Autor: Łukasz Kowalski

Łukasz Kowalski

Strony internetowe i sklepy a RODO

4 minuty czytania

25 maja 2018 roku wchodzi w życie zbiór nowych regulacji prawnych, które dotyczyć będą ochrony danych osobowych (RODO - Rozporządzenie o Ochronie Danych Osobowych).

Regulacje te obejmą praktycznie wszystkie firmy działające na terenie kraju i UE zmieniając sposób w jakich będą przechowywane, przetwarzane i pozyskiwania tego typu dane.

Co to jest RODO?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Mówiąc prościej rozporządzenie to jest zbiorem nowych obowiązków dla podmiotów, które przetwarzają dane osobowe aby lepiej dbały o ich bezpieczeństwo oraz prywatność. RODO na przykład „chce” aby ograniczyć możliwość przekazywania danych do podmiotów trzecich bez wyrażenia przez właściciela indywidualnej zgody na taką czynność.

Jaka jest definicja danych osobowych wg RODO?

Ustawodawca przyjął obszerną definicję danych osobowych. Nie wymienia klasycznych tytułów takich jak imię i nazwisko, adres pocztowy czy rok urodzenia itp. ale „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej„.
Jeżeli posiadane przez podmiot dane pozwolą się zidentyfikować z konkretną osobą, wówczas podlegają pod nowe przepisy o ochronie danych.
Problem jeżeli możemy to tak nazwać nie dotyczy tylko i wyłącznie stron www, ale samej istoty przetwarzania danych osobowych przez klientów czy pracowników firmy.

Ogólne nowe prawa i obowiązki

1. Prawo do bycia zapomnianym

Osoba do której należą dane osobowa ma prawo do całkowitego usunięcia jego danych osobowych z systemów administratora danych. Na ten moment prawo takie również istnieje ale jest ignorowane. Od maja będzie można mieć pełne prawo do wglądu oraz edycji naszych danych.

2. Privacy by design

Systemy informacyjne w firmie muszą zakładać maksymalny poziom poufności użytkownika. Brak sprzeciwu np. klienta dodanego do systemu CRM nie oznacza wyrażenia zgody na otrzymywanie newslettera.
W skrócie zasada ta opiera się na „praktyce zmierzającą do przestrzegania przez administratorów zasad przetwarzania danych osobowych, przesuwającą ocenę ochrony danych osobowych do pierwszej „dziesiątki” obowiązków przedsiębiorcy„.

3. Obowiązek informowania o ataku

Jeśli dojdzie do włamania na serwer i w efekcie wykradnięcia danych wówczas administrator systemu musi bezzwłocznie poinformować o tym fakcie osoby będące w tej bazie.
Brak jakiejkolwiek reakcji na atak lub próba wyciszenia tematu będzie wiązać się z surowymi karami.

4. Zgody po nowemu

Przy wprowadzaniu danych osobowych, musimy również zadbać o pozyskanie zgody na ich przetwarzanie. Taka zgoda może zostać anulowana w dowolnym momencie przez użytkownika co automatycznie powinno blokować dalsze działania związane z tymi danymi.
Pozyskując zgodę konieczne jest poinformowanie o poniższych czynnościach:

  • pełne dane firmy będące administratorem danych,
  • do jakich czynności będą gromadzone (np. przygotowanie oferty),
  • jakie prawa przysługują administratorowi danych.

W przypadku przekazywaniu danych osobowych podmiotom trzecim wówczas taka zgoda musi być potwierdzona indywidualnie przez każdą osobę która widnieje w tych danych.
Dodatkowo każda zgoda dotycząca działań marketingowych musi posiadać osobną opcję potwierdzenia. Do tej pory często widniała w polityce prywatności lub w regulaminie strony/portalu/sklepu. Na chwilę obecną taka praktyka musi mieć odrębne miejsce.

Ogólnie o bezpieczeństwie stron internetowych

Rozporządzenie o Ochronie Danych Osobowych pozwala firmom IT na pełną swobodę we wdrażaniu mechanizmów bezpieczeństwa. Jednak w przypadku wycieku danych i w efekcie pozwania firmy przez konsumenta, firma będzie musiała udowodnić, że podjęte przez nią kroki były wystarczające aby zapewnić ochronę danych.

Elementy pod szczególną lupą

1. Formularz kontaktowy

W tym przypadku jeżeli dane są wyłącznie do użytku firmy i nie są przekazywane dalej – konieczna jest dodatkowa opcja „haczyk”, który wyraża zgodę na przetwarzanie danych. Zgoda wyrażona musi być również przy odpowiedzi na zapytanie ofertowe.
W przypadku współpracy firma-firma (B2B) teoretycznie zgoda nie jest wymagana (nie są to dane osoby fizycznej).
Jak dodać dodatkowe pole akceptacji w formularzu kontaktowym można przeczytać o tym tutaj.

2. Newsletter / mailing

W przypadku mailingu również potrzebna jest indywidualna zgoda na przetwarzanie danych osobowych. Niezależnie od tego czy mailing będzie reklamowy/marketingowy czy tylko informacyjny.
Jeżeli korzystamy z zewnętrznych firm obsługujących newslettery wówczas użytkownik musi wyrazić zgodę na przekazanie jego danych do podmiotu trzeciego. Pozyskane adresy mailowe przed wprowadzeniem ustawy nie wymagają uzyskania nowej zgody.

3. Rejestracja użytkowników

Najwięcej zachodu wiążę się z rejestracją użytkowników, które wymaga gromadzenia i przechowywania przez nasz serwis danych osobowych.
Idąc w tym kierunku firma musi uwzględnić poniższe punkty:

  • jak chronione są dane w firmie,
  • kto konkretnie ma do nich dostęp,
  • do czego są wykorzystywane,
  • użytkownik musi mieć możliwość wglądu/edycji danych na żądanie,
  • użytkownik musi mieć możliwość cofnięcia zgody na ich przetwarzanie,
  • użytkownik musi mieć możliwość zażądania całkowitego usunięcia jego danych z serwisu – czy to konta, komentarzy, zdjęć itp. elementów przypisanych do konta.

Wszystkie aspekty muszą być uwzględnione i opisane w odrębnym dokumencie, którą użytkownik musi osobno zaakceptować.

4. Sklep internetowy

Sklepy internetowe sprzedając produkty gromadzą dane klientów. Większość kwestii związanych z rozporządzeniem pokrywa się tutaj z rejestracją użytkownika. Jeżeli posiadamy duży sklep, dobrze jest aby użytkownik sam decydował o edycji swoich danych (z reguły jest taka opcja) czy też sam mógł usunąć swoje konto bez akcji administratora.

5. Certyfikat SSL

W świetle nowego prawa SSL stał się standardem bezpieczeństwa. W skrócie taki certyfikat pozwala na szyfrowanie danych wysyłanych przez np. formularz kontaktowy. Utrudnia przechwycenie danych przez osoby trzecie.

O autorze

Łukasz Kowalski

Specjalista SEO