O czym pamiętać tworząc politykę prywatności? Jak stworzyć stronę zgodną z przepisami RODO? Jakie dokumenty należy stworzyć? Tworzenie podstrony RODO!
Odpowiadając na wszystkie zadane nam pytania dotyczące polityki prywatności oraz RODO, przygotowaliśmy poniższy artykuł. Dokładnie opisaliśmy czym jest RODO, jakie dokumenty i podstrony internetowe warto stworzyć. Przy okazji pokazujemy, że „strach ma wielkie oczy”.
RODO nie takie straszne
RODO, czyli Rozporządzenie o ochronie danych osobowych, które weszło w życie 25 maja 2018 roku, spójnia zasady ochrony danych osobowych w całej Europie. Konieczność zbierania zgody na przetwarzanie danych osobowych nie jest nowością i wie o tym wiele przedstawicieli firm, zwłaszcza tych, które np. realizowały projekty unijne, czy zbierały w jakikolwiek sposób dane osób fizycznych. Czym są dane?
„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Po co jest RODO? W jakim celu je napisano?
Nikt nie chce, aby jego dane osobowe krążyły jak wolny elektron po Internecie z możliwością ich wykorzystania przez kogokolwiek. Ważne jest to aby nasze dane były zbierane i wykorzystywane za naszą zgodą, we właściwy sposób.
Zdarzyło Wam się odebrać telefon od np. telemarketera, który chciał Was umówić na jakieś spotkanie, a zapytany skąd ma nasze dane rozłączał się? Ja poszłam dalej, poprosiłam o wykreślenie moich danych z bazy, co spełzło na niczym, bo już za dwa dni ponownie dostałam telefon z tym samym zaproszeniem. Najbardziej wkurzające są telefony typu: Czy pani jest z Zielonej Góry? Zazwyczaj na tego typu pytania odpowiadam: Nie, jestem z księżyca. Pytam również: Skąd uzyskał(a) pan(i) numer mojego telefonu? Wymagam aby w tym momencie wykreślić mój numer telefonu z Państwa bazy. Wtedy następuje zazwyczaj rozłączenie.
Obecne rozporządzenie dotyczące danych osobowych nie było dość skuteczne w egzekwowaniu danych osobowych i powstały nowe przepisy, a co za tym idzie nagle w Internecie zrobiło się gorąco, bo pojawiło się wiele pytań od twórców internetowych. W jaki sposób RODO ich dotyczy? Przerażenie urastało, a zazwyczaj jest tak, że boimy się tego, czego nie znamy.
RODO obowiązuje firmy, które przetwarzają dane osobowe dotyczące osób fizycznych na terenie UE, a dotyczy to każdej czynności związanej z danymi osobowymi, tj. zbierania, przechowywania, wykorzystywania i niszczenia informacji. Do tego dane strukturalne znajdujące się w różnych bazach oraz te niestrukturalne, czyli znajdujące się na różnych nośnikach, jak poczta, serwery, elektroniczny obieg dokumentów, zewnętrzne dyski oraz urządzenia mobilne, na których odkładane są dane osobowe muszą być pod ścisłą kontrolą. Takie dane łatwo jest „przechwycić”. Wystarczy, że np. wyniesiemy je na pendriv-ie i dostaną się w niepowołane ręce.
Co nowego pojawiło się w zakresie RODO?
Rozporządzenie obejmuje większy zakres, ma ściślej określone normy oraz pojawił się system egzekwowania obejmujący grzywny. Grzywny muszą być, trudno wyobrazić sobie przepisy bez nakładania kar za ich złamanie.
Kary za złamanie przepisów RODO są ale wcale nie jest powiedziane, że zawsze będą nakładane w gigantycznych kwotach, ani że będą nakładane z automatu.
Obecnie RODO skupia się na rzeczywistych środkach ochrony danych osobowych, więc jeśli jesteś twórcą internetowym i przetwarzasz w jakikolwiek sposób dane osobowe np. gromadzisz maile na potrzeby newslettera to RODO jak najbardziej Cię dotyczy.
W poprzednim rozporządzeniu o ochronie danych osobowych, głównym kryterium decydującym o tym, czy ustawę stosujemy do osób fizycznych, czy nie, była działalność zawodowa lub zarobkowa. Obecnie nie ma znaczenia czy jesteś twórcą internetowym zajmującym się tym zawodowo, czy hobbystycznie. Jeśli jesteś blogerem, który ma newsletter, podpadasz pod RODO. Jeśli sprzedajesz produkty i usługi podlegasz przepisom RODO. Jeśli jako osoba fizyczna gromadzisz dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze, również RODO Cię nie dotyczy. Jeśli na Twojej stronie można zostawić komentarz, strona zbiera statystyki pokazujące ilość odwiedzających, masz obowiązek o tym poinformować na stronie Polityki prywatności. Dla Ciebie przede wszystkim ważne jest to, aby dane nie wyciekły i aby nikt nie uzyskał do
nich dostępu, nie zmodyfikował ich, nie skasował, nie udostępnił dalej itd.
Pamiętaj, że jako twórca internetowy w każdej chwili możesz stanąć przed koniecznością stosowania przepisów dotyczących ochrony danych osobowych, bo:
- organizujesz konkursy – dane osobowe uczestników
- prowadzisz newsletter – dane osobowe subskrybentów (adres e-mail),
- pod wpisami posiadasz komentarze – dane komentujących – choć w tym przypadku umieszczenie komentarza z użyciem nicka to już jest automatyczna zgoda osoby komentującej
- sprzedajesz swoje produkty / usługi – dane osobowe kupujących,
- wystawiasz faktury / zawierasz umowy / zatrudniasz / korespondujesz – dane osobowe klientów / współpracowników
Co m.in. musi zawierać polityka prywatności?
Musimy stworzyć Rejestr czynności danych osobowych (jest pomocny w uświadomieniu sobie, jakie dane osobowe przetwarzamy i w jaki sposób to robimy):
- pełny adres strony,
- imię i nazwisko oraz dane kontaktowe,
- cele przetwarzania danych (np. wysyłka newslettera, organizacja konkursu, sprzedaż produktów, publikowanie komentarzy na blogu itp.),
- kategorie osób i danych (np. subskrybenci newslettera – imię i adres e-mail, uczestnicy konkursu – imię i nazwisko, adres e-mail; komentujący na blogu – imię, adres e-mail; klienci – imię i nazwisko, adres zamieszkania, itd.),
- planowany termin usunięcia danych osobowych (np.
rezygnacja z otrzymywania newslettera, zakończenie konkursu), - ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (np. dane zabezpieczone hasłem, ochrona antywirusowa na komputerze, itd.).
Ponadto, gdy jakiś podmiot bierze na twoje zlecenie udział w przetwarzaniu danych, które gromadzisz, to jest to powierzenie przetwarzania danych osobowych.
Określ co uczestniczy w przetwarzaniu danych
Przykładowo: firma kurierska, firmy sprzedające Ci hosting, dostawca systemu mailingowego. Stwórz ich listę. Gdy powierzasz przetwarzanie danych osobowych, musisz zawrzeć umowę powierzenia (możesz ją zawrzeć pisemnie i elektronicznie). O takim zabiegu także masz obowiązek poinformować na stronie polityki prywatności, komu przekazujesz informacje. Określ cel powierzenia. Podmioty, którym powierzasz dane muszą stosować odpowiednie środków ochrony danych osobowych. Sprawdź to.
Zastanów się w jakich miejscach dochodzi do przetwarzania danych, kto ma dostęp do danych i jakie zastosowano środki w celu ochrony danych osobowych. Możesz stworzyć swoją politykę bezpieczeństwa i instrukcję zarządzania tymi danymi.
Pamiętaj o kilku podstawowych czynnościach, które od dawien dawna już powinny funkcjonować:
- aby posiadać ochronę antywirusową na sprzęcie wykorzystywanym do przetwarzania
danych, - włączaj blokady ekranu z koniecznością podania hasła (zabezpieczasz tym samym komputer,
czy telefon przed niepowołanym zajrzeniem w niego przez inne osoby), - aby dostęp do sprzętu, do systemów chronić hasłem (login plus hasło),
- w przypadku, gdy do danych ma dostęp więcej osób, stwórz upoważnienie każdej osoby do przetwarzania danych, nadaj login i hasło,
- jeżeli przechowujesz jakieś dane w formie papierowej trzymaj je w szafie zamykanej na klucz,
- możesz wykupić certyfikat SSl (Certyfikaty SSL są narzędziem zapewniającym ochronę witryn internetowych, pozwalają zachować poufności danych przesyłanych drogą elektroniczną za pomocą zastosowania szyfrowania komunikacji pomiędzy komputerami) zwłaszcza jeśli na swojej stronie masz formularze poprzez które można przesyłać dane osobowe.
- Stwórz na wszelki wypadek procedurę zaistnienia naruszenia ochrony danych (jest istotna, gdy np. wycieknie ci mail z newslettra)
- Dodaj checkboxy tam, gdzie potrzebujesz zgody na przetwarzanie danych
- Żeby móc przetwarzać dane na potrzeby newslettera, musisz mieć na to zgodę użytkowników, którzy się do tego newslettera zapisują. Zbieraj w formie checboxów:
- godę na przetwarzanie danych osobowych w celach marketingowych,
- zgodę na przesyłanie informacji handlowych za pośrednictwem poczty elektronicznej,
- zgodę na wykorzystywanie końcowych urządzeń telekomunikacyjnych dla celów marketingu bezpośredniego.
Polityka prywatności jest dokumentem, który powinien mieć każdy twórca internetowy posiadający swoją stronę. Nie ma z góry narzuconej formy. W tej polityce prywatności zawiera się wszystkie informacje związane z przetwarzaniem danych osobowych. Ujmujemy ją precyzyjnie i w sposób zrozumiały oraz przejrzysty dla użytkownika. Polityka prywatności to miejsce na wskazanie wszystkich plików cookies, jakie wykorzystywane są na stronie.
Polityka prywatności zawiera informacje kto jest administratorem danych, cel pozyskiwania danych, sposób ich zbierania oraz ich zakres oraz uprawniania przysługujące użytkownikom, okres przechowywania danych, powierzenie danych.
Umieść informację o pobieraniu danych osobowych, wszędzie, gdzie zbierasz dane, czyli tam, gdzie użytkownik podaje jakieś dane osobowe, powinna zostać zawarta choćby skrócona klauzula informacyjna odsyłająca do polityki prywatności, byś mógł powiedzieć, że wypełniłeś należycie obowiązek informacyjny. Aktywuj mechanizm akceptacji cookies – Co nowego i istotnego wprowadza RODO miedzy innymi dla twórców internetowych?
Profilowanie. Oznacza ono: „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
W każdej chwili konsument ma prawo wyrazić sprzeciw wobec profilowania oraz będzie mu przysługiwało prawo dostępu do swoich danych, z których składa się właśnie „profil”. O profilowaniu firmy powinny informować na etapie zbierania danych osobowych, a także jeśli taki nastąpi – na wniosek osoby fizycznej.
Zatem aby przygotować się do wdrożenia zasad opisanych w rozporządzeniu należy przede wszystkim ocenić, w jakich procesach „szufladkuje” się osoby odwiedzające nasz estrony internetowe oraz gdzie na takiej podstawie podejmowane są automatyczne decyzje, a zatem, strony internetowe mogą gromadzić informacje o korzystających z nich użytkownikach, dopiero po uzyskaniu ich zgody. Szczegółową podstawę prawną z jakich można korzystać z plików cookie, ma zapewnić dopiero rozporządzenie o prywatności i łączności elektronicznej, które nadal jest w fazie konsultacji.
* * *
Jeszcze raz dziękuję Anecie z bloga A Cup of Lifestyle, za szczegółowe wyjaśnienie oraz zobrazowanie zmian i działań jakich należy podjąć. Oczywiście zapraszam do dyskusji, gdzie wspólnymi siłami poradzimy sobie z przepisami. Szczególnie odsyłam do bloga Anety, ponieważ treści jakie tam znajdziecie, zapewne zaskoczą i miła zajmą czas.
Pamiętam jak dziś, gdy plan bloga był gotowy, już pracowałem na wykupionej domenie i hostingu, aż w pewnym momencie przypomniałem sobie o RODO. Nikt jeszcze o stronie nie wiedział, więc nie było w sumie czym się przejmować. Kilka godzin później miałem napisany gotowy regulamin. Gdy kilka miesięcy później ruszyłem ze sklepem, wystarczyło dopisać podstronę o regulaminie sklepu.
Masz z czymś problem?
Chcesz zaoszczędzić czas lub zlecić to zadanie profesjonalistom? Napisz do nas, abyśmy pomogli Ci w wyzwaniach ze stroną internetową lub social-media. Nasz zespół czeka na Twoją wiadomość.
Mam nadzieję, że udało Ci się znaleźć w tym poradniku odpowiedź na swoje pytanie. 🙂