Jeżeli prowadzisz serwis internetowy, to w większości przypadków będziesz zbierać i przetwarzać dane osobowe użytkowników. W tym artykule opisujemy, na jakie kwestie warto przede wszystkim zwrócić uwagę przy tworzeniu serwisu, tak aby działał on zgodnie z wymogami Rozporządzenia RODO.
Jeżeli użytkownicy Twojego serwisu będą podawać jakiekolwiek dane osobowe przy korzystaniu z funkcjonalności, które udostępniasz, będą Cię dotyczyć wszystkie wymogi RODO związane z danymi osobowymi. Użytkownik może podać swoje dane np. w sytuacji, gdy jest możliwe założenie konta w serwisie, zakupienie w serwisie usługi lub towaru. W takim przypadku gromadzisz i przetwarzasz dane użytkowników. Jeżeli jednocześnie decydujesz o celach i sposobach przetwarzania tych danych, a najczęściej tak właśnie będzie, to jesteś administratorem danych osobowych użytkowników serwisu. W takim przypadku ten artykuł jest właśnie dla Ciebie.
RODO i Serwis internetowy [1] – Zasady przetwarzania danych osobowych
Jedną z najważniejszych kwestii, na które należy zwrócić uwagę jest przetwarzanie danych osobowych użytkowników serwisu zgodnie z zasadami wyznaczonymi przez Rozporządzenie RODO. Ustawodawca unijny a art. 5 Rozporządzenia RODO ustanawia następujące zasady:
- zgodność z prawem, rzetelność i przejrzystość – musisz zadbać, aby mieć podstawę prawną do przetwarzania danych oraz aby użytkownik Twojego serwisu wiedział dokładnie jakie jego dane i w jakich celach będą przetwarzane;
- ograniczenie celu – dane osobowe powinny być przetwarzane tylko w takich celach, w jakich zostały zebrane i o jakich użytkownik został poinformowany. Przykładowo, jeżeli użytkownik podaje swoje dane wyłącznie w celu wykupienia dostępu do płatnej funkcjonalności w serwisie, nie możesz tych danych użyć w celu marketingowym;
- minimalizacja danych – powinieneś zbierać tylko takie dane użytkowników serwisu, które są konieczne do funkcjonowania serwisu. Przykładowo, jeżeli Twoim klientem jest konsument, kupujący dostęp do usługi elektronicznej oferowanej w serwisie, do korzystania z której wystarczy podanie adresu e-mail i hasła, nie powinieneś wymagać od niego innych danych np. adresu zamieszkania. Wymaganie podawania większej ilości danych niż te, które są konieczne w danym celu jest niezgodne z minimalizacji danych.
- prawidłowość – w razie potrzeby powinieneś uaktualniać dane użytkowników, a jeżeli dane, które zebrałeś okażą się niepotrzebne do celu, w jakim zostały zebrane, powinieneś je usunąć z miejsca, w którym je przechowujesz;
- ograniczenie przechowywania – powinieneś przechowywać dane użytkowników nie dłużej, niż to jest niezbędne z punktu widzenia danego celu przetwarzania. Przykładowo, jeżeli zbierasz dane na podstawie zgody na marketing, to powinieneś przechowywać te dane tylko do momentu cofnięcia zgody;
- integralność i poufność – powinieneś zebrane dane osobowe przetwarzać tak, aby były one bezpieczne, nie uległy przypadkowej utracie, zniszczeniu czy uszkodzeniu.
RODO i Serwis internetowy [2] Polityka prywatności zgodna z RODO
Będąc administratorem danych osobowych zbieranych i przetwarzanych poprzez serwis internetowy, masz wobec użytkowników serwisu liczne obowiązki informacyjne. Ustawodawca unijny przyjął, że podmiot, którego dane są przetwarzane, a więc także użytkownik serwisu, powinien otrzymać od administratora kompleksową i wyczerpującą informację w głównych aspektach przetwarzania jego danych. Zgodnie z art. 13 Rozporządzenia RODO, powinieneś zapewnić użytkownikowi serwisu następujące informacje:
- dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
- jeżeli wyznaczyłeś w swojej firmie inspektora ochrony danych – dane kontaktowe tej osoby;
- cele i podstawy prawne przetwarzania danych osobowych;
- kategorie odbiorców danych osobowych – jeżeli przekazujesz dane użytkowników jakimś podmiotom zewnętrznym (np. firmy kurierskie);
- przekazywanie danych osobowych użytkowników do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
- konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
- prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
- prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
- prawie do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
- czy wymóg podania danych osobowych podczas korzystania z serwisu jest warunkiem koniecznym do zawarcia umowy w serwisie (np. umowy o korzystanie z funkcjonalności serwisu) oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
- zautomatyzowane podejmowanie decyzji w stosunku do użytkowników, w tym tzw. profilowanie użytkowników oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w serwisie.
Dobrze napisana polityka prywatności ma zatem przede wszystkim funkcję spełnienia wszystkich tych obowiązków informacyjnych wobec użytkowników Twojego serwisu.
RODO i Serwis internetowy [3] Podstawy prawne przetwarzania danych
Warto zadbać, aby zbieranie i przetwarzanie danych użytkowników Twojego serwisu miało konkretne podstawy prawne. Rozporządzenie RODO zabrania przetwarzania danych bez takiej postawy. Jeżeli zatem nie możesz znaleźć podstawy do przetwarzania określonych danych w określonej sytuacji, może oznaczać to, że prawo zabrania Ci w danej sytuacji przetwarzać dane. W takim przypadku trzeba zweryfikować, czy cel który założyłeś w związku z przetwarzaniem jest rzeczywiście konieczny lub prawidłowo sformułowany Najczęściej występujące w serwisie internetowym podstawy prawne przetwarzania danych są następujące:
- wykonanie umowy np. umowy o świadczenie usługi (np. udostępnienie użytkownikowi określonych funkcjonalności w serwisie) lub podjęcie działań na żądanie użytkownika przed zawarciem umowy (art. 6 ust. 1 lit. b) Rozporządzenia RODO);
- prawnie uzasadniony interes administratora np. dochodzenie roszczeń związanych z zawartymi umowami lub obrona przed takimi roszczeniami (art. 6 ust. 1 lit. f) Rozporządzenia RODO);
- zgoda użytkownika, np. na marketing (art. 6 ust. 1 lit. a) Rozporządzenia RODO);
- obowiązek prawny ciążący na administratorze np. prowadzenie ksiąg podatkowych lub rachunkowych (art. 6 ust. 1 lit. c) Rozporządzenia RODO w związku z odpowiednimi przepisami ustaw podatkowych lub ustawy o rachunkowości).
Pełna lista podstaw prawnych przetwarzania danych zawarta jest w art. 6 Rozporządzenia RODO. Warto zapoznać się z tym przepisem w razie jakichkolwiek wątpliwości, czy założony przez Ciebie cel przetwarzania danych użytkowników serwisu jest zgodny z wymogami Rozporządzenia RODO.
RODO i Serwis internetowy [4] Checkboxy
Jeżeli w Twoim serwisie można jakąkolwiek umowę – może być to chociażby umowa o świadczenie usługi elektronicznej takiej jak np. konto użytkownika – będziesz potrzebował przynajmniej checkboxa ze zgodą na regulamin serwisu oraz z potwierdzeniem zapoznania się z polityką prywatności. Konieczność zamieszczenia checkboxa ze zgodą na regulamin wynika z ustawy o prawach konsumenta oraz z ustawy o świadczeniu usług drogą elektroniczną. Stanowią one określone obowiązki informacyjne związane z zawieraniem umów przez internet oraz ze świadczeniem usług elektronicznych. Checkbox ma formę zgody, a nie tylko potwierdzenia zapoznania się z dokumentem, ponieważ regulamin serwisu stanowi tzw. wzorzec umowny, który zawiera podstawową treść zawieranych w serwisie umów. Jako zatem część umowy wymaga potwierdzenie przez drugą stronę, którą jest użytkownik.
Z kolei polityka prywatności, jak wskazaliśmy wyżej, spełnia przede wszystkim funkcje informacyjne wobec użytkownika i zasadniczo nie wchodzi w skład zawieranych z nim umów. Nie wymaga ona zatem zgody, a jedynie potwierdzenia zapoznania się. Trzeba jednak pamiętać, że zarówno zgoda, jak i potwierdzanie, opisane powyżej powinny być w pełni świadome i aktywnie przez użytkownika wyrażone. Oznacza to, że checkboxy zawierające te oświadczenia nie mogą być domyślnie zaznaczone. Użytkownik powinien je zaznaczyć każdorazowo samodzielnie. Checkboxy te powinny jednak być obowiązkowe – w każdym miejscu, gdzie użytkownik zawiera umowę lub gdzie zbierane są jego dane, warunkiem przejścia do następnego kroku w serwisie powinno być wyrażenie zgody. Checkboxy powinny zawierać aktywne linki odpowiednio do regulaminu i do polityki prywatności.
Opisane powyżej checkboxy pojawiają się prawie we wszystkich serwisach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w serwisie internetowym to:
- zgoda na przetwarzanie danych użytkowników w celach marketingu Twoich usług lub produktów (tzw. marketing wewnętrzny);
- zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;
Każda z tych zgód musi być dobrowolna oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. W przeciwieństwie do zgody na regulamin i potwierdzenia zapoznania się z polityką prywatności, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.
RODO i Serwis internetowy [5] Pliki Cookies
Większość serwisów internetowych wykorzystuje tzw. Pliki Cookies. Z technicznego punktu widzenia są to pliki tekstowe wysyłane przez serwer i zapisywane po stronie użytkownika serwisu (np. na dysku twardym komputera, laptopa, czy też na karcie pamięci smartfona). Z plikami cookies wiążą się obowiązki informacyjne wobec użytkowników. Główne regulacje dotyczące tych plików zawarte są w polskiej ustawie Prawo Telekomunikacyjne. Rozporządzenie RODO ma jedynie pośredni wpływ na regulacje związane z plikami Cookies, natomiast z prawnego punktu widzenia mają one duże znacznie w funkcjonowaniu serwisu.
Bardziej szczegółowe informacje o funkcjonowaniu plików Cookies najlepiej umieścić w polityce prywatności. Można również stworzyć odrębną politykę plików Cookie, ale nie jest to wymagane. Wystarczy, jeżeli odpowiednie zapisy o charakterze informacyjnym znajdą się w polityce prywatności.
Zalecane jest jednak, aby dodatkowo najważniejsze informacje o plikach Cookies zamieścić bezpośrednio na stronie serwisu np.. w formie wyskakującego na stronie komunikatu w linkiem do polityki prywatności oraz możliwością wyłączenia go w momencie kiedy użytkownik zapozna się z komunikatem. W takim krótkim komunikacie możesz zamieścić informacje o tym, że korzystasz z plików Cookies, ogólnie w jakim celu ich używasz, jak można kontrolować i usuwać te pliki oraz że dalsze korzystanie ze strony serwisu bez zmiany ustawień przeglądarki może być uznane za zgodę użytkownika na stosowanie plików Cookies.
RODO i Serwis internetowy [6] Odbiorcy danych i umowy powierzenia
Najczęściej przy prowadzeniu serwisu internetowego korzystasz z pomocy różnych zewnętrznych firm. Często ta pomoc wymaga przekazania im pewnych danych użytkowników. W gruncie przepisów o ochronie danych osobowych, ten przypadek nazywa się „powierzeniem danych osobowych”. Na powierzenie nie trzeba uzyskać odrębnej zgody użytkownika, wystarczy poinformować go, najlepiej w polityce prywatności o takiej praktyce oraz o jej szczegółach. Najczęściej właściciele serwisów internetowych powierzają dane użytkowników takim podmiotom jak
- firmy obsługujące płatności elektroniczne lub kartą płatniczą – w przypadku płatnych funkcjonalności serwisu;
- dostawcy oprogramowania komputerowego, do prowadzenia serwisu internetowego i do obsługiwania jego poszczególnych funkcjonalności; dostawcy poczty elektronicznej potrzebnej do wysyłania powiadomień e-mail związanych z realizacją usług dostępnych w serwisie lub w przypadku wysyłki newslettera;
- biuro księgowe lub kancelaria prawna – jeżeli korzystasz ze wsparcia księgowego czy też prawnego w związku z prowadzeniem działalności w formie serwisu.
- firmy kurierskie – jeżeli w Twoim serwisie można zakupić produkty;
Jeżeli powierzasz dane użytkowników jakiemuś podmiotowi zewnętrznemu, Rozporządzenie RODO wymaga, abyś zawarł tym podmiotem umowę powierzenia przetwarzania danych osobowych. Zawarcie umowy powierzenia danych to nie tylko kolejny uciążliwy obowiązek. Z pewnego punktu widzenia jest to dla Ciebie korzystne: poprzez postanowienia takiej umowy i wymagania, jakie możesz w niej ustanowić dla kontrahenta, możesz wykazać w razie ewentualnej kontroli, że przez jej zawarcie zapewniasz należytą ochronę danych. Rozporządzenie RODO nakłada bowiem na Ciebie jako administratora danych obowiązek zapewnienia należytej ochrony danych, które są powierzone przez Ciebie innemu podmiotowi. W standardowych warunkach funkcjonowania firmy nie jest jednak możliwe ciągłe kontrolowanie w/w podmiotów pod kątem zgodności przetwarzania przez nich danych z RODO. Wymagałoby to też od Ciebie znacznej wiedzy z zakresu danych osobowych, której przecież nie musisz posiadać przy prowadzeniu serwisu. Dlatego umowa jest dobrym rozwiązaniem, ponieważ jej zawarcie (jeżeli zawiera dobrze sformułowane obowiązki drugiej strony) do pewnego stopnia stanowi wykazanie, że jako administrator zrobiłeś wystarczająco dużo w celu ochrony powierzonych danych.
RODO i Serwis internetowy [7] Dokumentacja wewnętrzna
Warto również pamiętać, że zadbanie o stronę internetową Twojego serwisu nie załatwia wszystkich obowiązków wynikających z Rozporządzenia RODO. Jeżeli przetwarzasz jakiekolwiek dane osobowe w ramach prowadzonej przez siebie działalności zarobkowej, niezależnie od tego czy prowadzisz tylko serwis, czy też posiadasz jeszcze inna działalność, Rozporządzenie RODO wymaga, abyś miał odpowiednią dokumentację wewnętrzną w swojej firmie. W skład takie dokumentacji wchodzi m.in.
- Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
- Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
- Ewidencja upoważnień do przetwarzania danych;
- Ewidencja podmiotów, którym powierzono przetwarzanie danych.
- Rejestr czynności przetwarzania.
- Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
- Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
- Zawarte przez administratora umowy powierzenia danych osobowych.
Poza samym posiadaniem dokumentacji związanej z przetwarzaniem danych osobowych, trzeba pamiętać o wprowadzeniu w firmie odpowiednich procedur co do postępowania z danymi oraz zabezpieczeń przy przetwarzaniu danych. Dokumentacja nie może pozostać tylko na papierze – musi być ona również wdrożona w praktyce. Jeśli zatrudniasz pracowników, warto przeszkolić ich z najważniejszych zasad związanych z postępowaniem z danymi osobowymi.
Podsumowanie
Z przetwarzaniem danych osobowych w serwisie wiążą się liczne obowiązku. Rozporządzenie RODO podchodzi w niezwykle poważny i restrykcyjny sposób do praw osób, których dane przetwarzasz w serwisie a także do obowiązków informacyjnych związanych w przetwarzaniem danych. Spełnienie wymogów stawianych przez te przepisy wobec administratora danych użytkowników powinno być więc jedną z głównych kwestii rozważanych przy zakładaniu nowego serwisu czy też dostosowaniu Twojego obecnego serwisu do zmieniającej się rzeczywistości prawnej.
Ze swojej strony, służymy pomocą we wszystkich kwestiach opisanych w tym artykule. Niezależnie od tego czy potrzebujesz pomocy przy napisaniu odpowiedniego regulaminu i polityki prywatności Twojego serwisu, sformułowaniu właściwych checkboxów, czy też przygotowaniu odpowiedniej dokumentacji wewnętrznej – nasi specjaliści są do Twojej dyspozycji. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@prokonsumencki.pl.