RODO – ostatnia prosta przed wdrożeniem

4
2428

RODO – ostatnia prosta przed wdrożeniem

Zostało już niewiele ponad miesiąc do wejścia w życie przepisów RODO. Przez ostatnie pół roku wszyscy w branży zaobserwowaliśmy zwiększone zainteresowanie szkoleniami i doradztwem z zakresu regulacji i przepisów dotyczących przetwarzania danych osobowych. Przez kolejne miesiące właściciele witryn, portali i sklepów e-commerce wdrażali zmiany, dostosowując swoją działalność do nowych przepisów. Najbliższe tygodnie to czas na dopięcie ostatniego guzika oraz ewentualne wprowadzenie ostatecznych poprawek w stosowanych formularzach, aby spokojnie przespać noc przed dniem 25 maja. Dziś bierzemy pod lupę praktyczne rozwiązania związane z wdrożeniem przepisów RODO w działalności internetowej.

Po pierwsze – obowiązek informacyjny

Jeśli nasz portal oprócz zwykłej prezentacji działalności firmy nie tylko zbiera cookies, ale służy także do utrzymywania dwustronnej komunikacji z jego użytkownikami lub do prowadzenia transakcji handlowych – musimy pamiętać, że w ten sposób przetwarzamy dane osobowe użytkowników serwisu internetowego, stając się ich administratorem w rozumieniu przepisów RODO. Mamy zatem obowiązek poinformować klientów o tym fakcie i szczegółowo przedstawić zakres oraz cel przetwarzania danych, a także powiadomić o przysługujących im prawach wynikających z przepisów RODO.  Spełnienie tego obowiązku jest warunkiem koniecznym przed uzyskaniem zgody użytkownika portalu na przetwarzanie jego danych osobowych.

Checkbox – checked

Potwierdzenie spełnienia obowiązku informacyjnego oraz uzyskania zgody na przetwarzanie danych osobowych użytkowników naszego portalu możemy rejestrować  poprzez zaznaczenie checkboxa. Oczywiście jego rozwinięcie musi w pełni wyjaśniać  to, na co użytkownik wyraża zgodę. Wymogiem RODO jest, aby było to sformułowane w sposób jednoznaczny i czytelny, niekoniecznie zawiłym językiem prawniczym. Co więcej, jeśli zamierzamy wykorzystać dane osobowe do więcej niż jednego celu, wszystkie muszą zostać jasno określone, aby każdy wiedział, na co się zgadza.

RODO – ostatnia prosta przed wdrożeniem

Milczenie nie oznacza zgody

Przepisy RODO wykluczają możliwość uzyskania zgody w sposób domyślny lub powiązany z innym oświadczeniem woli. Dlatego zgoda każdego rodzaju (np. na przetwarzanie danych osobowych, na otrzymywanie newslettera zawierającego informacje handlowe lub marketingowy kontakt telefoniczny) musi być wyrażona w sposób oddzielny. Ponadto, każdy  checkbox na starcie musi być pusty, aby nie pozostawić cienia wątpliwości, że użytkownik zaznaczając go wyraził zgodę dobrowolnie, mając pełną świadomość jej następstw. Najlepszym rozwiązaniem jest stosowanie osobnego chekboxu dla TAK i osobnego dla NIE. Wtedy wykluczamy możliwość pomyłki. Problematyczne mogą być też sytuacje, w których zgoda została udzielona jednostopniowo, w wyniku czego została ona wyrażona nieprawidłowo (np. osoba trzecia wpisuje e-mail użytkownika i oznacza checkbox „Zapisz na newsletter”, wbrew woli użytkownika). Rozwiązaniem mogą być potwierdzenia double opt-in, polegające na wysyłaniu mailem linków aktywacyjnych z odpowiednią zgodą. Kontynuacją dotychczas obowiązujących zasad jest możliwość wycofania w dowolnym czasie i w dowolnej formie wyrażonej wcześniej zgody.

To ty jako właściciel portalu ponosisz odpowiedzialność za stosowaną technologię i bezpieczeństwo przetwarzania!

Przepisy RODO ustanawiają zasadę ryzyka przy ocenie odpowiedzialności administratora danych za prawidłowość i bezpieczeństwo ich przetwarzania. Według tej zasady to właściciel portalu musi udowodnić, że należycie realizuje prawa przysługujące jego użytkownikom, a ewentualne naruszenia bezpieczeństwa danych (np. ich wyciek, albo zniekształcenie treści) nie zostały spowodowane przyczynami leżącymi po jego stronie. RODO nie wskazuje konkretnych gotowych technologii albo najskuteczniejszych rozwiązań. Nakazuje natomiast stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy  uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania. To ryzyko każdy z właścicieli serwisów internetowych musi oszacować samodzielnie, biorąc pod uwagę własne uwarunkowania biznesowe. Podsumowując, jak pisaliśmy w lutym o RODO – obowiązkiem każdego właściciela portalu przetwarzającego dane osobowe jest wprowadzenie skutecznego systemu ochrony danych użytkowników oraz prowadzenie stosownej dokumentacji potwierdzającej wdrożenie zmian wymaganych przez RODO.

Użytkownik, czyli osoba której dane dotyczą

Po wejściu w życie przepisów RODO czyli po 25 maja każda osoba fizyczna (także osoba prowadząca działalność gospodarczą) uzyska znacznie szersze prawa do kontroli prawidłowości przetwarzania swoich danych przez podmioty, którym dane te udostępniła, czyli także przez właścicieli portali internetowych. Nowością jest m. in. „prawo do bycia zapomnianym”, gdy zażąda tego użytkownik strony WWW, a wyczerpane zostały podstawy prawne do dalszego przetwarzania jego danych (np. została wycofana przez niego zgoda na przetwarzanie danych). Dla administratora sanych oznacza to konieczność usunięcia rekordu użytkownika i wszelkich innych danych jego dotyczących z własnej bazy oraz poinformowanie o tym wszystkich podmiotów, którym dany rekord był przekazany kiedykolwiek wcześniej. Ponadto RODO tworzy rygorystyczne wymogi odpowiadania na żądania użytkownika dotyczące wykazania podstawy dotychczasowego przetwarzania jego danych oraz celów i sposobów ich przetwarzania. Właściciel portalu jest obowiązany udzielić odpowiedzi w terminie 30 dni, a jej brak lub nieterminowość może spowodować nałożenie kar finansowych przez urząd nadzoru.

RODO – ostatnia prosta przed wdrożeniem

Profilowanie – skuteczne narzędzie e-commerce dozwolone, ALE…

Pisaliśmy niedawno o tym, jak znajomość cyklu zakupowego klienta wpływa na skuteczność mailingu. Nie jest prawdą, że pod rządami przepisów RODO profilowanie będzie całkowicie zabronione. Jednakże, aby po dniu 25 maja wysłać użytkownikowi e-mailem profilowaną ofertę handlową trzeba wcześniej – oprócz zgody na otrzymywanie informacji handlowych drogą elektroniczną – uzyskać także jego zgodę na profilowanie (np. w momencie, gdy internauta staje się użytkownikiem portalu i wyraża zgodę na przetwarzanie jego danych). Ponadto w treści przesyłanej oferty należy poinformować, że została ona sporządzona na podstawie profilowania oraz że użytkownik ma prawo poznać kryteria na podstawie których sporządzono jego profil, a także – że ma możliwość wycofania zgody na otrzymywanie ofert profilowanych.

Wracamy więc do punktu „Użytkownik, czyli osoba której dane dotyczą”, gdyż głównym celem wprowadzenia RODO jest ochrona prawa do prywatności pojedynczych osób, które do tej pory czasem były tylko „rekordem” w wielkiej bazie danych. Podsumowując, misją RODO jest zmuszenie nas do myślenia oraz czytania, komu i na co udzielamy zgód w kontekście choćby e-zakupów. A wizją, bezpieczny Internet do surfowania bez zagrożenia utraty kontroli nad naszymi danymi i naszą tożsamością.

RODO – ostatnia prosta przed wdrożeniem
5 (100%) 3 votes

4 KOMENTARZE

  1. Właściciele stron internetowych powinni już wprowadzać zmiany, gdyż został równy miesiąc. Nie można wszystkiego zostawić na ostatnią chwilę, gdyż kary za nieprzestrzeganie zasad RODO mogą być całkiem wysokie. Warto zainteresować się tematem, gdyż czytałem też ostatnio coś o sektorze MŚP, a pewnych zwolnieniach z RODO.

    • Dodatkowo warto zmiany przetestować, przeklikać – więc zawsze lepiej jednak wdrożyć kilka dni wcześniej niż obudzić 25 maja z niedziałającym newsletterem. Pozdrawiam!

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here