CHECKLISTA DZIAŁAŃ MARKETINGOWYCH

*uwzględnia wymagania RODO, UŚUDE, Pr. Telekom.

☐ adekwatność → minimalizacja
cel działań marketingowych nie może zostać osiągnięty bez gromadzenia i przetwarzania danych
osobowych
w ramach planowanych działań marketingowych przetwarzane będą wyłącznie te dane osobowe,
które są niezbędne dla realizacji celu przetwarzania
dane osobowe nie są gromadzone „na zapas” / „na przyszłość” do wykorzystania w innych,
przyszłych celach

☐ podstawa prawna do prowadzenia działań marketingowych

administrator dysponuje podstawą dla prowadzenia działań marketingowych, przy czym bierze
się pod uwagę warunki RODO, UŚUDE i Pr. Telekom.

Program
lojalnościowy
(wykorzystujący email
Email marketing Telemarketing Konkurs
oraz telefon jako formy
komunikacji i
powiadomień o
promocjach, etc.)

zgoda zgoda zgoda

niewymagana niewymagana niewymagana
przetwarzanie danych przetwarzanie danych przetwarzanie danych
RODO osobowych odbywa się osobowych odbywa się wymagana zgoda osobowych odbywa się
na podstawie prawnie na podstawie prawnie na podstawie prawnie
uzasadnionego interesu uzasadnionego interesu uzasadnionego interesu
administratora administratora administratora
(marketing bezpośredni) (marketing bezpośredni) (prowadzenie programu)

UŚUDE wymagana zgoda nie dotyczy nie dotyczy wymagana zgoda

Pr.
wymagana zgoda wymagana zgoda nie dotyczy wymagana zgoda
telekom.

☐ podstawa prawna do przetwarzania danych osobowych w formie profilowania w ramach

prowadzonych działań marketingowych
 brak dodatkowych wymagań
Profilowanie zwykłe zastosowanie znajduje ta sama podstawa prawna, jaka jest wykorzystywana do
przetwarzania danych osobowych

Profilowanie kwalifikowane wymagana odrębna, wyraźna zgoda

☐ zapewnienie, że pobierana zgoda spełnia wszystkie warunki RODO (dotyczy to również zgód
z UŚUDE oraz Pr. Telekom.)
gwarantuje się co najmniej, że:
• zapytanie o zgodę zostało wyraźnie oddzielone od pozostałych treści,
• zapytanie o zgodę nie łączy się z oświadczeniami woli o innej treści,
• zapytanie o zgodę zostało przedstawione jasnym i prostym językiem,
• podmiot danych musi podjąć celowe działanie w celu wyrażenia zgody na określone
przetwarzanie (oświadczenie lub wyraźne działanie potwierdzające),
• nie stosuje się zgody opt out,

• nie stosuje się domyślnie zaznaczonych okienek,

• osoba wyrażająca zgodę ma rzeczywisty, wolny wybór oraz może odmówić wyrażenia
zgody,

• nie występuje brak równowagi sił pomiędzy osobą, która wyraża zgodę a administratorem,

• od wyrażenia zgody nie uzależniono wykonania umowy, w tym świadczenia usług,

• odmowa wyrażenia zgody nie powoduje negatywnych konsekwencji,

• jeżeli administrator pozytywnie motywuje do udzielenia zgody (np. w zamian za wyrażenie

zgody oferuje zniżki, dodatkowe usługi) to działania te nie prowadzą do zaburzenia
swobody podjęcia decyzji o wyrażeniu zgody, tj. w przypadku niewyrażenia zgody podmiot
danych będzie mógł nadal otrzymać równoważne świadczenie, na rozsądnych warunkach,

• zgoda dotyczy wszystkich czynności przetwarzania dokonywanych w tym samym celu /

tych samych celach,
• zgoda wyrażana jest oddzielnie dla różnych celów i rodzajów przetwarzania,
• osoba, która wyraża zgodę zna co najmniej: tożsamość administratora i zamierzone cele
przetwarzania,

• osoba, która wyraża zgodę posiada informacje: jakie dane (jaki rodzaj danych) będą
zbierane i wykorzystywane, o prawie do wycofania zgody, na temat wykorzystywania
danych w celach profilowania kwalifikowanego,

• informacja o możliwości wycofania zgody przekazywana jest zanim zgoda zostanie

wyrażona,
• zgoda może być w każdym czasie wycofana,
• wycofanie zgody jest równie łatwe jak jej wyrażenie,
 • administrator dysponuje dowodem wyrażenia zgody, a w szczególności dysponuje
informacjami na temat tego: kto udzielił zgody, kiedy została ona udzielona, jaka była treść
wyrażanej zgody, jakie informacje otrzymał podmiot danych przy składaniu oświadczenia
o wyrażeniu zgody, czy zgoda została wycofana, a jeśli tak, to kiedy.

☐ powierzenie przetwarzania danych osobowych

w przypadku, kiedy do prowadzania działań marketingowych w imieniu administratora
zaangażowane zostaną podmioty zewnętrzne (np. agencje marketingowe, firmy zajmujące się
email marketingiem), przed przekazaniem im danych osobowych:

• dokonana zostanie weryfikacja tych podmiotów, pod kątem zagwarantowania przez nie
odpowiedniego stopnia ochrony danych osobowych,
• podpisana zostanie umowa powierzenia przetwarzania danych osobowych zawierająca
wszystkie elementy wskazane w art. 28 RODO

☐ obowiązek informacyjny
podczas gromadzenia danych osobowych, każdej osobie, której dane dotyczą, przekazane
zostaną informacje m.in. o administratorze jej danych, podstawach przetwarzania oraz celach
przetwarzania oraz pozostałe informacje wskazane w art. 13 RODO lub art. 14 RODO (w
przypadku, kiedy dane zostały zgromadzone nie od osoby, której dane dotyczą np. w związku z
zakupem bazy danych)

☐ zachowanie gwarancji przy gromadzeniu danych z innych źródeł (dotyczy kupna baz danych
od innych podmiotów)
w przypadkach zakupu baz danych bądź innych przypadków gromadzenia danych od innych
podmiotów niż osoby, których dane dotyczą, wskazane wyżej działania i gwarancje z nich płynące
powinny zostać również spełnione, a samo przekazanie danych odpowiednio uregulowane (m.in.
odpowiednią umową kupna bazy)
dokonywana jest weryfikacja legalności zakupionej bazy danych (czy dane zgormadzone w bazie,
którą zakupiono lub planowane jest jej zakupienie zostały pozyskane w sposób zgodny z prawem)