How to prepare your company for GDPR – interview
It is less than a month now, until the General Data Protection Regulations (GDPR) are implemented. There are many rumours being said in this topic. We asked a legal advisor, what is really going to change and how to adjust your company actions, according to the law. We invited Agata Kowalska, legal advisor and partner at Chabasiewicz, Kowalska i Partnerzy to answer a few of our questions, before our webinar.
Please scroll down for Polish version.
We interviewed Agata Kowalska, legal advisor and managing partner in Chabasiewicz Kowalska i Partnerzy. She specialises in M&As, legal services relating to VC/PE and company law, has several years’ experience in consultancy with regard to the protection of intellectual property rights cooperates with funds and start-ups, mainly from the new technologies sector. She participates in the management and coordination of legal due diligence of businesses offers consultancy services relating to the listing of companies on New Connect. Agata organises many trainings and workshops for entrepreneurs, in particular with regard to the protection of intellectual property rights, copyright and investment agreements publishes articles on intellectual property law, Internet law etc.
Eventory: What kind of fines can be implemented on a company, which failed to adjust to these new regulations?
Agata Kowalska: It depends how serious of a fail would occur. In case of the rule violation, the database holder might expect fines up to:
– 20 000 000 euros (or up to 4% of the company’s yearly turnover),
or
– 10 000 000 euros (or up to 2% of the company’s yearly turnover).
Keep in mind, that we are talking about the maximum amount of fine, that can be put on that company. General Data Protection Regulations include terms, which determine the penalty in each particular case. The penalty can not only be increased or lowered, but also removed fully, when certain things are taken under consideration. Things like: character and duration of this validation, intent, actions taken to minimize the validation or cooperation with the supervisory authorities.
Penalties resulting from new GDP regulations, can not be underestimated, because even the lowest possible fine, for some companies might be ‘lethal’. As I said, you have to keep in mind, that the final amount of that fine will vary in each case.
E: Is it true, that in the event industry, you will have to be particularly careful with gathering data? Why?
AK: The whole event industry is very sensitive in this case. It is bound with intense personal data processing. That data is processed for various reasons and is also shared with a variety of third parties like: conference partners etc.
So even if the data processing in this particular case operates under the same regulations as all other, you have to be more careful, due to the intensity of the data processing here. Human error can always occur, that is why you have to be little more cautious.
The critical areas here are undoubtedly the issues relating to basis of various forms of data processing. Also the proper realization of all administrator duties – like the obligation to inform the data owner of his rights. You have to keep in mind, that it is your duty to inform your attendees about the data processing and you are responsible for sealing your relations with all these subjects, which you share the data with.
E: Is it true that it is going to be more difficult for event managers to collect data?
AK: GDPR does not implement revolutionary changes in the way data is gathered. That does not mean however, that the whole process will be left unchanged and needs no modifications.
In particular, new obligations related to the acquisition of personal data should be taken into account. The catalog of information necessary to provide has been substantially modified and omissions in the scope of their transfer may result in the administrator’s liability.
It should be remembered that the procedure of the marketers’ contact with the potential client should be properly organized – in a way that in case of an audit, the administrator will be able to provide evidence that the data was collected properly.
E: Are these new regulations going to disturb the attendee registration process at events in any way?
AK: If the registration process is happening via internet, it would seem there is no reason to claim, that it is going to be interfered.
It seems the main changes result from the necessity of presenting an enhanced information about data processing. How it is presented is relevant as well – the most popular practice here is a pop-up containing all information for your user.
You can also expect a slight elongation in the process of registration due to increased amount of necessary check-boxes. What is important here, is that if you are using the collected data for a variety of reasons, you will have to receive agreement for each of them.
If the registration is done via phone call, you will have to state everything here verbally, what will definitely extend the time, that is needed for registration.
E: How to reach to our contacts, present them marketing offers in accordance with the law?
AK: Like already existing regulation, GDPR allows data processing – administrator goal’s is considered justified when direct marketing is his reason for processing. The range of rights resulting from GDPR seems to be broader, that’s because – unlike the existing act – it doesn’t refer only to direct marketing of own products and services.
At the same time, you should remember about the current provisions of the act on electronic services (Article 10 of the Act), which prohibit the transmission of unsolicited commercial information by electronic means without the recipient’s consent and the provisions of the telecommunications law that prohibit the use of telecommunications data terminal equipment for advertising purposes without the consent of the subscriber (Article 172 of the Act).
In any case, it is recommended that contact with the addressee of the offer is based on separate consents for each of the above-mentioned contact formulas as well as consent to data processing for marketing purposes.
E: What will change in the new marketing consent clause?
AK: According to the GDPR, the consent must be presented in a way, that can clearly be distinguished from its other issues, it should also be presented in an easily accessible form and a clear simple language. The administrator should identify himself, state his intentions regarding the data processing and inform the person, who is leaving their data, that they can cancel that agreement at any moment. Canceling that agreement, should be as easy as expressing it.
It is safe to say, that the content of the consent will not be changed in a revolutionary way. The key here is to review the agreements, in terms of their expression. Defective or too complex content of the agreement, can be a basis of questioning its effectiveness.
E: What is the first step, that should be taken by an event manager, before these regulations are implemented – how to begin with preparations?
AK: First step should be verifying if procedures, which are used in your company, are working in accordance to GDPR. Any necessary actions are bound with results of that audit. Whether your company is safe or needs upgrades in data protection. It is necessary to prepare documentation, which will contain the proper process of data gathering, to develop a register of data processing activities, to develop a register of reporting violations, compliant with the GDP regulations. You should also train your employees in scope of data processing and its protection.
Wersja polska
Jak przygotować swoją firmę do RODO – wywiad
Już 25 maja 2018 roku wejdą w życie najnowsze regulacje dotyczące ochrony danych osobowych (można spotkać się ze skrótem RODO – rozporządzenie o ochronie danych osobowych). Wokół tematu krąży wiele plotek, które dla firm brzmią dość przerażająco, ale temat rozporządzenia, nie powinien być wcale taki straszny. Polskę bowiem obejmą te same przepisy, które funkcjonować będą we wszystkich krajach członkowskich Unii Europejskiej i zastąpią istniejącą już ustawę o ochronie danych osobowych. O tym temacie opowiemy wspólnie podczas webinaru organizowanego wspólnie z Agatą Kowalską, radcą prawnym i partnerem kancelarii Chabasiewicz, Kowalska i Partnerzy, tymczasem przeprowadziliśmy z nią wywiad dotyczący Regulacji o Ochronie Danych Osobowych.
Radca prawny, partner zarządzający w Chabasiewicz Kowalska i Partnerzy. Specjalizuje się w transakcjach fuzji i przejęć, obsłudze prawnej inwestycji VC/PE oraz w prawie spółek. Ma wieloletnie doświadczenie w doradztwie związanym z ochroną praw własności intelektualnej, e-commerce oraz danych osobowych. Współpracuje z funduszami inwestycyjnymi oraz startupami, głównie z branży nowych technologii oraz doradza przy wprowadzaniu spółek na New Connect. Prowadzi liczne szkolenia i warsztaty dla przedsiębiorców, w szczególności z zakresu prawa Internetu, ochrony własności intelektualnej, danych osobowych oraz umów inwestycyjnych.
Eventory: Jakie kary mogą zostać nałożone na firmę, która nie dostosuje się do przepisów?
Agata Kowalska: Generalnie, w zależności od rodzaju naruszenia, w przypadku stwierdzenia, że administrator naruszył zasady przetwarzania danych osobowych, organ nadzoru uprawniony będzie do nałożenia kar w maksymalnej wysokości:
– do 20 000 000 euro (lub do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa),
lub
– do 10 000 000 euro (lub do 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa).
Trzeba przy tym pamiętać, że mówimy tu o górnym wymiarze kary pieniężnej.
Przepisy RODO zawierają wytyczne pozwalające na ustalenie wymiaru kary w indywidualnym wypadku, a także na całkowite zaniechanie jej wymierzenia, uwzględniając w szczególności takie okoliczności, jak, charakter, wagę i czas trwania naruszenia, umyślność naruszenia przepisów RODO, podjęte działania na rzecz minimalizacji szkody, uprzednio stwierdzone naruszenia, stosowanie zatwierdzonych kodeksów postępowania, współdziałanie z organem nadzoru, a także wszelkie inne okoliczności obciążające i łagodzące.
Wynikającego z RODO wymiaru kar nie można zdecydowanie bagatelizować, a nawet kara wymierzona w dolnej granicy zagrożenia może okazać się dolegliwa. Niezależnie od tego, jej ostateczny wymiar zależeć będzie od szeregu okoliczności indywidualnego przypadku.
E: Czy to prawda, że w branży eventów, będzie trzeba być szczególnie ostrożnym z pozyskiwaniem danych? Dlaczego?
AK: Można z całą pewnością stwierdzić, że działalność branży eventowej wiąże się z bardzo intensywnym przetwarzaniem danych osobowych. Dane przetwarzane są w rozmaitych celach, a także udostępniane różnorodnym podmiotom trzecim, np. partnerom konferencji, etc.
Choć zatem przetwarzanie danych w omawianym segmencie rynku następuje na ogólnych zasadach (w szczególności, nie obejmuje go jakakolwiek regulacja „sektorowa”), to, jak uczy doświadczenie, intensywność przetwarzania danych osobowych przekłada się na możliwość wystąpienia błędu skutkującego naruszeniem przepisów.
Za obszary krytyczne uznać należy niewątpliwie kwestie dotyczące samej podstawy (lub podstaw) różnorodnych form przetwarzania danych osobowych, a także prawidłową realizację obowiązków będących połączonych z uprawnieniami przysługującymi podmiotom danych osobowych – w tym w szczególności obowiązków informacyjnych. Nie mniej istotne jest prawidłowe zabezpieczenie relacji z podmiotami, którym powierzane są dane osobowe.
E: Dlaczego event marketerzy, będą mieli trudniejsze zadanie jeżeli chodzi o pozyskiwanie danych?
AK: RODO nie wprowadza rewolucyjnych zmian w zakresie sposobu samego pozyskiwania danych osobowych.
Nie oznacza to jednak, że proces pozyskiwania danych przez event marketerów nie ulegnie zmianie i obszar ten nie wymaga dostosowania.
Trzeba uwzględnić w szczególności nowe obowiązki związane z pozyskiwaniem danych osobowych. Katalog niezbędnych do przekazania informacji uległ istotnej modyfikacji, a zaniechania w zakresie ich przekazania mogą skutkować odpowiedzialnością administratora. Należy pamiętać, że samą procedurę kontaktu marketerów z potencjalnym klientem należy prawidłowo zorganizować – w sposób, który w przypadku kontroli pozwoli administratorowi wykazać, że dane zostały pozyskane w sposób prawidłowy.
E: Czy wchodząca nowelizacja w jakikolwiek sposób utrudni proces rejestracji uczestników na wydarzenia?
AK: W przypadku, jeśli proces rejestracji uczestników dokonywany jest drogą internetową, wydaje się, że nie ma podstaw by twierdzić, że nowe przepisy istotnie go wydłużą.
Wydaje się, że zasadnicze zmiany w tym kontekście wynikają z konieczności prezentacji przez administratora stosunkowo rozszerzonej klauzuli informacyjnej. Można to zrealizować na różne sposoby, choć z uwagi na jej obszerność optymalna jest forma pop-upu.
Można oczekiwać nieznacznego wydłużenia procesu rejestracji z uwagi na zwiększoną liczbę check-boxów. Trzeba tu wskazać, że jeżeli przetwarzanie służy różnym celom, potrzebna jest osobna zgoda na wszystkie te cele.
Inaczej należałoby odnieść się do kwestii rejestracji dokonywanych telefonicznie – choć ta formuła nie wydaje się być wiodąca. Wiąże się ona z koniecznością przekazania znacznej ilości informacji drogą telefoniczną, co niewątpliwie może istotnie wydłużyć kontakt i ograniczyć jego efektywność.
E: W jaki sposób docierać do naszych kontaktów, przedstawiać oferty marketingowe zgodnie z prawem?
AK: Podobnie, jak obowiązująca regulacja prawna, RODO umożliwia przetwarzanie danych osobowych – za usprawiedliwiony cel administratora uznaje przetwarzanie danych dla celów marketingu bezpośredniego. Zakres uprawnień wynikających z RODO wydaje się być przy tym szerszy, bowiem – w przeciwieństwie do obowiązującej ustawy – nie mówi jedynie o marketingu bezpośrednim produktów i usług własnych. Należy jednocześnie pamiętać o obowiązujących aktualnie przepisach ustawy o świadczeniu usług drogą elektroniczną (art. 10 ustawy), które zakazują przekazywania niezamówionej informacji handlowej drogą elektroniczną bez zgody odbiorcy oraz przepisach ustawy – prawo telekomunikacyjne, które zakazują wykorzystywania telekomunikacyjnych urządzeń końcowych w celach reklamowych bez zgody abonenta (art. 172 ustawy).
W każdym wypadku należy rekomendować, by kontakt z adresatem oferty oparty został o odrębne zgody na każdą z ww. formuł kontaktu, a także zgodę na przetwarzanie danych dla celów marketingowych.
E: Co zmieni się w nowej klauzuli zgody marketingowej?
AK: Zgodnie z RODO zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Administrator powinien wskazać swoją tożsamość oraz zamierzone cele przetwarzania danych osobowych. Ponadto osoba, której dane dotyczą musi zostać poinformowana o tym, że ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
Można powiedzieć, że sama treść informacyjna zgody nie ulegnie rewolucyjnym zmianom. Kluczowe jest jednak dokonanie przeglądu zgód pod kątem samej formy jej wyrażenia. Wadliwa, w szczególności zbyt skomplikowana treść zgody, może stanowić podstawę kwestionowania jej skuteczności.
E: Jaki pierwszy krok powinien podjąć event manager, zanim przepisy zaczną obowiązywać – jak zacząć przygotowania?
AK: Pierwszym krokiem powinna być weryfikacja obowiązujących w firmie procedur dotyczących ochrony danych osobowych i przetwarzania danych osobowych, jak również ocena czy dotychczas stosowane w firmie procedury, instrukcje i procesy marketingowe są zgodne z RODO. Od wyników takiego audytu zależeć będzie, jakie działania należy podjąć w dalszej kolejności. Koniecznym będzie przygotowanie dokumentacji przetwarzania danych osobowych zgodnej z wymaganiami RODO, opracowanie rejestru czynności przetwarzania danych, opracowanie rejestru zgłaszania naruszeń. Należy również przeszkolić pracowników w zakresie dotyczącym ochrony przetwarzanych danych osobowych.
Rozmawialiśmy z Agatą Kowalską, partnerem i radcą prawnym kancelarii Chabasiewicz, Kowalska i Partnerzy.
Już 11 maja, organizujemy webinar o RODO!
Już 11 maja organizujemy wspólny webinar “Przygotuj się na RODO”, podczas którego opowiemy jak przygotować swoją firmę do wchodzących w życie nowelizacji. Serdecznie zapraszamy do uczestnictwa w transmisji.