Czy macie na swojej stronie internetowej newsletter?
Małe przypomnienie
Jeśli tak, zapewne pamiętacie, ile problemów miałyście z tym, żeby założyć newsletter, który jest zgodny z RODO. Tym z Was, które tworzenie newslettera mają jeszcze przed sobą, przypominam, że konieczne jest między innymi zamieszczenie na stronie odpowiedniej klauzuli, włączenie opcji opt-in i zawarcie z dostawcą newsletterowym umowy powierzenia przetwarzania danych.
Wszystko zrobiłam jak należy, więc w czym problem?
Niestety może się okazać, że nawet jeśli przestrzegałyście wszystkich powyższych zasad, Wasz newsletter jest niezgodny z RODO. Szczególnie, jeśli Was newsletter był zakładany przed 17 lipca 2020 r.
17 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok, w którym uznał, że nie można już dłużej przekazywać danych osobowych do USA na podstawie Privacy Shield, a na większość dostawców usług internetowych padł blady strach.
O co w tym chodzi?
Już wyjaśniam.
Nie wiem, czy zdajecie sobie z tego sprawę, ale w przypadku jeśli przekazujecie czyjeś dane osobowe poza Europejski Obszar Gospodarczy, musicie mieć ku temu podstawę. Dokonując transferu danych, musicie mieć pewność, że są one bezpieczne, i że za granicą zapewnione zostanę odpowiednie standardy ochrony.
W internecie bardzo często zdarza się tak, że jakaś firma ma siedzibę w Polsce, ale jej podwykonawcy znajdują się w zupełnie innym kraju. Tak właśnie to wygląda w przypadku dostawców newsletterowych. Większość z nich współpracuje z firmami, które znajdują się poza Europejskim Obszarem Gospodarczym. W rezultacie, jeśli zakładacie u nich newsletter, musicie być świadomi faktu, że transferujecie dane swoich subskrybentów właśnie poza Europejski Obszar Gospodarczy – najczęściej właśnie do USA.
Do 17 lipca 2020 podstawą takiego transferu było Privacy Shield.
Europejski Trybunał Sprawiedliwości uznał, że ten mechanizm nie zapewnia jednak wystarczającej ochrony. W przeszłości dochodziło bowiem do sytuacji, w których europejskie dane osobowe były swobodnie udostępniane amerykańskim organom państwowym. W rezultacie transferowanie danych do USA na podstawie Privacy Shield jest obecnie niedopuszczalne. Niestety przed 17 lipca większość dostawców usług newsletterowych korzystało z Privacy Shield.
Co to dla mnie oznacza?
To oznacza, że powinnyście otworzyć umowę powierzenia przetwarzania danych (Data Processing Agreement) który podpisałyście ze swoim dostawcą newsletterowym i uważnie ją przeczytać. Niektóre firmy nie oferują tego typu umów, ale zamiast tego regulują kwestie powierzenia danych osobowych w specjalnym addendum do regulaminu (Data Processing Addendum). Jest to w zupełności w porządku.
Przenalizujcie te dane i sprawdźcie, czy Wasz dostawca transferuje dane do USA i na jakiej podstawie. Jeśli podstawą albo jedną z podstaw są standardowe klauzule umowne (Standard Contractual Clauses, inaczej SSC) – wszystko jest w porządku.
Jeśli jednak jedyną podstawą jest podstawą transferu danych jest Privacy Shield, a addendum nie zostało uaktualnione i nie zwarliście aneksu do umowy – musicie o niego poprosić. Jeśli dostawca odmówi, aby pozostać w zgodzie z RODO, musicie zmienić dostawcę.
W razie pytań, jestem do waszej dyspozycji. Zapraszam do komentowania.