Jak wdrożyć RODO na stronie internetowej?

Z dniem 25 maja 2018 roku wchodzi w życie unijne Rozporządzenie Ochrony Danych Osobowych, czyli w skrócie RODO. Dlatego każdy podmiot ma obowiązek wdrożyć w życie zapisy prawne, które wynikają z RODO. Wdrożenie RODO powinno się odbyć przede wszystkim wewnątrz firmy poprzez ustanowienie procedur chroniących dane osobowe. Mój artykuł nie dotyczy jednak całego zagadnienia, a tylko niewielkiego obszaru, jakim jest wdrożenie RODO w obrębie serwisu internetowego.

Zacznijmy od definicji

Na początek pozwolę sobie przypomnieć kilka definicji charakterystycznych dla opisywanego zagadnienia:

• DO – Dane Osobowe. Danymi osobowymi są w świetle RODO są wszelkie dane, dzięki którym można namierzyć użytkownika, więc w niektórych przypadkach nawet adres IP komputera.
• ADO – Administrator Danych Osobowych, czyli podmiot (firma, fundacja etc), który jest właścicielem danych osobowych i je przetwarza. W przypadku serwisów internetowych najczęściej jest to właściciel serwisu internetowego.
• Przetwarzanie DO – jakiekolwiek przetwarzanie danych osobowych, nawet samo przetrzymywanie ich na serwerze, czy na komputerze.
• Procesor – podmiot, któremu ADO udostępnia dane do przetwarzania (np. usługodawca hostingowy).
• Sub-procesor – można powiedzieć, że jest to podwykonawca procesora, czyli podmiot, któremu procesor powierza DO.
• Polityka Prywatności – dokument umieszczony najczęściej na stronie www, który opisuje sposób gromadzenia DO oraz prawa użytkownika.

Umowa powierzenia danych osobowych

Zanim wdrożysz RODO na stronie internetowej, powinieneś przeanalizować dokładnie jakie dane osobowe w jej obrębie przetwarzasz oraz komu je powierzasz. Jeżeli na stronie www posiadasz newsletter i adresy e-mail zapisywane są w bazie danych na serwerze zewnętrznym, dane osobowe powierzasz do przetwarzania firmie hostingowej. A zatem z tym usługodawcą musisz podpisać umowę powierzenia danych osobowych. Jeśli do e-mail marketingu używasz profesjonalnego systemu, z tą firmą również powinieneś podpisać umowę powierzenia. Tego typu umowy musisz podpisać z każdym podmiotem, któremu powierzasz dane osobowe do przetwarzania.

Dane osobowe w ciasteczkach

Jeżeli na Twojej stronie www zainstalowane są narzędzia zewnętrzne, które gromadzą dane takie jak adres IP (np, Google Analytics, piksel konwersji Google AdWords, czy Facebook Ads) oraz dzięki ciasteczkom (pliki cookie) gromadzą dane o zachowaniu użytkownika na stronie www, z takimi podmiotami też powinieneś podpisać stosowne umowy. Jak to zrobić? Zawarcie umowy z tymi podmiotami odbywa się poprzez akceptację ich regulaminu, a zatem jeśli zaakceptowałeś nowy regulamin, który zawiera już RODO, masz to z głowy. :)

A teraz najważniejsze: wdrożenie RODO w obrębie strony www – checklista

Przygotowałem dla Ciebie listę kontrolną, którą posługujemy się wdrażając RODO na stronach internetowych naszych klientów.

1. Ustal kto jest ADO
   W większości przypadków Administratorem Danych Osobowych jest właściciel serwisu internetowego. Jednak w niektórych przypadkach może być nim inny podmiot. Przykład: strona www typu landing page marki X, konkursowa, gdzie organizatorem konkursu jest agencja Y. Wówczas to agencja Y najprawdopodobniej będzie ADO. Taki zapis powinniście znaleźć w regulaminie konkursu.

   Twój obowiązek: podpisać stosowne umowy powierzenia danych osobowych z partnerami.

2. Systemy zewnętrzne i ciasteczka
   Sprawdź, czy do strony www podpięte są systemy pobierające dane w sposób automatyczny (np. adres IP). A zatem moja checklista:
   • Google Tag Manager
   • Google Analytics
   • Piksel konwersji Google AdWords
   • Piksel konwersji Facebook Ads
   • Kod śledzący Sales Manago
   • Kod śledzący Hotjar

   Nie zawsze pliki cookies i kody śledzące będą kwalifikowały się jako dane osobowe. Jednak w dobie RODO lepiej w sposób przejrzysty poinformować użytkowników, że takie techniki stosujesz.

   Twój obowiązek: opracować i umieścić na stronie politykę prywatności i dokładnie opisać w niej, w jakich systemach zbierane są automatycznie dane , które dane powiązane są z plikami cookie oraz w jaki sposób użytkownik może zrezygnować z udostępniania tych danych (blokować ciasteczka). Nie zapomnij, by przy pierwszym wejściu na Twoją stronę www wyświetlal się banner (komunikat) o cookies. Ważne jest też byś dał równorzędny wybór pomiędzy „zgadzam się” a „zmieniam ustawienia przeglądarki”.

3. Sprawdź, jakie formularze występują na Twojej stronie www, w których mogą występować dane osobowe. Przeanalizuj je pod kątem pozyskiwanych danych osobowych, sposobów ich przetwarzania i komunikatów występujących podczas ich użytkowania.
   • formularz zapytania ofertowego
     Twój obowiązek: dokładnie opisz w formularzu w jakim celu jest on dostępny na stronie i czemu on służy. Jeżeli przesłane dane osobowe wykorzystasz tylko jednorazowo w celu, który opisałeś (np. zostaw nam swój numer, oddzwonimy), nie musisz umieszczać na stronie checkboksów ze zgodami.
   • formularz rejestracji
     Twój obowiązek: dokładnie opisz w formularzu w jakim celu użytkownik udostępnia Ci dane osobowe. Przetwarzanie danych osobowych w sposób ciągły po zarejestrowaniu użytkownika w serwisie wymaga uzyskania od niego akceptacji regulaminu. Jeżeli w ramach usług dostępnych w obrębie serwisu internetowego będziesz wysyłał użytkownikowi jakieś informacje handlowe czy marketingowe (e-mailem lub SMSem), wymagane jest potwierdzenie chęci otrzymywania takich wiadomości. Aby być pewnym, że takie zapisy na Twoje listy są poprawne,odbierz zgodę poprzez kliknięcie w link wysyłany do użytkownika podczas rejestracji (taki proces rejestracji nosi fachową nazwę Double opt-in).
     Wypełnij też obowiązek informacyjny, wysyłając zapisującym się użytkownikom informacje w jakim celu przetwarzane są ich dane osobowe, jak mogą zrezygnować z subskrypcji oraz jakie przysługują im prawa wynikające z RODO. Obowiązek informacyjny może być zrealizowany poprzez dodanie tychże zapisów w treści e-maila potwierdzającego rejestrację.
   • formularz zapisu na newsletter
     Twój obowiązek: dokładnie opisz w formularzu subskrypcji newslettera czego on dotyczy. Koniecznie uzyskaj dwie zgody: na przetwarzanie danych osobowych i na przesyłanie informacji handlowych drogą elektroniczną. Reguły te mogą zawierać się w formularzu, a użytkownik wyraża zgodę poprzez zaznaczenie obu checkboksów, ale mogą też być wysłane w treści e-maila z linkiem potwierdzającym rejestrację.
     Wypełnij także obowiązek informacyjny analogicznie do punktu wcześniejszego.
   • formularz wysłania CV
     Twój obowiązek: dokładnie opisz w formularzu w jakim celu użytkownik udostępnia Ci dane osobowe, szczególnie jak długo będzie trwała rekrutacja i po jakim czasie jego dane zostaną usunięte z bazy danych.Niestety przepis w kodeksie pracy, który stanowi o tym, jakie dane możesz zbierać od kandydatów bez dodatkowej zgody jest przestarzały i nie obejmuje zdjęć, numerów telefonów ani adresów e-mail. Dlatego nawet przesłanie CV w celu jednorazowej rekrutacji wymaga uzyskania zgody na przetwarzanie danych osobowych do celów rekrutacji Jeśli dane osobowe kandydata będą przetwarzane także w innym celu, np. co celów przyszłej rekrutacji – powinieneś poprosić o stosowną, odrębną zgodę.
     W obrębie formularza umieść informacje związane ze spełnieniem obowiązku informacyjnego opisanego w powyższych punktach.

Ważne, aby pamiętać:

1. W formularzach jako obowiązkowe mogą być tylko te pola, które są niezbędne do zrealizowania czynności, na którą użytkownik się zapisuje. To znaczy, że jeżeli uzyskujesz np. zgodę na wysyłanie newslettera, daną obowiązkową powinien być tylko adres e-mail. Jeżeli personalizujesz wysyłkę i zbierasz także imię, dana ta może być podawana przez użytkownika dobrowolnie.
2. Jeżeli poszukujesz sprawdzonej firmy projektującej serwisy internetowe, która dba o terminowość realizacji oraz wdraża standardy proponowane przez Google, zapamiętaj tę nazwę: eura7, lub skontaktuj się ze mną: Łukasz Wołek 600 004 680.
3. Niniejszy poradnik został skonsultowany z Agnieszka Grzesiek-Kasperczyk, radcę prawnego z kancelarii MyLo, specjalizującą się w prawie marketingu i internetu.