Szanowny Wydawco,
Jest duża szansa, że o RODO wiesz już wszystko albo bardzo dużo, bo w ostatnim tygodniu sporo się w tym temacie działo. Pewnie tak jak my zostałeś zasypany mailami od firm, które regulowały z użytkownikami temat polityki prywatności, danych osobowych itd. Ale ponieważ należysz do grupy osób, których temat RODO dotyczy szczególnie (o tym za chwilę), postanowiliśmy ten temat ostatecznie wyklarować i w skondensowanej formie pokazać Ci obowiązki wynikające z wejścia w życie nowych przepisów. Taka paczka wiedzy może Ci się przydać!
Co to jest RODO?
25 maja 2018, na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej „RODO”) weszły w życie nowe przepisy w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Kogo obejmują nowe przepisy
Dotychczas ustawą o ochronie danych osobowych objęte były jedynie podmioty, które przetwarzały dane w celach zarobkowych, albo zawodowych. Dlatego też osoby prowadzące hobbystyczne blogi czy małe portale rzadko przykładały do niej należytą wagę. Teraz to się zmienia.
Nowe przepisy obejmują bowiem każdy podmiot, który gromadzi jakiekolwiek dane osobowe swoich użytkowników w przestrzeni internetowej w celach innych niż wyłącznie do użytku osobistego lub domowego. Dotyczą więc praktycznie każdego wydawcy działającego w sieci afiliacyjnej: Ciebie również Co ciekawe, nowym przepisom podlegają zarówno przedsiębiorcy, jak i osoby fizyczne, które przetwarzają dane osobowe w ramach czynności nie mających osobistego czy domowego charakteru, więc niezależnie od tego, jaki jest Twój status (przedsiębiorca czy osoba fizyczna) RODO dotyczy też Ciebie. W związku z tym musisz znać podstawowe pojęcia związane z tym tematem, a także wiedzieć, w jaki sposób dostosować swoje internetowe aktywności do nowej rzeczywistości.
Dane osobowe i ich przetwarzanie
Przy dostosowaniu witryny do wymogów RODO musisz dokładnie zrozumieć dwa pojęcia:
1. Dane osobowe: pojęcie to dotyczy każdej informacji, która pozwala na jej podstawie zidentyfikować osobę fizyczną. Za takie możemy uznać, np. imię i nazwisko, adres mailowy, ale również dane pochodzące z cookies czy agregowane przez Google Analytics, a także numer IP komputera.
2. Przetwarzanie danych osobowych: to wszelkie czynności, które związane są z danymi osobowymi, a w szczególności:
- zbieranie,
- utrwalanie,
- przeglądanie,
- agregowanie,
- przechowywanie,
- przekazywanie innym podmiotom w celach marketingowych,
- usuwanie i niszczenie.
Jakie czynności w obrębie Twojej strony są uznawane za przetwarzanie danych osobowych? Jeśli:
- wysyłasz do swoich użytkowników newsletter,
- wpisy, np. na twoim blogu, mogą być komentowane,
- użytkownicy mogą skontaktować się z Tobą poprzez formularz kontaktowy,
- używasz Google Analytics do analizy ruchu na twojej stronie,
- lub choćby tylko zapisujesz i przechowujesz gdzieś te dane,
to zdecydowanie musisz dostosować się do RODO, bo – chcesz czy nie – przetwarzasz dane osobowe.
RODO nakłada szereg wymagań, z których część ma charakter fakultatywny, a część jest obowiązkowa. Zasadniczo możemy podzielić je na wymagania dotyczące zmian na samej stronie i na przygotowanie odpowiedniej dokumentacji poza nią. Warto się temu przyjrzeć.
I ZMIANY NA STRONIE - OBOWIĄZKOWE:
a) Podstawowe środki bezpieczeństwa danych twoich użytkowników:
Środki ochrony danych osobowych: pamiętaj o absolutnym minimum związanym z administracją stroną internetową: mocnym hasłem, aktualnymi wtyczkami, antywirusie i certyfikacie SSL.
b) Zgoda na przetwarzanie danych osobowych:
Pierwszą, podstawową zgodą jest zgoda „na ciasteczka”, która pojawia się każdemu użytkownikowi, który pojawia się na twojej stronie. Pamiętaj, że zgody te były wymagane już wcześniej, acz w mniej rozbudowanej formie. Przykładowo:
Zgadzam się na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w moim urządzeniu, za pomocą plików cookies oraz innych technologii służących do przechowywania danych zapisywanych podczas korzystania z świadczonych usług (w tym adresu IP), jak też na przetwarzanie w celach marketingowych, w tym profilowanie (budowanie profili konsumenckich w oparciu o reakcje na dany kontent marketingowy), moich danych osobowych pozostawianych przeze mnie w ramach korzystania ze stron internetowych, serwisów i innych funkcjonalności zapisywanych w tych plikach cookies, przez Wydawcę i ZAUFANYCH PARTNERÓW. Zgoda jest dobrowolna i może być w każdym czasie wycofana.
Wyrażam zgodę na udostępnianie moich danych osobowych pozostawianych przeze mnie w ramach korzystania ze stron internetowych, serwisów i innych funkcjonalności zapisywanych w tych plikach cookies, przez [Nazwa Wydawcy] i ZAUFANYCH PARTNERÓW innym administratorom zainteresowanym marketingiem swoich produktów lub usług (reklamodawcom), jak też innym odbiorcom wskazanym w POLITYCE PRYWATNOŚCI WYDAWCY oraz POLITYKACH PRYWATNOŚCI ZAUFANYCH PARTNERÓW. Zgoda jest dobrowolna i może być w każdym czasie wycofana.
Przy czym słowa napisane DUŻĄ LITERĄ powinny być podlinkowane. Do kategorii ZAUFANYCH PARTNERÓW powinieneś wpisać każdego partnera, z którym przetwarzasz dane osobowe. W tym przypadku będzie to Cube Group S.A. z siedzibą w Warszawie przy ul. Puławskiej 99A.
Zaproponowane zgody są dużo szersze i kompletnie wyczerpują wymagania RODO oraz dają Ci szerokie możliwości marketingowe (w szczególności pierwsza z zaproponowanych). Dzięki temu w jasny sposób wytłumaczysz użytkownikowi, dlaczego właściwie zbierasz informację na jego temat i do czego Ci one posłużą.
Ciasteczka nie są jedynymi danymi osobowymi, które pozyskasz. Bardzo często na stronach wydawców pojawią się dodatkowe widżety (np. formularz kontaktowy, czy wtyczka umożliwiająca komentowanie artykułów), które również wymagają dodatkowych informacji o użytkowniku, np. adresu email. Zgodnie z RODO, należy obowiązkowo przygotować osobne checkboxy w formularzach na stronie dla poszczególnych zgód wyrażanych przez użytkowników, np. osobna zgodna na przetwarzanie danych osobowych, osobna zgoda na przesyłanie oferty, osobna na newsletter itd. Zgody w żadnym wypadku nie mogą być zaznaczone domyślnie. Pamiętaj też o double opt-in, czyli generowaniu dodatkowego potwierdzenia dla użytkownika, który wypełnia formularz kontaktowy czy zgodę na newsletter. Dzięki takiej automatycznie generowanej wiadomości z linkiem aktywacyjnym masz pewność, że osoba, która podaje swój adres mailowy, rzeczywiście jest właścicielem konta email, którego dane podała, a Ty w komunikacji wykorzystujesz tylko te dane, do których wykorzystania masz prawo.
Przykładowa zgoda w przypadku przesłania zapytania przez formularz kontaktowy:
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w formularzu przez DANE KONTAKTOWE WYDAWCY w celu kontaktu w związku ze zgłoszonym za pomocą formularza pytaniem. Dane zamieszczam dobrowolnie, mam prawo dostępu do treści swoich danych, ich poprawiania i żądania zaprzestania przetwarzania moich danych osobowych. Przyjmuję do wiadomości, że zgoda może być odwołana w każdym czasie.
Przykładowa zgoda umożliwiająca odpowiedź na zapytanie z formularza na adres emailowy użytkownika:
Wyrażam zgodę na otrzymywanie od DANE KONTAKTOWE WYDAWCY informacji związanych ze zgłoszonym za pomocą formularza pytaniem na podany przez mnie adres e-maila.
Przykładowa zgoda marketingowa:
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w formularzu przez spółkę DANE KONTAKTOWE WYDAWCY dla celów marketingowych DANE KONTAKTOWE WYDAWCY. Dane zamieszczam dobrowolnie, mam prawo dostępu do treści swoich danych, ich poprawiania i żądania zaprzestania przetwarzania moich danych osobowych. Przyjmuję do wiadomości, że zgoda może być odwołana w każdym czasie.
Przykładowa zgoda umożliwiająca przesyłanie informacji handlowej na mail:
Wyrażam zgodę na otrzymywanie od DANE KONTAKTOWE WYDAWCY informacji handlowych o produktach lub usługach tej firmy na podany przez mnie adres e-maila, DANE KONTAKTOWE WYDAWCY. Przyjmuję do wiadomości, że zgoda może być odwołana w każdym czasie.
c) Źródła pozyskiwania danych osobowych
Osobom, których dane osobowe przetwarzasz, należy obowiązkowo przekazać informacje, których zakres różni się w zależności od tego, czy dane pozyskałeś od tej osoby bezpośrednio, czy od podmiotu trzeciego (np. kupiłeś bazę danych ). Jeśli dane pozyskałeś od użytkownika bezpośrednio (i to jest najczęstszy przypadek), musisz przekazać mu w szczególności następujące informacje:
- kto jest administratorem danych osobowych użytkownika, czyli dane o twojej tożsamości i dane kontaktowe,
- jakie dane są gromadzone (np. imię, nazwisko, adres email),
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania (np. na podstawie wyrażonej zgody),
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- warto też umieścić informację na temat zbierania plików cookie i ich wykorzystywania.
II ZMIANY W DOKUMENTACJI
Wszystkie powyższe informacje najlepiej przekazać użytkownikom w polityce prywatności. I choć sama polityka prywatności jako oddzielny dokument nie jest obowiązkowa, to już przekazanie powyższych informacji – owszem.
Powierzenie przetwarzania danych osobowych
Pamiętaj też, że jeśli powierzasz komuś przetwarzanie danych osobowych swoich użytkowników, np. takim podmiotom jak: hostingodawca (który na swoim serwerze przechowuje gromadzone przez Ciebie dane), dostawca systemu mailingowego (który przechowuje dane użytkowników, znajdujące się na twoich listach mailingowych), biuro rachunkowe czy dostawca systemu do fakturowania, powinieneś z nimi zawrzeć umowy o powierzeniu przetwarzania danych. Na szczęście umowę taką można od 25 maja 2018 r. zawrzeć nie tylko na piśmie, ale również w formie elektronicznej, co nieco ułatwia sprawę.
Co jeszcze musisz wiedzieć?
OBOWIĄZKOWE:
a) Ewidencjonowanie oraz zgłaszanie wszelkich incydentów związanych z przetwarzaniem danych osobowych: w przypadku wycieku danych, ich utraty, uzyskania dostępu przez nieuprawnioną osobę trzecią, masz obowiązek zgłosić ten fakt do organu nadzorczego w przeciągu 72h.
NIEOBOWIĄZOWE:
a) Powołanie inspektora ochrony danych osobowych: Inspektor może być powołany, jeśli konieczne jest wsparcie przy administracji danych lub gdy Twoja główna działalność polega na operacjach przetwarzania danych.
b) Polityka bezpieczeństwa i instrukcja zarządzania: Instrukcja taka może być pomocna dla osób, które Ci podlegają i które również mają dostęp do danych osobowych.
c) Rejestr czynności przetwarzania danych osobowych: Tabela powinna zawierać skonkretyzowane cele i związany z nim zakres przetwarzania danych.
d) Wykaz powierzeń przetwarzania danych: obejmuje podmioty, którym powierzamy dane osobowe użytkowników, np. firma hostingowa, dostawca wtyczki mailingowej, itd.
e) Ocena skutków przetwarzania danych: niekiedy administrator może być zobowiązany do dokonania takiej oceny (w szczególności gdy przetwarza dane z użyciem nowych technologii) i spisania jej w formie dokumentu. Dzieje się tak wówczas, gdy dany rodzaj przetwarzania, ze względu na swój charakter, zakres, kontekst i cele, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Podsumowując: Temat RODO nie jest łatwy. Nigdy wcześniej kwestie danych osobowych i ich przetwarzania nie były tak głęboko poruszane w ustawodawstwie. Nigdy też nie dotyczyły tak szerokiego grona podmiotów. Dopasowanie się do tych przepisów może nastręczać trudności i budzić opór, ale trzeba to zrobić, by móc aktywnie i efektywnie działać w sieci, i nie narażać się na krytykę coraz bardziej świadomych odbiorców. Chcemy Wam w tym pomóc i stąd pomysł tego krótkiego podsumowania. Jeśli jeszcze nie zdążyliście zająć się tematem RODO, to jest to ostatni moment. Instrukcję obsługi już macie. Do dzieła!
Autor: Michał Trela, Senior Affiliate Manager