Internet

Co Antyweb musi zrobić aby być zgodny z RODO?

Redakcja Antyweb
Co Antyweb musi zrobić aby być zgodny z RODO?
24

RODO ma przede wszystkim zapewnić ochronę danych osobowych dostosowaną do naszych czasów. Dlatego jego przepisy dotyczą także wydawców serwisów internetowych. Zapoznaj się z listą obowiązków, które stały przed AntyWeb’em i sprawdź czy jest zgodny z RODO?

Autorem publikacji jest LexDigital

Obowiązek informacyjny

RODO kładzie ogromny nacisk na wiedzę, zarówno osób, które dane przetwarzają jak i tych których dane dotyczą. Szczególnie ważna w kontekście ochrony danych osobowych jest świadomość działań jakie Administratorzy Danych Osobowych (ADO), prowadzą w ramach gromadzonych danych. Dlatego też jednym z najważniejszych obowiązków jakie nakłada na ADO RODO jest obowiązek informacyjny.

W ramach jego spełnienia każdy kto przetwarza, gromadzi czy udostępnia dane osobowe, musi o tym poinformować osoby, których dane dotyczą. Choć obowiązek informacyjny na gruncie naszego prawa nie jest niczym nowym, to RODO znacząco go rozszerza.

W związku z czym, aby wypełnić go poprawnie, użytkowników serwisu należy poinformować o tym kto jest Administratorem Danych Osobowych, jakie dane osobowe są przetwarzane, jakie działania będą wykonywane na danych, jaki będzie ich zakres i czas przetwarzania oraz w jakim celu dane będą wykorzystywane. Większa ochrona danych użytkowników sieci to jedno z kluczowych zagadnień w RODO, które przyznaje Internautom wiele nowych praw, o których powinni oni także zostać poinformowani.

Jeśli z danych osobowych użytkowników serwisu korzystać będą także podmioty trzecie, konieczne jest przekazanie takiej informacji. Nie wystarczy jednak wspomnieć kto będzie miał dostęp do danych, ale także w jaki sposób podmiot trzeci będzie je wykorzystywał - czyli wyjaśnienie jaka usługa, związana z danymi osobowymi będzie świadczona na rzecz serwisu (hosting, wysyłka newslettera).

W sytuacji, gdy w organizacji został powołany Inspektor Ochrony Danych również należy poinformować o tym użytkowników. Powołanie IOD w przypadku serwisów internetowych nie zawsze staje się obowiązkiem. Tak samo, nie zawsze ma miejsce przetwarzanie danych osobowych w sposób zautomatyzowany ze skutkiem prawnym (tzw. profilowanie twarde) oraz przekazywanie danych poza obszar Europejskiego Obszaru Gospodarczego. Jeśli natomiast tak się dzieje, o każdym z powyższych działań należy poinformować użytkowników.

Podstawa prawna przetwarzania danych

Wszystkie działania, które dotyczą przetwarzania, gromadzenia czy udostępniania danych osobowych, muszą mieć podstawę prawną, która będzie regulowała te procesy. Często, w wielu serwisach internetowych można spotkać się z regulaminem, który szczegółowo określa usługę jaką świadczy dany serwis oraz jakie prawa i obowiązki otrzymuje każdy kto decyduje się na zawarcie umowy z właścicielem portalu.

Jednak to zgoda na przetwarzanie danych osobowych jest jedną z najczęściej wykorzystywanych podstaw prawnych przetwarzania danych osobowych, szczególnie gdy chodzi o dodatkowe usługi świadczone przez serwis, np. wysyłka newslettera, czy informacje o treści marketingowej.

RODO wprowadza kilka zmian w jej kwestii. Przede wszystkim, aby zgoda była poprawna musi zawierać wszelkie informacje z nią związane - czego dotyczy, komu przekazywane są dane do administrowania oraz możliwość jej cofnięcia i opis sposobu w jaki można tego dokonać. Dodatkowo jej wyrażenie musi być całkowicie dobrowolne, czyli nie może wymuszać na użytkowniku jej udzielenia w zamian za np. dostęp do treści serwisu. Zgoda musi zostać wyrażona w pełni świadomie dlatego np. odgórne zaznaczanie checkboxów nie jest zgodne z RODO. Ważne jest również, aby posiadać dowód wyrażenia takiej zgody. Nie wystarczy wyłącznie informacja, że dana osoba wyraziła zgodę, ale konieczne jest przechowywanie także samej treści zgody.

Dwustopniowa zgoda - newslettery

Zgoda newsletterowa, podobnie jak każda inna zgoda, musi być jednoznaczna i konkretnie wskazywać na charakter i cechy przetwarzania, które chcemy na jej podstawie prowadzić. Ważne jest, aby pamiętać, że newsletter nie jest tym samym co przesyłanie informacji o charakterze marketingowym czy handlowym. Łączenie tych dwóch procesów w jednej zgodzie jest niezgodne z RODO.

Aby Administrator Danych Osobowych miał pewność, że dane które przetwarza w ramach  zgody na otrzymywanie newslettera, pozyskał zgodnie z prawem, powinien stosować zasadę podwójnej weryfikacji - double opt-in. Na każdy umieszczony w bazie newsletterowej mail, automatycznie - w momencie rejestracji - wysyłany jest link weryfikujący dany adres. Dzięki temu zabiegowi, właściciel ma pewność, że osoba, która jest właścicielem adresu e-mail, umieściła go w bazie samodzielnie i zapoznała się z warunkami zgody.

Przekazanie danych podmiotom trzecim

W kontekście newslettera należy wspomnieć o jeszcze jednej odpowiedzialności jaka leży po stronie wydawcy serwisu. Jeśli korzysta on z zewnętrznego narzędzia do masowej wysyłki maili, konieczne jest zawarcie z takim podwykonawcą specjalnej umowy czyli umowy powierzenia danych osobowych oraz poinformowanie o tym (w treści zgody) użytkowników serwisu.

Należy jednak pamiętać, że każdy podmiot, który w naszym imieniu przetwarza dane osobowe musi działać zgodnie z RODO. Pomimo przekazania danych osobowych podmiotom trzecim to nadal wydawca serwisu jest ich administratorem, dlatego zapewnienie bezpieczeństwa przekazywanych i przetwarzanych danych przez podmioty trzecie - procesorów - nadal spoczywa na wydawcy serwisu.

Poza wysyłką newslettera, z przekazaniem danych mamy w do czynienia również korzystając z hostingu, w tym także poczty elektronicznej czy agencji marketingowych, które w naszym imieniu np. prowadzą konkursy czy akcje specjalne. Decydując się na współpracę z zewnętrznym podwykonawcą warto upewnić się, że przekazane mu dane osobowe użytkowników będą zabezpieczone, zgodnie z wymogami RODO.

Zaplecze serwisu

RODO nakłada na wydawcę serwisu obowiązki dotyczące nie tylko użytkowników ale także własnego zaplecza. Chodzi tu o zarówno zaplecze technologiczne i techniczne, ale co równie ważne - własnych pracowników.

Należy pamiętać o odpowiedzialności, jaka spoczywa na Administratorze Danych Osobowych w kwestii zapewnienia bezpieczeństwa gromadzonych i przetwarzanych danych osobowych. Aby skutecznie podnieść poziom ochrony danych należy wprowadzić kilka zmian w funkcjonowaniu organizacji.

Jednym ze sposobów jest wprowadzenie poziomów dostępu do danych osobowych - nadanie odpowiednich uprawnień do przetwarzania danych. Chodzi o określenie zakresów danych osobowych, które są potrzebne do wykonywania zadań w ramach każdego zajmowanego stanowiska. Dzięki temu ograniczony zostanie dostęp do gromadzonych danych, co również spowoduje zmniejszenie ryzyka ich naruszenia.

Warto pamiętać, że najczęstszym powodem naruszeń danych osobowych jest człowiek. Dlatego edukacja swoich pracowników jest niezwykle ważna. Wskazanie obszarów ich codziennej pracy, które mogą narażać dobro użytkowników serwisu, pomoże im wyeliminować niepotrzebne błędy lub złe nawyki, tym samym zminimalizują ryzyko wycieku danych osobowych.

Podsumowanie

Czy RODO wprowadza rewolucję w funkcjonowaniu Antyweba? Niekoniecznie. Wiele z obecnych obowiązków jakie nakłada RODO, było dotychczas stosowane jako dobre praktyki. Zmiana polega jedynie na tym, że od 25 maja to obowiązki wszystkich wydawców.

To dobrze. Dzięki temu przestrzeń, z której korzystamy coraz częściej - Internet - będzie bezpieczniejszy, a co za tym idzie jeszcze bardziej wartościowy dla wszystkich jego użytkowników.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu