fot. froxx, Fotolia.com
Informacje o RODO bombardują nas z każdej strony. Czy faktycznie nowe przepisy przynoszą rewolucję? Czy należy się ich bać? Postaram się przedstawić, na co powinni zwrócić uwagę administratorzy serwisów, e-sklepów oraz aplikacji, jak i osoby projektujące oraz implementujące takie rozwiązania internetowe.
RODO to Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679, które zaczęło być stosowane od 25 maja 2018 roku.
Co ważne – nie jest tak, że RODO wprowadzi jakąś totalną rewolucję w zasadach przetwarzania danych. Już obecnie istnieje szereg wymogów z tym związanych, które trzeba uwzględniać i stosować wdrażając projekt informatyczny. Trzeba jednak przyznać, że RODO ma to coś co sprawia, że chętnie się o nim mówi – niestety nierzadko skupiając się wyłącznie na straszeniu karami, które faktycznie są bardzo wysokie, ale same w sobie niewiele mówią o rozporządzeniu.
W tym materiale postaram się przedstawić, na co powinni zwrócić uwagę administratorzy serwisów, e-sklepów oraz aplikacji, jak i osoby projektujące oraz implementujące takie rozwiązania internetowe. Artykuł ten to nie tylko poradnik dla osób tworzących nowe projekty, ale również dla tych, którzy chcą dostosować te już działające do nowych przepisów.
Po pierwsze Privacy by design, czyli uwzględnianie ochrony danych w fazie projektowania. Dla niektórych z Was prawdopodobnie uwzględnienie ochrony danych osobowych podczas tworzenia aplikacji, e-sklepu czy serwisu było oczywiste i nie jest nowością. Jednak RODO wprowadza taką zasadę wprost i nie ma wątpliwości, że ochrona danych musi być brana pod uwagę już od początku.
RODO, w przeciwieństwie do obecnych przepisów, nie wskazuje szczegółowo jakie konkretne środki techniczne i organizacyjne powinny być stosowane – dlatego też rola administratora danych jest większa niż obecnie. Administrator, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, wdraża środki, które uzna za właściwe i wystarczające w danym przypadku.
Jest to ułatwienie, ale też większe wyzwanie dla administratora, który musi zdecydować o odpowiednich dla jego działalności, środkach. Do tej pory mały sklep internetowy, w którym dostęp do danych ma tylko jego właściciel, musiał stosować takie same zabezpieczenia jak duża firma ze sztabem ludzi.
Jako przykłady takich środków w RODO wskazano m.in. szyfrowanie, pseudonimizację danych czy zdolność do szybkiego przywrócenia dostępu do danych osobowych w razie incydentu fizycznego lub technicznego. Zastanawiasz się w jaki sposób wykazać przestrzeganie RODO w tym zakresie? Między innymi przez wdrożenie odpowiednich wewnętrznych polityk ochrony danych. Jeśli Twoja firma posiada dokumentację przetwarzania danych osobowych stworzoną na podstawie aktualnych przepisów – masz dobrą bazę do stworzenia polityk, o których mowa w RODO.
Od momentu rozpoczęcia stosowania RODO dla legalnego przetwarzania danych nie będzie konieczne zgłaszania zbiorów danych do rejestracji u odpowiedniego organu (obecnie GIODO). Natomiast RODO wymaga, w większości przypadków, prowadzenia przez administratora rejestru czynności przetwarzania danych osobowych, w którym wskazane zostaną przede wszystkim takie informacje jak:
W RODO znajduje się wyłączenie, zgodnie z którym przedsiębiorcy zatrudniający poniżej 250 pracowników nie muszą spełnić tego obowiązku, ale pod warunkiem, że przetwarzanie:
Trzeba pamiętać, że samo przechowywanie danych jest ich przetwarzaniem, wygląda więc na to, że nawet jeśli prowadzisz e-sklep i nie przetwarzasz danych, powinieneś prowadzić rejestr. Ten ostatni można prowadzić w formie elektronicznej – tylko również trzeba pamiętać, że to wewnętrzny dokument i nie należy umieszczać go na stronie internetowej dostępnej dla użytkowników.
Zanim jednak zaczniesz przetwarzać dane osobowe upewnij się, czy jest ku temu podstawa prawna, a jeśli już przetwarzasz dane – zweryfikuj czy możesz to robić.
Najpowszechniejszymi przesłankami przetwarzania danych osobowych w przypadku aplikacji, e-sklepów czy serwisów najpewniej, tak jak obecnie, będą:
Tworzysz aplikację dla ludzi uprawiających sport, w której będą przetwarzane dane o stanie zdrowia użytkowników? Musisz wiedzieć, że są tzw. szczególne kategorie danych osobowych, których co do zasady przetwarzać nie można – jednak RODO nie wprowadza tutaj rewolucji, tak jest już obecnie, RODO nawet wprowadza pewne ułatwienie, ale o tym w dalszej części.
O jakie dane chodzi? Między innymi o ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, a także o dane genetyczne, biometryczne lub dotyczące zdrowia, seksualności lub orientacji seksualnej.
RODO, tak jak jest teraz, dopuszcza możliwość przetwarzania takich danych pod pewnymi ściśle określonymi warunkami.
Jednym z takim warunków jest udzielenie zgody przez osobę, której dane dotyczą i to właśnie ta przepustka do przetwarzania danych wrażliwych będzie miała zastosowanie najczęściej w przypadku e-działalności. W przeciwieństwie do „zwykłych” danych zawarcie umowy w większości przypadków nie będzie wystarczające.
Ułatwienie, które wprowadza RODO – zgoda nie musi być pisemna, czyli wystarczająca będzie zgoda udzielona drogą elektroniczną. Obecnie, chcąc działać zgodnie z prawem przetwarzając dane wrażliwe, trzeba uzyskać pisemną zgodę na przetwarzanie tych danych, czyli teoretycznie każdy kto korzysta z aplikacji przetwarzającej jego dane wrażliwe powinien wysłać do administratora zgodę na piśmie ( zwykły e-mail nie stanowi takiej formy ).
Zgoda na przetwarzanie danych to przesłanka przetwarzania, która sprawia najwięcej problemów administratorom, ale również prawnikom, których opinie nieraz są w tym zakresie zgoła odmienne.
Wyrażenie zgody przede wszystkim powinno wynikać z jednoznacznej czynności i być świadome oraz dobrowolne. Dla oceny czy zgoda została wyrażona dobrowolnie, zgodnie z RODO, należy w jak największym stopniu uwzględnić czy m.in. od zgody nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych nie jest niezbędne do wykonania tej umowy.
Co ważne, jeśli przetwarzanie służy różnym celom należy uzyskać zgodę na wszystkie cele. W motywach do RODO, będących jego częścią składową, wskazano, że wyrażenie zgody może polegać na:
Zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.
Pamiętaj, że musisz być w stanie wykazać, że dana osoba faktycznie wyraziła stosowną zgodę – np. rejestrować w bazie danych kto, kiedy i w jaki sposób wyraził zgodę.
Zgoda na przetwarzanie danych może być w każdym czasie wycofana i musi to być równie proste jak wyrażenie zgody. Nie możesz wymagać, aby użytkownik, który wyraził zgodę elektronicznie, cofnął ją wysyłając list polecony.
Jeśli świadczysz usługi społeczeństwa informacyjnego (np. prowadzenie konta na profilu społecznościowym lub udostępnienie gier w ramach aplikacji) dzieciom powinieneś wziąć pod uwagę obostrzenia dotyczące wyrażenia zgody przez takie osoby, które wprowadza RODO.
Zgodnie z RODO możesz przetwarzać dane dziecka, które ukończyło 16 lat. W przypadku młodszych dzieci konieczne jest wyrażenie zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Na Tobie, jako administratorze, spoczywa obowiązek zweryfikowania tego czy właściwa osoba wyraziła zgodę. RODO nie wskazuje dokładnie jak to zrobić, ale z rozporządzenia wynika, że należy podjąć w tym celu rozsądne starania mając na uwadze dostępną technologię.
Od zgody przechodzimy do obowiązku przetwarzania wyłącznie tych danych osobowych, które są niezbędne dla osiągnięcia celu przetwarzania zgodnego z wprowadzaną wprost przez RODO zasadą Privacy by default, zapewniającą użytkownikom domyślną ochronę prywatności.
Jako administrator danych musisz wdrożyć odpowiednie środki techniczne i organizacyjne, dzięki którym przetwarzane będą wyłącznie niezbędne dane. Obowiązek ten odnosi się nie tylko do ilości zbieranych danych osobowych, ale również do zakresu ich przetwarzania, okresu ich przechowywania oraz dostępności, natomiast środki mają za zadanie zapewnić by domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie podmiotów bez działania osoby, której dane dotyczą.
Jak wprowadzić tę zasadę w praktyce? Na przykład:
Podanie informacji przez użytkownika, czy to w serwisie czy w aplikacji, nie powinno być, mówiąc w skrócie, czynnością jednostronną. W momencie kiedy zbierasz dane od użytkownika powinieneś przekazać mu wynikający z RODO pakiet informacji o sobie oraz o warunkach przetwarzania jego danych.
Jeśli zbierasz dane użytkownika – podziel się z nim informacjami o sobie. Już teraz musisz spełnić obowiązek informacyjny związany z przetwarzaniem danych, ale RODO znacząco rozszerza jego zakres. Kiedy możemy to zrobić? Na przykład – podczas składania zamówienia w sklepie internetowym czy też w momencie zakładania konta w serwisie.
Poniżej przykłady treści, które musisz przekazać użytkownikowi:
Mam nadzieję, że nie przeraziłeś się i dotarłeś do tego miejsca, jednak tutaj czeka na Ciebie kolejne wyzwanie – informacje te należy przekazać użytkownikowi w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Wymaga to trochę zachodu, ale uwierz mi – da się to zrobić.
Poniżej przedstawiono pozostałe prawa osób, których dane będziesz przetwarzać lub przetwarzasz do uwzględnienia przy prowadzeniu sklepu, serwisu lub aplikacji.
Jak już wiadomo nie możesz przetwarzać danych osobowych tak po prostu w nieskończoność – musisz mieć do tego podstawę prawną, ale RODO wprost wskazuje, że użytkownik ma prawo zostać przez Ciebie „zapomniany”. Dotyczy to m.in. sytuacji, w której:
Oczywiście, jeśli np. na podstawie właściwych przepisów (np. podatkowych) jesteś zobowiązany do przechowywania danych – nie musisz, a wręcz nie możesz ich usunąć.
Jakie to ma znaczenie praktyczne? Możesz np. uwzględnić w tworzonym przez Ciebie portalu społecznościowym umieszczenie funkcji „Usuń moje konto i zapomnij mnie”.
W przypadku gdy przetwarzasz dane na podstawie umowy, zgody lub w sposób zautomatyzowany Użytkownik Twojego serwisu może zwrócić się do Ciebie z żądaniem przeniesienia jego danych do innego administratora. Dane te powinieneś przekazać w strukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
Jeśli dostarczane przez Ciebie rozwiązanie internetowe może generować częste występowanie takiej potrzeby po stronie użytkownika może warto pomyśleć nad funkcją serwisu, która ułatwi to zarówno Tobie jak i użytkownikowi?
Przetwarzasz dane, których administratorem są użytkownicy Twojego serwisu? Jeśli tak to jesteś podmiotem przetwarzającym. Nie jesteś pewien czy ma to miejsce w Twoim przypadku? Podam Ci przykład – jeśli prowadzisz platformę, na której różne podmioty (użytkownicy platformy) prowadzą swoje sklepy internetowe, to dane klientów użytkowników platformy są Tobie powierzane do przetwarzania i w związku z tym jesteś podmiotem przetwarzającym.
Jakie to ma znaczenie? W powyższym przypadku powinna być zawarta pomiędzy Tobą a użytkownikiem platformy umowa powierzenia przetwarzania danych, w której użytkownik powierza Ci dane. Warto posiadać taką umowę w Serwisie, np. jako załącznik do regulaminu, który jest akceptowany przez użytkownika platformy w momencie zakładania sklepu na platformie. I tutaj kolejne ułatwienie, które wprowadza RODO – umowa taka może zostać zawarta elektronicznie, a więc nie ma już konieczności wymiany papierowych wersji dokumentów.
Szczegółowe wymogi co do zawartości takiej umowy określa art. 28 ust. 3 RODO.
Mam nadzieję, że po przeczytaniu powyższego materiału można stwierdzić, że RODO nie jest takie straszne, a nawet wprowadza pewne ułatwienia. Jednym z nich jest to, że w całej Unii Europejskiej będą obowiązywać takie same przepisy dotyczące danych osobowych.
Ponadto w pewnych przypadkach zrezygnowano z formy pisemnej (przede wszystkim przy zgodzie na przetwarzanie danych wrażliwych oraz umowie powierzenia przetwarzania danych), co ma duże znaczenie praktyczne dla przedsiębiorców działających w sieci.
I co chyba najistotniejsze – początkujący przedsiębiorca nie będzie musiał już spełnić takich samych wymogów jak duża korporacja, dzięki możliwości zastosowania przez niego środków ochrony danych adekwatnych do skali oraz charakteru jego działalności.
Niektóre odnośniki na stronie to linki reklamowe.
vivo X100s, vivo X100s Pro i vivo X100 Ultra będą jednym tchem wymieniane wśród najlepszych…
Nowy aparat fotograficzny trafi do serii Xiaomi 15! W planach jest teleobiektyw peryskopowy. Taki czujnik…
Najlżejszy składany flagowiec w historii niebawem stanie się globalny. W znanym benchmarku dostrzeżono światową wersję…
Świetny smartwatch HUAWEI Watch GT 4 doczekał się super promocji w Polsce. Model posiada AMOLED…
Nareszcie potwierdzono premierę jednego z najlepszych flagowców do zdjęć 2024 r. Potężny vivo x100 Ultra…
[indizar2:stronicowanie] [section:] Choć każdy ma inne wymagania, to są zegarki, które można kupować „w ciemno”.…
