Artykuł miesiąca Poradniki

Świąteczne życzenia a RODO: jak uniknąć naruszeń danych osobowych przed Świętami

  Incydenty Marketing Naruszenia RODO Obowiązek informacyjny Realizacja praw RODO Zabezpieczenia danych

Hej, wracamy z artykułami na blogu! Trochę nas tu nie było – pochłonęły nas obowiązki związane z udoskonalaniem wewnętrznych procedur niezbędnych do jeszcze efektywniejszej współpracy z Klientami, ale wracamy do gry!

Święta Bożego Narodzenia już za rogiem, a co za tym idzie –  przedświąteczny chaos: natłok pracy, wigilie firmowe, wybór prezentów dla bliskich, życzenia i… naruszenia ochrony danych osobowych. Wysyłanie życzeń świątecznych wydaje się być prozaicznym zadaniem, ale to właśnie w okresie przedświątecznym najłatwiej o „wpadki”, które mogą skutkować incydentami związanymi z ochroną danych osobowych, a nawet kryzysem wizerunkowym organizacji.

Grudzień to miesiąc z rekordową liczbą zgłaszanych naruszeń RODO [patrz Raport Związku Firm Ochrony Danych Osobowych: Raporty ZFODO], a oto winowajcy: domykanie projektów, podsumowania roczne, świąteczne działania marketingowe, a przede wszystkim: pośpiech. W większości przypadków są to naruszenia, którym można łatwo zapobiec dzięki odrobinie uważności – pora więc przypomnieć sobie kilka zasad, które mogą nas uchronić przed powstaniem naruszenia przy wysyłaniu życzeń.

Aspekty prawne wysyłania życzeń świątecznych w kontekście RODO

Prawnie uzasadniony interes a marketing świąteczny

Jaka jest podstawa prawna wysyłki życzeń świątecznych? Możemy oprzeć się w tym przypadku na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO), gdzie prawnie uzasadnionym interesem Administratora jest podtrzymywanie relacji biznesowych i budowanie wizerunku organizacji.

Kiedy potrzebujesz zgody na wysyłkę życzeń z ofertą handlową

Problem zaczyna się wtedy, gdy „życzeniom” towarzyszy realna oferta handlowa – wtedy musimy liczyć się z obowiązkiem przestrzegania przepisów ustawy Prawo komunikacji elektronicznej i zasad dotyczących zgód marketingowych.

Klasyczne, krótkie życzenia dla klientów czy kontrahentów można spokojnie oprzeć na prawnie uzasadnionym interesie, natomiast wszelki „twardy” marketing wymaga pozyskania zgody tych podmiotów danych. Można także rozważyć wpis procesu wysyłki życzeń świątecznych do Rejestru Czynności Przetwarzania – z rozróżnieniem na proces „wysyłka życzeń bożonarodzeniowych” i „wysyłka życzeń wielkanocnych” 😀

Jak bezpiecznie wysyłać życzenia świąteczne zgodnie z RODO

Używanie pola „Do” i „DW” – pułapki ochrony danych

Wysyłając życzenia do większej liczby odbiorców, zwróć szczególną uwagę na sposób w jaki adresujemy e-mail. Jeśli używasz pola („Do”) oraz kopii otwartej (DW), to – adresy e-mail adresatów stają się dostępne dla wszystkich odbiorców wiadomości, co poważnie narusza zasadę poufności danych osobowych.

Co należy zrobić? Przy wysyłce wiadomości skierowanej do wielu różnych odbiorców wysyłaj e-maile z użyciem UDW (ukryta kopia) – dzięki temu adresy e-mail odbiorców będą ukryte przed pozostałymi osobami, a dane osobowe nie będą ujawnione w sposób niezgodny z przepisami RODO.

Kontrola odbiorców i załączników przed wysyłką

Przed wysyłką korespondencji sprawdź dokładnie pola adresatów wiadomości w „Do”, „DW” i „UDW”. Zdarza się, że w pośpiechu wybierzemy niewłaściwego odbiorcę z listy lub pomylimy załączniki. Z perspektywy ochrony danych osobowych takie pomyłki mogą prowadzić do niekontrolowanego przekazania danych osobowych, co jest naruszeniem przepisów RODO.

Co należy zrobić? Zawsze sprawdzaj, czy adres e-mail odbiorcy jest poprawny, zwłaszcza gdy korzystasz z automatycznych podpowiedzi w programie pocztowym. Zanim klikniesz „wyślij”, upewnij się także, że załączniki są prawidłowe i zawierają tylko te dane, które powinny zostać przekazane. Jeśli przesyłasz pliki zawierające dane osobowe, zadbaj o ich odpowiednie szyfrowanie, a hasło do pliku przekaż innym kanałem komunikacji (np. telefonicznie lub za pomocą aplikacji do bezpiecznego przesyłania wiadomości).

Jak zabezpieczyć dane osobowe podczas wysyłki fizycznej

Wysyłając kartki z życzeniami czy drobne prezenty, które zawierają dane osobowe, zadbaj o to, by przesyłki dotarły do odbiorców w sposób bezpieczny. Warto pamiętać, że zagubienie przesyłki przez przewoźnika może skutkować ujawnieniem danych osobowych, zwłaszcza jeśli przesyłka zawiera dane w formie papierowej.

Naruszenia generowane przez firmy kurierskie to klasyk – były, są i będą. To, na co realnie mamy wpływ, to wybór dostawcy i wszelkie czynności następcze, tj.: przegląd umów, podstaw prawnych przekazywania danych, okresów przechowywania, a wreszcie – audyty. Coraz częściej kurierzy nie działają jako nasi procesorzy, ale jako odrębni administratorzy – jednak nie zwalnia nas to z obowiązku sprawdzenia, komu powierzamy dane naszych klientów/odbiorców korespondencji i na jakich zasadach. To dobry moment, żeby przypomnieć sobie o klasyfikacji ról ADO/procesor podczas współpracy z firmą kurierską – szerzej pisaliśmy o tym tutaj: Firmy kurierskie a RODO – poradnik

Co należy zrobić? Korzystaj z usług sprawdzonych operatorów, którzy oferują możliwość śledzenia przesyłki. Najlepiej nadawać paczki lub listy jako list polecony lub paczkę z numerem śledzenia. W ten sposób masz kontrolę nad tym, gdzie znajduje się przesyłka i możesz szybko zareagować w przypadku jej zaginięcia.

Skutki naruszeń ochrony danych podczas wysyłania życzeń

Potencjalne straty wizerunkowe związane z naruszeniem danych

Naruszenia związane z ochroną danych osobowych, mogą negatywnie wpłynąć na wizerunek firmy. Wyobraź sobie, że Twoje życzenia trafiają do niewłaściwych osób, a sprawa zostaje ujawniona w mediach społecznościowych. Oczywiście niewłaściwe wysłanie świątecznych życzeń to nie jest temat, który pojawi się na pierwszych stronach gazet, ale… może prowadzić to do utraty zaufania przez klientów, a Twoja firma może być kojarzona z „tą, która nie potrafił wysłać życzeń”.

Warto więc pamiętać o tym, że odpowiedzialność za dane osobowe to nie tylko kwestia zgodności z przepisami prawa, ale także kwestia budowania i utrzymywania dobrego wizerunku firmy.

Jak postępować, gdy dojdzie do naruszenia danych

Po pierwsze – nie panikuj. Wykonaj prostą ocenę ryzyka dla naruszenia, tj.:

  1. jakie dane uległy ujawnieniu,
  2. komu zostały przekazane,
  3. w jakim kontekście,
  4. jakie mogą być tego konsekwencje.

W klasycznym scenariuszu „złe życzenia do złej osoby” zwykle kończy się na braku realnego ryzyka i odnotowaniu sprawy w wewnętrznym rejestrze naruszeń (plus krótkim pouczeniem dla autora „nieuważnej” wysyłki). Należy jednak pamiętać o skrajnościach – jeśli brak UDW w korespondencji wychodzącej od psychiatry powoduje, że pacjenci widzą siebie nawzajem na liście odbiorców, to już zupełnie inna liga naruszenia: ujawnienie informacji o stanie zdrowia, realne ryzyko stygmatyzacji, a w konsekwencji często obowiązek zgłoszenia naruszenia do organu nadzorczego i poinformowania samych pacjentów. Schemat jest więc ten sam, ale skutki – diametralnie różne.

Po drugie – przeproś 😉 . Krótki mail wysłany prawidłowo (sic!) w UDW, z prostym komunikatem w stylu: „wiemy, że przed chwilą poszło nie tak, bardzo przepraszamy, wyciągnęliśmy wnioski i poprawiliśmy procedury” lepiej buduje zaufanie, niż udawanie, że nic się nie stało. Brytyjska norma zarządzania kryzysowego BS 11200:2024, która opisuje dobre praktyki komunikacji w kryzysie, podkreśla znaczenie szybkiej, szczerej i spójnej komunikacji z interesariuszami – w tym jasnego przyznania się do błędu i okazania empatii. A skoro mówimy o życzeniach świątecznych, to tym bardziej naturalnym jest powiedzenie „przepraszam” w ludzkim, serdecznym tonie, niż chowanie się za prawniczym żargonem.

Podsumowanie – Jak unikać przedświątecznych gaf z RODO

Święta to czas radości, odpoczynku i relaksu, ale nie zapominajmy, że również w tym okresie należy zachować czujność,  zwłaszcza, że „RODO nigdy nie śpi” 😉.

Praktyczne zasady ochrony danych osobowych w okresie świątecznym

Aby uniknąć przedświątecznych gaf, przestrzegaj kilku prostych zasad:

  1. stosuj kopię ukrytą UDW,
  2. sprawdzaj adresatów wiadomości,
  3. weryfikuj wysyłane załączniki,
  4. zabezpieczaj dane osobowe, np. poprzez szyfrowanie,
  5. używaj sprawdzonych operatorów pocztowych do wysyłki życzeń w formie papierowej.

Dzięki temu Twoje życzenia dotrą do odbiorców w bezpieczny sposób, a Ty unikniesz „prezentów” od Prezesa UODO.

Wesołych, zgodnych z RODO Świąt! 🎄

Autorka artykułu: Kinga Krasoń – Kocemba

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 17 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry