Kilka dni temu, gdy pisałem artykuł o „Rozporządzeniu o Ochronie Danych Osobowych (RODO/GDPR) nie tylko w kontekście działalności internetowej” skupiłem się na kwestiach prawnych/teoretycznych, ale zapowiedziałem też, że postaram się do tematu jeszcze powrócić, by spróbować od strony praktycznej spojrzeć na względnie bezboleśnie „wdrożenie RODO” na stronie internetowej (blog, strona firmowa, sklep internetowy, newsletter). Więc tym razem teorii będzie niewiele, a skupię się na kilku elementach, gdzie „coś tam” warto (nie tylko pod RODO) dodać czy zmodyfikować.

RODO w kontekście działalności internetowej

RODO (inaczej GDPR) jest głośno, i nie ma co się dziwić – patrząc na skalę, jest to chyba pierwsza tak poważna zmiana, wprowadzana na taką skalę (dotyczy wszystkich obywateli Unii Europejskiej), i dotycząca tak ważnego zagadnienia, jakim jest ochrona i przetwarzanie danych osobowych. Na nasze szczęście, choć RODO reguluje wiele nieuregulowanych dotychczas aspektów przetwarzania danych osobowych, to również sporo dereguluje.

Brak konieczności zgłaszania zabiorów (klientów sklepu internetowego, komentujących, czytelników newslettera) to nie jedyna zmiana. RODO sprawia, że niektóre zgody mogą być odbierane poprzez akcję, bez konieczności zabawy w checkboxy. Tak samo wszelkie komunikaty wręcz nie powinny być pisane „prawniczym żargonem”, a językiem prostym, zrozumiałem przez przeciętną osobę. Jestem w stanie sobie nawet wyobrazić, że ktoś mógłby pokusić się o przygotowanie polityki prywatności w formie filmu, i wcale nie musiałaby to być „gadająca głowa” odczytująca znużonym głosem kolejne prawnicze regułki. Ma być prosto, prostym językiem.

Dokumenty związane z przetwarzaniem danych osobowych

I choć biurokracji po ostatecznym wejściu w życie RODO powinno być mniej (np. brak zgłaszania zbiorów do GIODO), to jednak każdy podmiot przetwarzający dane osobowe powinien – jako dokumentację wewnętrzną – prowadzić rejestr czynności przetwarzania, czyli dokument, który jasno określa kto, w jakim celu, kiedy i do jakich danych z naszego rejestru ma dostęp. Do tego warto opracować/przygotować jakiś dokument, który będzie jasno określał nasze wewnętrzne procedury dotyczące przetwarzania danych osobowych. Więcej na ten temat pisałem w naszym poprzednim artykule o RODO, do którego lektury serdecznie zachęcam…

Powierzenie przetwarzania danych osobowych

Niezależnie od naszych wewnętrznych dokumentów związanych z przetwarzaniem danych osobowych powinniśmy (i nie wynika to tylko z RODO) zawrzeć umowę powierzenia przetwarzania danych osobowych z każdym podmiotem, któremu takie dane przekazujemy. Mogą to być firmy hostingowe, firmy księgowe, firmy świadczące usługi e-mail marketingu, czy ogólnie biorące udział w procesach realizowanych przez nas, w trakcie których następuje udostępnienie im danych osobowych nam powierzonych. O takim fakcie (powierzenie przetwarzania danych osobowych) powinniśmy również poinformować użytkownika, np. w naszej polityce prywatności.

Na szczęście wraz z RODO taka umowa powierzenia przetwarzania danych osobowych może zostać zawarta w formie elektronicznej, w tym np. poprzez akceptację regulaminu serwisu, z którego usług korzystamy.

Strona internetowa zgodna z RODO

I tak w większości zwykłych stron internetowych wystarczy stworzyć stronę z polityką prywatności (nie jest wprawdzie ona wymagana, ale można przyjąć, że dobrym zwyczajem/pomysłem jest jej utworzenie, i tam umieszczenie wszelkich wymaganych informacji), na której – nawet własnymi słowami – wystarczy napisać kim jesteśmy, czy i ew. jakie dane zbieramy, oraz w jakim celu (np. kontakt, statystyki, newsletter). Do tego kilka zdań o tym, że użytkownik ma prawo wglądu do swoich danych, prawo ich poprawiania, żądania zaprzestania ich przetwarzania, itp., itd. To jest chyba jedyny moment, gdzie faktycznie warto zerknąć do ustawy i/lub do naszego wcześniejszego wpisu o RODO. Bo choć jest to proste, to pewne elementy trzeba w takiej polityce zawrzeć.

Jeśli mamy formularz kontaktowy, to można ewentualnie pokusić się o dodanie informacji, że wysłanie wiadomości jest tożsame z akceptacją naszej polityki prywatności, dotyczącej przetwarzania danych osobowych:

Wydaje się, że nie jest to obowiązkowe, ale… na wszelki wypadek można dodać, bo jednak mamy tu już do czynienia z przetwarzaniem danych osobowych. I tak jak pisałem, można pokusić się o rezygnację z dodatkowego checkboxa, bo taką zgodę/akceptację można przyjąć poprzez czynność, którą jest w tym przypadku wysłanie wiadomości.

Informacja o polityce prywatności

Wprawdzie już chyba wszyscy się przyzwyczailiśmy do wyskakujących ze wszystkich stron informacji o ciasteczkach, to naprawdę nie jest to potrzebne. Również w kontekście RODO. W większości przypadków wystarczy link w menu czy w stopce.

Komentarze na blogu

Pozostawienie przez użytkownika (czytelnika) komentarza na blogu, to również przetwarzanie danych osobowych, a co za tym idzie… można pomyśleć również tutaj o dodaniu odpowiedniej informacji (w przypadku WordPressa można skorzystać z wtyczki PRyC WP: Add content to comment form):

Dodatkowo w ostatniej aktualizacji WordPressa (4.9.6) pojawiła się opcja pozwalająca wybrać użytkownikowi, czy chce, by jego dane – podpis i adres e-mail – zostały zapamiętane na potrzeby przyszłych komentarzy (za pomocą odpowiedniego ciasteczka).

Powiadomienia o nowych komentarzach

Zastanawiałem się również jak podejść do tematu użytkowników, którzy podczas pozostawiania komentarza wybrali opcję, że chcą być powiadamiani o nowych komentarzach dochodzących danego wpisu, lub tylko odpowiedzi na ich komentarze. Wariant najbardziej skrajny zakładał, że można wyzerować wszystkie tego typu subskrypcje.

Uznałem jednak, że skoro użytkownik nie tylko musi wskazać, że chce aktywować tego typu powiadomienia, ale również – dodatkowo – musi wyrazić taką wolę klikając z link w wiadomości z prośbą o takie potwierdzenie, to być może jednak warto zostawić te powiadomienia. W końcu wynikając one ze świadomego działania użytkownika, który dodatkowo może w każdej chwili z nich zrezygnować.

Jedna zgoda = jeden cel przetwarzania

Należy jednak pamiętać, że tak jak pisałem w poprzednim artykule zgoda przyjęta w ten sposób raczej nie powinna dotyczyć przetwarzania danych w celach innych niż kontakt lub np. marketing produktów i usług własnych (tu dodatkowej zgody nie potrzebujemy). Jeśli dodatkowo chcemy zapisać użytkownika do newslettera, czy przesyłać mu w przyszłości wiadomości marketingowe (zlecone przez zewnętrzne podmioty) powinniśmy dla każdego z tych celów oddzielnie odebrać zgodę, np. poprzez dodanie dodatkowych checkboxów.

Przypominam też, że by zgoda była odebrana prawidłowo, nie mogą one być domyślnie zaznaczone – użytkownik musi wykonać akcje, czyli w tym przypadku zaznaczyć odpowiednie pola przy konkretnych zgodach. Choć mogą one być wyrażone również przez wykonanie innych czynności, ale w myśl zasady jedna zgoda = jedna czynność przetwarzania danych.

Sklep internetowy

W przypadku sklepu internetowego tak naprawdę mamy taką samą sytuację, jak w przypadku „zwykłej strony internetowej”, z tą tylko różnicą, że zakres przetwarzanych danych, jak i cel tego przetwarzania będzie znacznie bardziej rozbudowany, a tym samym należny dodatkowe informacje umieścić w regulaminie sklepu (bądź polityce prywatności).

Takie dodatkowe informacje – oprócz tego, że przetwarzamy szerszy zakres danych osobowych – to m.in. podmioty, którym dane przekazujemy, choćby na potrzeby procesu realizacji zamówienia. Mogą to być systemy księgowe i płatnicze, firmy kurierskie/pocztowe… Istotne jest to, że nie trzeba wymieniać konkretnych podmiotów, wystarczy wymienić ich typy/kategorie. Do tego dochodzi kilka dodatkowych ograniczeń związanych z przetwarzaniem danych, bo mamy tu do czynienia z zawarciem umowy, która jest wiążąca dla obu stron, i przetwarzanie niektórych danych – przynajmniej przez jakiś czas – może być niezbędna dla procesów związanych z transakcją (np. dostawa, gwarancja, rękojmia).

I nie, nie ma potrzeby dodawania dziesiątek checkboxów, z e zgodami na przekazania danych do firmy księgowej, do systemu płatniczego czy do firmy zajmującej się logistyką i dostawą. To są elementy wprost wynikające z zawartej z użytkownikiem umowy, i tym samym do jej realizacji nie potrzeba dodatkowych zgód. Oczywiście co innego, gdy będziemy chcieli zapisać dodatkowo użytkownika na newsletter – wtedy obowiązuje oczywiście zasada jedna zgoda = jedna czynność przetwarzania danych.

Newsletter

W przypadku Newslettera również uważam, że nie zmieni się aż tak wiele, i jeśli wcześniej – przed RODO – zgody były odbierane w sposób prawidłowy, tj. zgodnie z obowiązującym prawem, to można tak zebrane dane osobowe przetwarzać nadal. Choć tutaj pewnym problemem może być to, czy we wcześniejszych komunikatach przekazaliśmy na pewno wszystkie wymagane informacje, bo RODO jednak trochę rozszerza ten zakres (np. okres przechowywania danych, podstawa prawna przetwarzania danych, prawo do bycia zapomnianym, prawo do przenoszenia danych).

Pewnym problemem może być to, że w w przypadku RODO dużo większy nacisk jest położony na to, byśmy w razie np. kontroli mogli jasno wskazać, że dane (adres e-mail, ew. imię) zostały pobrane w sposób zgodny z prawem. Dlatego zawsze powtarzam wszystkim w kontekście m.in., newsletterów, że należy adresy zbierać w opcji double opt-in, czyli takiej, gdzie użytkownik po podaniu swojego adresu e-mail, zanim zostanie dopisany do naszej bazy danych musi potwierdzić swój adres e-mail.

Zabezpiecza nas to nie tylko przed pomyłkami, czy żartami, ale pozawala też – zwłaszcza w świetle RODO – unikać formularzy zbudowanych np. tak:

Oczywiście jest to formularz jak najbardziej poprawny, i powiedzmy szczerze, nawet niespecjalnie mocno przekombinowany. Ale skoro mamy możliwość odebrania zgodny za pomocą konkretnej czynności, którą ma wykonać użytkownik (tak, taką czynnością może być teoretycznie samo pozostawienie adresu e-mail w formularzu newslettera, ale…), i wiemy już, że jednak lepiej zabezpieczyć swoją bazę przed przypadkowymi adresami e-mail przy pomocy dodatkowej wiadomości z linkiem potwierdzającym, to można wszelkie prawne regułki (ale napisane przystępny językiem ;-)) przenieść do wiadomości z linkiem do potwierdzenia subskrypcji (potwierdzając subskrypcję akceptujesz, że…), a sam formularz zachować z trochę bardziej minimalistycznej formie:

Na upartego ten formularz jest na tyle jasny, że faktycznie można by uznać pozostawienie adresu e-mail w nim już za wystarczające wyrażenie zgody, ale… dodatkowe potwierdzenie tylko wyjdzie nam i naszej bazie na dobre. Pamiętajcie tylko, o zasadzie jedna czynność = jedna zgoda…

Rewitalizacja starej bazy e-mail

Jeśli ktoś z Was ma już bazę adresów e-mail, to może się zastanawiać czy i ew. jak odebrać zgody w kontekście RODO od dotychczasowych subskrybentów. I tu wracamy do tego, że jeśli wcześniej – przed RODO – zgody były odbierane w sposób prawidłowy, tj. zgodnie z obowiązującym prawem, to można tak zebrane dane osobowe przetwarzać nadal. I teoretycznie nie trzeba podejmować żadnych dodatkowych działań. Można ewentualnie rozesłać do użytkowników (subskrybentów) e-mail z informacją, jakie ich dane przetwarzamy, jeszcze raz – na wszelki wypadek – przedstawić się kim jesteśmy, i w jakim celu przetwarzamy dane, i skierować ew na stronę z naszą polityką prywatności.

Jest to na pewno wariant najoptymalniejszy w sytuacji, gdy zależy nam na wielkości naszej bazy (i mamy pewność co do wcześniejszego procesu zbierania zgód), bo można przyjąć, że rezygnacje zapewne jakieś się pojawią, ale będzie ich stosunkowo niewiele.

Wariant bardziej ryzykowny – przynajmniej jeśli chodzi o wielkość bazy, bo z prawnego punktu wiedzenia jak najbardziej OK – to wysyłka wiadomości z prośbą o akcję, gdy ktoś chce pozostać na naszej liście (wraz z kompletem informacji co, jak i dlaczego). W tym przypadku niestety, ale można się spodziewać, że baza zostanie solidnie przewietrzona – część osób w ogóle zignoruje wiadomość (nie otworzy jej), część otworzy, ale nie wykona żadnej akcji, a jeszcze inni… uznają, że skoro i tak muszą jakaś akcję wykonywać, to równie dobrze mogą się wypisać.

I choć może to zaboleć nasze marketingowe ego, to ja uważam, że wejście w życie RODO (w uproszczeniu) to jest być może dobry moment by takie przewietrzenie zrobić, i zostawić w naszej bazie tylko osoby, które faktycznie chcą otrzymywać od nas wiadomości. Taką wysyłkę aktywizującą (odsiewającą) warto powtórzyć, bo zwłaszcza teraz, gdy skrzynki zalewane są tego typu informacjami może być trudno się przebić, nawet do osób, które chcą z nami pozostać w kontakcie.

Nie tylko RODO

Pamiętajcie tylko, że RODO dotyczy głównie przetwarzania danych osobowych (tak jak ustawa o ochronie danych osobowych), i często o tym co możemy, musimy lub nie możemy decyduje również ustawa o świadczeniu usług drogą elektroniczną (np. zgoda na przesyłanie informacji handlowej, bo to ona definiuje m.in. co to jest SPAM), ustawa prawo telekomunikacyjne (np. zgoda telekomunikacyjna, czyli na przesyłanie informacji handlowej na adres e-mail lub telefon, czyli na wykorzystanie w celach marketingowych urządzeń końcowych, takich jak. np. telefony czy komputery), czy np. ustawa o rachunkowości, która m.in. zobowiązuje nas do przechowywania danych o transakcji przez określony czas (to w kontekście prawa do bycia zapomnianym).

Nie takie to RODO straszne jak je (niektórzy) malują

Na koniec powtórzę to co pisałem wcześniej – tak, RODO wprowadza sporo zmian, często być może zamieszanie, czasem niepewność, bo nie ma pewności jak niektóre przepisy/obowiązki będą interpretowane, ale… Jeśli wierzyć, że intencją stojącą za wprowadzeniem RODO (i aktualizacji ustawy o ochronie danych osobowych) nie jest walenie kijem na lewo i prawo, a realna poprawa warunków związanych z przetwarzaniem danych osobowych (m.in. poprzez uproszczenie niektórych procedur, i dopasowanie prawa do aktualnych uwarunkowań technicznych) to raczej powinniśmy spać spokojnie. A za kilka dni, może tygodni będziemy te ostatnie dni maja wspominać z… pewnego rodzaju sentymentem, zwłaszcza ci, co napracowali się przy kolejnych wdrożeniach… ;-)

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Monika ćwiczy przed kongresem ko..., ale dzięki motywowa Divi od Elegant Themes chyba nawet ona da radę...
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera!