Unsplash.com

Jak wdrożyć RODO i przygotować stronę internetową, a jak blog pod kątem nowych przepisów odnośnie danych osobowych? Kiedy wchodzi w życie i w jakich sytuacjach RODO nie dotyczy blogera? Co nowego wprowadzają nowe przepisy prawne! Tekst autorstwa Anety z bloga A Cup of Lifestyle!

W sprawie RODO dostaję wiele wiadomości z pytaniami. W temacie nowych przepisów wypowiedziałem się m.in. w artykule ,,Czy blogerzy powinni się obawiać RODO„. Zależało mi na uspokojeniu chaosu jaki wzbudziły nowe przepisy prawne.

Nie na wszystkie pytania byłem wstanie odpowiedzieć, dlatego poprosiłem o pomoc Anetę, z bloga A Cup of Lifestyle. Dokładnie opisała czym jest RODO. Jakie dokumenty i podstrony internetowe warto stworzyć, a przy tym podobnie uspokaja, ponieważ jak się okazuje, nie takie to straszne. Zapraszam do lektury i uprzejmie odsyłam do bloga Anety!

RODO nie takie straszne

RODO, czyli Rozporządzenie o ochronie danych osobowych, które wchodzi w życie 25 maja 2018 r., uspójnia
zasady ochrony danych osobowych w całej Europie. Konieczność zbierania zgody na przetwarzanie danych osobowych nie jest nowością. Wie o tym wiele przedstawicieli firm. Zwłaszcza tych, które np. realizowały projekty unijne, czy zbierały w jakikolwiek sposób dane osób fizycznych. Czym są dane?

„Dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Po co jest RODO? W jakim celu je napisano?

Nikt nie chce, aby jego dane osobowe krążyły jak wolny elektron po Internecie z możliwością jej wykorzystania przez kogokolwiek. Ważne jest to by nasze dane były zbierane i wykorzystywane za naszą zgodą i w sposób celowy.

Zdarzyło Wam się odebrać telefon od np. telemarketera, który chciał Was umówić na jakieś spotkanie. Zapytany skąd ma nasze dane rozłączył się? Ja poszłam dalej, poprosiłam o wykreślenie moich danych z bazy, co spełzło na niczym. Już za dwa dni ponownie dostałam telefon z tym samym zaproszeniem. Najbardziej wkurzające są telefony typu: Czy pani jest z Zielonej Góry?

Zazwyczaj na tego typu pytania odpowiadam: Nie, jestem z księżyca. Pytam również: Skąd uzyskał(a)
pan(i) numer mojego telefonu? Czy może pan(i )wykreślić numer telefonu z Państwa bazy? Wtedy następuje zazwyczaj rozłączenie.

Obecne rozporządzenie dotyczące danych osobowych nie było dość skuteczne w egzekwowaniu danych osobowych. Powstały nowe przepisy, a co za tym idzie nagle w Internecie zrobiło się gorąco. Pojawiło się wiele pytań od twórców internetowych. W jaki sposób RODO ich dotyczy? Przerażenie urastało, a zazwyczaj jest tak, że boimy się tego, czego nie znamy. Ot co. Ale zacznijmy od początku.

RODO obowiązuje firmy, które przetwarzają dane osobowe dotyczące osób fizycznych na terenie UE. Dotyczy to każdej czynności związanej z danymi osobowymi, tj. zbierania, przechowywania, wykorzystywania i niszczenia informacji. Do tego dane strukturalne znajdujące się w różnych bazach oraz te niestrukturalne, czyli znajdujące się na różnych nośnikach. Jak poczta, serwery, elektroniczny obieg dokumentów, zewnętrzne dyski oraz urządzenia mobilne. Na których odkładane są dane osobowe muszą być pod ścisłą kontrolą. Takie dane łatwo jest „przechwycić”. Wystarczy, że np. wyniesiemy je na  pendriv-ie i dostaną się w niepowołane ręce.

Co nowego pojawiło się w zakresie RODO?

Rozporządzenie obejmuje większy zakres, ma ściślej określone normy oraz pojawił się system egzekwowania obejmujący grzywny. Grzywny muszą być, trudno wyobrazić sobie przepisy bez nakładania kar za ich złamanie. Gdyby nie było kar nikt nie respektowałby przepisów. Kary za złamanie przepisów RODO, są ale wcale nie jest powiedziane. Zawsze będą nakładane w gigantycznych kwotach, ani że będą nakładane z automatu.

Obecnie RODO skupia się na rzeczywistych środkach ochrony danych osobowych. Jeśli jesteś twórcą internetowym i przetwarzasz w jakikolwiek sposób dane osobowe. Gdy gromadzisz maile na potrzeby newslettera, RODO jak najbardziej Cię dotyczy.

Co jeszcze warto wiedzieć?

W poprzednim rozporządzeniu o ochronie danych osobowych. Głównym kryterium decydującym o tym, czy ustawę stosujemy do osób fizycznych, czy nie była działalność zawodowa lub zarobkowa. Obecnie nie ma znaczenia czy jesteś twórcą internetowym zajmującym się tym zawodowo, czy hobbystycznie. Jeśli jesteś blogerem, który ma newsletter, podpadasz pod RODO. W momencie gdy sprzedajesz produkty i usługi podlegasz przepisom RODO. Jako osoba fizyczna gromadzisz dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze to RODO Cię nie dotyczy. Ale pamiętaj, że jako twórca internetowy w każdej chwili możesz stanąć przed koniecznością stosowania przepisów dotyczących ochrony danych osobowych, bo:

  • organizujesz konkursy – dane osobowe uczestników
  • prowadzisz newsletter – dane osobowe subskrybentów (adres e-mail);
  • pod wpisami posiadasz komentarze
  • dane komentujących
  • choć w tym przypadku umieszczenie komentarza z użyciem nicka to już jest automatyczna zgoda osoby komentującej
  • sprzedajesz swoje produkty / usługi – daneosobowe kupujących, wystawiasz faktury / zawierasz umowy /
  • zatrudniasz / korespondujesz – dane osobowe klientów / współpracowników

Dla Ciebie przede wszystkim ważne jest to, aby dane nie wyciekły i aby nikt nie uzyskał do
nich dostępu, nie zmodyfikował ich, nie skasował, nie udostępnił dalej itd.

Jakie kroki należy podjąć gdy RODO nas dotyczy?

Musimy stworzyć Rejestr czynności danych osobowych. Jest pomocny w uświadomieniu sobie, jakie dane osobowe przetwarzamy i w jaki sposób to robimy:

  1. imię i nazwisko oraz dane kontaktowe cele przetwarzania danych. Przykładowo: wysyłka newslettera, organizacja konkursu, sprzedaż produktów, publikowanie komentarzy na blogu itp.),
  2. kategorie osób i danych (np. subskrybenci newslettera – imię i adres e-mail, uczestnicy konkursu – imię i nazwisko,
  3. adres e-mail; komentujący na blogu – imię, adres e-mail; klienci – imię i nazwisko, adres zamieszkania, itd.),
  4. planowany termin usunięcia danych osobowych (np. rezygnacja z otrzymywania newslettera, zakończenie konkursu),
  5. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (np. dane zabezpieczone hasłem, ochrona antywirusowa na komputerze, itd.).

Ponadto, gdy jakiś podmiot bierze na twoje zlecenie udział w przetwarzaniu
danych, które gromadzisz, to jest to powierzenie przetwarzania danych osobowych.
Zatem:

Określ Podmioty uczestniczą w przetwarzaniu danych

Przykładowo: firma kurierska, firmy sprzedające ci hosting, dostawca systemu mailingowego. Stwórz ich
listę.

Gdy powierzasz przetwarzanie danych osobowych, musisz zawrzeć umowę powierzenia. Możesz ją zawrzeć pisemnie i elektronicznie. Określ cel powierzenia. Podmioty, którym powierzasz dane muszą stosować odpowiednie środków ochrony danych osobowych. Sprawdź to.

Zastanów się w jakich miejscach dochodzi do przetwarzania danych. Kto ma dostęp do danych i jakie zastosowano środki w celu ochrony danych osobowych. Możesz stworzyć swoją politykę bezpieczeństwa i instrukcję zarządzania tymi danymi.

Wdróż odpowiednie środki ochrony danych i przygotuj polityki związane z
ochroną danych osobowych. Pamiętaj o kilku podstawowych czynnościach, które od dawien dawna już powinny funkcjonować u ciebie:

  • aby posiadać ochronę antywirusową na sprzęcie wykorzystywanym do przetwarzania
    danych,
  • włączaj blokady ekranu z koniecznością podania hasła (zabezpieczasz tym samym komputer,
    czy telefon przed niepowołanym zajrzeniem w niego przez inne osoby),
  • aby dostęp do sprzętu, do systemów chronić hasłem (login plus hasło),
  • w przypadku, gdy do danych ma dostęp więcej osób, stwórz upoważnienie każdej osoby do przetwarzania danych, nadaj login i hasło,
  • jeżeli przechowujesz jakieś dane w formie papierowej trzymaj je w szafie zamykanej na klucz,
  • możesz wykupić certyfikat SSl (Certyfikaty SSL są narzędziem zapewniającym ochronę witryn internetowych, pozwalają zachować poufności danych przesyłanych drogą elektroniczną. Za pomocą zastosowania szyfrowania komunikacji pomiędzy komputerami) zwłaszcza, jeśli na swojej stronie masz formularze poprzez które można przesyłać dane osobowe.
  • Stwórz na wszelki wypadek procedurę zaistnienia naruszenia ochrony danych (jest istotna, gdy np. wycieknie ci mail z newslettra);
  • dodaj checkboxy tam, gdzie potrzebujesz zgody na przetwarzanie danych

Co musisz robić, aby spełniać przepisy?

Żeby móc przetwarzać dane na potrzeby newslettera, musisz mieć na to zgodę użytkowników, którzy się do tego newslettera zapisują. Zbieraj w formie checboxów zgodę:

  • na przetwarzanie danych osobowych w celach marketingowych;
  • przesyłanie informacji handlowych za pośrednictwem poczty elektronicznej;
  • wykorzystywanie końcowych urządzeń telekomunikacyjnych dla celów marketingu bezpośredniego;
  • Stwórz politykę prywatności;

Polityka prywatności to dokument, który powinien mieć każdy twórca internetowy posiadający swoją stronę. Nie jest ona obowiązkowa i nie ma z góry narzuconej formy. W tej polityce prywatności zawiera się wszystkie informacje związane z przetwarzaniem danych osobowych.

Ujmujemy ją precyzyjnie i w sposób zrozumiały oraz przejrzysty dla użytkownika. Polityka prywatności to miejsce na wskazanie wszystkich plików cookies, jakie wykorzystywane są na stronie.

Polityka prywatności zawiera informacje kto jest administratorem danych. Cel pozyskiwania danych, sposób ich zbierania oraz ich zakres oraz uprawniania przysługujące użytkownikom. Okres przechowywania danych, powierzenie danych.

Umieść klauzule informacyjne tam, gdzie zbierasz dane

Wszędzie tam, gdzie użytkownik podaje jakieś dane osobowe, powinna zostać zawarta choćby skrócona klauzula informacyjna odsyłająca do polityki prywatności. Byś mógł powiedzieć, że wypełniłeś należycie obowiązek informacyjny.

Aktywuj mechanizm akceptacji cookies

Co nowego i istotnego wprowadza RODO miedzy innymi dla twórców internetowych?

Profilowanie. Oznacza ono: „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które
polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. W szczególności do analizy lub prognozy aspektów dotyczących efektów pracy, tej osoby fizycznej. Jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

W każdej chwili konsument ma prawo wyrazić sprzeciw wobec profilowania oraz będzie mu przysługiwało. Prawo dostępu do swoich danych, z których składa się właśnie „profil”. O profilowaniu firmy powinny informować na etapie  zbierania danych osobowych, a także jeśli taki nastąpi –  na wniosek osoby fizycznej.

Zatem aby przygotować się do wdrożenia zasad opisanych w rozporządzeniu należy przede wszystkim ocenić. W jakich procesach „szufladkuje” się osoby odwiedzające nasz estrony internetowe. Gdzie na takiej podstawie podejmowane są automatyczne decyzje. Zatem, strony internetowe mogą gromadzić informacje o korzystających z nich użytkownikach, dopiero po uzyskaniu ich zgody. Szczegółową podstawę prawną z jakich można korzystać z plików cookie. Ma zapewnić dopiero rozporządzenie o prywatności i łączności elektronicznej, które nadal jest w fazie konsultacji.

* * *

Jeszcze raz dziękuję Anecie z bloga A Cup of Lifestyle, za szczegółowe wyjaśnienie.   Oczywiście zapraszam do dyskusji, gdzie wspólnymi siłami poradzimy sobie z przepisami. Szczególnie odsyłam do bloga Anety, ponieważ treści jakie tam znajdziecie, zapewne zaskoczą i miła zajmą czas.

Czy chcesz wiedzieć więcej? Sprawdź eBook o blogowaniu i social-media!

Udostępnij dalej:
Autor: Patryk Tarachoń
Nazywam się Patryk i jestem blogerem. Treści artykułów opieram na prywatnych doświadczeniach oraz sytuacjach czerpanych z otaczającej codzienności. Często swoje wypowiedzi bazuję na doświadczeniach i spostrzeżeniach.