W jaki sposób poradzili sobie z RODO, czyli o tym, jak PSPR przetwarza dane – case study
W pierwszych dniach maja Polskie Stowarzyszenie Public Relations uruchomiło swoją nową witrynę internetową. W tym wydarzeniu nie byłoby nic wyjątkowego, gdyby nie fakt, że stała się ona dosyć wyjątkowym narzędziem do gromadzenia danych osobowych oraz wspomagania Stowarzyszenia w wypełnianiu jego obowiązków jako administratora tych danych.
Obowiązki spoczywające na administratorze wynikają z aktualnego ustawodawstwa dotyczącego ochrony danych osobowych, które PSPR przetwarza, realizując swoje cele statutowe. Są to nie tylko dane osobowe członków Stowarzyszenia, ale też dziennikarzy i sympatyków.
Z punktu widzenia stowarzyszenia branżowego, którego działanie opiera się na pracy społecznej i zaangażowaniu członków, a misją jest budowa wizerunku profesjonalnej branży komunikacji i zawodu PR-owca, wyzwaniem było takie zorganizowanie przetwarzania, aby nie powodowało ono kłopotów operacyjnych, ale także zapewniało elastyczność i było zgodne z prawem.
Zastosowanie nowego sposobu organizacji przetwarzania miało też pokazać, że wprowadzone niedawno przepisy o ochronie danych osobowych są prawem korzystnym dla branży, a zapewnienie zgodności z nim wbrew pozorom nie jest takie trudne.
Branża public relations cały czas nie uzmysławia sobie korzyści płynących z RODO. W praktyce legalizuje ono bowiem możliwość gromadzenia i wykorzystywania danych pozyskiwanych ze źródeł publicznych. Jednak zauważalnym wynikiem wprowadzenia RODO było znikanie formularzy subskrypcji w witrynach biur prasowych wielu firm, a to właśnie stosowanie tych formularzy jawi się jako najbezpieczniejszy sposób na zbieranie danych.
Jakie dane osobowe przetwarza PSPR w swojej witrynie?
Jak zwykle najtrudniejszą kwestią było określenie zbiorów, które będzie przetwarzała organizacja w ramach realizacji swoich celów. W szczególności dotyczyło to kategorii i zakresu przetwarzanych danych oraz celów i podstaw przetwarzania. Analizując temat, zwracano uwagę na to, aby zakres przetwarzanych danych nie był nadmiarowy, czyli aby była spełniona zasada minimalizacji.
Członkowie Stowarzyszenia – zbiór obejmuje dane aktywnych członków Stowarzyszenia oraz kandydatów na członków
- zakres: imię, nazwisko, e-mail, telefon kontaktowy, stanowisko, profil w social media lub opis doświadczenia zawodowego, adres korespondencyjny, specjalizacja zawodowa, specjalizacja sektorowa
- cel przetwarzania: realizacja statutowych celów Polskiego Stowarzyszenia Public Relations, w tym komunikowanie się – również drogą elektroniczną – w sprawach organizacyjnych (np. związanych z przystąpieniem do Stowarzyszenia) oraz dotyczących działalności Stowarzyszenia
- podstawa prawna: art. 6 pkt. 1 lit. b RODO (na podstawie zawartej umowy)
Odbiorcy newslettera – subskrybenci newslettera Stowarzyszenia pozyskani przez serwis internetowy
- zakres: adres e-mail
- cel przetwarzania: wysyłka newslettera ogólnego Stowarzyszenia
- podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie)
Dziennikarze, którzy wyrazili zgodę
- zakres: imię, nazwisko, e-mail, telefon kontaktowy, nazwa redakcji, specjalizacja tematyczna
- cel przetwarzania: wysyłka drogą elektroniczną newslettera zawierającego informacje o działalności Stowarzyszenia, a także podtrzymywanie kontaktu i dobrych relacji na podstawie udzielonej zgody
- podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie)
Redakcje i dziennikarze
- zakres: imię, nazwisko, e-mail, telefon kontaktowy, nazwa, adres pocztowy, telefon do redakcji, rodzaj medium, geograficzny zakres działalności, specjalizacja tematyczna
- cel przetwarzania: prowadzenie działań z zakresu public relations, a w szczególności udostępnianie informacji o działalności Polskiego Stowarzyszenia Public Relations
- podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora)
W trakcie analizy struktury danych zwrócono szczególną uwagę na fakt, że dane tej samej osoby mogą być przetwarzane w więcej niż tylko jednym celu i realizacja każdego z nich może wymagać innego zakresu danych.
Klauzule informacyjne i warunki wyraźnej zgody
Istotnym elementem, jeśli chodzi o zmianę sposobu przetwarzania danych przez Stowarzyszenie, było również przygotowanie klauzul informacyjnych. To te informacje, które powinny znaleźć się:
- w formularzach subskrypcji na stronach internetowych PSPR,
- w mailach wysyłanych w ramach realizacji obowiązków informacyjnych względem osób, których dane są przetwarzane na podstawie prawnie uzasadnionego interesu administratora,
- w udzielanych informacjach na temat przetwarzania danych osób przez Stowarzyszenie przy realizacji ich praw.
Ww. to bardzo podobne teksty, ale jednak różniące się w kilku szczegółach. To, co powinno się w nich znaleźć, jest dokładnie sprecyzowane w art. 13. i 14. RODO. Jednak chyba najtrudniejszą kwestią jest takie sformułowanie klauzuli, aby była ona zrozumiała. To wymóg aktualnego prawodawstwa, który wcale nie jest taki łatwy do spełnienia, choć z pozoru to tylko zredagowanie i sformatowanie tekstu, a Stowarzyszenie to eksperci od komunikowania.
Oprócz przygotowania klauzul informacyjnych wyświetlanych w formularzach subskrypcji oraz wniosku członkowskiego konieczne było również zapewnienie warunków do odebrania tzw. wyraźnej zgody. W przypadku formularzy na stronie Stowarzyszenia wykorzystano checkbox z opisem zgody, którą wyraża osoba poprzez jego zaznaczenie. Opracowanie struktury danych i klauzul bardzo ułatwia i przyspiesza konfigurację oprogramowania wspomagającego administratora w zadaniach związanych z przetwarzaniem danych.
Oprogramowanie do przetwarzania danych
Aby zapewnić bezproblemowe wykorzystanie danych w działalności Stowarzyszenia, zastosowano uniwersalne oprogramowanie zaprojektowane pod wymogi RODO przez netPR.pl. Oprogramowanie to w pierwszej kolejności pozwoliło wiernie odwzorować strukturę przetwarzanych danych i w praktyce zapewniło spełnienie wymogu minimalizacji przetwarzanych danych dla każdego ze zbiorów.
Uwaga! Zwykle oprogramowanie nieprzystosowane do wymogów RODO nie daje możliwości dostosowania zakresu przetwarzanych danych do celów przetwarzania. W rezultacie struktura danych w interfejsie dostępnym dla operatorów oprogramowania jest szersza niż dane faktycznie określone w celu przetwarzania. To automatycznie naraża firmy korzystające z takich rozwiązań na niepotrzebne naruszenia RODO.
Formularze – wypełnienie obowiązku informacyjnego i odebranie zgody
Oprogramowanie witryny Stowarzyszenia pozwala na elastyczne tworzenie formularzy subskrypcji, przypinanie do nich klauzul informacyjnych oraz odbieranie zgód w sposób wyraźny. Zostało wykorzystane do stworzenia aż 3 formularzy – wniosku członkowskiego, formularza zbierającego kontakty od dziennikarzy oraz formularza gromadzącego adresy e-mail odbiorców newslettera.
Każdy formularz zawiera stosowne zgody, a także kieruje do osobnych profili/zbiorów, które funkcjonują jednak w jednej centralnej bazie danych osobowych.
Takie rozwiązanie powoduje, że osoba, której dane są przetwarzane, może być jednocześnie np. kandydatem na członka Stowarzyszenia oraz odbiorcą newslettera – jednym rekordem w centralnej bazie, ale z przejrzyście rozdzielonym profilem, z którym związany jest cel i podstawa przetwarzania. Takie podejście zapewnia wygodne zarządzanie danymi (oraz wyrażonymi zgodami) nie tylko przez PSPR, ale także osoby, których dane są przetwarzane. Mogą one w dowolnym momencie zobaczyć, jak się to odbywa za pomocą panelu prywatności.
Prawo dostępu do informacji zautomatyzowane
Kto, w jakim zakresie i w jakim celu przetwarza moje dane? Takie pytanie od dowolnego kontaktu może zostać zadane w dowolnej chwili. Udostępnienie takich informacji to obowiązek administratora, ale jak zrobić to bezpiecznie, a jednocześnie nie dołożyć sobie dużego zestawu dość skomplikowanych obowiązków?
W praktyce nie jest łatwo zapewnić realizację tego obowiązku z uwagi na to, że informacji tych nie można wysłać mailem, a konieczność szyfrowania danych wymaga dysponowania dwoma kanałami komunikacji. W rezultacie przesłanie prostego zestawu danych staje się problematyczne i złożone.
W rozwiązaniu wykorzystywanym przez PSPR zastosowano zdalny dostęp do danych. W rezultacie każda osoba, której dane są przetwarzane, w dowolnym momencie może zobaczyć, które jej dane są przetwarzane, w jakich celach i w jaki sposób. Może także realizować swoje prawa, tj. prawo do usunięcia, sprzeciwu, zablokowania wysyłki mailowej.
Co najważniejsze, sposób dostępu do danych przez panel prywatności spełnia wymogi bezpieczeństwa, a zarazem jest wygodny dla osób, których dane są przetwarzane. Link do panelu prywatności znajduje się w każdym mailu wysyłanym z oprogramowania witryny Stowarzyszenia. Link ten może być również wykorzystany w razie potrzeby w odpowiedzi mailowej na zadane pytanie dotyczące szczegółów przetwarzania danych.
Funkcjonalność panelu prywatności umożliwia wysłanie linku zabezpieczonego tokenem czasowym na adres mailowy osoby, której dane są przetwarzane. Klikniecie w link umożliwia zdalny i bezpieczny dostęp do szczegółów przetwarzania danych.
Procesy i procedury
Chociaż dobrze zaprojektowana struktura danych i właściwie zaimplementowane oprogramowanie upraszczają, a czasami wręcz eliminują złożone i trudne do zrozumienia procesy wynikające z RODO, to jednak praca z danymi wymaga też przestrzegania pewnych uniwersalnych zasad. Użytkownicy oprogramowania w szczególności muszą wiedzieć, jak zachować się w niektórych typowych sytuacjach, takich jak powiększanie bazy, chęć zostania usuniętym z bazy przez osobę, dodanie nowego zbioru/profilu odbiorców itd.
Zestaw działań i procesów dotyczących tych sytuacji powinien być określony w każdej organizacji przetwarzającej dane. W przypadku Polskiego Stowarzyszenia Public Relations jest o tyle łatwiej, że niektóre z nich zostały zautomatyzowane i uproszczone. Ponadto razem z oprogramowaniem został dostarczony edytowalny plik zawierający zestaw typowych działań związanych z obsługą, co znacznie ułatwia opracowanie własnych procesów.
Podsumowanie
Opisane rozwiązanie stosowane przez Polskie Stowarzyszenie Public Relations wykorzystuje technologię rozwijaną przez netPR.pl, która prze ostatnie 2,5 roku została gruntownie przebudowana i przystosowana do wymogów RODO. Witryna Stowarzyszenia spełnia wymagania mobilności i jest dostosowana do Google Mobile-First Index, z czym ma cały czas problem większość serwisów w Polsce.
Wdrożenie rozwiązania – skonfigurowanie struktury danych oraz serwisu www, a także podłączenie formularzy – zabrało łącznie ok. 20 godzin i praktycznie nie wymagało prac programistycznych i kompetencji technicznych. Serwis wykorzystuje standardową wizualizację, która została dostosowana funkcjonalnie i kolorystycznie do potrzeb Stowarzyszenia.
netPR.pl jest od kwietnia 2019 roku partnerem technologicznym Polskiego Stowarzyszenia Public Relations.