Dopytaj lub wyceń usługi netPR.pl

Jeśli masz pytania lub chcesz otrzymać wycenę, wypełnij formularz


W jaki sposób poradzili sobie z RODO, czyli o tym, jak PSPR przetwarza dane – case study

16 maja 2019

W pierwszych dniach maja Polskie Stowarzyszenie Public Relations uruchomiło swoją nową witrynę internetową. W tym wydarzeniu nie byłoby nic wyjątkowego, gdyby nie fakt, że stała się ona dosyć wyjątkowym narzędziem do gromadzenia danych osobowych oraz wspomagania Stowarzyszenia w wypełnianiu jego obowiązków jako administratora tych danych.

Obowiązki spoczywające na administratorze wynikają z aktualnego ustawodawstwa dotyczącego ochrony danych osobowych, które PSPR przetwarza, realizując swoje cele statutowe. Są to nie tylko dane osobowe członków Stowarzyszenia, ale też dziennikarzy i sympatyków.

Z punktu widzenia stowarzyszenia branżowego, którego działanie opiera się na pracy społecznej i zaangażowaniu członków, a misją jest budowa wizerunku profesjonalnej branży komunikacji i zawodu PR-owca, wyzwaniem było takie zorganizowanie przetwarzania, aby nie powodowało ono kłopotów operacyjnych, ale także zapewniało elastyczność i było zgodne z prawem.

Zastosowanie nowego sposobu organizacji przetwarzania miało też pokazać, że wprowadzone niedawno przepisy o ochronie danych osobowych są prawem korzystnym dla branży, a zapewnienie zgodności z nim wbrew pozorom nie jest takie trudne.

Branża public relations cały czas nie uzmysławia sobie korzyści płynących z RODO. W praktyce legalizuje ono bowiem możliwość gromadzenia i wykorzystywania danych pozyskiwanych ze źródeł publicznych. Jednak zauważalnym wynikiem wprowadzenia RODO było znikanie formularzy subskrypcji w witrynach biur prasowych wielu firm, a to właśnie stosowanie tych formularzy jawi się jako najbezpieczniejszy sposób na zbieranie danych.witryna PSPR.jpeg

Jakie dane osobowe przetwarza PSPR w swojej witrynie?

Jak zwykle najtrudniejszą kwestią było określenie zbiorów, które będzie przetwarzała organizacja w ramach realizacji swoich celów. W szczególności dotyczyło to kategorii i zakresu przetwarzanych danych oraz celów i podstaw przetwarzania. Analizując temat, zwracano uwagę na to, aby zakres przetwarzanych danych nie był nadmiarowy, czyli aby była spełniona zasada minimalizacji.

Członkowie Stowarzyszenia – zbiór obejmuje dane aktywnych członków Stowarzyszenia oraz kandydatów na członków

  • zakres: imię, nazwisko, e-mail, telefon kontaktowy, stanowisko, profil w social media lub opis doświadczenia zawodowego, adres korespondencyjny, specjalizacja zawodowa, specjalizacja sektorowa
  • cel przetwarzania: realizacja statutowych celów Polskiego Stowarzyszenia Public Relations, w tym komunikowanie się – również drogą elektroniczną – w sprawach organizacyjnych (np. związanych z przystąpieniem do Stowarzyszenia) oraz dotyczących działalności Stowarzyszenia
  • podstawa prawna: art. 6 pkt. 1 lit. b RODO (na podstawie zawartej umowy)

Odbiorcy newslettera – subskrybenci newslettera Stowarzyszenia pozyskani przez serwis internetowy

  • zakres: adres e-mail
  • cel przetwarzania: wysyłka newslettera ogólnego Stowarzyszenia
  • podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie)

Dziennikarze, którzy wyrazili zgodę

  • zakres: imię, nazwisko, e-mail, telefon kontaktowy, nazwa redakcji, specjalizacja tematyczna
  • cel przetwarzania: wysyłka drogą elektroniczną newslettera zawierającego informacje o działalności Stowarzyszenia, a także podtrzymywanie kontaktu i dobrych relacji na podstawie udzielonej zgody
  • podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda na przetwarzanie)

Redakcje i dziennikarze

  • zakres: imię, nazwisko, e-mail, telefon kontaktowy, nazwa, adres pocztowy, telefon do redakcji, rodzaj medium, geograficzny zakres działalności, specjalizacja tematyczna
  • cel przetwarzania: prowadzenie działań z zakresu public relations, a w szczególności udostępnianie informacji o działalności Polskiego Stowarzyszenia Public Relations
  • podstawa prawna: art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora)

W trakcie analizy struktury danych zwrócono szczególną uwagę na fakt, że dane tej samej osoby mogą być przetwarzane w więcej niż tylko jednym celu i realizacja każdego z nich może wymagać innego zakresu danych.

 

kontakty - PSPR.jpeg

Klauzule informacyjne i warunki wyraźnej zgody

Istotnym elementem, jeśli chodzi o zmianę sposobu przetwarzania danych przez Stowarzyszenie, było również przygotowanie klauzul informacyjnych. To te informacje, które powinny znaleźć się:

  • w formularzach subskrypcji na stronach internetowych PSPR,
  • w mailach wysyłanych w ramach realizacji obowiązków informacyjnych względem osób, których dane są przetwarzane na podstawie prawnie uzasadnionego interesu administratora,
  • w udzielanych informacjach na temat przetwarzania danych osób przez Stowarzyszenie przy realizacji ich praw.

Ww. to bardzo podobne teksty, ale jednak różniące się w kilku szczegółach. To, co powinno się w nich znaleźć, jest dokładnie sprecyzowane w art. 13. i 14. RODO. Jednak chyba najtrudniejszą kwestią jest takie sformułowanie klauzuli, aby była ona zrozumiała. To wymóg aktualnego prawodawstwa, który wcale nie jest taki łatwy do spełnienia, choć z pozoru to tylko zredagowanie i sformatowanie tekstu, a Stowarzyszenie to eksperci od komunikowania.

Oprócz przygotowania klauzul informacyjnych wyświetlanych w formularzach subskrypcji oraz wniosku członkowskiego konieczne było również zapewnienie warunków do odebrania tzw. wyraźnej zgody. W przypadku formularzy na stronie Stowarzyszenia wykorzystano checkbox z opisem zgody, którą wyraża osoba poprzez jego zaznaczenie. Opracowanie struktury danych i klauzul bardzo ułatwia i przyspiesza konfigurację oprogramowania wspomagającego administratora w zadaniach związanych z przetwarzaniem danych.

 

Oprogramowanie do przetwarzania danych

Aby zapewnić bezproblemowe wykorzystanie danych w działalności Stowarzyszenia, zastosowano uniwersalne oprogramowanie zaprojektowane pod wymogi RODO przez netPR.pl. Oprogramowanie to w pierwszej kolejności pozwoliło wiernie odwzorować strukturę przetwarzanych danych i w praktyce zapewniło spełnienie wymogu minimalizacji przetwarzanych danych dla każdego ze zbiorów.

Uwaga! Zwykle oprogramowanie nieprzystosowane do wymogów RODO nie daje możliwości dostosowania zakresu przetwarzanych danych do celów przetwarzania. W rezultacie struktura danych w interfejsie dostępnym dla operatorów oprogramowania jest szersza niż dane faktycznie określone w celu przetwarzania. To automatycznie naraża firmy korzystające z takich rozwiązań na niepotrzebne naruszenia RODO.


Formularze – wypełnienie obowiązku informacyjnego i odebranie zgody

Oprogramowanie witryny Stowarzyszenia pozwala na elastyczne tworzenie formularzy subskrypcji, przypinanie do nich klauzul informacyjnych oraz odbieranie zgód w sposób wyraźny. Zostało wykorzystane do stworzenia aż 3 formularzy – wniosku członkowskiego, formularza zbierającego kontakty od dziennikarzy oraz formularza gromadzącego adresy e-mail odbiorców newslettera.

Każdy formularz zawiera stosowne zgody, a także kieruje do osobnych profili/zbiorów, które funkcjonują jednak w jednej centralnej bazie danych osobowych.

Takie rozwiązanie powoduje, że osoba, której dane są przetwarzane, może być jednocześnie np. kandydatem na członka Stowarzyszenia oraz odbiorcą newslettera – jednym rekordem w centralnej bazie, ale z przejrzyście rozdzielonym profilem, z którym związany jest cel i podstawa przetwarzania. Takie podejście zapewnia wygodne zarządzanie danymi (oraz wyrażonymi zgodami) nie tylko przez PSPR, ale także osoby, których dane są przetwarzane. Mogą one w dowolnym momencie zobaczyć, jak się to odbywa za pomocą panelu prywatności.

 

Prawo dostępu do informacji zautomatyzowane

Kto, w jakim zakresie i w jakim celu przetwarza moje dane? Takie pytanie od dowolnego kontaktu może zostać zadane w dowolnej chwili. Udostępnienie takich informacji to obowiązek administratora, ale jak zrobić to bezpiecznie, a jednocześnie nie dołożyć sobie dużego zestawu dość skomplikowanych obowiązków?

W praktyce nie jest łatwo zapewnić realizację tego obowiązku z uwagi na to, że informacji tych nie można wysłać mailem, a konieczność szyfrowania danych wymaga dysponowania dwoma kanałami komunikacji. W rezultacie przesłanie prostego zestawu danych staje się problematyczne i złożone.

sam panel - PSPR.jpg

W rozwiązaniu wykorzystywanym przez PSPR zastosowano zdalny dostęp do danych. W rezultacie każda osoba, której dane są przetwarzane, w dowolnym momencie może zobaczyć, które jej dane są przetwarzane, w jakich celach i w jaki sposób. Może także realizować swoje prawa, tj. prawo do usunięcia, sprzeciwu, zablokowania wysyłki mailowej.

Co najważniejsze, sposób dostępu do danych przez panel prywatności spełnia wymogi bezpieczeństwa, a zarazem jest wygodny dla osób, których dane są przetwarzane. Link do panelu prywatności znajduje się w każdym mailu wysyłanym z oprogramowania witryny Stowarzyszenia. Link ten może być również wykorzystany w razie potrzeby w odpowiedzi mailowej na zadane pytanie dotyczące szczegółów przetwarzania danych.

Funkcjonalność panelu prywatności umożliwia wysłanie linku zabezpieczonego tokenem czasowym na adres mailowy osoby, której dane są przetwarzane. Klikniecie w link umożliwia zdalny i bezpieczny dostęp do szczegółów przetwarzania danych.

 

Procesy i procedury

Chociaż dobrze zaprojektowana struktura danych i właściwie zaimplementowane oprogramowanie upraszczają, a czasami wręcz eliminują złożone i trudne do zrozumienia procesy wynikające z RODO, to jednak praca z danymi wymaga też przestrzegania pewnych uniwersalnych zasad. Użytkownicy oprogramowania w szczególności muszą wiedzieć, jak zachować się w niektórych typowych sytuacjach, takich jak powiększanie bazy, chęć zostania usuniętym z bazy przez osobę, dodanie nowego zbioru/profilu odbiorców itd.

Zestaw działań i procesów dotyczących tych sytuacji powinien być określony w każdej organizacji przetwarzającej dane. W przypadku Polskiego Stowarzyszenia Public Relations jest o tyle łatwiej, że niektóre z nich zostały zautomatyzowane i uproszczone. Ponadto razem z oprogramowaniem został dostarczony edytowalny plik zawierający zestaw typowych działań związanych z obsługą, co znacznie ułatwia opracowanie własnych procesów.

 

Podsumowanie

Opisane rozwiązanie stosowane przez Polskie Stowarzyszenie Public Relations wykorzystuje technologię rozwijaną przez netPR.pl, która prze ostatnie 2,5 roku została gruntownie przebudowana i przystosowana do wymogów RODO. Witryna Stowarzyszenia spełnia wymagania mobilności i jest dostosowana do Google Mobile-First Index, z czym ma cały czas problem większość serwisów w Polsce.

Wdrożenie rozwiązania – skonfigurowanie struktury danych oraz serwisu www, a także podłączenie formularzy – zabrało łącznie ok. 20 godzin i praktycznie nie wymagało prac programistycznych i kompetencji technicznych. Serwis wykorzystuje standardową wizualizację, która została dostosowana funkcjonalnie i kolorystycznie do potrzeb Stowarzyszenia.

 

netPR.pl jest od kwietnia 2019 roku partnerem technologicznym Polskiego Stowarzyszenia Public Relations.

Drukuj

Kolejny rok codziennej ochrony danych osobowych

31 stycznia 2023

Formularz zapytania, kontaktu, ankieta czy zgłoszenie do konkursu? Nieważne jaki. Każdy wyklikasz w 5 minut.

10 listopada 2021

Budujemy formularz zapisu na wydarzenie i potwierdzamy obecność uczestników

02 września 2021
Odwiedzając tę stronę, wyrażasz zgodę na używanie plików „cookies” zgodnie z ustawieniami Twojej przeglądarki. Jeśli nie chcesz, aby pliki „cookies” były zapisywane w pamięci Twojego urządzenia, możesz to zmienić za pomocą ustawień przeglądarki. Aby dowiedzieć się więcej zapoznaj się z naszą Polityką Ochrony Prywatności.
Zmień orientację urządzenia