Jeżeli w Twoim serwisie internetowym jest możliwość podania jakichkolwiek danych osobowych, oznacza to, że musi on spełniać wymogi określone przez przepisy Rozporządzenia RODO, którego od niedawna zaczęło być stosowane w całej Unii Europejskiej. W takim wypadku rekomendowaym działaniem będzie audyt serwisu internetowego pod kątem zgodności z RODO. 

Jeżeli zastanawiasz się, w jaki sposób sprawdzić, czy Twój serwis spełnia wymogi Rozporządzenia RODO, ten artykuł jest dla ciebie. Poniżej opisujemy najważniejsze kwestie na które trzeba zwrócić uwagę dokonując audytu strony serwisu internetowego w zakresie danych osobowych.

 

Audyt RODO [1] Regulamin i polityka prywatności

Każdy serwis internetowy powinien posiadać regulamin oraz politykę prywatności. Z punktu widzenia danych osobowych w regulaminie można ograniczyć się do wskazania informacji o administratorze danych osobowych oraz ogólnych zasad przetwarzania danych w serwisie internetowym, a z pozostałym zakresie można odesłać do polityki prywatności, która powinna być dokumentem opisującym w kompleksowy sposób kwestie związane z danymi. Jeżeli jako właściciel serwisu decydujesz o celach i sposobach przetwarzania tych danych, a najczęściej tak właśnie będzie, to jesteś administratorem danych osobowych użytkowników serwisu. Jeżeli Twój serwis oferuje funkcjonalności w przypadku których konieczne jest podanie przez użytkownika określonych danych osobowych (np. konto czy formularz zamówienia) należy opisać sposób działania tych funkcjonalności i w tym opisie podać jakie dane będą wymagane od użytkownika przy korzystaniu z nich.

Z kolei polityka prywatności powinna w pełnym zakresie spełniać obowiązki informacyjne, ustanowione przez art. 13 Rozporządzenia RODO. Zgodnie z tym przepisem administrator powinien podać osobie, od której zbiera dane osobowe następujące informacje:

  • dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
  • jeżeli wyznaczyłeś w swojej firmie inspektora ochrony danych – dane kontaktowe tej osoby;
  • cele i podstawy prawne przetwarzania danych osobowych;
  • kategorie odbiorców danych osobowych – jeżeli przekazujesz dane użytkowników jakimś podmiotom zewnętrznym (np. firmy kurierskie);
  • przekazywanie danych osobowych użytkowników do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
  • konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
  • prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
  • prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
  • prawie do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
  • czy wymóg podania danych osobowych podczas korzystania z serwisu jest warunkiem koniecznym do zawarcia umowy w serwisie (np. umowy o korzystanie z funkcjonalności serwisu) oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
  • zautomatyzowane podejmowanie decyzji w stosunku do użytkowników, w tym tzw. profilowanie użytkowników oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w serwisie.

Przy sprawdzaniu lub przygotowywaniu polityki prywatności serwisu pod kątem RODO, pamiętaj zatem że powinna ona zawierać przede wszystkim wymienione tutaj podstawowe informacje.

 

Audyt RODO [2] Pliki Cookies

Większość serwisów internetowych wykorzystuje tzw. Pliki Cookies. Jako właściciel serwisu możesz używać tych plików w celach statystycznych lub np. aby poprawić komfort korzystania ze strony Twojego serwisu. Korzystanie z plików Cookies powoduje, że masz określone obowiązki informacyjne wobec użytkowników Twojego serwisu. Główne regulacje dotyczące tych plików zawarte są w polskiej ustawie Prawo Telekomunikacyjne. Rozporządzenie RODO ma jedynie pośredni wpływ na regulacje związane z plikami Cookies, natomiast z prawnego punktu widzenia mają one duże znaczenie w funkcjonowaniu serwisu.

Bardziej szczegółowe informacje możesz zawrzeć w polityce prywatności. Zdarza się, że jest tworzona osobna polityka plików Cookie, ale nie jest to wymagane. Jeżeli odpowiednie zapisy o charakterze informacyjnym będą zawarte w polityce prywatności, jest to wystarczające.

Dodatkowo, zalecamy umieścić najważniejsze informacje o plikach Cookies bezpośrednio na stronie serwisu np. w formie wyskakującego na stronie komunikatu z linkiem do polityki prywatności oraz możliwością wyłączenia go w momencie kiedy użytkownik zapozna się z komunikatem. W takim krótkim komunikacie możesz zamieścić informacje o tym, że korzystasz z plików Cookies, ogólnie w jakim celu ich używasz, jak  można kontrolować i usuwać te pliki oraz że dalsze korzystanie ze strony serwisu bez zmiany ustawień przeglądarki może być uznane za zgodę użytkownika na stosowanie plików Cookies.

 

Audyt RODO [3] Zbieranie danych osobowych – zasady i podstawy

Zgodnie z Rozporządzeniem RODO, zbieranie i przetwarzanie danych osobowych każdorazowo musi opierać się na konkretnej podstawie prawnej. Przeanalizuj zatem wszystkie formularze oraz zakładki w Twoim serwisie pod kątem tego, jakie dane użytkowników zbierasz i czy jesteś w stanie wskazać odpowiednią podstawę ich zbierania i późniejszego przetwarzania. Poniżej dla porównania podajemy najczęstsze cele i podstawy prawne przetwarzania danych w serwisie internetowym:

  • rejestracja konta, korzystanie z funkcjonalności serwisu, podawanie danych do płatności – mieści się w ramach pojęcia wykonania umowy np. umowy o świadczenie usługi lub podjęcia działań na żądanie użytkownika przed zawarciem umowy (art. 6 ust. 1 lit. b) Rozporządzenia RODO);
  • wysyłka newslettera lub innych materiałów reklamowych, proponowanie korzystania z dodatkowych płatnych funkcjonalności itp. – powinno opierać się na zgodzie użytkownika, (art. 6 ust. 1 lit. a) Rozporządzenia RODO);
  • dochodzenie roszczeń związanych z zawartymi umowami lub obrona przed takimi roszczeniami – mieści się w pojęciu prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f) Rozporządzenia RODO);
  • prowadzenie ksiąg podatkowych lub rachunkowych – mieści się w pojęciu obowiązku prawnego ciążącego na administratorze np. (art. 6 ust. 1 lit. c) Rozporządzenia RODO w związku z odpowiednimi przepisami ustaw podatkowych lub ustawy o rachunkowości).

Pełna lista podstaw prawnych przetwarzania danych zawarta jest w art. 6 Rozporządzenia RODO. Warto zapoznać się z tym przepisem w razie jakichkolwiek wątpliwości, czy założony przez Ciebie cel przetwarzania danych użytkowników serwisu jest zgodny z wymogami Rozporządzenia RODO.

 

Audyt RODO [4] Checkboxy na stronie serwisu

Checkboxy w serwisie internetowym mogą z prawnego punktu widzenia spełniać dwa zadania:

  • dostarczać użytkownikom wymagane informacje (spełnienie obowiązku informacyjnego);
  • umożliwiać odebranie od użytkownika wymaganej zgody.

Obowiązki informacyjne w serwisie pełni co do zasady polityka prywatności. W niektórych przypadkach musisz jednak wykazać, że dostarczyłeś wymagane informacje użytkownikowi. Jeżeli w Twoim serwisie występują formularze, w których użytkownik podaje swoje dane osobowe (np. formularz rejestracji konta, formularz kontaktowy), to  każdym takim formularzu powinien znajdować się checkbox z potwierdzeniem zapoznania się z polityką prywatności. Checkbox powinien również zawierać aktywny link do polityki prywatności, tak aby użytkownik miał możliwość zapoznania się z tym dokumentem na bieżąco.

Jeżeli w Twoim serwisie można zawrzeć jakąkolwiek umowę np. w sytuacji gdy można w nim zamówić usługi i lub zakupić produkty, przed zawarciem takie umowy powinien pojawić się również checkbox ze potwierdzeniem zapoznania się z regulaminem oraz ze zgodą na ten regulamin. Tak samo, jak checkbox dotyczący polityki prywatności, ten checkbox powinien zawierać link do dokumentu, na który wskazuje, czyli do regulaminu. Zarówno checkbox ze zgodą na regulamin, jak i ten potwierdzający zapoznanie się z polityką prywatności, powinny być obowiązkowe. W miejscach, w których są one wymagane, użytkownik powinien zaznaczyć je aktywnie – nie powinny zatem być domyślnie zaznaczone.

Opisane powyżej checkboxy pojawiają się prawie we wszystkich serwisach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w serwisie internetowym to:

  • zgoda na przetwarzanie danych użytkowników w celach marketingu Twoich usług lub produktów (tzw. marketing wewnętrzny);
  • zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;
  • zgoda na przetwarzanie danych wrażlicyh (np. danych dot. seksualności)
  • zgoda dotycząca osób niepełnoletnich
  • zgoda na dostarczanie treści cyfrowych

Każda z tych zgód musi być dobrowolna (choć można czasami uzależnić od niej realizację umowy) oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. W przeciwieństwie do zgody na regulamin i potwierdzenia zapoznania się z polityką prywatności, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.

 

Audyt RODO [5] Zasady przetwarzania danych osobowych

 

Jedną z najważniejszych kwestii, na które należy zwrócić uwagę jest przetwarzanie danych osobowych użytkowników serwisu zgodnie z zasadami wyznaczonymi przez Rozporządzenie RODO. Ustawodawca unijny w art. 5 Rozporządzenia RODO ustanawia następujące zasady:

  • minimalizacja danychnajczęściej w praktyce występująca w serwisach kwestia związana z zasadami przetwarzania danych: powinieneś zbierać tylko takie dane użytkowników serwisu, które są konieczne do funkcjonowania serwisu i żadne inne. Przykładowo, jeżeli masz na stronie serwisu formularz kontaktowy, to tak naprawdę poza treścią wiadomości, będziesz potrzebować jedynie adresu e-mail użytkownika w celu sformułowania odpowiedzi. Wymaganie w takiej sytuacji dodatkowych danych osobowych, takich jak np. imię, nazwisko czy numer telefonu, co zdarza się w niektórych serwisach, byłoby niezgodne z powyższą zasadą. Posiadanie tych dodatkowych danych może być dla Ciebie przydatne np. dla celów statystycznych, nie jest jednak konieczne. Warto pamiętać o tym rozróżnieniu i zbierać tylko takie dane użytkowników jakie są konieczne do dostarczenia im oferowanych przez serwis usług i funkcjonalności.
  • zgodność z prawem, rzetelność i przejrzystość – tak, jak wskazaliśmy w we wcześniejszej części artykułu – sprawdź czy masz podstawę prawną do zbierania i przetwarzania określonych danych i upewnij się że użytkownik serwisu dokładnie poinformowany jakie jego dane i w jakich celach będziesz przetwarzać;
  • ograniczenie celu – powinieneś przetwarzać dane użytkowników Twojego serwisu, tylko  w celach, w jakich zostały zebrane i o których poinformowałeś wcześniej użytkownika.
  • prawidłowość – w razie potrzeby powinieneś uaktualniaj dane użytkowników, a jeżeli dane, które zebrałeś okażą się niepotrzebne do celu, w jakim zostały zebrane, usuń je z miejsca, w którym je przechowujesz;
  • ograniczenie przechowywania – przechowuj dane osobowe nie dłużej, niż to jest niezbędne z punktu widzenia danego celu przetwarzania.
  • integralność i poufność – upewnij się, czy przechowujesz dane osobowe użytkowników w taki sposób, aby były one bezpieczne, nie miały do nich dostępu nieupoważnione osoby, aby nie uległy one przypadkowej utracie, zniszczeniu czy uszkodzeniu.

 

Podsumowanie

Przeprowadzając audyt swojego serwisu internetowego pod kątem Rozporządzenia RODO, zadbaj przede wszystkim o odpowiednie spełnienie obowiązków informacyjnych. Kluczowe są tutaj dobrze napisane: regulamin i polityka prywatności. Pamiętaj również o zasadach i podstawach zbierania oraz przetwarzania danych. Umieść w odpowiednich miejscach checkboxy, dzięki którym spełnisz obowiązki informacyjne oraz obierzesz zgody na przetwarzanie danych tam, gdzie są one wymagane. Dopełnieniem zgodności z RODO będzie także odpowiednia dokumentacja wewnętrzna w firmie dotycząca przetwarzania danych osobowych – to już jednak temat na odrębny wpis.

Ze swojej strony, służymy pomocą we wszystkich kwestiach związanych z audytem strony Twojego serwisu pod kątem RODO. Jeżeli chciałbyś aby audytu Twojego serwisu dokonał również prawnik specjalizujący się w zagadnieniach związanych z danymi osobowymi oraz wymogami informacyjnymi, czy też potrzebujesz pomocy przy napisaniu odpowiedniego regulaminu i polityki prywatności Twojego serwisu, albo sformułowaniu właściwych checkboxów – nasi specjaliści są do Twojej dyspozycji. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@regulaminowo.pl.