Realizacja praw podmiotów danych w praktyce – część III

Elektroniczny rejestr zgód

Realizacja żądań podmiotów może być wspierana przez elektroniczny rejestr zgód. Jest to rozwiązanie, które mogą brać pod rozwagę administratorzy posiadający wiele baz, które się nie synchronizują (np. wiele niezależnych portali internetowych), czy też wiele kanałów zbierania zgód (np. kilka stron www, bezpośredni kontakt z handlowcem, checkbox umieszczony w umowie).

Elektroniczne rejestry zgód najczęściej stosowane są w celu zarządzania zgodami na działania marketingowe, udzielanymi przez konsumentów. Jednak zdarzają się organizacje, które wykorzystują tego typu narzędzia do zarządzania zgodami wszystkich kategorii podmiotów danych np. klientów, pracowników. Na rynku dostępnych jest kilka gotowych systemów informatycznych, w tym moduły zaimplementowane w rozwiązaniach CRM-owych. Firmy wykorzystują w tym celu również listy Sharepoint’owe lub tworzą taki rejestr jako niezależny system.

Jakie informacje powinny znaleźć się w elektronicznym rejestrze zgód? Przede wszystkim informacja kto udzielił zgody i czego dotyczy zgoda (np. zgoda na wysyłanie komunikacji marketingowej e-mailem, zgoda na wysłanie komunikacji marketingowej SMS-em, zgoda na wykorzystanie wizerunku w social mediach). Konieczne jest odnotowanie daty udzielenia zgody i kanału jakim zgoda została wyrażona (np. za pomocą strony internetowej xyz.pl, wypełnienie ankiety podczas konferencji, ….). Jeśli stosujemy zbieranie zgód za pomocą dokumentacji papierowej, system może służyć jako repozytorium skanów udzielonych zgód.

Warto, aby system zawierał repozytorium wersji stosowanych przez administratora treści zgód i wskazywał dla konkretnej osoby treść udzielonej zgody. Informacje te będą bardzo przydatne działowi marketingu, który decydując się na zastosowanie nowego kanału czy treści komunikacji marketingowej będzie dokonywał oceny, do których osób może skierować swoje działania.

Wdrażając rejestr zgód należy zaplanować, czy informacje będą do niego wprowadzane ręcznie, czy też będzie się on automatycznie synchronizował z systemami IT, wykorzystywanymi do zbierania zgód. Warto rozważyć synchronizacje rejestru zgód ze stosowanymi przez firmę narzędziami typu marketing automation, dzięki czemu aplikacja wysyłająca mailing (np. GetResponse) przed wysłanie mailingu zweryfikuje w rejestrze czy wszyscy adresaci mają aktualne, ważnie wyrażone zgody.

 

Skuteczna i terminowa realizacja żądań podmiotów danych opiera się na dwóch filarach. Jednym z nich jest procedura, która precyzyjnie określa zadania, role osób oraz terminy realizacji dla poszczególnych kroków. Drugim filarem są systemy IT, które odpowiednio rozwinięte, będą usprawniały i automatyzowały realizację żądań. Rozwiązania IT, jak na przykład elektroniczny rejestracji zgód lub interaktywny formularz zgłaszania żądań, mogą dodatkowo stanowić wsparcie procesu realizacji praw przez administratora.

Niebawem minie rok od rozpoczęcia stosowania RODO, administratorzy i procesorzy planują lub już realizują kontrole zgodności wdrożonych rozwiązań z RODO. Warto objąć kontrolą proces realizacji żądań – przyjrzeć się dotychczasowej metodzie ich realizacji, zidentyfikować trudności, wdrożyć zmiany i usprawnienia, by jak najlepiej odpowiadać wymaganiom, jakie stawiają przed administratorami przepisy RODO.

 

doradczymi w obszarze ochrony danych

Autor

Daria Worgut-Jagnieża

Od kilkunastu lat kieruje projektami audytowymi i doradczymi w obszarze ochrony danych osobowych oraz bezpieczeństwa informacji. Pełni funkcję Inspektora Ochrony Danych w wielu międzynarodowych korporacjach m.in. z branży farmaceutycznej.