RODO a strony www, sklepy online i portale

 

W odczuciu wi臋kszo艣ci, przekle艅stwo, dla niekt贸rych obiekt kpin, dla innych聽 biurokracja Unijna lub wr臋cz pr贸ba przej臋cia czy globalizacji biznesu. Korporacje maj膮 swoich prawnik贸w i ludzi zajmuj膮cych si臋 tylko bezpiecze艅stwem danych i wielu innych specjalist贸w.

 

Ma艂e i 艣rednie firmy, w kt贸rych ka偶dy po trochu zajmuje si臋 wieloma tematami, nie posiadaj膮 os贸b zajmuj膮cych si臋 tak specyficznymi obszarami, wi臋c wdro偶enie tematu takiego jak RODO zazwyczaj spadaj膮 na w艂a艣cicieli lub zarz膮d.

 

W艂a艣nie dla tych ludzi, czyli ludzi wprowadzaj膮cych RODO w ma艂ych i 艣rednich przedsi臋biorstwach, chcieliby艣my odczarowa膰 RODO i pom贸c w jego wdro偶eniu. Przy okazji chcieliby艣my podpowiedzie膰 jak nie zabi膰 samego biznesu oraz pom贸c w unikni臋ciu absurd贸w RODO.

 

 

Z tego artyku艂u dowiesz si臋:

 

* Co to jest RODO?

* Czy chodzi tylko o zgody?

* Kiedy, gdzie i co stosowa膰?

 

Co to jest RODO?

 

Co ma na celu RODO, czyli Rozporz膮dzenie o Ochronie Danych Osobowych (w oryginale GDPR, General Data Protection Regulation)? Ot贸偶 g艂贸wnym celem聽 tego rozporz膮dzenia jest ochrona os贸b fizycznych w zwi膮zku z przetwarzaniem ich danych osobowych.

 

Ka偶dy z nas, opr贸cz naszego 偶ycia zawodowego, jest r贸wnie偶 zwyk艂ym cz艂owiekiem i szczeg贸lnie dla wielkich globalnych potentat贸w jeste艣my jednym z wielu milion贸w Iksi艅skich. RODO daje nam wszystkim szans臋 nad zapanowaniem nad swoimi danymi, niezale偶nie od tego czy tymi danymi dysponuje ma艂y sklep internetowy, czy 艣wiatowa korporacja.

 

Ponadto, wdro偶enie RODO pozwala uporz膮dkowa膰 procesy przetwarzania danych w naszych firmach. RODO pomo偶e tak偶e uporz膮dkowa膰 przetwarzanie danych osobowych w naszych firmach pod k膮tem co przetwarzamy, po co to robimy, jak d艂ugo i na jakiej podstawie.

 

Warto te偶 doda膰, 偶e RODO dotyczy, w mniejszym lub wi臋kszym stopniu, praktycznie ka偶d膮 firm臋 dzia艂aj膮c膮 na terenie EU. Co nie oznacza, 偶e RODO nale偶y si臋 ba膰.

 

 

Nie tylko zgody

 

W maju 2018, kiedy RODO wesz艂o w 偶ycie wiele firm zacz臋艂o na pot臋g臋 rozsy艂a膰 do swoich klient贸w pro艣by o wyra偶enie zgody na przetwarzanie danych. Czy to znaczy, 偶e teraz musimy na wszystko mie膰 zgody? To jeden z wielu absurd贸w #boRODO. Okazuje si臋, 偶e zbieranie zg贸d na ka偶d膮 okoliczno艣膰 jest 鈥 jednym z najcz臋艣ciej pope艂nianych b艂臋d贸w. RODO w art.6 ust.1 wymienia a偶 6 podstaw przetwarzania danych. Z punktu widzenia przedsi臋biorcy praktyczne zastosowanie b臋d膮 mia艂y 4 z nich.

 

1. Przetwarzanie jest niezb臋dne do wykonania umowy, kt贸rej stron膮 jest osoba, kt贸rej dane dotycz膮, lub do podj臋cia dzia艂a艅 na 偶膮danie osoby, kt贸rej dane dotycz膮, przed zawarciem umowy;

 

Przyk艂ad to zakup w sklepie internetowym,聽 czy w og贸le zawarcie umowy na sprzeda偶 us艂ug lub produkt贸w. B艂臋dem by艂oby tu pytanie Klienta o zgod臋, poniewa偶 dane s膮 niezb臋dne do zrealizowania umowy. Zadajmy sobie hipotetyczne pytanie w jaki spos贸b umowa mog艂aby by膰 zrealizowana, gdyby Klient odm贸wi艂 albo wycofa艂 zgod臋 na przetwarzanie danych?

 

Inny przyk艂ad to formularz na stronie internetowej s艂u偶膮cy do sk艂adania zapyta艅 przez potencjalnego Klienta. W tym przypadku r贸wnie偶 nie wymagamy zgody na przetwarzanie, poniewa偶 podejmujemy dzia艂anie 鈥渘a 偶膮danie鈥 osoby, kt贸ra si臋 do nas zg艂asza przed zawarciem umowy. Musimy przy tym pami臋ta膰, 偶e pozyskane w ten spos贸b dane nie mog膮 zosta膰 鈥渙d艂o偶one鈥 i nie mog膮 pos艂u偶y膰 do p贸藕niejszego marketingu (np mailingu z nasz膮 ofert膮). Po za艂atwieniu sprawy potencjalnego Klienta kontakt powinien zosta膰 usuni臋ty.

 

2. Przetwarzanie jest niezb臋dne do wype艂nienia obowi膮zku prawnego ci膮偶膮cego na administratorze;

 

Przyk艂ad to wystawienie faktury. Do jej wystawienia potrzebujemy takich danych jak imi臋, nazwisko, adres czy NIP. Co wi臋cej odpowiednie regulacje prawne obliguj膮 nas do prowadzenia dokumentacji ksi臋gowej i archiwizowanie jej przez konkretnie okre艣lone terminy.

 

3. Przetwarzanie jest niezb臋dne do do cel贸w wynikaj膮cych z prawnie uzasadnionych interes贸w realizowanych przez administratora lub przez stron臋 trzeci膮

 

Co si臋 kryje pod has艂em 鈥渦zasadnionego鈥 interesu? Jako przyk艂ad mo偶na tu przetwarzanie danych do dochodzenia roszcze艅 b膮d藕 obrony przed faktycznymi b膮d藕 potencjalnymi roszczeniami ze strony Klient贸w. Oczywistym jest, 偶e d艂u偶nik nie mo偶e uciec przed uregulowaniem swoich zobowi膮za艅 poprzez sprzeciw na dalsze przetwarzanie jego danych.

 

RODO w motywie 47 wskazuje, 偶e za dzia艂anie wykonywane w prawnie uzasadnionym interesie mo偶na uzna膰 przetwarzanie danych osobowych do …cel贸w marketingu bezpo艣redniego.

 

Zaraz, zaraz. Czy to wi臋c oznacza, 偶e mog臋 wysy艂a膰 mailingi marketingowe nie uzyskuj膮c uprzednio zgody? Niestety nie jest tak r贸偶owo. Na scen臋 wkracza U艢UDE, czyli Ustawa o 艢wiadczeniu Us艂ug drog膮 Elektroniczn膮. Art.10 tej偶e ustawy zakazuje przesy艂ania niezam贸wionej informacji handlowej skierowanej do osoby fizycznej za pomoc膮 艣rodk贸w komunikacji elektronicznej, w szczeg贸lno艣ci poczty elektronicznej.

 

 

 

Wariant czwarty – stosowanie zg贸d

 

4. Osoba, kt贸rej dane dotycz膮 wyrazi艂a zgod臋 na przetwarzanie okre艣lonym celu

 

W jakich sytuacjach powinni艣my zatem zbiera膰 zgody. Odpowiadaj膮c kr贸tko: wtedy, kiedy nie da si臋 uzasadni膰 przetwarzania wymienionymi wcze艣niej podstawami. W praktyce mog膮 to by膰:

 

* zgoda na kontakt za pomoc膮 kana艂贸w elektronicznych email, telefon (szeroko rozumiana zgoda na marketing);
* zgoda na newsletter,
* zgoda na przekazywanie danych w celach marketingowych podmiotom trzecim- tu wyra藕nie trzeba wskaza膰 nazwy tych podmiot贸w.;
* zgoda na pozyskiwanie dodatkowych danych, kt贸re nie niezb臋dne do dostarczenia us艂ugi/ produktu ( np dane o geolokalizacji, o preferencjach itp)

 

RODO wprowadza kilka zakaz贸w dotycz膮cych okre艣lonych rodzaj贸w przetwarzania (np dane szczeg贸lne, automatyczne podejmowanie decyzji z u偶yciem profilowania), przy czym wyj膮tkiem od tych zakaz贸w mo偶e by膰 r贸wnie偶 wyra藕na zgoda osoby. Przypadki te om贸wimy w przysz艂ych wpisach.

 

Ka偶da zgoda musi mie膰 okre艣lony cel. Nie akceptowalne s膮 te偶 zgody in blanco w stylu: 鈥渨yra偶am zgod臋 na przetwarzanie danych鈥. Je偶eli zgoda obejmuje wiele cel贸w to osoba musi mie膰 mo偶liwo艣膰 wyra偶enia odr臋bnej decyzji dla ka偶dego z okre艣lonych cel贸w. Np nie mo偶na wprowadza膰 zapis贸w, 偶e akceptacja regulaminu oznacza automatyczn膮 akceptacj臋 zg贸d. Je偶eli posiadamy wz贸r umowy i chcemy zawrze膰 w nim zgody to musimy zostawi膰 miejsce na dwie oddzielne akceptacj臋: umowy oraz zgody.

 

Przedsi臋biorca ponadto nie mo偶e wymusza膰 zgody, przez uzale偶nienie 艣wiadczenia us艂ugi od faktu wyra偶enia zgody.

 

RODO wprowadza rygory, jakie musi spe艂nia膰 zgoda. Musi by膰 dobrowolna, 艣wiadoma i jednoznaczna. Co to oznacza w praktyce?

 

– Nie mo偶na domy艣lnie ustawia膰 zaznaczonych checkbox贸w.

– Zamkni臋cie okienka z komunikatem pop-up nie mo偶e by膰 traktowane jako 艣wiadome wyra偶enie zgody

– Brak dzia艂ania, np polegania na domy艣lnych ustawieniach przegl膮darki nie mo偶e by膰 traktowane jako udzielenie zgody

 

A w jaki spos贸b musimy odnotowywa膰 wyra偶enie zgody? RODO nie narzuca szczeg贸艂owych rozwi膮za艅. W Art. 7 m贸wi natomiast, 偶e to na Administratorze Danych Osobowych ci膮偶y obowi膮zek wykazania, 偶e osoba faktycznie udzieli艂a zgody. No wi臋c jak w praktyce mo偶na to udowodni膰? Np. przez zapisywania zg贸d w jakiej艣 wewn臋trznej bazie. W przypadku sklepu internetowego dobrym rozwi膮zaniem jest dedykowany modu艂 ustawie艅 na koncie u偶ytkownika.

 

Kiedy ju偶 z wielkim trudem zdobyli艣my upragnion膮 zgod臋 osoby, musimy pami臋ta膰, 偶e ma ona prawo do jej wycofania w ka偶dym momencie. Co wi臋cej w Art 7. wprost narzucone jest wymaganie, 偶e wycofanie zgody musi by膰 r贸wnie 艂atwe jak jej wyra偶enie.

 

Je偶eli zbieramy zgody na stronie internetowej dobrze by艂o umo偶liwi膰 wycofanie je tym samym kana艂em. Mo偶emy r贸wnie偶 wskaza膰 adres mailowym, pod kt贸ry osoba mo偶e skierowa膰 偶膮danie wycofanie zgody. To co jest istotne, to to, by nie tworzy膰 sztucznych barier i utrudnie艅.

 

 

 

Cz臋艣膰 druga

 

Temat RODO jest na tyle rozleg艂y i skomplikowany, 偶e nierealne jest go opisa膰 w jednym artykule. Ponadto sposoby realizacji, czy dobre praktyki, mog膮 jeszcze si臋 zmienia膰 w zwi膮zku z interpretacjami Urz臋du Ochrony Danych Osobowych lub w zwi膮zku z szczeg贸艂owymi regulacjami krajowymi w konkretnych ustawach oraz oczywi艣cie postanowieniami s膮dowymi.

 

Zamierzamy jednak sukcesywnie przybli偶a膰 Wam praktyczn膮 realizacj臋 postanowie艅 RODO na naszej stronie rodowbiznesie.eu.

 

Ju偶 wkr贸tce zapraszamy do lektury wpis贸w:

 

  • RODO a pliki Cookies
  • Jak wype艂ni膰 obowi膮zek informacyjny i czy potrzebuj臋 Polityki Prywatno艣ci

 

 

W nast臋pnej kolejno艣ci przybli偶ymy tematy:

 

  • Kim jest Administrator Danych Osobowych i jakie ma obowi膮zki
  • Administrator Danych i Procesor Danych – kim s膮 i czym si臋 r贸偶ni膮
  • Zakaz przetwarzania szczeg贸lnych kategorii danych
  • Moja odpowiedzialno艣膰 za naruszenia RODO przez dostawc贸w
  • Profilowanie i automatyczne podejmowanie decyzji
  • Prawa podmiotu danych
  • Obowi膮zki Administratora Danych Osobowych
  • Rejestry przetwarzania danych – kto je musi mie膰 i dlaczego warto
  • Rejestry narusze艅 bezpiecze艅stwa danych – czy trzeba, dlaczego warto, jakie s膮 konsekwencje narusze艅
  • Dobre praktyki w przygotowaniu dokumentacji RODO
  • Inspektor Ochrony Danych- kto musi go mie膰 i jakie ma zadania
  • Jak ustrzec si臋 przed absurdami RODO?

 

O autorach

 

Artyku艂 ten powsta艂 we wsp贸艂pracy z naszym bliskim partnerem od wdro偶e艅 us艂ug informatycznych w projektach regulacyjnych. Maj膮 oni wieloletnie do艣wiadczenie w implementacji rozwi膮za艅 na styku biznesu, IT i regulacji prawnych jak na przyk艂ad JPK, Odwrotne obci膮偶enie VAT, zr贸wnanie cen roamingowych w Unii Europejskiej z cenami krajowymi, 鈥.no i oczywi艣cie RODO !

 

Zako艅czyli z sukcesem kilkunastomiesi臋czny projekt RODO w du偶ej grupie sp贸艂ek medycznych, doradzali przy wdro偶eniu RODO w ma艂ych i 艣rednich firmach z bran偶y nieruchomo艣ci, edukacji, IT, organizacjach pozarz膮dowych.

 

 

Zapraszamy na stron臋 rodowbiznesie.eu

 

 

Spodobaj膮 Ci si臋 r贸wnie偶: