Zapraszam do zapoznania się z wpisem powstałym przy współpracy z DMSales. Można dowiedzieć się, jakie kryteria powinna spełniać ta – i każda – platforma wysyłki mailngów, by być zgodna z RODO.

Od maja dotyczy nas wszystkich unijne rozporządzenie o ochronie danych osobowych, w Polsce zwykle określane skrótem RODO. Wokół niego pojawiło się wiele mitów i strachu, między innymi wśród podmiotów korzystających z baz w celu kontaktu i oferowania swoich produktów i usług. Nie ma się zresztą czemu dziwić – dotąd nieraz bazy tego typu pochodziły z podejrzanych źródeł i nasze możliwości ingerowania w swoją obecność w nich były iluzoryczne. Dlaczego używając DMSales nie trzeba obawiać się tych regulacji unijnych?
1. Kwestie podstawowe
Zacznijmy od kwestii najprostszych – spółka przygotowała się do zmian. Zdaje sobie sprawę między innymi z faktu, że ze względu na liczbę danych, na jakich operuje, powinna powołać Inspektora Ochrony Danych. Zrobiła to i umożliwiła zainteresowanym bezpośredni kontakt z tą osobą, a więc możliwość realizacji przysługujących osobom przetwarzanym praw. Ponadto stworzyła odpowiednią dokumentację i procedury obrotu danymi, na przykład w zakresie materii kopii zapasowych.
2. „Zgodne zgody”
Co ważne, dane zostały przed wejściem w życie RODO pozyskane legalnie. Zgodnie ze stanowiskiem zarówno GIODO, jak i Ministerstwa Cyfryzacji – dotychczasowe zgody uzyskane w prawidłowy prawnie sposób nie muszą być odnawiane i pozostają aktualne. A właśnie takie pobranie zgody – bezpośrednio od przetwarzanych i, co nie mniej ważne, dobrowolnie – stanowi przede wszystkim podstawę legalnego używania danych przez firmę. To ważna odmiana wobec podejrzanego podrzucania listy osób od innych firm, które wcale nie uzyskały tego rodzaju akceptacji. Zresztą – jak deklaruje firma – jakość zgód została przez nią weryfikowana.
3. Wiedza przetwarzanych i przetwarzających
Jeśli jednak bazy zostały zakupione, to również nie nastąpiło to anonimowo i w tajemniczych okolicznościach. „Zakupieni” zostali o tym poinformowani i tym samym wiedzą o zestawie przysługujących im praw. Warto tu wrócić ponownie również do Inspektora Ochrony Danych – osoby, która umożliwi realizowanie tych praw i jest najwygodniejszym punktem kontaktowym.
Ale rola IOD to nie tylko „bycie na pierwszej linii strzału”. Wśród obowiązków tej osoby wskazanych w Rozporządzeniu znaleźć można także dbanie poziom przeszkolenia załogi, o co w przypadku DMSales zadbano nawet przed samym powołaniem IOD. Podobnie jak o prowadzenie rejestru czynności przetwarzania czy analizę ryzyka w przypadkach, gdy jest to konieczne. Dobrze również wiedzieć, że w razie potrzeby osoba „przetwarzana” będzie mogła się dowiedzieć, komu jeszcze – jakim podmiotom zewnętrznym – powierzono dane.
4. Przestrzeganie zasad
Jednymi z najistotniejszych w mojej ocenie zasad RODO są angielskie „privacy by default” oraz „privacy by design”. Pierwsza z nich oznacza, że przetwarzając nie można zbierać danych, które są niepotrzebne oraz umieć wykazać zasadność i potrzebę przetwarzania posiadanych. Druga to dbanie o ochronę danych już na etapie projektowania np. usługi, a więc jasność przebiegu danych w wersji demo, beta, MVP produktu. Dobrą informacją jest dokonanie przez spółkę audytu zbieranych danych w tym zakresie. I nietworzenie niefinalnych wersji czegokolwiek, w których obróbka danych nie byłaby już w wersji ostatecznej. Poza tym używa pseudonimizacji, ograniczenia nieupoważnionym dostępu do zbiorów i bezpiecznych własnych serwerów.
Podsumowując – niezbyt często mamy do czynienia z tak przejrzystą procedurą korzystania z baz i jasnymi źródłami ich pochodzenia. Działania DMSales są po prostu wiarygodne i zaufane, a z tego wynika zgodność z RODO.