Obowiązek stosowania RODO nie oznacza jednak rewolucji dla tych, którzy przestrzegali tzw. starej ustawy o ochronie danych osobowych. Oni mogą spać spokojnie, choć trochę pracy muszą wykonać. Jeśli jednak do promocji wykorzystują też media społecznościowe, muszą uważać podwójnie. I nie koniecznie ze względu na kary, tylko ochronę danych użytkowników i regulaminy serwisów społecznościowych. - Kary rzeczywiście są, ale wcale nie jest powiedziane, że zawsze będą nakładane z automatu w milionach złotych na każdego, kto dopuści się choćby najmniejszego potknięcia - uważa Wojciech Wawrzak, radca prawny, specjalizujący się w prawie dla kreatywnych w internecie. - Aby jednak na wypadek kontroli móc się bronić, trzeba przygotować pewne dokumenty, a działania prowadzić z rozwagą - dodaje. Każdy bowiem, kto prowadzi blog musi mieć świadomość, że zgodnie z RODO jest administratorem danych osobowych, czyli decyduje o tym jak i w jakim celu dane są przetwarzane.
Rejestr przetwarzania brzmi groźnie, a to zwykly excel lub tabelka
RODO, a dokładnie - art. 30 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - wymaga stworzenia rejestru czynności przetwarzania. To dokument, który pokazuje wszystkie procesy na danych osobowych, po co je przetwarzamy i kto ma do nich dostęp. Wbrew powszechnej opinii do jego prowadzenia zobowiązane są nie tylko firmy zatrudniająca powyżej 250 osób. Musi go mieć każdy, kto systematycznie przetwarza dane, np. użytkowników, odbiorców newslettera. - Jakie czynności może wykonywać bloger? Jeśli wysyła newsletter, to czynnością przetwarzania jest wysyłka, prowadzona do użytkowników – są oni kategoriami osób. W trakcie wysyłki przetwarza się zwykle adresy e-mail i ewentualnie imiona – które są kategoriami danych osobowych. W takim rejestrze trzeba jeszcze podać podstawę prawną przetwarzania – tu zgoda użytkownika, planowany czas przetwarzania – do czasu wycofania zgody - mówi Wojciech Wawrzak. - Ważne też, kto ma dostęp do tych danych – jedna, czy więcej osób, i jak są one chronione, np. hasłem w systemie teleinformatycznym. Ważne jest zatem, aby ustalić wszystkie czynności. Jeśli, np. z poziomu bloga prowadzimy sprzedaż, np. e-booków, muzyki, zdjęć, oprogramowania, to czynnością przetwarzania – będzie sprzedaż. W tym wypadku jej podstawą nie będzie już zgoda, tylko przepis prawa. Podobnie będzie przy fakturowaniu. Tu jednak w rubryce „kategoria odbiorców”, może pojawić się podmiot trzeci, np. księgowa, biuro rachunkowe. Czynnością przetwarzania będzie też udostępnianie możliwości komentowania. Osoby, które np. korzystają z Wordpressa, po wejściu w swoim panelu w komentarze, widzą adres IP, e-mail, często imię i nazwisko czy adres strony internetowej. To wszystko są dane osobowe, a zatem ich gromadzenie jest czynnością do umieszczenia w rejestrze.
Na stronie Urzędu Ochrony Danych Osobowych można znaleźć wzór takiego rejestru. Przygotowano go co prawda z myślą o szkołach, ale excel można pobrać i zmodyfikować. W LEX SIP można zaś pobrać wzór rejestru w formie tabelki*.
Procedura ochrony
Maciej Gawroński, radca prawny z kancelarii Gawroński Partners radzi też przygotować dokumentację, w której zostanie opisana procedura postępowania z danymi osobowymi. - Ułatwi to zachowanie zgodności z RODO. Bo samo RODO trudno jest stosować wprost, gdyż jest zbyt ogólnikowe – oczekuje pewnych efektów ale nie narzuca procedur, jak to zrobić. - W ten sposób pokazujemy, że dbamy o to, by dane nie wyciekły, by nie uzyskał do nich dostęp nikt nieuprawniony, by nikt ich nie skasował, zmodyfikował itp.
Większość z blogerów bowiem z pewnością stosuje program antywirusowy na sprzęcie wykorzystywanym do przetwarzania danych, dostęp do sprzętu, systemów zabezpiecza loginem i hasłem, ma włączaną blokadę ekranu z koniecznością podania hasła, ma certyfikat SSL dla domeny, pod którą znajdują się formularze służące do przesyłania danych osobowych - obecnie domeny bez niego są gorzej indeksowane przez Google. - Jeżeli do danych ma dostęp więcej osób, to każdą należy upoważnić do upoważnić do przetwarzania danych, nadać jej unikalne: użytkownika i hasła oraz wciągnąć na listę osób upoważnionych - mówi Wawrzak. - Taką ewidencję wszystkich upoważnionych też bowiem warto prowadzić - podkreśla.
Czytaj również: Sprawdź, czy twoja firma jest gotowa na RODO >>
To tylko przykładowe środki techniczne, są jeszcze jednak inne sytuacje, w których trzeba pamiętać o RODO. Jakie? - Jadę rano pociągiem, obok siedzi ktoś, kto przygotowuje dokumenty, a ja widzę imiona, nazwiska, adresy, funkcje. Tymczasem pracując w miejscach publicznych też trzeba zachować ostrożność - przekonuje Paweł Litwiński, adwokat, partner w kancelarii Barta Litiwiński.
Dane w formie papierowej, np. umowy z osobami fizycznymi, prace przesłane na konkurs o wspomnieniach z wakacji, też nie mogą być trzymane w łatwo dostępnym miejscu.
Pozyskiwanie zgody
Generalnie zgody pozyskane przed 25 maja są nadal ważne, np. przez formularz internetowy na przetwarzanie danych w celach marketingowych. Po 25 maja trzeba ją jednak uzyskać zgodnie z RODO. Aby była ważna już zapewne większość z internautów wie, że musi być: dobrowolna, konkretna, świadoma, jednoznaczna. - Oznacza to, że jeśli w ustawieniach prywatności dotyczących przetwarzania danych osobowych (np. przekazywania danych innym firmom, integrowania danych z różnych źródeł, śledzenia lokalizacji etc.) domyślnie jest zaznaczone pole oznaczające „zgodę” (suwak, checkbox etc.), to będzie to zgoda nieważna, bo pozyskana bezprawnie. Tak samo będzie, gdy domyślna zgoda jest ukryta w regulaminie, którego użytkownik nie może negocjować - mówi Katarzyna Szymielewicz z Fundacji Panoptykon.
Czytaj również: Czy na śledzenie ciasteczek potrzebna jest zgoda?
Ważne jest też to, że zgodę wyraża się na przetwarzanie tych danych, których nie potrzebujemy, ale chętnie z nich skorzystamy, np. pytanie o adres zamieszkania. Jeśli ktoś jednak chce pobrać e-book, to nie musi wyrażać zgody. Musi podać adres mailowy, bo inaczej nie ma jak go ściągnąć. Jeśli jednak potem chcemy korzystać z jego adresu, np. informować o nowościach na blogu, zapraszać do udziału w konkursach, musimy pozyskać zgodę. Warto też pamiętać, że zgoda na otrzymywanie newslettera wynika z ustawy o świadczeniu usług drogą elektroniczną* na przesyłanie informacji handlowych, a nie z RODO.
Wiele osób martwi się o zgody na profilowanie, czyli korzystanie z cookies/ciasteczek. Zwykle dane pozyskiwane dzięki cookies nie pozwalają na identyfikację użytkowników stron. Stąd stosuje się do nich wyłączenie z art. 11 RODO. - Google jednak wymaga bowiem od swoich partnerów pozyskania zgód użytkowników, aby udostępniać swoje narzędzia analityczne - mówi Maciej Gawroński. Europejski Trybunał Sprawiedliwości wydał 5 czerwca 2018 wyrok w sprawie C-210/16*, gdzie uznał, że administrator fanpage’a na Facebooku odpowiada za „cookies” umieszczane przez Facebooka mimo że nie zna tożsamości odwiedzających fanpage użytkowników. Wprawdzie wyrok opiera się o dyrektywę o ochronie danych, która nie miała odpowiednika art. 11 RODO, ale sprawa nie jest jasna, gdyż ustawodawca europejski nie lubi „ciasteczek”.
Polityka bezpieczeństwa
Ani RODO, ani UODO - w przeciwieństwie do już nieobowiązujących przepisów - nie nakładają obowiązku posiadania polityki bezpieczeństwa. Z drugiej strony RODO często odwołuje się do „polityk ochrony danych” stosowanych przez administratora. Z tego względu lepiej nadal mieć taki dokument, ale zaktualizowany, czyli dostosowany do nowych przepisów. Wojciech Wawrzak radzi przygotowanie oddzielnych polityk dla FB i Google Analytics. - Posiadanie jednej zbiorczej polityki prywatności nie będzie jakimś wielkim błędem, ale jako dobrą praktykę wskazywałbym stworzenie odrębnego dokumentu na potrzeby np. Facebook Lead Ads – tłumaczy Wawrzak. Tym bardziej, że to nie musi być żaden bardzo skomplikowany i sformalizowany dokument.
Komentarze zgodne z RODO
Blogerzy najczęściej zastanawiają się jednak, jak RODO ma się do komentarzy pod ich artykułami, zwłaszcza gdy korzytają z pośrednictwa, Facebooka, Disqus. Czy stosuje stosuje się do nich RODO? Czy są administratorami danych, np. adresu mailowego? - Jeżeli bloger pisze czysto hobbistycznie i nie zarabia na reklamach ani nie stanowi to marketingu osobistego, to RODO się nie stosuje (art. 2.2.c RODO). - mów Maciej Gawroński. - Każdy inny bloger podlega pod RODO. Jeżeli korzystamy z narzędzi do działań innych niż o „czysto osobistym lub domowym charakterze”, to odpowiadamy za to jako administrator danych osobowych – w zakresie naszej kontroli jest bowiem dobór narzędzi komunikacji. Szczególnie odpowiadamy za to, co takie serwisy jak Facebook otwarcie piszą, że robią z danymi osobowymi - wyjaśnia mec. Gawroński.
Co powinien zrobić? - Co najmniej poinformować o tym (zgodnie z art. 13 RODO), jakie będą konsekwencje korespondowania z nim na fanpage’u czy innym serwisie blogowym. Czyli spełnić obowiązek informacyjny. Niekoniecznie trzeba kopiować regulamin Facebooka, ale warto zrobić odwołanie do odpowiedniej sekcji - radzi Maciej Gawroński. - Dla blogera wystarczy, aby był to element polityki prywatności. Nie trzeba odbierać osobnych zgód - dodaje.
Za działania robione przez nie po kryjomu zapewne jednak niebloger nie zostanie pociągnięty do odpowiedzialności, gdyż „w żaden sposób nie ponosilłby za to winy”. Można tak uznać, odwołując się do art. 82 ust. 3 RODO*, dotyczącym odpowiedzialności cywilnej za szkodę. Zgdonie z nim administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności za szkody spowodowane przetwarzaniem naruszającym rozporządzenie, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Konkurs: bez regulaminu i zgód się nie obędzie
Konkurs realizowany zgodnie z prawem musi mieć regulamin – niezależnie od regulaminu strony czy portalu społecznościowego. Konkurs zwykle wymaga zgromadzenia podstawowych informacji identyfikujących osobę, dlatego trzeba też spełnić obowiązek informacyjny. Uczestnik musi wiedzieć, kto jest organizatorem, kto administratorem danych, czy będą one przekazywane osobom trzecim - jeśli tak, to komu, jak długo będą przetrzymywane. Po zakończeniu konkursu, powinno się je usunąć. Trzeba też podać cel gromadzenia danych – jeśli nie będzie to sama organizacja konkursu i przekazania nagród, to trzeba o tym poinformować. Ponadto organizator musi uzyskać zgodę użytkowników na przetwarzanie ich danych, zgodną z RODO – o ile są to tylko dane dotyczące adresu mailowego, przesłanych zdjęć na konkurs, przetwarzane w celu przeprowadzenia konkursu i wyłonienia zwycięzcy podstawą może być uzasadniony interes organizatora. Gdy w grę wchodzi adres zamieszkania, numer telefonu do przesłania nagrody, warto zadbać o zgodę. Bardzo często organizatorzy konkursów proszą również uczestników o zgodę na późniejszą wysyłkę wiadomości marketingowych lub publikację imienia oraz nazwiska zwycięzców, np. na stronie internetowej. Na to muszą mieć oddzielną zgodę, bo odrębnej wymaga każdy cel przetwarzania danych.
Konkursy na portalach społecznościowych
Facebook umożliwia prowadzenie różnych konkursów. Nagradzamy za polubienie fanpage, udostępnianie postu, oznaczenie znajomych w komentarzach. Takie platformy posiadają własne regulaminy, które mogą zakazywać pewnych praktyk. Tutaj obowiązuje więc i RODO, i regulamin portalu - np. FB zabrania wykorzystywania prywatnych osi czasu oraz połączeń ze znajomymi w celach promocyjnych. W przypadku zbierania danych użytkowników, organizator musi też wyraźnie poinformować, kto jest organizatorem konkursu, kto gromadzi dane i jest ich administratorem. W regulaminie powinien znaleźć się zapis informujący o tym, że portal nie jest jego organizatorem i nie ma z nim żadnego powiązania.
Mailing i wysyłanie newsletterów
Tu się niewiele zmieniło. Jeśli mamy zgody na wysyłanie ofert handlowych, zachęcających do pobrania e-book’a z naszej strony, to nadal go wysyłamy. Jeśli pozyskujemy nowych adresatów, muszą wyrazić zgodę na jego otrzymywanie zgodnie z ustawą o świadczeniu usług drogą elektroniczną. Katarzyna Szymielewicz podkreśla, że wiele osób myśli często, że to jest zgoda wynikająca z przepisów o ochronie danych osobowych. Ta też jest potrzebna, ale na przetwarzanie danych, np. w celach marketingowych. Zarówno zgoda na mailling w celach handlowych, jak i marketingowych nie może być ukryta w regulaminie. Wojciech Wawrzak zwraca jeszcze uwagę na inny aspekt maillingu. - Oprócz wiadomości typowo reklamowych, można chcieć wysłać użytkownikom maila o nieco innym charakterze – newsa, życzenia świąteczne, wiadomość poradnikową, raport – mówi Wawrzak. – Takie maile można traktować właśnie jak przetwarzanie danych w celach marketingowych. I bez posiadania zgody, ja bym ich nie wysyłał – mówi Wawrzak.
--------------------------------------------------------------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.