy pracownikami) (POLITYKA PRYWATNOŚCI >https://policies.google.com/privacy?hl=en)

– ASANA, Inc., na której to aplikacji przechowywane są zabezpieczone dane dotyczące realizacji niniejszej Umowy i kampanii, (POLITYKA PRYWATNOŚCI >https://asana.com/terms#privacy-policy)

– RingCentral Inc., na której aplikacji upoważnieni pracownicy wymieniają się informacjami dotyczącymi realizacji niniejszej Umowy oraz kampanii. (POLITYKA PRYWATNOŚCI >https://www.ringcentral.com/legal/last-update-November-30-2018/privacy-notice.html)

– Mixmax Inc., na której aplikacji dokonywana jest analiza prowadzonej korespondencji mailowej dotyczącej realizacji kampanii. (POLITYKA PRYWATNOŚCI > https://www.mixmax.com/legal/privacy-policy/)”

 

COLD EMAIL – ZGODNOŚĆ Z RODO

InStream Group realizuje swoje usługi w postaci kampanii cold e-mailingowych z poszanowaniem i w zgodzie z obowiązującymi przepisami prawa, jak również przestrzega najwyższych standardów w zakresie zabezpieczania i ochrony powierzonych jej danych oraz realizacji obowiązków związanych z prowadzoną działalnością gospodarczą.

ŹRÓDŁO DANYCH

InStream do budowania bazy potencjalnych klientów wykorzystuje  dane udostępnione przez firmy publicznie (np. w sieci internet, na ulotkach, folderach, czy wizytówkach) dla celu przesyłania ofert oraz kontaktu dla potencjalnych partnerów i współpracowników oraz dane publicznie udostępnione przez pracowników tych firm na biznesowych portalach społecznościowych (np. LinkedIn, Goldenline).

W oparciu o powyższe dane dostępne publicznie za pomocą autorskiego algorytmu InStream tworzony jest potencjalny adres e-mail, który w domyśle InStream stanowi prawidłowy kanał komunikacji z odbiorcą.

PROCES WYSYŁKI

InStream wysyła na tak stworzone potencjalne adresy e-mail zaproszenie do podjęcia współpracy i dopiero w przypadku uzyskania odpowiedzi i tym samym potwierdzenia prawidłowości danych – włącza dane do swoich zbiorów. W przypadku braku intencji podjęcia współpracy lub zgody na przetwarzanie danych i przesyłanie informacji marketingowych, dane kontaktowe nie są wykorzystywane do wysyłki komunikatów o charakterze ofertowym.

OBOWIĄZEK INFROMACYJNY

InStream w pierwszej wiadomości kierowanej do każdego potencjalnego odbiorcy zawiera klauzulę informacyjną, która udziela odbiorcom następujących informacji:

– dane o administratorze danych osobowych
– kategorie danych jakie są lub będą mogły być przetwarzane
– cele przetwarzania danych osobowych
– podstawy prawne przetwarzania danych osobowych
– informacje o przekazywaniu lub możliwości przekazywania danych osobowych do podmiotów trzecich
– pouczenie o przysługującym prawie do dostępu do swoich danych, możliwości ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu, cofnięcia ewentualnej zgody na ich przetwarzanie
– pouczenie o możliwości złożenia skargi do organu nadzorczego
– oraz pozostałe informacje wymagane na podstawie odpowiednio art. 13 lub 14 RODO.

PRAWO DO SPRZECIWU

W każdym przypadku InStream oferuje możliwość zgłoszenia w łatwy sposób żądania do usunięcia lub ograniczenia zakresu przetwarzania danych osobowych i żądania takie niezwłocznie realizuje. InStream powołał wewnątrz swojej organizacji wyspecjalizowany dział RODO, który na bieżąco analizuje i egzekwuje dyspozycje osób, których dane są przetwarzane.

WYZNACZENIE ADMINISTRATORA DANYCH OSOBOWYCH

RODO wymaga jednoznacznego określenia podmiotu, który będzie występował w charakterze Administratora danych, pozostawiając przy tym następujące przesłanki które pozwolić mają na wyłonienia Administratora w danym procesie:

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

W definicji znajdujemy zatem 2 kluczowe elementy: ustalanie celów przetwarzania oraz ustalanie sposobów przetwarzania danych. Celem przetwarzania danych w zakresie współpracy InStream z Zamawiającym jest realizacja wspólnego przedsięwzięcia biznesowego zawartego w umowie współpracy, które polega na wyszukiwaniu optymalnych rozwiązań w zakresie usług przeznaczonych dla biznesu w oparciu o informacje dotyczące działalności potencjalnych odbiorców kampanii.

Umowa współpracy pomiędzy InStream a Klientem opiera się na współdziałaniu obydwu Stron w zakresie doprecyzowania zakładanych rezultatów kampanii (celów), poprzez: wspólne określenie grupy docelowej odbiorców kampanii w oparciu o potrzeby Zamawiającego oraz doświadczenie Wykonawcy, wspólne przygotowanie treści wiadomości które będą wysyłane do potencjalnych odbiorców. Baza potencjalnych odbiorców jest budowana w sposób organiczny przez Wykonawcę. Dane osobowe będące częścią składową owej bazy są zbierane w sposób faktyczny przez Wykonawcę, który ma pewną swobodę w ich selekcji. Granice owej swobody ograniczają się jedynie do wcześniej ustalonego wspólnie z Zamawiającym Profilu Klienta (firmy).

Opierając się zatem tylko na przesłance celu, jednoznaczne określenie Administratora zdaje się być problematyczne.

Analizując natomiast drugą przesłankę zawartą w definicji, która dotyczy ustalania sposobów przetwarzania danych, dochodzimy do wniosku, że jest ona w przypadku naszego stanu faktycznego decydująca. Wniosek ten oparty jest również na wytycznych Grupy Roboczej art. 29, których fragmenty brzmią następująco:

„(…)W przypadku wątpliwości w celu znalezienia administratora danych przydatne mogą być elementy inne niż warunki umowy, jak na przykład poziom faktycznej kontroli sprawowanej przez stronę(…)”

(…)Organu, który nie ma prawnego ani faktycznego wpływu na określanie sposobu przetwarzania danych osobowych, nie można uważać za administratora danych. (…)”

InStream jest podmiotem, który faktycznie kontroluje wszelkie procesy związane z przetwarzaniem danych osobowych w ramach realizacji kampanii:

– InStream samodzielnie buduje bazę potencjalnych odbiorców wykorzystując autorskie wypracowane metody

– Procesy dotyczące przetwarzania danych odbywają się w środowisku dyskowym InStream

– InStream w sposób faktyczny kontroluje infrastrukturę służącą do prowadzenia wysyłki wiadomości ( ustawia statusy, follow-upy, prowadzi blacklistę odbiorców)

Kierując się dodatkowo wykładnią celowościową, dochodzimy do wniosku, iż przyczyną pojawienia się obowiązku wyznaczenia w sposób jednoznaczny Administratora jest umożliwienie osobom których dane dotyczą realizacji ich praw związanych z ochroną tych danych. Administratorem zatem powinien być podmiot, który ma możliwość faktycznej i sprawnej realizacji dyspozycji tych osób w oparciu o kontrolowaną przez siebie infrastrukturę do której ma stały dostęp. Administrator musi również posiadać pełną wiedzę dotyczącą źródła pozyskanych danych oraz wszelkich operacji na nich wykonywanych.

W rezultacie rekomendowanym modelem współpracy jest następująca konfiguracja:

InStream – Administrator, Zamawiający – Podmiot Przetwarzający,

 

PRZEKAZYWANIE DANYCH OSOBOWYCH KLIENTOWI

Przekazywanie danych klientowi odbywa się w ramach naszych usług na 2 sposoby:

– powierzenie danych następuje na potrzebę weryfikacji przez naszych klientów bazy danych potencjalnych odbiorców kampanii oraz na potrzebę udzielenia klientom dostępu do platformy z której prowadzona jest wysyłka. Na tym etapie realizacji kampanii nasi klienci występują w charakterze Procesora, a co za tym nie mogą oni wykorzystywać tych danych do innych celów niż właśnie wskazana weryfikacja bazy, czy kontrola postępów kampanii w obrębie udostępnionej platformy wysyłkowej. Powierzane zatem są wszystkie dane, które zostaną wygenerowane w ramach danej kampanii.

– udostępnienie danych natomiast odbywa się już po pozytywnie zakończonej kampanii mailingowej. Udostępniana jest wygenerowana przez nas baza danych potencjalnych klientów wyłączając dane osób, które w trakcie trwania kampanii wyraziły sprzeciw wobec przetwarzania ich danych. Podstawą prawną udostępnienia przedmiotowych danych jest uzasadniony prawnie interes administratora, który przejawia się w formie marketingu bezpośredniego (motyw 47 RODO). W momencie udostepnienia danych klientowi, staje się on samodzielnym Administratorem owych danych, a w konsekwencji sam decyduje o sposobach i celach przetwarzania danych.