Regulamin i polityka prywatności dla internetowych wyszukiwarek i porównywarek

Regulamin i polityka prywatności dla internetowych wyszukiwarek i porównywarek

utworzone przez | lut 20, 2021 | Inne Regulaminy, Polityka prywatności, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, Regulamin i polityka prywatności, RODO | 0 komentarzy

Z pewnością każdy z nas poszukując w Internecie różnego rodzaju firm, usług czy produktów korzystał niejednokrotnie ze stron, które omówimy w dzisiejszym wpisie. Mowa bowiem o wyszukiwarkach i porównywarkach, które ze względu na szybkość wyszukiwania informacji oraz nieskomplikowaną strukturę, cieszą się obecnie dużą popularnością.                      W dzisiejszym artykule umówimy właśnie ten rodzaj serwisu oraz wspólnie przeanalizujemy najważniejsze aspekty ich funkcjonowania mając na uwadze wymogi prawne jak i praktyczne. Zarówno jeżeli jesteś użytkownikiem tego typu stron,  jak ich właścicielem, temat regulamin i polityka prywatności wyszukiwarek i porównywarek powinien cię zainteresować.

Ogólna charakterystyka oraz rodzaje wyszukiwarek

Wyszukiwarki i porównywarki są to nierozbudowane pod kątem świadczonych usług elektronicznych serwisy internetowe, których dominującą funkcjonalnością jest możliwość wyszukania określonej informacji po wybraniu filtrów i naciśnięciu dedykowanego pola akcji. W związku z dużą popularnością tego typu stron, wyróżniamy wiele rodzajów wyszukiwarek i porównywarek. Z pewnością można wyróżnić wyszukiwarki, które są dedykowane danym rodzajom branż, jak też wyszukiwarki poświęcone konkretnym usługom oraz produktom. Co więcej, nie można w tym zakresie pominąć wyszukiwarek, poprzez które możliwe jest wyszukanie ogólnych informacji, stron, portali oraz treści dostępnych w sieci. 

Porównywarki z kolei oprócz wyszukania informacji, interesującej nas treści, umożliwiają automatyczne porównanie wybranej usługi/ produktu dostępnego w danym sklepie internetowym wraz z analogiczną usługą / produktem dostępnym w innym sklepie. Porównanie może być dokonywane pod różnym kątem: najczęstszym kryterium będzie cena, natomiast porównanie może także obejmować cechy, właściwości, dostępność czy opinie klientów.

 

Standardowy model wyszukiwarki/porównywarki nie umożliwia zawarcia docelowej umowy

W każdym serwisie, będącym wyszukiwarką mogą być udostępniane specyficzne funkcjonalności, których struktura została stworzona pod konkretną branżę lub specyfikę produktów. Poza tym, tak jak wskazaliśmy wyżej, należy odróżnić wyszukiwarki np. ofert pracy z danej branży od ogólnej, internetowej wyszukiwarki, z której korzystamy każdego dnia.

 

Standardowa wyszukiwarka / porównywarka opiera się z jednej strony na możliwości dodawania treści, adresów, innych informacji, których poszukują użytkownicy, przez różnego rodzaju podmioty w ramach danej branży lub tematycznie, a z drugiej strony korzystającym z niego usługobiorcom na skuteczne wyszukanie treści przy użyciu filtrów i kryteriów. Porównywarka oprócz powyższych funkcjonalności, umożliwia dodatkowo uzyskanie porównawczej informacji odnośnie ceny, dostępności czy cech wyszukiwanego produktu, usługi.

Wyszukiwarka / porównywarka pozwala jedynie na wyszukanie/ porównanie określonych treści, zatem wyświetlone treści na tego typu stronach mają charakter wyłącznie informacyjny i pomocniczy.

 

Celem zawarcia umowy sprzedaży, umowy o świadczenie usług należy skontaktować się bezpośrednio z podmiotem, którego usługami lub produktami jesteśmy zainteresowani, już poza serwisem.  Tym samym, właściciel strony będącej wyszukiwarką nie jest stroną zawieranych umów sprzedaży, jego rola ogranicza się tak naprawdę do udostępnienia platformy, usług elektronicznych jak konto czy Newsletter, pełnienia funkcji administratora danych osobowych oraz bieżącego kontaktu z usługobiorcami serwisu. Bardzo ważne jest zawarcie takiej informacji w regulaminie i wyraźne wskazanie, że właściciel serwisu nie jest autorem treści zamieszczanych w serwisie, w ramach bazy firm czy usług, a tym samym nie będzie stroną zawieranych już poza serwisem umów sprzedaży. O tym co powinno się znaleźć w regulaminie wyszukiwarki dowiesz się w dalszej części artykułu.

 

 

Usługi Elektroniczne udostępniane w wyszukiwarce/porównywarce

Podstawową funkcją tego typu stron jest wyświetlenie, znalezienie określonych treści, zatem najważniejszą usługą elektroniczną udostępnianą na takich stronach jest wyszukiwarka, mniej lub bardziej rozbudowana. Wyszukiwarka może się ograniczać jedynie do określonego miejsca, w którym należy wpisać frazę i pola akcji, którego kliknięcie skutkuje wyszukaniem dopasowanych do informacji danych, natomiast bardzo często wyszukiwarki są rozbudowane o różnorodne filtry. Korzystanie z filtrów, kryteriów i zakresów w ramach wyszukiwarki pozwala na skuteczniejsze i bardziej dopasowane wyszukanie interesujących nas danych.

 

Jeżeli chodzi o sposób dodawania treści, danych, które podlegają następnie wyszukaniu przez użytkowników, wyróżniamy kilka opcji. Przede wszystkim bazy np. firm, adresów czy usług mogą  być tworzone przez samych właścicieli stron. Dodanie pozycji do takiej bazy najczęściej wiąże się z koniecznością uiszczenia opłaty. Zasady takiej współpracy, sposoby i formy płatności mogą być każdorazowo określane przez właściciela strony. Oprócz takiej bazy, która jest tworzona nie jako na potrzeby danej wyszukiwarki, wyróżniamy także strony, na których można wyszukać informacje i dane, nie tworzące żadnej odrębnej bazy danych. W tym zakresie należy każdorazowo przeanalizować wady i zalety każdego rozwiązania i zadbać o określenie warunków współpracy z podmiotami trzecimi.

 

Poza samą wyszukiwarką jako funkcjonalnością, najczęściej występujące funkcjonalności w wyszukiwarkach to formularz zapytania/ kontaktowy, opcjonalnie konto oraz newsletter. Oczywiście, w bardziej rozbudowanych serwisach np. poświęconych wyłącznie wyszukiwaniem ofert pracy,  możemy spotkać się jeszcze z takimi funkcjonalnościami jak: blog czy forum.

Jakie wymogi wiążą się z wszystkimi funkcjonalnościami w serwisie? Otóż, każda z nich to świadczona przez właściciela serwisu usługa elektroniczna, a poprzez np. zapis na Newsletter czy rejestrację Konta zawierana jest między usługodawcą, a użytkownikiem tzw. umowa o charakterze ciągłym. W regulaminie serwisu należy każdą z usług wyraźnie wskazać poprzez jej zdefiniowanie oraz opisanie sposobu w jaki usługobiorca może z niej korzystać, kroków jakie są wymagane, aby skorzystanie z usługi było skuteczne oraz sposobu rezygnacji z danej usługi.

 

Przykład: opisując usługę elektroniczną „Wyszukiwarkę” najbardziej w tym zakresie istotną – należy poruszyć następujące kwestie: moment rozpoczęcia korzystania z wyszukiwarki ( np. przejście na stronę główną serwisu), kroki niezbędne do skutecznego z niej korzystania ( np. wpisanie wyszukiwanej frazy, wybranie kategorii i kliknięcie pola akcji) oraz wskazanie sposobu zakończenia korzystania z wyszukiwarki (np. skorzystanie z wyszukiwarki ma charakter jednorazowy i ulega zakończeniu po skorzystaniu z niej).

 

W taki sposób należy opisać każdą z usług elektronicznych. Oprócz określenia i opisania usług elektronicznych, szczególną uwagę należy poświęcić na zabezpieczenie właściciela serwisu przed zamieszczeniem bezprawnych treści przez użytkowników strony. Zalecamy wyraźnie podkreślić, iż usługobiorcy zobowiązani są zamieszczać w serwisie jedynie prawdziwe, rzetelne i niewprowadzające w błąd informacje, a zamieszczone treści powinno być zgodne z prawem i dobrymi obyczajami mając na uwadze poszanowanie dóbr osobistych, praw autorskich oraz prawa własności intelektualnej zarówno usługodawcy jak i osób trzecich.  

 

Po czym poznać kompleksowy i rzetelny regulamin serwisu – wyszukiwarki?

Kompleksowy regulamin wyszukiwarki/porównywarki powinien składać się z kilkunastu punktów, w których powinny zostać w sposób czytelny i uporządkowany uregulowane takie kwestie jak: ogólne warunki korzystania z serwisu wraz ze wskazaniem administratora danych osobowych, szczegółowe wskazanie i opisanie usług elektronicznych, reklamacje dot. działania serwisu. W przypadku, gdy użytkownikami serwisu będą konsumenci, oczywiście nie można zapomnieć o szeregu obowiązków informacyjnych do spełnienia, a tym samym konieczności zawarcia zapisów m.in.  dot. pozasądowych sposobach rozwiązywania sporów.

 

Oprócz wyżej wskazanych elementów, regulamin powinien zawierać zapisy odnośnie praw autorskich oraz odrębne regulacje znajdujące zastosowanie w przypadku przedsiębiorców. Co do zasady serwis będzie skierowany zarówno do podmiotów profesjonalnych – przedsiębiorców jak i do konsumentów, warto natomiast odrębnie przeanalizować każdą sytuację i dopasować regulamin do grupy docelowej w serwisie.  Kolejna kwestia, która jest szczególnie ważna w przypadku wyszukiwarek o ch. ogólnym,  to wyraźne określenie zakresu przedmiotów i usług, które nie mogą być przedmiotem dodawanych do bazy treści.  Zalecamy, aby zamieścić taką listę w formie załącznika do samego regulaminu. Przykładem takich ograniczeń są m.in. treści, które naruszają prawa autorskie, przedmioty takie broń, amunicja czy też treści nawołujące do nienawiści na tle narodowościowym, wyznaniowym.

 

Polityka Prywatności wyszukiwarki zgodna z RODO

Szczegółowe kwestie związane z przetwarzaniem danych osobowych klientów w serwisie powinny być ujęte w odrębnym od regulaminu dokumencie – Polityce Prywatności. W dokumencie tym wyraźnie powinien być wskazany administrator danych osobowych – najczęściej będzie to po prostu właściciel serwisu czyli usługodawca.

 

Administrator danych osobowych powinien informować w polityce prywatności przede wszystkim o:

 

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania wraz ze wskazaniem imienia i nazwiska,
  • danych kontaktowych inspektora danych wyznaczonego przez administratora ( jeżeli został wyznaczony),
  • ogólnych podstawach przetwarzania danych ( m.in. wyrażenie zgody przez osobę, której dane dotyczą )
  • celach, okresie oraz zakresie przetwarzanych w sklepie danych osobowych,
  • odbiorcach lub kategoriach odbiorców danych w sklepie ( np. podmioty obsługujące płatności elektroniczne),
  • profilowaniu ( o ile jest stosowane);
  • praw osoby, której dane dotyczą ( m.in prawo do sprzeciwu, cofnięcia zgody czy wniesienia skargi do organu nadzorczego),
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

 

Powyższe elementy to obowiązkowy „szkielet” Polityki Prywatności.  Należy mieć na uwadze to, że tak jak regulamin – również polityka prywatności musi być każdorazowo dopasowana do danego serwisu i stopnia skomplikowania wyszukiwarki. Indywidualnie powinny być przeanalizowane takie kwestie jak: cele, zakres przetwarzanych danych, kategorie odbiorców czy stosowanie profilowania i plików Cookies.

 

Kwestii, które należy wziąć pod uwagę jest wiele – warto skorzystać z profesjonalnej pomocy prawnika

Chociaż kwestii, które należy wziąć pod uwagę tworząc dokumenty dedykowane takie jak regulamin i polityka prywatności dla internetowych wyszukiwarek jest wiele – nawet wszystkie wskazane powyżej aspekty mogą okazać się niewystarczające. Zalecamy w przypadku rozbudowanych wyszukiwarek skorzystanie z pomocy doświadczonego prawnika, który indywidualnie przeanalizuje funkcjonowanie danego serwisu i stworzy w pełni dopasowane dokumenty. Ponadto, w przypadku, gdy grupą docelową serwisu są konsumenci, w grę wchodzą także ewentualne kary za m.in. klauzule niedozwolone czy niespełnienie obowiązków informacyjnych nałożone przez UOKiK. Oprócz sankcji pieniężnych nałożonych przez UOKiK nie można zapominać o karach wynikających z RODO.

 

Korzystając z gotowych wzorów dostępnych w Internecie czy też próbując bez doświadczenia w materii E-Commerce samodzielnie stworzyć dokumenty dla serwisu możemy się narazić na dotkliwe sankcje. Szczególnie w przypadku serwisów internetowych warto rozważyć zwrócenie się do prawnika i posiadanie w pełni dopasowanego regulamin i polityka prywatności dla internetowych wyszukiwarek i porównywarek.

 

Regulamin i polityka prywatności dla internetowych wyszukiwarek – zachęcamy do kontaktu

Jeżeli jesteś właścicielem rozbudowanej wyszukiwarki/ porównywarki z wieloma funkcjonalnościami lub zamierzasz uruchomić taką platformę zachęcamy Cię do skorzystania z usług naszych prawników. Przeanalizują i przeprowadzą kompleksowy audyt Twoich dokumentów lub od podstaw stworzą w pełni dopasowany regulamin i polityka prywatności dla internetowych wyszukiwarek i porównywarek.

RODO W PIGUŁCE DLA SPRZEDAWCY

RODO W PIGUŁCE DLA SPRZEDAWCY

utworzone przez | lis 21, 2019 | Obowiązki Informacyjne Sprzedawcy, Ochrona Danych Osobowych (GIODO), RODO, RODO sklep internetowy | 0 komentarzy

Każda firma (w tym także Sprzedawca internetowy i stacjonarny), która w ramach swojej działalności przetwarza jakiekolwiek dane osobowe (a 99,9% je przetwarza) musi przestrzegać obowiązków wynikających z RODO. Nie ma tutaj znaczenia wielkość, rodzaj danych, czy czynności jakie są na nich wykonywane . Aby spełnić wymogi RODO należy umieścić na stronie dokument informacyjny (politykę prywatności) oraz opracować i wdrożyć dokumentację wewnętrzną firmy. Są to dwie odrębne kwestie i obie muszą być wdrożone.

 

Czy RODO mnie dotyczy? Odpowiedz na kilka pytań i dowiedz się, czy RODO to także Twoja sprawa

 

Nadal zastanawiasz się czy przetwarzasz dane osobowe, czy RODO Ciebie dotyczy i czy Twoja firma spełnia wymogi RODO? Odpowiedz na poniższe pytania i dowiedz się!

  1. Czy w ramach swojej działalność przetwarzasz jakiekolwiek dane osobowe? (np. pracowników, klientów, dostawców) „Przetwarzanie” oznacza jakąkolwiek czynności wykonywaną na danych osobowych – również samo ich przechowywanie w dowolnej formie. Może to być również np.: zbieranie danych w celu realizacji zamówienia, wysyłki próbek, wystawienia faktury czy zatrudnienia pracownika.
  2. Czy posiadasz na swojej stronie dokument informacyjny, w którym podajesz kto jest administratorem danych, jakie są cele przetwarzania danych i prawa przysługujące w związku z tym? Takim dokumentem może być np. polityka prywatności.
  3. Czy dopełniasz obowiązku informacyjnego wobec osób, które podają dane poza sklepem internetowym? Np. które podają dane w sklepie stacjonarnym, zamawiają produkt poprzez Facebooka, czy biorą udział w rekrutacji.
  4. Czy posiadasz w swojej firmie: (1) Rejestr czynności przetwarzania? (2) Rejestr incydentów i naruszeń w ochronie danych? (3) Imienne upoważnienia dla pracowników mających dostęp do danych osobowych? (4) Umowy powierzenia danych osobowych innym firmom?
  5. Czy przeprowadziłeś analizę ryzyka, wraz z oceną skutków dla przetwarzania danych osobowych dla wymagających tego operacji?

Jeśli przetwarzasz dane osobowe (odpowiedź TAK na pierwsze pytania) i udzieliłeś na któreś z pytań 2-5 odpowiedzi NIE, to zostań z nami i przeczytaj dalszą cześć tekstu. Dowiesz się czego jeszcze potrzebujesz, aby działać zgodnie z prawem.

 

Czego wymaga RODO od sprzedawcy internetowego?

 

RODO wprowadziło powszechną ochronę danych osobowych, która dotyczy wszelkich informacji pozwalających na zidentyfikowani konkretnych osób. Nie ma tutaj znaczenia, czy mamy do czynienia z danymi klientów umieszczonymi na fakturze (które również podlegają ochronie), czy z dokumentacją pracowniczą (np. teczki osobowe) – w każdym przypadku należy wprowadzić odpowiednią ochronę. Szczególnie należy pochylić się nad kwestią bezpieczeństwa w przypadku działalności, która polega na:

  • sprzedaży prowadzonej przez Internet, która narażona jest na szczególne rodzaje zagrożeń. Tutaj warto wspomnieć o ostatnim przypadku Morele.net – sklepu który otrzymał karę w wysokości blisko 3 mln zł, za wyciek danych. Więcej informacji o tym naruszeniu znajdziesz w komunikacie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/1189
  • przetwarzaniu danych szczególnej kategorii – czyli tzw. danych wrażliwych, dotyczących stanu zdrowia, poglądów politycznych, orientacji seksualnej etc. Dotyczy to np. sprzedaży soczewek i okularów (w zakresie wady wzroku), sprzętu rehabilitacyjnego, jak również zatrudniania osób niepełnosprawnych.
  • profilowaniu i podejmowaniu zautomatyzowanych decyzji na temat osób, których dane są przetwarzane, np. automatyczne ustalanie ceny promocyjnej, w oparciu o profil klienta zawierający dane osobowe (oferowanie cen promocyjnych dla określonych grup klientów – zainteresowanych dietą, szukających informacji na określony temat itp.),
  • zatrudnianiu pracowników i przetwarzaniu danych z tym związanych (kwestie odpowiedniego zabezpieczenia danych pracowniczych mogą być przedmiotem kontroli inspekcji pracy, która praktycznie każdą kontrolę rozpoczyna od zapoznania się z teczkami pracowniczymi i ich zgodnością z przepisami Kodeksu Pracy).

Poziom tej ochrony będzie różny i zależny od rodzaju prowadzonej działalności, jej skali czy sposobów przetwarzania danych. Zawsze wymagane jest jednak aby administrator danych (najczęściej właściciel firmy) przeanalizował swoją sytuację i dobrał odpowiednie, adekwatne zabezpieczenia i przygotował wymaganą dokumentację. Nawet jeśli wszystko w firmie jest doskonale zabezpieczone należy formalnie opisać sytuację i wprowadzić konieczne dokumenty. Tylko na tej podstawie urząd może ocenić, czy podjęte działania są adekwatne do zakresu i rodzaju przetwarzanych danych.

Pełny tekst RODO znajdziesz tutaj: Rozporządzenie RODO

 

Jakie dokumenty wewnętrzne powinien posiadać Sprzedawca zgodnie z RODO?

 

RODO wymienia tylko trzy konkretne dokumenty, jakie muszą znaleźć się firmie. Są to:

  • rejestr czynności przetwarzania (wskazany w art. 30 RODO)
  • rejestr incydentów i naruszeń (wymaga go art. 33 RODO)
  • analiza ryzyka, wraz z oceną skutków dla przetwarzania danych (na podstawie między innymi motywu 76 RODO)

Nie oznacza to, że są to jedyne materiały, jakie muszą być wdrożone w firmie – w końcu same rejestry nie zabezpieczają danych. Pozostała dokumentacja konieczna jest do zachowania zasady rozliczalności – czyli mówiąc najprościej – możliwości „rozliczenia” się przed urzędem (lub kontrolą) z czynności, jakie podjęliśmy aby zabezpieczyć dane. Do tego nasz system ochrony powinien być oparty o przyjęte procedury czy zasady postępowania – jak np. regulaminy dla pracowników (np. regulamin korzystania z urządzeń mobilnych poza firmą), szczegółowe instrukcje (np. instrukcja nadawania uprawnień do systemów informatycznych), czy też procedury (np. procedura wykonywania kopii zapasowych, czy niszczenia dokumentów i nośników tradycyjnych).

 

Jak przebiega wdrożenie RODO w firmie?

 

Wprowadzając RODO w firmie przygotowujemy zestaw dokumentów. Ich zakres, wraz z krótkim opisem znajduje się w tabeli poniżej.

Nazwa dokumentu

Co zawiera dokument?

Jaki jest cel posiadania dokumentu?

1. Rejestr czynności przetwarzania

 Wykaz czynności (procesów biznesowych) w ramach których przetwarzane są dane osobowe (np. realizacja zamówienia, wysyłka newslettera, rekrutacja pracowników) wraz z określeniem celu przetwarzania, zakresu danych etc. Dokumenty wymagany na podstawie art. 30 RODO. Stanowi podstawę do tworzenia pozostałej dokumentacji. Innymi słowy ewidencjonuje dane osobowe w naszej firmie.

2. Analiza ryzyka i ocena skutków dla przetwarzania danych

 W analizie ryzyka należy wykazać jakie zagrożenia mogą towarzyszyć przetwarzaniu danych w naszej, konkretnej sytuacji oraz jakie zabezpieczenia wprowadzono, aby im zaradzić. Realizacja podejścia opartego na ryzyku. Należy przeanalizować zagrożenia (np. atak hakerski, utratę danych czy ich wyciek) i podjąć odpowiednią decyzję na temat ryzyka (np. poprzez jego unikanie, akceptację czy mitygację).

3. Instrukcja zarządzania systemem informatycznym

 Instrukcje i procedury związanie z obsługą systemów informatycznych (np. w zakresie nadawania uprawnień, polityki haseł, czy wykonywania kopii zapasowych). Zabezpieczenie systemów informatycznych – czyli obszarów, które są newralgiczne pod kątem bezpieczeństwa danych.

4. Rejestr incydentów i naruszeń w ochronie danych

 Opis incydentów i naruszeń w bezpieczeństwie danych, jakie wystąpiły w naszej firmie . Wymagany na podstawie art. 33 RODO. Jest dalszą częścią (po analizie ryzyka) podejścia opartego na ryzyku. Incydenty i naruszenia należy odnotowywać, analizować i podejmować odpowiednie działania w celu uniknięcia ich wystąpienia w przyszłości.

5. Wzór umowy powierzenia danych osobowych

 Regulacje dotyczące powierzenia danych innej firmie (deklaracje stosowanych zabezpieczeń, zakres odpowiedzialności, informowanie o naruszeniach, prawo do audytu etc.) Umowa powierzenia danych jest wymagana na podstawie art. 28 RODO. Zamiast umowy może to być inny, równorzędny instrument prawny (np. regulamin). Dzięki umowie kontrolujemy dane osobowe wychodzące na zewnątrz naszej firmy.

6. Upoważnienia do przetwarzania danych dla pracowników wraz z oświadczeniem o zachowaniu danych w tajemnicy.

 Imienne upoważnienie pracownika do przetwarzania określonych danych osobowych oraz jego zobowiązanie do przestrzegania przepisów i wewnętrznych procedur firmy w zakresie bezpieczeństwa. Na podstawie art. 29 RODO dostęp do danych osobowych mogą mieć tylko osoby upoważnione przez administratora. Dzięki upoważnieniom kontrolujemy kto ma dostęp do danych wewnątrz naszej firmy.

7. Polityka bezpieczeństwa (nie mylić z polityką prywatności, którą publikujemy na stronie)

 Główny dokument opisujący zasady bezpiecznego przetwarzania danych. Zakres polityki może być różny w zależności od danej firmy, jednak zwykle zawiera ona:

– opisy obowiązków administratora i personelu

– szczegółowe procedury, np. udzielania odpowiedzi na pytania związane z danymi osobowymi,

– opis obszaru, w jakim przetwarzane są dane osobowe.

 Polityka bezpieczeństwa w praktyczny sposób opisuje jak powinny być zabezpieczone dane i jakie obowiązki ciążą w związku z tym na pracownikach i samym administratorze danych. Polityka może odsyłać do innych, bardziej szczegółowych dokumentów (np. procedur).

8. Klauzule informacyjne

 Niezbędne informacje, jakie należy podawać osobom, które przekazują nam dane osobowe (w dowolnym celu – od złożenia zamówienia, po przekazanie CV do celów rekrutacji). Obejmują one np. nazwę i kontakt do administratora, cel przetwarzania, komu dane mogą zostać przekazane etc. Do przekazania odpowiednich informacji osobom, od których zbieramy dane osobowe zobowiązują art. 13 i 14 RODO. Chodzi o to, aby każda osoba miała jasność co do tego komu i w jakim celu przekazuje dane osobowe.

9. Dodatkowe dokumenty

 Dodatkowe dokumenty mogą być niezbędne lub pomocne dla konkretnych rodzajów działalności, jak np. przetwarzania danych wrażliwych (o stanie zdrowia), czy też przy stosowaniu systemów i środków wymagających szczegółowych instrukcji (np. serwer wewnątrz firmy, aplikacja mobilna etc.). Dodatkowe materiały mogą być niezbędne do prawidłowego zabezpieczenia danych w konkretnych sytuacjach.

 

Dokumentacji wewnętrznej RODO nie należy publikować ani udostępniać osobom nieupoważnionym, ponieważ opisują np. zabezpieczenia, lokalizacje i inne kwestie, których opublikowanie mogłoby być niebezpieczne.

Dokumentem informacyjnym umieszczanym na stronie internetowej jest polityka prywatności, która w odróżnieniu od polityki bezpieczeństwa skierowana jest do klientów i użytkowników korzystających z naszej strony. Jest ona jednak dokumentem niezależnym i jej umieszczenie na stronie nie zwalnia z pozostałych obowiązków nakładanych przez RODO.

Polityka prywatności może być jednak pomocna przy dopełnianiu obowiązków informacyjnych – możemy np. odsyłać do niej jako do tzw. drugiej warstwy obowiązku. Trzeba jednak pamiętać, aby treści umieszczone w polityce prywatności były spójne z dokumentacją wewnętrzną (np. w zakresie celów przetwarzania danych). Zamawiając politykę prywatności oraz dokumentację RODO w naszej firmie mają Państwo pewność, że treści te są spójnie i w razie potrzeby aktualizowane.

Z dokumentami RODO należy oczywiście zapoznać pracowników, którzy są zobowiązani do ich przestrzegania. Należy jednak pamiętać, że nie każdy pracownik musi zapoznawać się z każdym dokumentem, a tylko z tymi, które faktycznie odnoszą się do jego pracy.

Prace nad wdrożeniem rozpoczynamy od zebrania informacji na temat funkcjonowania firmy, procesów biznesowych, lokalizacji i innych czynników, które mają lub mogą mieć wpływ na bezpieczeństwo danych. Na tej podstawie tworzony jest rejestr czynności przetwarzania (wymaga tego art. 30 RODO – obowiązek ten dotyczy praktycznie każdej firmy), czyli dokument w pliku excel, który ewidencjonuje dane osobowe w firmie. Forma rejestru jest dowolna, jednak zaleca się aby prowadzony był w formie edytowalnej, tak aby można było łatwo wprowadzać zmiany (np. przy poszerzeniu działalności).

Przykładowy Rejestr czynności przetwarzania RODO

Żródło: Przykładowy Rejestr czynności przetwarzania udostępniony przez Urząd ochrony danych osobowych. Pełna wersja dostępna: https://uodo.gov.pl/pl/123/214

 

Analiza ryzyka, czyli podejście oparte na ryzyku

 

Kolejnym krokiem jest przeprowadzenie analizy ryzyka. Jest to obowiązkowy element tzw. podejścia opartego na ryzyku. Na podstawie analizy (w zależności od liczby procesów dokument tworzony jest w postaci tabeli excel lub pliku word) tworzone są pozostałe materiały (np. polityki, instrukcje, procedury czy dodatkowe zalecenia), zgodnie potrzebami i wymaganiami przedsiębiorstwa.

Analiza ryzyka opiera się na opisaniu zagrożeń, jakie mogą towarzyszyć przetwarzaniu danych osobowych. Następnie określa się prawdopodobieństwo ich wystąpienia i możliwy skutek dla osoby, które dane dotyczą.

Przykładowo jeśli jakieś zagrożenie wystąpiło już w naszej firmie – np. atak hakerski, w wyniku którego zaszyfrowano bazę naszych klientów, a my nie wdrożyliśmy dodatkowych zabezpieczeń prawdopodobieństwo jego powtórzenia będzie wysokie. Jeśli połączymy je np. z niemożnością wykonania umowy bez tych danych (nie możemy wysłać produktu do klienta oraz dokonać rozliczenia skarbowego), czyli poważnymi skutkami otrzymamy wysoki poziom zagrożenia, który wymaga podjęcia odpowiednich kroków (np. wprowadzenia oprogramowania typu IPS).

Wskazanie odpowiednich zagrożeń i określnie prawdopodobieństwa i skutku ich wystąpienia wymaga wiedzy i doświadczenia. Dla ułatwienia można jednak posłużyć się opracowaniami fachowymi – np. z normy ISO 27001, czy katalogu zagrożeń Rządowego Centrum Reagowania na Incydenty Komputerowe (csirt.gov.pl).

Katalog zagrożeń i podatności csirt.gov

Żródło: Katalog zagrożeń i podatności csirt.gov.pl.

 

Kiedy dane będą już odpowiednio zabezpieczone pozostaje dopełnienie formalności. Będzie to np. zawarcie umów powierzenia danych osobowych z firmami, którym przekazujemy dane w określonych celach (np. świadczenia usługi hostingu czy prowadzenia księgowości) czy wydanie upoważnień pracownikom mającym dostęp do danych.

Należy również bezwzględnie pamiętać o dopełnieniu obowiązków informacyjnych w momencie zbierania danych osobowych – za nieprzekazanie klauzul informacyjnych Urząd ochrony danych osobowych nałożył pierwszą w Polsce karę – prawie 1 mln złotych.

Skoro jesteśmy już przy karach – grożą one za złamanie 33 artykułów RODO. Wielu z nich nie jesteśmy w stanie zrealizować bez odpowiednich dokumentów. Sama kara pieniężna może wynosić nawet do 20 mln euro.

 

Podsumowanie – kroki do zgodności z RODO

 

Podsumowując – aby dostosować przedsiębiorstwo do RODO należy:

  1. Przeprowadzić inwentaryzację procesów prowadzonych na danych osobowych i przygotować Rejestr czynności przetwarzania.
  2. Przeprowadzić analizę ryzyka biorąc pod uwagę kontekst przetwarzania danych i możliwe skutki dla osób, których dane dotyczą oraz podjąć decyzje dotyczące tych niebezpieczeństwa (np. wdrożenie dodatkowych zabezpieczeń, rezygnacja z przetwarzania danych etc.)
  3. Wprowadzić odpowiednie zabezpieczenia danych pod kątem: poufności, integralności i dostępności oraz utworzyć dokumentację opisującą te zabezpieczenia.
  4. Dopełnić pozostałych obowiązków formalnych, jak zawarcie umów powierzenia, wydanie upoważnień czy opracowanie klauzul informacyjnych (również dla danych zbieranych poza sklepem internetowym – np. w sklepie stacjonarnym).
  5. Prowadzić na bieżąco rejestr incydentów i naruszeń oraz aktualizować dokumentację zgodnie ze zmianami zachodzącymi w naszej firmie (może to być np. wprowadzenie monitoringu wizyjnego, dodatkowego programu, zmiany w strukturze organizacyjnej etc.).
  6. Zaleca się również, aby na bieżąco śledzić stronę Urzędu Ochrony Danych. Możemy znaleźć na niej szczegółowe poradniki dotyczące konkretnych kwestii, jak:

Potrzebujesz pomocy przy wdrożeniu RODO w swojej firmie? Skontaktuj się z nami i chętnie Ci pomożemy.

Newsletter prawny dla Sprzedawców

Dowiesz się pierwszy o ważnych zmianach w prawie i otrzymasz specjalne zaproszenia na nasze webinary z prawnikiem!

SUKCES - zapisałeś się!

Wybierz kanał kontaktu:
Napisz maila
*
*
*
Zamów rozmowę tel.
*
*
Cześć, czy mogę pomóc?