Prawny FAQ

Tu powstaje baza wiedzy okołoprawnej stworzona na podstawie pytań do naszej niezastąpionej Mentorki – Joanny Białobrzewskiej.


dane osobowe w logach

Pytanie:
Chciałbym stworzyć mvp, takie naprawdę minimalne, które wykonuje jedną podstawową rzecz docelowej aplikacji i przy okazji zbierać maile osób, które by chciały otrzymać wersję docelową.
Dodatkowo wrzucił bym adsensa by jednak koszty się zwracały w jakimś tam stopniu. Funkcjonalność ta miała by polegać na wrzucaniu pewnych logów i otrzymaniu unikalnego linka, poprzez który można by przeglądać w ładnej graficznej formie przetworzone te logi.
Problem, który się pojawia to to, że w tych logach mogą znajdować się imiona i nazwiska więc generalnie, ktoś wrzucając do mnie logi sprawia, że ja przetwarzam dane osobowe do których zgody nie uzyskałem. Zaznaczę tylko, że system nie byłby ograniczony na Polskę, tzn byłby po angielsku i nastawiony na globalne używanie, ze względu na specyfikę grupy docelowej.
I teraz powstaje pytanie czy da się to zrobić tak, żeby było legalne, zgodne z rodo itp?
Może utworzenie rejestracji tak bym miał dane osoby wrzucającej logi (tylko jakie? imię nazwisko i email wystarczą?) i jego akceptację regulaminu w którym jest informacja o tym, że wrzucający potwierdza posiadanie praw do tych danych i zgadza się na ich opublikowanie?
Czy coś dodatkowego wynika z tego, że nie ograniczam się do Polski/UE? Jeśli jest to zbyt ciężki temat na dyskusję na grupie proszę dać znać. Z góry dzięki za pomoc.

Odpowiedź Joanny:
Temat wielowątkowy, do głębszej analizy w odniesieniu do celu przetwarzania, podstawy, zakresu itp..
nr 1: kim jest osoba wrzucająca logi (os fiz czy firma-a dalej – jednoosobowa działalność
czy osoba prawna?

nr 2: Nie wiem skąd tu umowa powierzenia się pojawia. Zbierasz dane to relacja administrator – osoba fizyczna, a przy powierzeniu mamy relację administrator – procesor w odniesieniu do danych osoby fiz.

nr 3: pojawia się Google AdSense – Goodle i jego klient (czytaj TY) jesteście w tedy niezależnymi administratorami danych (a co za tym idzie macie swoje obowiązki). Użytkownicy muszą zaakceptować ze korzystasz z usług reklamodawcy, trzeba ich o tym poinformować+ewentualnie odesłać do zasad przetwarzania Googla.

nr 4 : element transgraniczny – rodo nakłada pewne obowiązki jeśli przekazujemy dane poza EOG

Pytanie uzupełniające:
Dziękuję za informację,
1) ja posiadam firmę natomiast osoby które by umieszczały te logi a tym samym i dane innych osób w 99% przypadkach są osobami fizycznymi
2) tutaj chodzi o to, że jakaś osoba fizyczna może zostawić u mnie dane innych osób fizycznych co więcej te dane by były publicznie dostępne, wystarczy znać adres, dlatego wydaje mi się, że w jakiś sposób muszę uzyskać zgodę na to od osoby wrzucającej, bo nie mam jak zadać takiego pytania każdej osobie która znajduje się w logu i jej dane będę przetwarzał
3) tak, to wiem, wiem o 2 wyjściach albo w reklamach wyłącza się profilowanie osób, albo daje zgodę na przetwarzanie i akceptację polityki prywatności zaraz przy wejściu na stronę
4) dane nie będą wychodziły poza ue, serwer byłby w Polsce natomiast chodziło o to, że ktoś np usa może wgrać taki log z danymi do systemu czyli przyjście danych spoza ue

Odpowiedź Joanny:
1. wstępnie wygląda na to, że Ty jesteś administratorem w stosunku do danych osób,
które będą zamieszczały logi (o ile ich dane zbierasz, przechowujesz, ewidencjujesz, wykorzystujesz w jakikolwiek inny sposób na mocy umowy/regulaminu) a co do danych osób, które są zbierane przez Twoich klientów procesorem (tu umowa powierzenia
pomiędzy Twoim klientem a Tobą w zakresie dot. danych które ten klient Ci powierza).

2. ta osoba wrzucająca powinna zadbać o legalność gromadzenia tych danych i odpowiednie spełnienie obowiazku informacyjne- w tym w zakresie udzielonego Ci powierzenia. Ty o spełnienie obowiazku informacyjnego (art. 14 Rodo).

3. Google to dokładnie u siebie opisuje, jak to zrobić prawidłowo, warto sobie te polityki poczytać w odniesieniu do narzędzia

4. Rodo mówi o spełnieniu pewnych restrykcji/wymogów jak dane wypływają poza EOG. Jeśli zostają w UE to zapewniamy tutejsze standardy, które są bardziej restrykcyjne niż w większości systemów pozaeuropejskich.Z tego co rozumiem chodzi o to, ze dane spoza UE mogą znaleźć się u Ciebie a nie odwrotny cykl.


zbieranie danych osobowych bez firmy

Pytanie:
Nie mam działalności póki co – założę ją w stosownym momencie jak na horyzoncie pojawią się pierwsze przychody z appki. Jeśli już teraz chce zacząć budować listę mailową jako osoba fizyczna a potem pewnie będę chciał z tego korzystać jako firma (zapewne też w celach marketingowych) – to jak wygląda kwestia RODO?
Mogę jako osoba fizyczna zbierać te maile?
Musze zbierać zgody marketingowe?
Jeśli tak to kto jest administratorem danych (pewnie teraz ja)?
Jak potem przetransferować tą listę mojej działalności gospodarczej i czy w ogóle to jest legalne?
Macie takie rozkminy czy olewacie temat?

Odpowiedź Joanny:
Administratorem jesteś Ty.
Nawet jeśli korzystasz z pomocy innej platformy, nie zmienia faktu, że to Ty decydujesz o tym po co dane zbierasz i do czego je wykorzystasz.
Nie zmienia to też faktu, że na Ciebie spada ostateczna odpowiedzialność z los i bezpieczeństwo zbieranych danych.
Platforma typu getresponse może w pewien sposób pomóc Ci w realizowaniu Twoich obowiązków (np. w realizacji obowiązku informacyjnego).
Natomiast co do zbierania e-maili są rożne sposoby (w tym budowanie społeczności na grupie, zapis na newsletter, darmowy prezent).
Nie zawsze musi to być zgoda i checkbox (to czy obędzie się bez zgody wymaga analizy sytuacji w jakich relacjach jesteś z potencjalnym klientem, czy łączy Was jakaś szczególna więź, umowa i współpraca itp).

Chcę podkreślić, że zgoda jest jedną, ale nie jedyną z przesłanek uprawniających Cię do legalnego wykorzystania danych osobowych. Innymi przykładowymi przesłankami (podstawami prawnymi do tego by wykorzystywać dane) są: zawarcie i realizacja umowy czy prawnie uzasadniony interes administratora.

Zapraszam do mnie na bloga, tam rozwijam szczegółowo temat Rodo w zakładce ochrona danych osobowych znajdziecie artykuły m.in dotyczące tego jak wykorzystywać w marketingu dane publicznie dostępne, jak spełniać obowiązek informacyjny zbierając dane, co powinno się znaleźć w dokumentacji przetwarzania itp.

Pytanie uzupełniające:
Czyli dobrze myślałem. To jak rozegrać samo RODO mniej wiecej wiem bo wiele razy wdrażaliśmy to na różne serwisy. Bardziej mnie zastanawia fakt „zmiany administratora danych”. Dzisiaj jestem to JA, ale za pół roku jak otworzy się moja firma, spółka zoo etc. Czy taką listę mailowa można legalnie przejąć i używać w DG? Czy wtedy te zgody automatycznie nie wygasają?

Odpowiedź Joanny:
Nie wygasają. Wystarczy powiadomić o zmianie danych administratora.


dane dostępne publicznie a RODO

Pytanie :
Zastanawiam się jeszcze czy RODO obowiązuje w przypadku danych dostępnych publicznie?
Załóżmy że uruchamiam skrypt który
– wyszuka wszystkie istniejące fejsbukowe grupy związane z wybranym tematem
– zbierze wszystkich użytkowników do jednej listy
– usunie fejkowe profile, nieaktywne, słabej jakości, w innym języku, ofensywne, boty
– wybierze profile zainteresowane tematem używając keyword matching
– wygeneruje listę najbardziej prawdopodobnych klientów
I teraz to pytanie:
czy taką listę można udostępnić innemu podmiotowi w modelu B2B?

Odpowiedź Joanny:
To, że dane niektórych osób są zamieszczone w Internecie (są publicznie dostępne) nie oznacza, że te osoby zezwoliły domyślnie na ich przetwarzanie w każdym możliwym celu.

Aby móc korzystać z danych osobowych powszechnie dostępnych, podobnie jak w każdym innym przypadku, trzeba mieć podstawę prawną do ich przetwarzania.
Tu prawdopodobnie będzie to zgoda danej osoby (oczywiście dobrowolna, konkretna, świadoma i jednoznaczna). Do tego nie należy zapomnieć o spełnieniu obowiązku informacyjnego. Dodam, że będąc w Twojej wyselekcjonowanej grupie potencjalnych klientów dla firmy X mogę lekko się zdenerwować, gdy niespodziewanie pracownik firmy X zacznie zasypywać mnie newsletterami lub uporczywie dzwonić. Powinnam wiedzieć kto i po co moje dane gromadzi, a także mieć możliwość realizacji moich praw (np. złożenie sprzeciwu wobec dalszego przetwarzania i usunięcia moich danych z bazy X). Decydując się na korzystanie z Fb lub innych tego typu mediów moim zamiarem nie było znalezienie się w bazie danych usługodawców/sprzedawców itp.

Jeśli zatem tworzysz listę potencjalnych klientów i przesyłasz ją do innego podmiotu (przetwarzasz te dane), działasz jako administrator danych osobowych i ponosisz konsekwencje. Tworzysz bazę i musisz mieć do tego podstawę. Tym bardziej, jeśli planujesz przekazać dane dalej.

Tak w ramach przykładu, przypomnę, że jakiś czas temu Prezes UODO wydał decyzję o nałożeniu kary w wysokości ok. 950 tys. z na firmę, która pozyskiwała dane osobowe z publicznie dostępnych rejestrów państwowych, m.in. CEIDG i tworzyła z nich bazy danych pozwalające sprawdzić wiarygodność kontrahentów.

Co do samego śledzenia użytkowników i profilowania, to mam świadomość że proces profilowania użytkowników, mimo że z mojego punktu widzenia jest niezauważalny, jest w pełni zautomatyzowany i wszechobecny. Zaś gromadzenie danych behawioralnych przy pomocy różnych wtyczek, ciasteczek i skryptów daje chleb agencjom reklamowym. Niemniej jednak, wygenerowanie danych osobowych potencjalnych klientów w przedstawiony przez Ciebie sposób, a tym bardziej ich przekazywanie innej firmie musi mieć konkretną podstawę prawną, np. zgodę. Rodo nie tworzy w tym zakresie wyjątku.

Czytaj więcej w wątku na FB (link w tytule) bo temat mocno się rozwinął 🙂


rozliczanie VAT a kraj rejestracji

Pytanie :
Czy prawda że gdy mam konsumentów w Polsce i sprzedam im dostęp do swojej usługi za ponad 200k zł w ciągu roku to muszę w Polsce zarejestrować spółkę zależną która będzie rozliczała polski podatek VAT?
Sam planuję prowadzić działalność gospodarczą na terenie Unii w kraju w którym mieszkam.
Wcześniej wydawało mi się że po prostu odprowadzam do mojego fiskusa polską stawkę VAT po przekroczeniu tej kwoty i nie muszę dodatkowych spółek rejestrować.

W przypadku firm w których sam jestem klientem większość ma zarejestrowane spółki w każdym kraju, jedynie firmy brytyjskie w mojej ocenie tego nie robią.

Jaki jest koszt prowadzenia takiej spółki zależnej? Trzeba zatrudnić prezesa na umowę o pracę? w Holandii minimalna pensja prezesa wynosi 45000€ / rok, nie mogę znaleźć ile ona w Polsce wynosi, ale czuję że jest znaczną częścią z tych 200k zł przychodu.

Można wstrzymać sprzedaż w jednym kraju Unii gdy osiągnie się limit?

Jak zweryfikować konsultanta (Radcę Prawnego) który ma większą wiedzę od mojej? Czuję bardziej że mnie naciąga na większe koszty niż rozwiązuje problemy którymi nie chcę się zajmować.

Odpowiedź Joanny:
Trudno jest mi wypowiedzieć się, czy musi Pan rejestrować spółkę w Polsce i płacić VAT nie znając kompleksowo sprawy i okoliczności z nią związanych. To jak diagnoza bez badań.
Zanim założy Pan jakąkolwiek formę działalności gospodarczej trzeba zastanowić się nad zamierzeniami, celami w kontekście obowiązków prawnych. I to nie tylko przy uwzględnieniu przepisów prawa handlowego, ale również prawa podatkowego (w czym specjalizują się doradcy podatkowi, biegli rewidenci) i unijnego (swobodny przepływ towarów i usług).
Dopiero mając obraz charakteru działalności, zasięgu, rodzaju usług i docelowego klienta, można zastanawiać się czemu miałaby służyć rejestracja spółki zależnej. Być może w kontekście tzw. transgranicznego świadczenia usług, nie będzie Pan w ogóle zobowiązany do tego, aby rejestrować działalność w Polsce

Odpowiadając zaś na pytanie: Jak zweryfikować konsultanta (Radcę Prawnego), który ma większą wiedzę od mojej? Odpowiem następująco: jeśli czuje się Pan na siłach sam dokonać analizy prawnej i podatkowej, ma Pan na to czas oraz chęci przegryzania się przez ustawy, komentarze i orzecznictwo, to czemu nie.
Na start, zamiast książki, która nie jest tania (i jest to jeden z tomów), a za chwilę może się zdezaktualizować, polecam na początek ustawy, które regulują kwestie prowadzenia działalności gospodarczej, działalności spółek handlowych czy ustawy podatkowe.
Znam osoby, które nie będąc prawnikami są biegłe w dziedzinie prawa związanego z ich działalnością, stały się ekspertami i ułatwia im to prowadzenie firmy. Wiedza prawnicza jest powszechnie dostępna (dzienniki ustaw, orzecznictwo, literatura), ale nie ukrywam, że bez umiejętności czytania przepisów może nie być lekko.
Nie oceniam innych prawników i specjalistów, ani nie osądzam kancelarii na podstawie wyrywkowego paragonu. Mam świadomość, że często konsultacja prawna lub podatkowa wymaga wielu godzin/ dni pracy. Nie wiemy jaką pracę wykonano za 900 zł. Jeśli mam już coś zasugerować, to może warto znaleźć prawnika/doradcę, który ma węższą specjalizację, np. w zakresie obsługi przedsiębiorców zagranicznych, zakładania spółek, doradztwa podatkowego itp.

Dodam tylko krótko, że próg 200 tys., o którym Pan pisze dotyczy zapewne zwolnienia podatkowego, o którym mowa w art. 113 ust. 1 ustawy o podatku od towarów i usług. Co do samego świadczenia usług na terenie UE proponuję poczytać sobie o rejestracji VAT-UE i tzw. NIP-ie europejskim. Całkiem sporo informacji znajdzie Pan na stronie: https://www.biznes.gov.pl/pl


umieszczenie w polityce prywatności hostingodawcy i apki do listy mailingowej

Pytanie :
Mam pytanie, do wszystkich a najbardziej do Pani Joanna Białobrzewska odnośnie polityki prywatności.
Jeśli stworzyłem stronę która służy jednie do zapisu na newsletter to powinienem podawać firmę hostingującą jako miejsce przechowywania danych osobowych?
Używam również mailchimpa do listy mailingowej i to jest dla mnie oczywiste aby umieścić to w polityce ale nie wiem czy hosting również muszę

Odpowiedź Joanny:
Z hostingiem masz zapewne zawartą umowę powierzenia danych (sprawdź w dokumentach, które zaakceptowałeś zawierając umowę).
Wypełniając obowiązek informacyjny z Rodo powinieneś poinformować osobę fiz o tym komu powierzasz jego dane.
Co do miejsca- mamy wtedy 2 miejsca przetwarzania, bo Twoje środowisko informatyczne oraz procesora. Miejsce może mieć również znaczenie w kontekście tego,czy dane są przekazywane poza UE. A jeśli tak to czy w tym kraju zapewnia się odpowiedni poziom bezpieczeństwa danych osobowych.


kary dla mikrofirmy za przekazanie danych osobowych

Pytanie :
Jaka jest kara za wyciek danych? FB miał zasądzone ok 60€ za przekazanie danych jednej osoby, jak wygląda to w mikro firmach?

Odpowiedź Joanny:
Zgodnie z Rodo kary mogą wynieść do 20 mln euro lub 4% rocznego światowego obrotu. O jej wysokości zadecyduje organ nadzorczy – w Polsce Prezes Urzędu Ochrony Danych Osobowych, badając indywidualnie sprawę (znaczenie będzie miała liczba poszkodowanych osób, cel i zakres przetwarzania danych, których dotyczyło naruszenie czy też samo podejście administratora do ochrony danych).

Praktyka pokaże, jak to będzie finalnie wyglądało w przypadku tzw. mikro firm.
Choć i tu może być różnie, bo odmienne mogą być naruszenia przepisów, rozmiary szkód, nieprawidłowości we wdrożeniu Rodo wewnątrz firmy itp.
A kara ma być odstraszająca!

Przykładowo pierwsza kara naszego krajowego organu nadzorczego w Polsce wyniosła 943 tys. zł. i nałożona została za niedopełnienie obowiązku informacyjnego.

Kolejną, w wysokości 53 tys zł, nałożono na związek sportowy za ujawnienie numeru PESEL, imienia, nazwiska i adresu zamieszkania 585 sędziów.

Z kolei w Wielkiej Brytanii Heathrow Airport Limited zobowiązano do zapłaty kary 120 000 funtów! Tu sytuacja dotyczyła zgubienia przez pracownika pendrive’a i ujawnieniem nieuprawnionej osobie ponad tysiąca niezabezpieczonych plików (informacje trafiły do prasy), wśród których dane osobowe stanowiły niewielką część plików, ale w pewnym zakresie miały charakter wrażliwy. W związku z powyższym, przeprowadzono kontrolę w spółce, a jej wyniki wskazały dalsze nieprawidłowości w zakresie ochrony danych osobowych. Np. nie wdrożono środków bezpieczeństwa i nie przeszkolono pracowników. Interesujące jest to, że sam incydent miał miejsce przed wejściem Rodo, zatem na starych zasadach ochrony danych osobowych (brytyjska ustawa przewidywała wówczas karę max 500 tys funtów, a dziś jest to max 20 mln euro lub 4% rocznego światowego obrotu). Gdyby zdarzyło się to po wejściu Rodo- kara mogłaby być znacznie wyższa.

Podsumowując, mamy do czynienia z karą administracyjną, która nie jest naliczana wg jakiegoś schematu czy tabeli, a jest wynikiem postępowania, które ujawnia nieprawidłowości.
Jeśli już mamy kontrolę UODO to zbadanych zostanie zapewne wiele aspektów wdrożenia RODO, nie tylko liczba i rodzaj ujawnionych danych.
Być może czynnik „mikro firmy” zostanie uwzględniony, niemniej jednak z pewnością Prezes UODO zbada kontrolowanego kompleksowo 🙂


Poziom bezpieczeństwa DO – Ukraina

Pytanie :
czy Ukraina zalicza się do krajów o odpowiednim poziomie bezpieczeństwa danych osobowych? Proszę podać listę krajów w których można trzymać dane poza Unią

Odpowiedź Joanny:
Co do krajów gwarantujących odpowiedni poziom bezpieczeństwa ochrony danych osobowych…. Rodo mówi o pojęciu państwa trzeciego – czyli państwa spoza EOG. Do państw EOG zaliczamy kraje UE oraz Islandię, Norwegię i Liechtenstein.
W tych państwach zasady ochrony danych osobowych są jednolite, zapewniają wymagany poziom bezpieczeństwa.

Ponadto, przekazywanie danych może odbywać się na podstawie decyzji Komisji Europejskiej stwierdzającej odpowiedni poziom ochrony. Tu można zapoznać się z listą decyzji wydanych przez KE

W razie braku decyzji administrator lub procesor mogą przekazywać dane do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Jakie mogą to być zabezpieczenia wylicza dość obszernie RODO w art. 46- 47.
Między innymi mogą to być wiążące reguły korporacyjne, standardowe klauzule ochrony danych przyjęte przez Komisję zgodnie z procedurą sprawdzającą, zatwierdzony kodeks postępowania, mechanizm certyfikacji itp.

Ponadto, Rodo w art. 49 przewiduje pewne wyjątkowe sytuacje, gdy nie została wydana decyzja Komisji Europejskiej potwierdzająca odpowiednią ochronę w państwie trzecim (art. 45 RODO) oraz jeżeli nie zostały wdrożone odpowiednie zabezpieczenia z art. 46–47 RODO.

Wśród listy odstępstw znajduje się przesłanka zgody osoby, której dane dotyczą, umowa której osoba jest stroną, ochrona żywotnych interesów, względy publiczne, obrona tytułu prawnego, dane z rejestru czy uzasadniony interes administratora.

Przekazując dane osobowe poza EOG administrator/procesor musi dysponować do tego odpowiednią podstawą prawną, zgodną z instrumentami wskazanymi przeze mnie powyżej. Temat jest dość trudny i nie da się jednoznacznie odpowiedzieć „co z Ukrainą”.

Musisz krok po kroku przeanalizować swój przypadek, zastosować przepisy (ewentualnie stworzyć procedurę i opisać na jakich zasadach przekazujesz dane osobowe do państw trzecich).

W razie kontroli UODO czy sporów z osobą, której prawa zostaną naruszone to Ty musisz wykazać, że działałeś legalnie.


mailchimp i dodanie GDPR

Pytanie:
Jak podchodzicie do tematu RODO? Zbierając listę o czym powinienem wiedzieć w tym kontekście? W mailichimp widzę opcję dodania GDPR – musze to zrobić? Jak to zrobić żeby było ok?

Odpowiedź Joanny:
W przypadku zapisu do newslettera podstawą do przetwarzania danych osobowych jest zgoda użytkownika. Musisz nią dysponować.

Poza tym zbierając dane należy poinformować między innymi kto jest administratorem i jakie prawa przysługują temu, kogo dane przetwarzasz.
Jeśli opcja mailchimp pomoże Ci w legalnym zbieraniu danych – warto skorzystać, ale to nie wszystko w temacie. Projektując usługę trzeba równolegle myśleć o ochronie prywatności osób fiz..
Rodo to nie tylko zgody na mailing, ale też techniczne i organizacyjne środki zapewnienia bezpieczeństwa danych osobowych, umowy powierzenia, Polityki prywatności czy wewnętrzne procedury i rejestry… Nie da się tego omówić w 5 min i wdrożyć w jeden dzień.
Na sam początek ważne jest samo uświadomienie sobie tego, jakie dane zbieram, po co to robię, co z nimi robię i czy naprawdę potrzebuję wszystkich tych informacji. Klient/użytkownik powinien właśnie od Ciebie jako administratora dowiedzieć się, co się dzieje z informacjami na jego temat oraz w jaki sposób są chronione.

Pytanie uzupełniające :
Ok, rozumiem. Zastanawiam się tylko co musze zrobić żeby być zgodny z RODO.
Z ciekawości zapisałem się na newslettery z różnych stron/blogów i szczerze mówiąc każdy robi to inaczej. Jedni zgodę umieszczają podczas podawania danych, inni w mailu potwierdzającym, jeszcze inni nie mają tego wcale – jak żyć? 🙂

Odpowiedź Joanny:
Zapisując się na newsletter użytkownik powinien wcześniej wiedzieć na co się pisze, a nie dowiedzieć się po fakcie – jak się już zapisał.
Zgoda musi być uprzednia, jasna i dobrowolna. Nie możesz jej wpleść w regulamin i między wiersze. Ja zapisując się na Twój newsletter chcę wiedzieć do czego wykorzystasz moje dane i jak np mogę prosić Cię o usunięcie mich danych.
Ten obowiązek informacyjny przynajmniej w podstawowych elementach musisz spełnić przed zgodą, np. odsyłając do polityki prywatności na stronie/ wyjaśniając krótko po co zbierasz adresy e-mail. Potem dodatkowo taka informacja już szczegółowa może pójść mailem wraz z potwierdzeniem subskrypcji.

Z rodo jest tak, że nie masz idealnego rozwiązania bo to rozporządzenie dotyczy wielu rożnych sektorów i ma być elastyczne. Nie znajdziesz idealnego wzoru, super metody. Warto czasami popatrzeć na to z własnej perspektywy, jak chcesz by Twoje dane były chronione.


źródła polityki prywatności gdy działa się w UK i US

Pytanie:
Mój startup będzie działał głównie na rynku anglojęzycznym (USA+UK).
Jak zatem powinna wyglądać polityka prywatności oraz regulamin usługi?
Czy jesteś w stanie pomóc w stworzeniu odpowiednich dokumentów?
Zakładam, że nie wystarczy wziąć polskie wersje dokumentów i po prostu przetłumaczyć je na wersję angielską?

Odpowiedź Joanny:
W sytuacji, gdy nasz obszar działania sięga poza Polskę czy poza UE każdorazowo należy przeanalizować sprawę pod kątem profilu działalności i obowiązujących na danym obszarze regulacji. Dotyczy to zarówno świadczenia usług drogą elektroniczną, ochrony danych osobowych jak i specyfiki konkretnej branży( na wypadek dodatkowych obostrzeń i wymagań).
Z tłumaczeniem bezpośrednim z polskiego na inny język zawsze trzeba uważać , aby nie stworzyć czegoś co będzie kompletnie niezrozumiałe dla cudzoziemców.

Jeśli chodzi o pomoc proszę o konkretne zapytanie kontakt@prawownia.pl, postaram się powiedzieć coś więcej znając detale i charakter projektu.


Wartościowe linki:

Wykorzystanie publicznie dostępnych danych w marketingu