Celem tej strony jest pomoc w uzyskaniu jasnego spojrzenia na konsekwencje prawne podczas licencjonowania jednego lub więcej rozwiązań z naszych Footprints for Retail Product.
Zgodność z RODO
Kliknij dowolny z poniższych linków, aby przejść bezpośrednio do jednej z następujących sekcji:
CO TO JEST RODO?
PRYWATNOŚĆ WEDŁUG PROJEKTU I PRYWATNOŚĆ DOMYŚLNIE
PRZETWARZANIE DANYCH W CELACH MARKETINGOWYCH
CO TO SĄ DANE OSOBOWE?
PODSTAWA PRAWNA PRZETWARZANIA
UDOSTĘPNIANIE DANYCH APLIKACJOM INNYCH FIRM
Co to jest RODO?
Ogólne rozporządzenie o ochronie danych (RODO) to ramy prawne, które określają wytyczne dotyczące gromadzenia i przetwarzania danych osobowych osób fizycznych w Unii Europejskiej (UE). Artykuł 5 RODO określa sześć zasad ochrony danych. Zasady te stanowią podstawę RODO i wymagają, aby dane osobowe były:
— przetwarzane zgodnie z prawem, sprawiedliwie i przejrzysty sposób;
— wykorzystywane w celu, dla którego zostały zebrane (a cel ten jest wyraźnie określony i uzasadniony);
— istotne i ograniczone do tego, co jest konieczne w odniesieniu do celów, dla których są przetwarzane;
— dokładne i, w razie potrzeby, aktualne;
— przechowywane nie dłużej niż jest to konieczne do celów, w których dane osobowe są przetwarzane;
i przetwarzane w sposób, który chroni bezpieczeństwo i poufność danych osobowych.
Działamy w tych ramach, w których administrator danych osobowych jest odpowiedzialny za przestrzeganie powyższych sześciu zasad. Ponadto administrator danych osobowych będzie zobowiązany do wykazania zgodności z tymi zasadami, dlatego ważne jest, aby obowiązywały odpowiednie polityki.
— przetwarzane zgodnie z prawem, sprawiedliwie i przejrzysty sposób;
— wykorzystywane w celu, dla którego zostały zebrane (a cel ten jest wyraźnie określony i uzasadniony);
— istotne i ograniczone do tego, co jest konieczne w odniesieniu do celów, dla których są przetwarzane;
— dokładne i, w razie potrzeby, aktualne;
— przechowywane nie dłużej niż jest to konieczne do celów, w których dane osobowe są przetwarzane;
i przetwarzane w sposób, który chroni bezpieczeństwo i poufność danych osobowych.
Działamy w tych ramach, w których administrator danych osobowych jest odpowiedzialny za przestrzeganie powyższych sześciu zasad. Ponadto administrator danych osobowych będzie zobowiązany do wykazania zgodności z tymi zasadami, dlatego ważne jest, aby obowiązywały odpowiednie polityki.
Prywatność według projektu i prywatność domyślnie
Wdrażamy środki techniczne i organizacyjne na najwcześniejszych etapach projektowania operacji przetwarzania, w taki sposób, aby od samego początku chronić zasady prywatności i ochrony danych („ochrona danych przez projekt”). Zapewniamy, że dane osobowe są przetwarzane z zachowaniem najwyższej ochrony prywatności (np. przetwarzane są tylko niezbędne dane, krótki okres przechowywania, ograniczona dostępność), aby domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie osób („domyślna ochrona danych”).
Prywatność według projektu stwierdza, że wszelkie działania podejmowane przez firmę związane z przetwarzaniem danych osobowych muszą być podejmowane z myślą o ochronie danych i prywatności na każdym kroku. Obejmuje to projekty wewnętrzne, rozwój produktów, tworzenie oprogramowania, systemy informatyczne i wiele więcej. W praktyce oznacza to, że dział IT lub każdy dział przetwarzający dane osobowe musi zapewnić wbudowanie prywatności w systemie przez cały cykl życia systemu lub procesu.
Prywatność domyślnie oznacza, że po publicznym udostępnieniu produktu lub usługi powinny obowiązywać najbardziej rygorystyczne ustawienia prywatności, bez ręcznego wprowadzania danych przez użytkownika końcowego. Ponadto wszelkie dane osobowe przekazane przez użytkownika w celu umożliwienia optymalnego wykorzystania produktu powinny być przechowywane tylko przez czas niezbędny do dostarczenia produktu lub usługi. Jeśli przetwarza się więcej informacji niż jest to konieczne do świadczenia usługi, wówczas naruszono „domyślną prywatność”.
Relacja administratora/podmiot przetwarzający dane
Prywatność według projektu stwierdza, że wszelkie działania podejmowane przez firmę związane z przetwarzaniem danych osobowych muszą być podejmowane z myślą o ochronie danych i prywatności na każdym kroku. Obejmuje to projekty wewnętrzne, rozwój produktów, tworzenie oprogramowania, systemy informatyczne i wiele więcej. W praktyce oznacza to, że dział IT lub każdy dział przetwarzający dane osobowe musi zapewnić wbudowanie prywatności w systemie przez cały cykl życia systemu lub procesu.
Prywatność domyślnie oznacza, że po publicznym udostępnieniu produktu lub usługi powinny obowiązywać najbardziej rygorystyczne ustawienia prywatności, bez ręcznego wprowadzania danych przez użytkownika końcowego. Ponadto wszelkie dane osobowe przekazane przez użytkownika w celu umożliwienia optymalnego wykorzystania produktu powinny być przechowywane tylko przez czas niezbędny do dostarczenia produktu lub usługi. Jeśli przetwarza się więcej informacji niż jest to konieczne do świadczenia usługi, wówczas naruszono „domyślną prywatność”.
Relacja administratora/podmiot przetwarzający dane
Administrator danych określa cele i sposoby przetwarzania danych osobowych. Jeśli więc Twoja firma zdecyduje „dlaczego” i „w jaki sposób” dane osobowe powinny być przetwarzane, jest to administrator danych.
Twoja firma jest wspólnym administratorem, gdy wraz z jedną lub kilkoma organizacjami wspólnie określa „dlaczego” i „w jaki sposób” dane osobowe powinny być przetwarzane. Wspólni administratorzy muszą zawrzeć porozumienie określające ich odpowiednie obowiązki w zakresie przestrzegania zasad RODO. Główne aspekty porozumienia muszą zostać przekazane osobom, których dane są przetwarzane.
Podmiot przetwarzający dane przetwarza dane osobowe wyłącznie w imieniu administratora.
Specyficzne dla naszych rozwiązań działania, które podejmujemy, są prawnie określone jako przetwarzanie danych dla Omnichannel CRM, Marketing oparty na lokalizacji i aplikacji lojalnościowej oraz jako wspólny kontroler dla Ecosystem Analytics. Obowiązki podmiotu przetwarzającego wobec administratora i rola wspólnego administratora muszą być określone w umowie lub innym akcie prawnym. Proponujemy konkretne umowy dotyczące przetwarzania danych, które wyjaśniają rolę każdej zaangażowanej firmy.
Podmiot przetwarzający dane przetwarza dane osobowe wyłącznie w imieniu administratora.
Specyficzne dla naszych rozwiązań działania, które podejmujemy, są prawnie określone jako przetwarzanie danych dla Omnichannel CRM, Marketing oparty na lokalizacji i aplikacji lojalnościowej oraz jako wspólny kontroler dla Ecosystem Analytics. Obowiązki podmiotu przetwarzającego wobec administratora i rola wspólnego administratora muszą być określone w umowie lub innym akcie prawnym. Proponujemy konkretne umowy dotyczące przetwarzania danych, które wyjaśniają rolę każdej zaangażowanej firmy.
Przetwarzanie danych w celach marketingowych
Do celów marketingu bezpośredniego dane osobowe są często gromadzone od osoby, której dane dotyczą (klienta). Na przykład, kupując niektóre przedmioty, osoba zostawia swoje dane kontaktowe i chce otrzymać powiadomienie o nowych towarach.
Dane osobowe muszą być przetwarzane zgodnie z prawem i sprawiedliwością, w ilości niezbędnej do osiągnięcia celu marketingu bezpośredniego. RODO stanowi, że przetwarzane dane muszą być adekwatne do celu i proporcjonalne. Należy zapewnić autentyczność i dokładność danych. Dane muszą być przechowywane przez okres wymagany do osiągnięcia celów marketingu bezpośredniego.
Dostawca marketingu bezpośredniego (administrator) jest zobowiązany do:
— dostarczanie klientowi pełnej informacji o źródłach danych;
— przekazać klientowi jego dane kontaktowe;
— zapewnić klientowi możliwość żądania zaprzestania korzystania z danych w formie, która służy do marketingu bezpośredniego i/lub określenia dostępnych i odpowiednich środków takiego żądania (np. przy wysyłaniu powiadomienia handlowego wskazać numer telefonu lub stronę internetową, gdzie można odmówić otrzymania takich powiadomień);
— Podejmować środki organizacyjne lub techniczne pozwalające na ochronę danych przed przypadkowym lub nielegalnym zniszczeniem, zmianą, ujawnieniem, uzyskaniem, jakąkolwiek inną formą nielegalnego wykorzystania lub przypadkową lub nielegalną utratą.
— zaprzestanie przetwarzania danych osobowych Klienta w celach marketingu bezpośredniego na żądanie (zaprzestanie przetwarzania danych nawet w przypadku, gdy marketing bezpośredni odbywa się za pośrednictwem agencji reklamowych), co obejmuje usunięcie danych z bazy danych i zakończenie powiadomień.
Dane osobowe muszą być przetwarzane zgodnie z prawem i sprawiedliwością, w ilości niezbędnej do osiągnięcia celu marketingu bezpośredniego. RODO stanowi, że przetwarzane dane muszą być adekwatne do celu i proporcjonalne. Należy zapewnić autentyczność i dokładność danych. Dane muszą być przechowywane przez okres wymagany do osiągnięcia celów marketingu bezpośredniego.
Dostawca marketingu bezpośredniego (administrator) jest zobowiązany do:
— dostarczanie klientowi pełnej informacji o źródłach danych;
— przekazać klientowi jego dane kontaktowe;
— zapewnić klientowi możliwość żądania zaprzestania korzystania z danych w formie, która służy do marketingu bezpośredniego i/lub określenia dostępnych i odpowiednich środków takiego żądania (np. przy wysyłaniu powiadomienia handlowego wskazać numer telefonu lub stronę internetową, gdzie można odmówić otrzymania takich powiadomień);
— Podejmować środki organizacyjne lub techniczne pozwalające na ochronę danych przed przypadkowym lub nielegalnym zniszczeniem, zmianą, ujawnieniem, uzyskaniem, jakąkolwiek inną formą nielegalnego wykorzystania lub przypadkową lub nielegalną utratą.
— zaprzestanie przetwarzania danych osobowych Klienta w celach marketingu bezpośredniego na żądanie (zaprzestanie przetwarzania danych nawet w przypadku, gdy marketing bezpośredni odbywa się za pośrednictwem agencji reklamowych), co obejmuje usunięcie danych z bazy danych i zakończenie powiadomień.
Co to są dane osobowe?
Dane osobowe są zdefiniowane w RODO jako: „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoba, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator online lub jeden lub więcej czynników specyficznych dla tożsamości fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tej osoby fizycznej”.
RODO obejmuje przetwarzanie danych osobowych na dwa sposoby:
— dane osobowe przetwarzane w całości lub częściowo w sposób zautomatyzowany (informacje w formie elektronicznej) — taki jest nasz przypadek
— dane osobowe przetwarzane w sposób niezautomatyzowany, które stanowią część lub mają stanowić część „systemu archiwizacji” (informacja ręczna w systemie archiwizacji).
Przykłady rodzajów danych osobowych gromadzonych w formie elektronicznej za pomocą naszych narzędzi:
— Dane klasyczne: imię, nazwisko, data/miejsce urodzenia, adres, telefon, zawód itp.
— Dane cyfrowe: e-mail, profile mediów społecznościowych itp.
— Sensible Data: Dane biometryczne (Zdjęcia użytkownika)
RODO obejmuje przetwarzanie danych osobowych na dwa sposoby:
— dane osobowe przetwarzane w całości lub częściowo w sposób zautomatyzowany (informacje w formie elektronicznej) — taki jest nasz przypadek
— dane osobowe przetwarzane w sposób niezautomatyzowany, które stanowią część lub mają stanowić część „systemu archiwizacji” (informacja ręczna w systemie archiwizacji).
Przykłady rodzajów danych osobowych gromadzonych w formie elektronicznej za pomocą naszych narzędzi:
— Dane klasyczne: imię, nazwisko, data/miejsce urodzenia, adres, telefon, zawód itp.
— Dane cyfrowe: e-mail, profile mediów społecznościowych itp.
— Sensible Data: Dane biometryczne (Zdjęcia użytkownika)
Podstawa prawna przetwarzania
Istnieje sześć dostępnych prawnych podstaw przetwarzania. Żadna pojedyncza podstawa nie jest „lepsza” ani ważniejsza od innych - to, która podstawa jest najbardziej odpowiednia do wykorzystania, zależy od twojego celu i relacji z jednostką. Musisz określić swoją podstawę prawną przed rozpoczęciem przetwarzania i powinieneś ją udokumentować. Uważaj, aby zrobić to dobrze za pierwszym razem - nie powinieneś zamieniać się na inną podstawę prawną w późniejszym terminie bez uzasadnionego powodu. Jeśli przetwarzasz dane kategorii specjalnej, musisz zidentyfikować zarówno podstawę prawną ogólnego przetwarzania, jak i dodatkowy warunek przetwarzania tego typu danych.
Przetwarzanie danych osobowych jest zgodne z prawem, jeśli opiera się na jednej z ograniczonych następujących podstaw prawnych:
— niezbędne do celów uzasadnionego interesu realizowanego przez administratora;
— zgoda osoby, której dane dotyczą;
— przetwarzanie jest niezbędne do wykonania umowy z osobą, której dane dotyczą, lub do podjęcia kroków przygotowawczych do zawarcia takiej umowy;
— niezbędne do wypełnienia obowiązku prawnego
— niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby;
— niezbędne do wykonania zadania wykonywanego w interesie publicznym lub w ramach wykonywania władzy urzędowej powierzonej administratorowi;
W przypadku czynności przetwarzania związanych ze szczególnymi kategoriami danych mają zastosowanie różne podstawy. Przetwarzanie szczególnych kategorii danych osobowych musi opierać się na jednej z ograniczonych podstaw prawnych:
— wyraźna zgoda osoby, której dane dotyczą;
— niezbędne do wykonywania zobowiązań wynikających z prawa zatrudnienia, zabezpieczenia społecznego lub ochrony socjalnej lub układu zbiorowego;
— niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
— przetwarzanie prowadzone przez organizację non-profit mającą na celu polityczny, filozoficzny, religijny lub związkowy, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków;
— dane osobowe wyraźnie podane do wiadomości publicznej przez osobę, której dane dotyczą;
— niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych lub w przypadku gdy sądy działają w charakterze sądowym;
— niezbędne ze względu na istotny interes publiczny;
— niezbędne do celów profilaktyki lub medycyny pracy, oceny zdolności do pracy pracownika, diagnostyki medycznej, świadczenia opieki zdrowotnej lub opieki społecznej lub leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub opieki społecznej lub umowy z pracownikiem służby zdrowia;
— niezbędne ze względów interesu publicznego w dziedzinie zdrowia publicznego;
— niezbędne do celów archiwizacji w interesie publicznym, do celów badań naukowych i historycznych lub do celów statystycznych.
Przetwarzanie danych osobowych jest zgodne z prawem, jeśli opiera się na jednej z ograniczonych następujących podstaw prawnych:
— niezbędne do celów uzasadnionego interesu realizowanego przez administratora;
— zgoda osoby, której dane dotyczą;
— przetwarzanie jest niezbędne do wykonania umowy z osobą, której dane dotyczą, lub do podjęcia kroków przygotowawczych do zawarcia takiej umowy;
— niezbędne do wypełnienia obowiązku prawnego
— niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby;
— niezbędne do wykonania zadania wykonywanego w interesie publicznym lub w ramach wykonywania władzy urzędowej powierzonej administratorowi;
W przypadku czynności przetwarzania związanych ze szczególnymi kategoriami danych mają zastosowanie różne podstawy. Przetwarzanie szczególnych kategorii danych osobowych musi opierać się na jednej z ograniczonych podstaw prawnych:
— wyraźna zgoda osoby, której dane dotyczą;
— niezbędne do wykonywania zobowiązań wynikających z prawa zatrudnienia, zabezpieczenia społecznego lub ochrony socjalnej lub układu zbiorowego;
— niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
— przetwarzanie prowadzone przez organizację non-profit mającą na celu polityczny, filozoficzny, religijny lub związkowy, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków;
— dane osobowe wyraźnie podane do wiadomości publicznej przez osobę, której dane dotyczą;
— niezbędne do ustalenia, dochodzenia lub obrony roszczeń prawnych lub w przypadku gdy sądy działają w charakterze sądowym;
— niezbędne ze względu na istotny interes publiczny;
— niezbędne do celów profilaktyki lub medycyny pracy, oceny zdolności do pracy pracownika, diagnostyki medycznej, świadczenia opieki zdrowotnej lub opieki społecznej lub leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub opieki społecznej lub umowy z pracownikiem służby zdrowia;
— niezbędne ze względów interesu publicznego w dziedzinie zdrowia publicznego;
— niezbędne do celów archiwizacji w interesie publicznym, do celów badań naukowych i historycznych lub do celów statystycznych.
Udostępnianie danych aplikacjom innych firm
W tej chwili używamy trzech rodzajów integracji:
— Integracja z właściwościami cyfrowymi należącymi do klienta (strony internetowe, aplikacje lojalnościowe, inne zbieracze danych)
— Integracja z aplikacjami marketingu bezpośredniego, które dostarczają e-maile i wiadomości SMS do klientów (Telcor & Campaign Monitor)
— Integracja w celach remarketingowych i raportowania z usługami Facebook, Google i LinkedIn (poprzez Footprints for Retail App lub API).
— Integracja z właściwościami cyfrowymi należącymi do klienta (strony internetowe, aplikacje lojalnościowe, inne zbieracze danych)
— Integracja z aplikacjami marketingu bezpośredniego, które dostarczają e-maile i wiadomości SMS do klientów (Telcor & Campaign Monitor)
— Integracja w celach remarketingowych i raportowania z usługami Facebook, Google i LinkedIn (poprzez Footprints for Retail App lub API).
