Od kilku miesięcy wielu z was dostosowuje swoje strony www do wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, w skrócie RODO lub GDPR. Ponieważ uczestniczymy w tym procesie, jako firma zajmująca się wdrażaniem zaleceń kierowanych od prawników obsługujących naszych klientów, zdarza się, że dostajemy również zapytania, w jaki sposób prawidłowo wdrożyć zmiany, aby uniknąć wysokich kar? Z tego powodu postanowiliśmy przygotować krótkie kompendium wiedzy na temat RODO. Mamy nadzieję, że informacje te pomogą lepiej zrozumieć, na czym polega ochrona danych osobowych oraz że obalimy pewne mity dotyczące postanowień RODO.


Pamiętajcie jednak, że kiedy już podejmiecie decyzję o dostosowaniu swojej strony do wymogów RODO, w pierwszej kolejności powinniście zgłosić się do swojego prawnika, a dopiero potem, posiadając komplet wytycznych, do waszej agencji interaktywnej! Niniejsza analiza nie ma charakteru prawnego.

Kogo obejmują przepisy? 

Obowiązek stosowania postanowień RODO mają przedsiębiorcy, którzy przetwarzają dane osobowe mieszkańców UE będących osobami fizycznymi. Rozporządzenie obejmuje również firmy, których siedziby znajdują się poza Unią Europejską, ale które posiadają swoje oddziały w państwach członkowskich. Tym samym rozporządzenie nie ma zastosowania do danych osobowych dotyczących osób prawnych, w tym także nie ma zastosowania do danych kontaktowych osoby prawnej.


Co to znaczy „przetwarzać czyjeś dane osobowe”? Oznacza to wykonywanie działań związanych z danymi osobowymi, czyli na przykład zbieranie, przechowywanie, usuwanie lub udostępnianie danych osobowych będzie ich przetwarzaniem. Jeżeli pozyskujesz dane możliwe do przetwarzania, to jesteś administratorem danych osobowych. Najczęściej administratorem danych stajesz się jako pracodawca (dane pracowników) lub przedsiębiorca (dane klientów / użytkowników). Jako administrator danych powinieneś spełnić szereg obowiązków informacyjnych, dokumentacyjnych i organizacyjnych, o których opowiemy poniżej.

Czy na pewno posiadasz zgodę użytkownika?

formularz RODO

Aby przetwarzać dane osobowe potrzebna jest podstawa prawna działania. W przypadku działań w Internecie taką podstawą najczęściej będzie zgoda użytkownika. Jedną z kluczowych cech zgody musi być jej jednoznaczność. Pomimo, że zgoda może być co do zasady wyrażona w dowolnej formie, pamiętaj o tym, że w razie wątpliwości to administrator danych musi wykazać, że posiada ważną zgodę. Najczęstszymi przykładami formy wyrażania zgody w Internecie będą zaznaczenie okienka w formularzu elektronicznym albo przesłanie oświadczenia woli za pomocą wiadomości e-mail. Przy takiej czynności należy spełnić obowiązek informacyjny względem użytkownika i poinformować go m.in. o tym, kto jest administratorem jego danych osobowych, jaki jest cel oraz okres przetwarzania tych danych oraz że zawsze mamy prawo żądania dostępu do swoich danych, a wyrażoną zgodę można cofnąć. Błędem, który pojawia się w nowych formularzach, jest informowanie o ogólnej zgodzie na przetwarzanie danych w celach marketingowych. Biorąc pod uwagę postanowienia RODO, takie zapisy nie są dłużej skuteczne. Obecnie cel przetwarzania danych powinien być jasno sprecyzowany, np. jako otrzymywanie informacji handlowych drogą elektroniczną, oferowanie usług marketingowych w postaci ... itd.


Zbierając dane osobowe za pomocą strony internetowej nie każda forma pozyskania zgody będzie prawnie skuteczną. Wyrażeniem zgody nie jest zamknięcie okienka znakiem „x” czy wybranie funkcji „przejdź dalej”. Zgoda powinna być wyrażona w sposób jednoznaczny, czyli na przykład za pomocą przycisku „wyrażam zgodę” lub „akceptuję”. Co ciekawe, zachęty do wyrażenia zgody są prawnie dopuszczalne. Oznacza to, że możesz kusić użytkownika dodatkowym rabatem w zamian za udzielenie zgody!


W tym miejscu warto dodać, że w przypadku małych firm posiadających w Internecie strony informacyjne wymogi dostosowania do RODO nie muszą być skomplikowane. Mogą ograniczać się do informacji o plikach Cookie oraz niezbędnego pola wyrażenia zgody znajdującego się przy formularzu kontaktowym. Stwierdzenie, że nie trzeba robić nic, aby chronić dane osobowe, może nas drogo kosztować! Wykazanie należytego stopnia zabezpieczeń może być jednym ze sposobów uniknięcia odpowiedzialności za wyciek danych w związku z atakiem hakerskim. Można powiedzieć, że takie ataki są od nas niezależne. Nie wiemy w końcu, kiedy się przydarzą i z jakiego powodu stajemy się celem takiego ataku. Odpowiedzialność za wyciek danych osobowych w związku z atakiem hakerskim nie jest jednak wyłączona, i to nawet bez względu na to, czy mamy realne możliwości przeciwstawienia się takiemu atakowi. Warto zatem zorientować się, czy poziom zabezpieczeń waszej aplikacji czy sklepu internetowego jest odpowiedni? Ponieważ temat RODO nie dotyczy tylko sfery Internetu, ale także, tak jak wspominaliśmy powyżej, spraw pracowniczych czy umów z klientami, warto zasięgnąć kompleksowej porady specjalisty w tym zakresie.

Zgody wyrażone przed 25 maja 2018r., czyli musztarda po obiedzie. 

Przepisy RODO zaczęły obowiązywać od 25 maja bieżącego roku. Wiele portali internetowych działało jednak przed tą datą i zapewne również gromadziło dane osobowe. Jak wynika z analizy opinii ekspertów, rozporządzenie wprowadza obowiązek potwierdzenia lub dostosowania udzielonej już zgody do obecnych przepisów!

Usystematyzujmy:
- zgody zbierane od 25 maja bieżącego roku – są ważne
- zgody zbierane przed 25 maja bieżącego roku – są ważne o ile uwzględniały one postanowienia RODO
- zgody zbierane przed 25 maja bieżącego roku niespełniające wytycznych RODO – nie są dłużej ważne o ile nie zostały zaktualizowane po tej dacie! Jeżeli chcesz nadal wysyłać mailing do swoich klientów, powinieneś najpierw rozesłać do nich prośbę o akceptację zaktualizowanych warunków przetwarzania danych osobowych.


Specjalne wymogi dotyczą również przedsiębiorców posiadających strony lub aplikacje internetowe, w których konta mogą zakładać osoby poniżej 16 roku życia. Warto pamiętać, że w przypadku dzieci, wymagane będzie wprowadzenie do swoich aplikacji dodatkowej procedury uwierzytelnienia konta przez osobę dorosłą.


Dodatkowe formalności dotkną też sklepy internetowe. Jeżeli prowadzisz sklep internetowy i korzystasz z usług firm pozwalających na profilowanie klientów i poznawanie ich preferencji zakupowych, powinieneś przygotować ocenę skutków przetwarzania dla ochrony danych osobowych. Ta ocena to w zasadzie dokument zawierający analizę ryzyka związanego z przetwarzaniem danych osobowych.

Prawo do bycia zapomnianym, czyli zapominamy, ale nie zawsze! 

Jednym z pozytywnych skutków rozporządzenia jest uzyskanie przez osoby fizyczne wielu uprawnień wiązanych ze swoimi danymi osobowymi. Niektóre z nich są jednak nowością i budzą wiele wątpliwości. Jednym z takich praw, jest prawo do bycia zapomnianym. W ramach tego uprawnienia osoba fizyczna może żądać usunięcia danych, które jej dotyczą oraz poinformowania innych administratorów danych o żądaniu usunięcia kopii tych danych. Wszystko jednak w granicach rozsądku. Nie musimy usuwać danych, kiedy obowiązek ich przetwarzania wynika z innych przepisów prawa albo dane te są niezbędne w celu dochodzenia roszczeń. Na przykład, administrator sklepu internetowego może zatrzymać dane osobowe klienta, który zalega z płatnością.


Co ciekawe, w Internecie pojawiło się także prawo do przenoszenia danych. Klient przestaje korzystać z twojej aplikacji i prosi o przekazanie swoich danych do innego dostawcy? Od teraz to może się wydarzyć! Prawo do przeniesienia danych jest jednym z bardzo internetowych praw, ponieważ dotyczy tylko danych przetwarzanych przez systemy informatyczne.

Co z tym certyfikatem?

szafa rodo

Im bliżej było do wejścia w życie tego rozporządzenia, tym częściej napotykaliśmy na oferty, które miały gwarantować zapewnienie zgodności z przepisami. Kłopot w tym, że przed wejściem w życie nowych przepisów nie było jednego rozwiązania technicznego (nie ma też go dziś), które gwarantowałoby zapewnienie tej zgodności! Rodziło to wiele wątpliwości po stronie właścicieli stron internetowych, w jaki sposób mają dokonać prawidłowych zabezpieczeń? Decyzję o ilości i rodzaju środków zmierzających do właściwego zabezpieczenia danych osobowych pozostawiono administratorom tych danych. Twórcy rozporządzenia wskazują nam jednie przykłady rozwiązań, które mogą prowadzić do zabezpieczenia danych. Są to m.in. szyfrowanie danych, zapewnienie zdolności do szybkiego przywrócenia dostępności danych, uzyskanie znaku jakości czy regularne sprawowanie opieki nad danym systemem informatycznym. Biorąc to pod uwagę, jednym z wielu, ale nie jedynym ze sposobów zabezpieczenia danych są certyfikaty SSL. Nie oznacza to, że przepisy wprowadzają konieczność instalacji takiego certyfikatu na twojej stronie www!


W tym miejscu zatrzymajmy się na chwilę, aby podać więcej przykładów zabezpieczeń, których NIE narzuca nam RODO:
- skorzystania z oferty konkretnego dostawcy certyfikatów SSL,
- zakupienia konkretnego programu antywirusowego,
- tworzenia haseł składających się z określonej liczby znaków,
- wymiany niszczarek w firmie,
- usuwania tabliczek z nazwiskiem i specjalizacją lekarza przed jego gabinetem.

Pamiętajcie, że na gruncie wprowadzania zabezpieczeń danych osobowych kluczowe znaczenie mają słowa „odpowiednie” i „wystarczające”. Bo takie właśnie powinny być zabezpieczenia - adekwatne do stopnia ryzyka. Nowe przepisy mogą wydawać się bardzo ogólne, nie są pisane językiem nakazów, a kary chociaż dotkliwe, nie wyglądają groźnym okiem zza każdego paragrafu. Ten sposób legislacji miał na celu maksymalne zuniwersalizowanie przepisów, tak aby nie zdezaktualizowały się w czasie.

Z pomocą w temacie ustalenia standardu zabezpieczeń ma przyjść polski ustawodawca. W nowej wersji polskiej ustawy o ochronie danych osobowych przewidziano możliwość ubiegania się o uzyskanie certyfikatu zgodności przetwarzania danych osobowych. Obecnie (w chwili tworzenia tego artykułu), nie znamy jeszcze kryteriów, jakie muszą spełnić administratorzy, aby ubiegać się o certyfikat. Wiemy, że maksymalna wysokość opłaty dla wnioskodawców wyniesie nieco ponad 17.000,00 zł, a wniosek o certyfikat zostanie rozpoznany najdłużej w 3 miesiące. Uzyskany certyfikat będzie ważny maksymalnie 3 lata. W gąszczu wielu „certyfikatów” i zapewnień o „sposobach na RODO”, taki „państwowy” certyfikat, może być odpowiedzą na niepokoje administratorów.

Masz podobne spostrzeżenia albo może wręcz przeciwnie? Podziel się tym z nami korzystając z formularza kontaktowego