Zgodność PandaDoc z przepisami RODO

Aktualizacja 19 marca 2021 r.

Co to jest, co robimy i co może zrobić osoba uprawniona

RODO zaczęło obowiązywać 25 maja 2018 roku i wzmocniło nadzór nad globalnymi prawami w zakresie prywatności i zgodności z przepisami. W PandaDoc postępujemy zgodnie z wymaganiami RODO, a niniejszy przewodnik ma pomóc naszym klientom zrozumieć stanowisko PandaDoc wobec RODO. Przewodnik ten nie stanowi szczegółowego dokumentu na temat stosowania RODO i fakt ten należy mieć na uwadze podczas zapoznawania się z jego treścią.

Czym jest RODO?

Ogólne rozporządzenie o ochronie danych („RODO”) jest europejską ustawą o ochronie danych i prywatności przyjętą 14 kwietnia 2016 roku, która oficjalnie zaczęła obowiązywać od 25 maja 2018 roku. Dwuletnie opóźnienie od przyjęcia ustawy do jej wprowadzenia miało dać organizacjom czas na przygotowanie się, zanim przepisy zaczną być egzekwowane.

RODO jest ambitną próbą umocnienia, zharmonizowania i unowocześnienia unijnych przepisów w zakresie ochrony danych, a także umocnienia praw i swobód jednostek zgodnie z europejskim rozumieniem prywatności jako podstawowego prawa człowieka. RODO reguluje między innymi sposób, w jaki osoby fizyczne i organizacje mogą uzyskiwać, wykorzystywać, przechowywać i usuwać dane osobowe. Rozporządzenie to zastępuje wcześniejszą dyrektywę Unii Europejskiej o ochronie prywatności znaną jako dyrektywa 95/46/WE („Dyrektywa”), która była podstawą europejskiego prawa o ochronie danych od 1995 roku do początku 2018 roku. W przeciwieństwie do swojego poprzednika RODO ma natychmiastowe zastosowanie do całej Unii Europejskiej („UE”) i wszystkich jej państw członkowskich bez potrzeby dalszych działań ustawodawczych w państwach członkowskich.

Od połowy maja 2018 roku RODO obowiązuje bez dalszego „okresu karencji”. Ważne jest, aby organizacje, których dotyczy RODO, miały obecnie zapewnioną zgodność z tymi przepisami.

Jak działa RODO?

Ponieważ RODO wprowadziło wiele zasad i wymagań, ważne jest, aby zapoznać się z jego treścią w całości i dzięki temu w pełni zrozumieć wiążące się z nim wymagania oraz sposób, w jaki mogą być one stosowane do określonej organizacji. Choć wiele z zasad ustanowionych przez Dyrektywę zostało zachowanych również w RODO, rozporządzenie to wprowadza kilka istotnych i ambitnych zmian. Poniżej wymieniliśmy niektóre z nich, które naszym zdaniem są szczególnie istotne dla PandaDoc i naszych klientów:

  1. Rozszerzenie zakresu: RODO ma zastosowanie do wszystkich organizacji mających siedzibę w UE lub przetwarzających dane osób, których dane dotyczą, wprowadzając tym samym pojęcie eksterytorialności i rozszerzając zakres unijnego prawa o ochronie danych tak, że rozciąga się on daleko poza granice samej UE.
  2. Rozszerzenie definicji danych osobowych i szczególnych kategorii danych.
  3. Rozszerzenie praw jednostki: osobom, których dane dotyczą, przysługuje na mocy RODO kilka ważnych praw, w tym prawo do usunięcia danych, prawo do sprzeciwu, prawo do sprostowania, prawo dostępu i prawo do przenoszenia danych. Każda organizacja przetwarzająca dane osobowe osób, których dane dotyczą, musi zapewnić, że jest w stanie dostosować się do tych praw.

4. Bardziej rygorystyczne wymagania dotyczące zgody: zgoda jest jedną z fundamentalnych podstaw prawnych RODO, a organizacje muszą zapewnić, że jest ona uzyskiwana zgodnie z wymaganiami tego rozporządzenia. Każda organizacja musi uzyskać od swoich subskrybentów i osób, z którymi się kontaktuje, zgodę na każde wykorzystanie ich danych osobowych, chyba że może polegać na odrębnej podstawie prawnej. Drogą do zgodności z przepisami jest uzyskanie wyraźnej zgody. Należy mieć na uwadze, że:

5. Rygorystyczne wymagania dotyczące przetwarzania: osoby fizyczne mają prawo otrzymać „uczciwe i przejrzyste” informacje na temat przetwarzania ich danych osobowych, w tym:

Na kogo wpływa to rozporządzenie?

Jak wyżej wspomniano, zakres terytorialny RODO jest bardzo szeroki. Dwa najczęstsze warunki terytorialne stosowania RODO są następujące: RODO ma zastosowanie (1) do przetwarzania danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy nie; oraz (2) do przetwarzania (a) oferowania towarów lub usług, niezależnie od tego, czy wymagana jest płatność od osoby, której dane dotyczą, takim osobom, których dane dotyczą, w Unii; lub (b) monitorowania ich zachowania pod warunkiem, że miejscem zachowania jest Unia. Ten drugi warunek jest równoznaczny z wprowadzoną przez RODO zasadą „eksterytorialności”, która oznacza, że RODO ma zastosowanie do każdej organizacji przetwarzającej dane osobowe osób, których dane dotyczą – niezależnie od tego, gdzie znajduje się siedziba takiej organizacji i gdzie mają miejsce czynności przetwarzania. W związku z powyższym RODO może mieć zastosowanie do każdej organizacji w dowolnym miejscu na świecie, dlatego też wszystkie organizacje powinny przeprowadzić analizę w celu określenia, czy dokonują one przetwarzania danych osobowych obywateli UE. RODO ma również zastosowanie do wszystkich branż i sektorów.

Oto kilka definicji, które pomogą w zrozumieniu szerokiego zakresu RODO.

Kim jest „osoba, której dane dotyczą”?

Definicja osoby, której dane dotyczą, jest w RODO częścią definicji „danych osobowych” omówionej poniżej. Osoba, której dane dotyczą, to możliwa do zidentyfikowania osoba fizyczna, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden bądź kilka czynników określających fizyczną, psychologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość takiej osoby fizycznej.

Osoba, której dane dotyczą, nie musi być obywatelem UE. Konsekwencje tego faktu odzwierciedla wyżej opisane terytorialne zastosowanie RODO. W przypadku organizacji przetwarzającej dane osobowe, której siedziba znajduje się na terytorium UE, przetwarzanie danych osobowych ma miejsce w odniesieniu do każdej możliwej do zidentyfikowania osoby fizycznej niezależnie od jej fizycznej lokalizacji – pod warunkiem, że przetwarzanie odbywa się w kontekście siedziby. Organizacja, której siedziba nie znajduje się na terytorium UE, ale która oferuje towary lub usługi osobie, której dane dotyczą, a która znajduje się na terytorium UE, również podlega przepisom RODO. Należy zauważyć, że w tym wypadku, pomijając fakt zastosowania przepisów do osób fizycznych, taka osoba musi być również fizycznie obecna w UE.

Co uznawane jest za „dane osobowe”?

Zgodnie z definicją zawartą w RODO dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, to znaczy informacje, które mogłyby zostać wykorzystane samodzielnie lub w połączeniu z innymi informacjami do zidentyfikowania osoby, której dane dotyczą. Weźmy pod uwagę możliwie najszerszy zakres tej definicji. Obecnie dane osobowe obejmują nie tylko dane, które są powszechnie uznawane za dane o charakterze osobistym (np. numery ubezpieczeń społecznych, imiona i nazwiska, adresy fizyczne, adresy e-mail), lecz także dane takie jak adresy IP, dane dotyczące zachowania, dane dotyczące lokalizacji, dane biometryczne, dane finansowe i nie tylko. Oznacza to, że w przypadku użytkowników PandaDoc informacje, które są gromadzone przez organizację, a które dotyczą jej subskrybentów i osób, z którymi się kontaktuje, będą uznawane za dane osobowe w rozumieniu RODO. Należy także pamiętać, że nawet dane osobowe poddane tzw. pseudonimizacji mogą zostać uznane za dane osobowe, jeśli możliwe jest powiązanie pseudonimu z jakąkolwiek określoną osobą fizyczną, dlatego przy ocenie zastosowania tych przepisów należy zachować należytą ostrożność. Klasyfikacja danych jako dane osobowe w rozumieniu RODO będzie wymagała od Organizacji wywiązania się z określonych obowiązków, które mają związek z szeroko pojmowaną przejrzystością wykorzystania takich danych osobowych – w tym z ich bezpieczeństwem.

Szczególne kategorie danych, takie jak informacje dotyczące zdrowia czy ujawniające pochodzenie rasowe lub etniczne określonej osoby, będą wymagały jeszcze większej ochrony zapewnianej przez RODO. Organizacja nie powinna przechowywać danych o takim charakterze na swoim koncie PandaDoc.

Czym jest „przetwarzanie” danych?

Zgodnie z RODO przetwarzanie oznacza „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany bądź niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Zasadniczo jeśli organizacja gromadzi, wykorzystuje lub przechowuje jakiekolwiek dane osobowe osób, których dane dotyczą, bądź zarządza takimi danymi, organizacja taka przetwarza dane osobowe UE w rozumieniu RODO. Oznacza to na przykład, że jeśli na jakichkolwiek listach PandaDoc pojawia się adres e-mail, imię i nazwisko lub inne dane osobowe osoby, której dane dotyczą, wówczas, zgodnie z RODO, organizacja przetwarza dane osobowe UE. Zastosowanie RODO jest oczywiście zależne od spełnienia progowych wymogów terytorialnych wyjaśnionych powyżej.

Należy mieć na uwadze, że nawet jeśli w przypadku określonej organizacji wątpliwe jest, że RODO ma wpływ na jej działalność, RODO i jego podstawowe zasady mogą być dla takiej organizacji istotne. Prawo europejskie często wyznacza trendy w zakresie międzynarodowych rozporządzeń dotyczących prywatności, a większa świadomość na temat kwestii związanych z prywatnością może w przyszłości zapewnić organizacji konkurencyjną przewagę.

Kto przetwarza dane osobowe zgodnie z RODO?

Organizacja, która „przetwarza” dane osobowe, przetwarza je jako administrator lub podmiot przetwarzający, a każda z tych ról wiąże się z odrębnymi wymaganiami i obowiązkami. Administratorem jest organizacja, która określa cele i sposoby przetwarzania danych osobowych. Administrator określa również, jakie konkretne dane osobowe osoby, której dane dotyczą, są od niej pozyskiwane w celu przetwarzania. Podmiotem przetwarzającym jest organizacja, która przetwarza dane w imieniu administratora. Podmiot przetwarzający jest w pewnym sensie usługodawcą lub dostawcą w ramach tego stosunku.

Choć RODO nie zmieniło podstawowych definicji administratora i podmiotu przetwarzającego zawartych w dyrektywie, rozszerzyło ono zakres obowiązków każdej ze stron. Administratorzy pozostają głównymi osobami odpowiedzialnymi za ochronę danych (w tym, na przykład, zachowują obowiązek zgłaszania naruszeń ochrony danych przeznaczonym do tego organom); jednak RODO nakłada także pewne bezpośrednie obowiązki na podmiot przetwarzający. Należy ustalić, czy określona organizacja działa jako administrator, czy jako podmiot przetwarzający, i zapoznać się z odpowiednimi obowiązkami.

W kontekście aplikacji PandaDoc i powiązanych z nią usług w większości przypadków nasi klienci działają jako administratorzy. Nasi klienci decydują na przykład o tym, jakie informacje od ich kontaktów lub subskrybentów są przesyłane bądź przekazywane na konto PandaDoc. Sposób, w jaki PandaDoc przetwarza dane osobowe, został omówiony poniżej.

W jaki sposób PandaDoc zapewnia zgodność z przepisami RODO?

PandaDoc bardzo poważnie podchodzi do kwestii zgodności z przepisami RODO. Przygotowania do wprowadzenia tego rozporządzenia firma rozpoczęła na długo przed datą jego wejścia w życie. W ramach procesu przygotowań dokonaliśmy przeglądu (i w razie potrzeby zaktualizowaliśmy) wszystkie nasze wewnętrzne procesy, procedury, systemy i dokumentację, aby upewnić się, że w momencie wejścia w życie RODO będziemy gotowi na te zmiany. Zgodność z przepisami nie jest osiągnięciem o charakterze stałym; wymaga zachowania czujności i monitorowania sytuacji pod kątem zmian w okolicznościach i wymogach prawnych.

Wśród ostatnio wprowadzonych zmian można wymienić orzeczenie Trybunału Sprawiedliwości Unii Europejskiej („TSUE”) w ramach tak zwanego wyroku Schrems II. Wyrok ten dotyczy przekazywania danych osobowych z państw członkowskich UE do krajów trzecich, takich jak Stany Zjednoczone. RODO, podobnie jak Dyrektywa, nie zawiera żadnego szczególnego wymagania, zgodnie z którym dane osobowe obywateli UE mogłyby być przechowywane wyłącznie w państwach członkowskich UE. RODO wymaga raczej, aby przed przekazaniem danych osobowych poza UE zostały spełnione pewne warunki, i wskazuje kilka podstaw prawnych, na których organizacje mogą polegać w przypadku takiego przekazywania danych. Jedną z określonych przez RODO podstaw prawnych przekazywania danych osobowych jest „decyzja stwierdzająca odpowiedni poziom ochrony”. Decyzja stwierdzająca odpowiedni poziom ochrony to decyzja Komisji Europejskiej stwierdzająca, że w kraju, na terytorium lub w organizacji, w której dane osobowe są przekazywane, istnieje odpowiedni poziom ochrony. Wyrok Schrems II unieważnił decyzję stwierdzającą odpowiedni poziom ochrony w przypadku transatlantyckiego przekazywania danych do Stanów Zjednoczonych, znaną jako Tarcza Prywatności II. Inny skutek tego wyroku związany był z wykorzystaniem „standardowych klauzul umownych” pomiędzy administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej. Standardowe klauzule umowne stanowią podstawę prawną, która jest powszechnie przywoływana jako „odpowiednie zabezpieczenie” w przypadkach, gdy dane osobowe mogą być przekazywane wyłącznie pod warunkiem istnienia odpowiednich zabezpieczeń i dostępności skutecznych środków prawnych pozwalających egzekwować prawa osób, których dane dotyczą. W przypadkach, w których TSUE podtrzymał ważność tego zabezpieczenia, Trybunał ten ustanowił pewne warunki jego stosowania.

PandaDoc jest firmą zaangażowaną w stosowanie się do skutków wyroku Schrems II, a także jakichkolwiek innych wymagań prawnych, jakie mogą zaistnieć w przyszłości. Monitorujemy sytuację pod kątem zmian – w szczególności w odniesieniu do publikowanych wytycznych Europejskiej Rady Ochrony Danych i opinii Organu Nadzorczego.

Zgodnie z naszą polityką jesteśmy gotowi odpowiadać na wszelkie żądania naszych klientów związane z ich rozszerzonymi, indywidualnymi prawami wynikającymi z RODO. Ogólnie rzecz ujmując, prawa te obejmują:

W jaki sposób PandaDoc przetwarza dane osobowe?

PandaDoc, tak jak każda inna firma, korzysta obecnie z zewnętrznych Podwykonawców przetwarzania, którzy zapewniają nam rozmaite funkcje biznesowe, takie jak analityka biznesowa, infrastruktura chmury, powiadomienia e-mail, płatności czy obsługa klienta. Przed nawiązaniem współpracy z zewnętrznym Podwykonawcą przetwarzania PandaDoc przeprowadza badanie due diligence w celu oceny jego podejścia do ochrony, a następnie zawiera umowę wymagającą od każdego Podwykonawcy przestrzegania praktyk bezpieczeństwa na co najmniej minimalnym akceptowalnym poziomie. Nasi Podwykonawcy przetwarzania danych są wymienieni na osobnej stronie. Strona ta będzie na bieżąco aktualizowana; prosimy o regularne zapoznawanie się z nią w celu uzyskiwania aktualnych informacji o wszelkich zmianach.

Czy zapewnienie zgodności z przepisami RODO jest obowiązkowe?

Jak wskazano powyżej, zasięg eksterytorialny RODO jest szeroki i należy zwrócić należytą uwagę na jego zastosowanie do działalności organizacji. Z całą mocą podkreślamy, że organizacje powinny zasięgnąć porady prawników i innych profesjonalnych doradców, aby określić pełny zakres obowiązków w zakresie zapewnienia zgodności organizacji z przepisami RODO.

Jakie są konsekwencje niezgodności z przepisami?

Nieprzestrzeganie przepisów RODO może wiązać się z ogromnymi karami finansowymi. Sankcje za nieprzestrzeganie tych przepisów mogą sięgać nawet 20 milionów euro lub 4% globalnego rocznego obrotu, w zależności od tego, która z tych kwot jest wyższa.

Od czego zacząć?

Poniżej znajduje się tabela, którą zamieszczamy, aby pomóc naszym klientom zastanowić się nad przepisami RODO i swoimi obowiązkami ORAZ nad tym, jakie jest miejsce PandaDoc w tym systemie. Niniejsza lista nie jest wyczerpująca.

Wymaganie RODOOdwołanie do przepisów RODOOsoba(-y) odpowiedzialna(-e)Podjęte działania
Podstawa prawnaArtykuł 6, artykuł 11Odpowiedzialność wspólnaPandaDoc: ustanawia podstawę prawną przetwarzania danych osobowych. Osoba, której dane dotyczą: jeśli podstawą prawną jest zgoda, osoba, której dane dotyczą, wyraża zgodę na gromadzenie przez PandaDoc danych na jej temat.
Przetwarzanie danych osobowych dzieciArtykuł 8PandaDocTraktuje jednakowo wszystkie poszczególne rodzaje danych i nie gromadzi świadomie danych osobowych dzieci.
Ochrona danych w fazie projektowaniaArtykuł 25Odpowiedzialność wspólnaPandaDoc: gromadzi minimum danych osobowych konieczne do prowadzenia normalnej działalności gospodarczej. Klient: zarządza treściami na platformie PandaDoc.
Oceny skutków w zakresie ochrony danychArtykuł 35Odpowiedzialność wspólnaPandaDoc: wyznacza pracowników odpowiedzialnych za przeprowadzanie wszelkich niezbędnych ocen skutków w zakresie ochrony danych. Klient: określa poziom treści udostępnianych z partnerami biznesowymi i może wspierać PandaDoc jako przetwarzający.
SzyfrowanieArtykuł 32Odpowiedzialność wspólnaPandaDoc i klient (jako przetwarzający): zachowują zgodność z wymaganiami w zakresie bezpieczeństwa. Dane osobowe w locie i w spoczynku podlegają 256-bitowemu szyfrowaniu AES.
Europejska Rada Ochrony DanychArtykuł 68Odpowiedzialność wspólnaPandaDoc i klient (jako przetwarzający): monitorują działania Europejskiej Rady Ochrony Danych
Spis danych osobowychArtykuł 30Odpowiedzialność wspólnaPandaDoc i klient (jako przetwarzający): spełniają wymagania związane z rejestrem czynności przetwarzania.
Prawo do usunięcia danychArtykuł 17Odpowiedzialność wspólnaPandaDoc: wyznacza pracowników odpowiedzialnych za udzielanie odpowiedzi na żądania wykonania tego prawa. Osoba, której dane dotyczą: wykonuje swoje prawo do usunięcia danych zgodnie z postanowieniami PandaDoc.