Informacje o RODO bombardują nas z każdej strony. Czy faktycznie nowe przepisy przynoszą rewolucję? Czy należy się ich bać? Postaram się przedstawić, na co powinni zwrócić uwagę administratorzy serwisów, e-sklepów oraz aplikacji, jak i osoby projektujące oraz implementujące takie rozwiązania internetowe.
RODO to Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679, które zaczęło być stosowane od 25 maja 2018 roku.
Co ważne – nie jest tak, że RODO wprowadzi jakąś totalną rewolucję w zasadach przetwarzania danych. Już obecnie istnieje szereg wymogów z tym związanych, które trzeba uwzględniać i stosować wdrażając projekt informatyczny. Trzeba jednak przyznać, że RODO ma to coś co sprawia, że chętnie się o nim mówi – niestety nierzadko skupiając się wyłącznie na straszeniu karami, które faktycznie są bardzo wysokie, ale same w sobie niewiele mówią o rozporządzeniu.
W tym materiale postaram się przedstawić, na co powinni zwrócić uwagę administratorzy serwisów, e-sklepów oraz aplikacji, jak i osoby projektujące oraz implementujące takie rozwiązania internetowe. Artykuł ten to nie tylko poradnik dla osób tworzących nowe projekty, ale również dla tych, którzy chcą dostosować te już działające do nowych przepisów.
Privacy by design
Po pierwsze Privacy by design, czyli uwzględnianie ochrony danych w fazie projektowania. Dla niektórych z Was prawdopodobnie uwzględnienie ochrony danych osobowych podczas tworzenia aplikacji, e-sklepu czy serwisu było oczywiste i nie jest nowością. Jednak RODO wprowadza taką zasadę wprost i nie ma wątpliwości, że ochrona danych musi być brana pod uwagę już od początku.
Polityki ochrony danych
RODO, w przeciwieństwie do obecnych przepisów, nie wskazuje szczegółowo jakie konkretne środki techniczne i organizacyjne powinny być stosowane – dlatego też rola administratora danych jest większa niż obecnie. Administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, wdraża środki, które uzna za właściwe i wystarczające w danym przypadku.
Jest to ułatwienie, ale też większe wyzwanie dla administratora, który musi zdecydować o odpowiednich dla jego działalności, środkach. Do tej pory mały sklep internetowy, w którym dostęp do danych ma tylko jego właściciel, musiał stosować takie same zabezpieczenia jak duża firma ze sztabem ludzi.
Jako przykłady takich środków w RODO wskazano m.in. szyfrowanie, pseudonimizację danych czy zdolność do szybkiego przywrócenia dostępu do danych osobowych w razie incydentu fizycznego lub technicznego. Zastanawiasz się w jaki sposób wykazać przestrzeganie RODO w tym zakresie? Między innymi przez wdrożenie odpowiednich wewnętrznych polityk ochrony danych. Jeśli Twoja firma posiada dokumentację przetwarzania danych osobowych stworzoną na podstawie aktualnych przepisów – masz dobrą bazę do stworzenia polityk, o których mowa w RODO.
Zamiast zgłaszania zbiorów – prowadzenie rejestru czynności przetwarzania danych
Od momentu rozpoczęcia stosowania RODO dla legalnego przetwarzania danych nie będzie konieczne zgłaszania zbiorów danych do rejestracji u odpowiedniego organu (obecnie GIODO). Natomiast RODO wymaga, w większości przypadków, prowadzenia przez administratora rejestru czynności przetwarzania danych osobowych, w którym wskazane zostaną przede wszystkim takie informacje jak:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora,
- cele przetwarzania (np. świadczenie e-usługi),
- opis kategorii osób, których dane dotyczą (np. klienci sklepu lub użytkownicy aplikacji),
- opis kategorii danych osobowych (np. adresy e-mail),
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
W RODO znajduje się wyłączenie, zgodnie z którym przedsiębiorcy zatrudniający poniżej 250 pracowników nie muszą spełnić tego obowiązku, ale pod warunkiem, że przetwarzanie:
- nie może powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
- nie ma charakteru sporadycznego lub
- obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Trzeba pamiętać, że samo przechowywanie danych jest ich przetwarzaniem, wygląda więc na to, że nawet jeśli prowadzisz e-sklep i nie przetwarzasz danych, powinieneś prowadzić rejestr. Ten ostatni można prowadzić w formie elektronicznej – tylko również trzeba pamiętać, że to wewnętrzny dokument i nie należy umieszczać go na stronie internetowej dostępnej dla użytkowników.
Podstawy przetwarzania
Zanim jednak zaczniesz przetwarzać dane osobowe upewnij się, czy jest ku temu podstawa prawna, a jeśli już przetwarzasz dane – zweryfikuj czy możesz to robić.
Najpowszechniejszymi przesłankami przetwarzania danych osobowych w przypadku aplikacji, e-sklepów czy serwisów najpewniej, tak jak obecnie, będą:
- umowa – bez żadnych dodatkowych zgód możesz przetwarzać dane, które są niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (np. wysyłka towaru kupionego w sklepie internetowym lub świadczenie usługi drogą elektroniczną).
- zgoda na przetwarzanie danych osobowych wyrażona przez osobę, której dane dotyczą (np. na wysyłanie informacji marketingowych),
- konieczność wypełnienia obowiązku prawnego ciążącego na administratorze danych (np. obowiązku podatkowego),
- realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Uwaga na szczególne kategorie danych osobowych
Tworzysz aplikację dla ludzi uprawiających sport, w której będą przetwarzane dane o stanie zdrowia użytkowników? Musisz wiedzieć, że są tzw. szczególne kategorie danych osobowych, których co do zasady przetwarzać nie można – jednak RODO nie wprowadza tutaj rewolucji, tak jest już obecnie, RODO nawet wprowadza pewne ułatwienie, ale o tym w dalszej części.
O jakie dane chodzi? Między innymi o ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, a także o dane genetyczne, biometryczne lub dotyczące zdrowia, seksualności lub orientacji seksualnej.
RODO, tak jak jest teraz, dopuszcza możliwość przetwarzania takich danych pod pewnymi ściśle określonymi warunkami.
Jednym z takim warunków jest udzielenie zgody przez osobę, której dane dotyczą i to właśnie ta przepustka do przetwarzania danych wrażliwych będzie miała zastosowanie najczęściej w przypadku e-działalności. W przeciwieństwie do „zwykłych” danych zawarcie umowy w większości przypadków nie będzie wystarczające.
Ułatwienie, które wprowadza RODO – zgoda nie musi być pisemna, czyli wystarczająca będzie zgoda udzielona drogą elektroniczną. Obecnie, chcąc działać zgodnie z prawem przetwarzając dane wrażliwe, trzeba uzyskać pisemną zgodę na przetwarzanie tych danych, czyli teoretycznie każdy kto korzysta z aplikacji przetwarzającej jego dane wrażliwe powinien wysłać do administratora zgodę na piśmie ( zwykły e-mail nie stanowi takiej formy ).
Zgoda na przetwarzanie danych
Zgoda na przetwarzanie danych to przesłanka przetwarzania, która sprawia najwięcej problemów administratorom, ale również prawnikom, których opinie nieraz są w tym zakresie zgoła odmienne.
Wyrażenie zgody przede wszystkim powinno wynikać z jednoznacznej czynności i być świadome oraz dobrowolne. Dla oceny czy zgoda została wyrażona dobrowolnie, zgodnie z RODO, należy w jak największym stopniu uwzględnić czy m.in. od zgody nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych nie jest niezbędne do wykonania tej umowy.
Co ważne, jeśli przetwarzanie służy różnym celom należy uzyskać zgodę na wszystkie cele. W motywach do RODO, będących jego częścią składową, wskazano, że wyrażenie zgody może polegać na:
Zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Pamiętaj, że musisz być w stanie wykazać, że dana osoba faktycznie wyraziła stosowną zgodę – np. rejestrować w bazie danych kto, kiedy i w jaki sposób wyraził zgodę.
Zgoda na przetwarzanie danych może być w każdym czasie wycofana i musi to być równie proste jak wyrażenie zgody. Nie możesz wymagać, aby użytkownik, który wyraził zgodę elektronicznie, cofnął ją wysyłając list polecony.
Jeśli świadczysz usługi społeczeństwa informacyjnego (np. prowadzenie konta na profilu społecznościowym lub udostępnienie gier w ramach aplikacji) dzieciom powinieneś wziąć pod uwagę obostrzenia dotyczące wyrażenia zgody przez takie osoby, które wprowadza RODO.
Zgodnie z RODO możesz przetwarzać dane dziecka, które ukończyło 16 lat. W przypadku młodszych dzieci konieczne jest wyrażenie zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Na Tobie, jako administratorze, spoczywa obowiązek zweryfikowania tego czy właściwa osoba wyraziła zgodę. RODO nie wskazuje dokładnie jak to zrobić, ale z rozporządzenia wynika, że należy podjąć w tym celu rozsądne starania mając na uwadze dostępną technologię.
Prywatność użytkownika musi być domyślnie chroniona
Od zgody przechodzimy do obowiązku przetwarzania wyłącznie tych danych osobowych, które są niezbędne dla osiągnięcia celu przetwarzania zgodnego z wprowadzaną wprost przez RODO zasadą Privacy by default, zapewniającą użytkownikom domyślną ochronę prywatności.
Jako administrator danych musisz wdrożyć odpowiednie środki techniczne i organizacyjne, dzięki którym przetwarzane będą wyłącznie niezbędne dane. Obowiązek ten odnosi się nie tylko do ilości zbieranych danych osobowych, ale również do zakresu ich przetwarzania, okresu ich przechowywania oraz dostępności, natomiast środki mają za zadanie zapewnić by domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie podmiotów bez działania osoby, której dane dotyczą.
Jak wprowadzić tę zasadę w praktyce? Na przykład:
- jeśli prowadzisz sklep internetowy dostosuj formularz zamówienia w taki sposób, aby od użytkownika zbierane były tylko te dane, które są faktycznie niezbędne do realizacji zamówienia,
- jeśli masz newsletter pamiętaj, żeby nie wpisywać na listę mailingową automatycznie wszystkich swoich klientów, ale tylko tych, którzy się na niego zapiszą,
- jeśli jesteś administratorem serwisu/aplikacji społecznościowej zadbaj o to, aby o udostępnieniu danych nieokreślonej liczbie osób decydował sam użytkownik – domyślnie jego prywatność musi być chroniona.
Pakiet informacji dla użytkownika na początek
Podanie informacji przez użytkownika, czy to w serwisie czy w aplikacji, nie powinno być, mówiąc w skrócie, czynnością jednostronną. W momencie kiedy zbierasz dane od użytkownika powinieneś przekazać mu wynikający z RODO pakiet informacji o sobie oraz o warunkach przetwarzania jego danych.
Jeśli zbierasz dane użytkownika – podziel się z nim informacjami o sobie. Już teraz musisz spełnić obowiązek informacyjny związany z przetwarzaniem danych, ale RODO znacząco rozszerza jego zakres. Kiedy możemy to zrobić? Na przykład – podczas składania zamówienia w sklepie internetowym czy też w momencie zakładania konta w serwisie.
Jakie informacje należy przekazać?
Poniżej przykłady treści, które musisz przekazać użytkownikowi:
- po pierwsze poinformuj użytkownika kim jesteś, w tym podaj swoje dane kontaktowe,
- osoba, której dane przetwarzasz musi wiedzieć w jakich celach dane będą przetwarzane, a także na jakiej podstawie prawnej,
- kolejną informacją, którą należy przekazać jest okres, przez który dane osobowe będą przechowywane, a jeśli nie jest to możliwe to kryteria ustalenia tego okresu (np. do momentu posiadania konta w serwisie lub do momentu wypisania się z newslettera),
- następnie to, co już funkcjonuje w pewnym zakresie – informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- przetwarzasz dane na podstawie zgody? Użytkownik musi o tym wiedzieć i co więcej – musi zostać poinformowany, że w każdej chwili może zgodę wycofać.
Mam nadzieję, że nie przeraziłeś się i dotarłeś do tego miejsca, jednak tutaj czeka na Ciebie kolejne wyzwanie – informacje te należy przekazać użytkownikowi w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Wymaga to trochę zachodu, ale uwierz mi – da się to zrobić.
Pozostałe prawa osób, których dane przetwarzasz
Poniżej przedstawiono pozostałe prawa osób, których dane będziesz przetwarzać lub przetwarzasz do uwzględnienia przy prowadzeniu sklepu, serwisu lub aplikacji.
Prawo do bycia zapomnianym (prawo do usunięcia danych)
Jak już wiadomo nie możesz przetwarzać danych osobowych tak po prostu w nieskończoność – musisz mieć do tego podstawę prawną, ale RODO wprost wskazuje, że użytkownik ma prawo zostać przez Ciebie „zapomniany”. Dotyczy to m.in. sytuacji, w której:
- dane użytkownika nie są już niezbędne do celów, w których zostały zebrane,
- użytkownik cofnął zgodę na przetwarzanie danych,
- użytkownik wniósł sprzeciw wobec przetwarzania jego danych w celu realizowania prawnie usprawiedliwionych celów administratora,
- dane zostały zebrane w związku z oferowaną przez Ciebie usługą społeczeństwa informacyjnego.
Oczywiście, jeśli np. na podstawie właściwych przepisów (np. podatkowych) jesteś zobowiązany do przechowywania danych – nie musisz, a wręcz nie możesz ich usunąć.
Jakie to ma znaczenie praktyczne? Możesz np. uwzględnić w tworzonym przez Ciebie portalu społecznościowym umieszczenie funkcji „Usuń moje konto i zapomnij mnie”.
Prawo do przenoszenia danych
W przypadku gdy przetwarzasz dane na podstawie umowy, zgody lub w sposób zautomatyzowany Użytkownik Twojego serwisu może zwrócić się do Ciebie z żądaniem przeniesienia jego danych do innego administratora. Dane te powinieneś przekazać w strukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
Jeśli dostarczane przez Ciebie rozwiązanie internetowe może generować częste występowanie takiej potrzeby po stronie użytkownika może warto pomyśleć nad funkcją serwisu, która ułatwi to zarówno Tobie jak i użytkownikowi?
Powierzenie przetwarzania danych osobowych
Przetwarzasz dane, których administratorem są użytkownicy Twojego serwisu? Jeśli tak to jesteś podmiotem przetwarzającym. Nie jesteś pewien czy ma to miejsce w Twoim przypadku? Podam Ci przykład – jeśli prowadzisz platformę, na której różne podmioty (użytkownicy platformy) prowadzą swoje sklepy internetowe, to dane klientów użytkowników platformy są Tobie powierzane do przetwarzania i w związku z tym jesteś podmiotem przetwarzającym.
Jakie to ma znaczenie? W powyższym przypadku powinna być zawarta pomiędzy Tobą a użytkownikiem platformy umowa powierzenia przetwarzania danych, w której użytkownik powierza Ci dane. Warto posiadać taką umowę w Serwisie, np. jako załącznik do regulaminu, który jest akceptowany przez użytkownika platformy w momencie zakładania sklepu na platformie. I tutaj kolejne ułatwienie, które wprowadza RODO – umowa taka może zostać zawarta elektronicznie, a więc nie ma już konieczności wymiany papierowych wersji dokumentów.
Szczegółowe wymogi co do zawartości takiej umowy określa art. 28 ust. 3 RODO.
RODO nie jest takie straszne
Mam nadzieję, że po przeczytaniu powyższego materiału można stwierdzić, że RODO nie jest takie straszne, a nawet wprowadza pewne ułatwienia. Jednym z nich jest to, że w całej Unii Europejskiej będą obowiązywać takie same przepisy dotyczące danych osobowych.
Ponadto w pewnych przypadkach zrezygnowano z formy pisemnej (przede wszystkim przy zgodzie na przetwarzanie danych wrażliwych oraz umowie powierzenia przetwarzania danych), co ma duże znaczenie praktyczne dla przedsiębiorców działających w sieci.
I co chyba najistotniejsze – początkujący przedsiębiorca nie będzie musiał już spełnić takich samych wymogów jak duża korporacja, dzięki możliwości zastosowania przez niego środków ochrony danych adekwatnych do skali oraz charakteru jego działalności.
Niektóre odnośniki na stronie to linki reklamowe.