Jednym z punktów Konferencji „E-mail marketing 2010” była prelekcja poświęcona kwestii współpracy z agencjami e-mail marketingowymi w zakresie powierzenia przetwarzania danych osobowych. Prowadzący prelekcję Michał Sztąberek, prezes iSecure Sp. z o.o., opowiadał m.in. o tym w jaki sposób administrator danych powinien zbierać dane osób fizycznych, które następnie mają być wykorzystywane w celach marketingowych (a także w celu przesyłania informacji handlowych na pozyskane adresy e-mail). Wśród najważniejszych kwestii wymienione zostały następujące elementy:
- zbieranie wyraźnej i nie będącej częścią innego oświadczenia zgody na przetwarzanie danych osobowych w celach marketingowych,
-  utrwalanie zgody dla celów dowodowych (zwłaszcza w odniesieniu do wykorzystywania adresu e-mail dla przesyłania na niego informacji handlowych),
- zbieraniu danych osobowych w zakresie niezbędnym (adekwatnym) do realizacji celu marketingowego.

W drugiej części prezentacji wskazane zostały najważniejsze kwestie związane z konstruowaniem umowy powierzenia przetwarzania danych, o której mowa w art. 31 ustawy o ochronie danych osobowych. W trakcie prelekcji podkreślono, że tylko taka umowa formalnie zezwala agencji e-mail marketingowej przetwarzać dane osobowe przekazane jej przez administratora danych osobowych w celu wywiązania się ze świadczonych przez agencję usług.

Jak zostało wskazane podczas prelekcji, najważniejszymi elementami składowymi umowy powierzenia są:
- wskazanie celu przetwarzania danych (cel ten wskazuje administrator danych, a agencja realizując swe usługi jest nim związana),
- wskazanie zakresu przetwarzanych danych (administrator danych określa jakie kategorie danych będzie mogła przetwarzać agencja e-mail marketingowa na podstawie zawartej umowy),
- zobowiązanie agencji e-mail marketingowej do podjęcia niezbędnych środków organizacyjnych i technicznych, które zapewnią bezpieczeństwo powierzonym danym (m.in. obowiązek posiadania przez agencję polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, adekwatne do zagrożeń zabezpieczenia logiczne np. zapory ogniowe na serwerach, szyfrowanie danych przetwarzanych na komputerach przenośnych).

Wskazane zostały również przydatne fakultatywne zapisy, które powinny znaleźć się w tego typu umowie. Wśród nich prelegent wymienił m.in.
- precyzyjne określenie odpowiedzialności obu stron umowy powierzenia przetwarzania danych,
- kwestie związane ze sposobem przekazywania danych oraz ich usuwania po zakończeniu współpracy,
- możliwość zagwarantowania sobie przez administratora danych uprawnień kontrolnych w stosunku do agencji w odniesieniu do realizacji zapisów umowy powierzenia przetwarzania danych.

Zobacz wykład Michała Sztąberka na platformie Livingmedia.

Tagi: aministrator, dane osobowe, konferencja