Serwis internetowy – praca nad uruchomieniem serwisu internetowego nie jest prosta. Trzeba podjąć wiele decyzji, które będą rzutować na jego funkcjonowanie przez długi czas. Niestety często w natłoku obowiązków zapominamy o bardzo istotnej kwestii, jaką jest ochrona danych osobowych i wymogi z nią związane – a nad tymi należy pochylić się jeszcze przed rozpoczęciem zbierana danych.

Z tego artykułu dowiesz się:

  1. Regulamin serwisu a RODO w serwisie. Czym się różnią?
  2. Czy każdy serwis internetowy przetwarza dane osobowe?
  3. Dlaczego musisz zająć się ochroną danych osobowych na wczesnym etapie prac nad serwisem?
  4. Jakie działania musisz wykonać od razu, a z którymi możesz zaczekać?
  5. Czego wymaga RODO od administratora serwisu?

 

Regulamin i polityka prywatności serwisu, a RODO w serwisie

Na samym początku ustalmy, o jakie kwestie prawne musisz zadbać tworząc serwis internetowy. Ten tekst dotyczy ochrony danych osobowych i działań, jakie muszą być podjęte, aby spełnić wymogi nakładane przez RODO i skutecznie zabezpieczyć dane.

Oprócz tego Twój serwis musi posiadać regulamin oraz politykę prywatności. Dokumenty te mogą zawierać kwestie związane z ochroną danych osobowych, jednak nie jest to „dokumentacja RODO”. Mówiąc inaczej – regulamin i polityka prywatności to dokumenty opisujące i regulujące usługi świadczone przez serwis. Potrzebujesz ich żeby w ogóle móc legalnie prowadzić działania. Więcej o regulaminie serwisu możesz przeczytać tutaj: regulamin serwisu internetowego i polityka prywatności serwisu

Wdrożenie RODO w serwisie dotyczy wprowadzenia zasad ochrony danych osobowych w całej organizacji, czyli również w zakresie fizycznego przetwarzania danych, czy w innych obszarach działalności firmy (np. usług świadczonych poza serwisem, punktów stacjonarnych, zatrudnienia pracowników etc.)

Wdrożenie RODO i opracowanie regulaminu to dwie niezależne usługi, muszą jednak ze sobą współgrać, aby zapisy w poszczególnych dokumentach się nie wykluczały. Zamawiając obie usługi w naszej firmie masz pewność, że zespół prawników i specjalista ochrony danych osobowych będą ściśle współpracować, aby zapewnić Ci jak najlepsze rozwiązania.

 

Serwis internetowy a RODO

W historii działalności naszej firmy napisaliśmy ponad 8 tysięcy regulaminów dla serwisów i sklepów internetowych. Od dłuższej chwili staram sobie przypomnieć ile z nich nie zbierało jakichkolwiek danych osobowych i muszę przyznać – to trudne zadanie, ponieważ praktycznie zawsze mamy do czynienia z jakąś formą przetwarzania takich danych. Dzieje się tak dlatego, że nawet adres email  podany w formularzu kontaktowym podlega ochronie na gruncie RODO, nie mówiąc już o innych zbieranych danych.

Czy adres email to dane osobowe?

Nie, nie każdy adres poczty elektronicznej będzie uznany za dane osobowe. Aby tak się stało musi on identyfikować konkretną osobę. Przykładowo tylko na podstawie adresu: stokrotka@gmail.com nie możemy powiedzieć do kogo należy. Podobnie z adresem jan.kowalski@wp.pl, który może dotyczyć wielu Janów Kowalskich. Jeśli jednak Pan Jan zarejestruje się w naszym serwisie przy pomocy adresu służbowego – jan.kowalski@pphuKowalski.pl, to z dużą dozą pewności będziemy mogli powiedzieć, że jest to adres Jana Kowalskiego pracującego w firmie PPHU Kowalski (a stąd już kawałek do pełnej identyfikacji). Ponieważ w przypadku adresów email nie jesteśmy w stanie weryfikować czy dany adres stanowi dane osobowe czy nie, najbezpieczniej jest przyjąć, że ochronie podlegają wszystkie zbierane adresy email.

 

Czy da się nie przetwarzać danych osobowych w ogóle?

Teoretycznie tak, ale są to wyjątki. Dane mają realną wartość. Nie dlatego, że można je sprzedać na czarnym rynku, czy wyłudzić kredyt (chyba że jest się przestępcą J), ale dlatego że dzięki nim możemy świadczyć nasze usługi, zawierać umowy i przez to – zarabiać pieniądze. W odróżnieniu od świata realnego, gdzie wchodząc do sklepu możemy dokonać transakcji bez podawania danych, w świecie cyfrowym bez adresu email, a często również bez innych danych zawarcie jakiejkolwiek transakcji czy umowy jest niewykonalne.

PS. Pamiętajmy o tym, że przetwarzanie oznacza praktycznie każdą czynność wykonywaną na danych osobowych – również samo ich przechowywanie bez żadnych „aktywnych” czynności.

 

Czy RODO musi być od początku działania serwisu?

Wiele razy słyszałem to pytanie. Startując z serwisem mamy na głowie wiele rzeczy, dlatego nadajmy im różne priorytety. W pierwszej kolejności zajmujemy się rzeczami niezbędnymi, a dopiero później mniej istotnymi. Niestety bardzo często kwestie bezpieczeństwa i RODO trafiają do tej drugiej grupy, co nie jest najlepszym pomysłem. RODO jest obowiązkiem prawnym, podobnie jak prowadzenie księgowości. Czy odłożyłbyś prowadzenie księgowości na kilka miesięcy? Zakładam że nie, ponieważ:

  • z jednej strony mamy obowiązek prawny (narażamy się więc na konsekwencje prawne i finansowe),
  • z drugiej i tak musielibyśmy uzupełnić brakujące rozliczenia i dokumenty po jakimś czasie (a to zawsze jest trudniejsze, niż bieżąca praca).

Tak samo wygląda sprawa z wdrożeniem RODO. Mamy obowiązek prawny utworzyć dokumenty i zająć się kwestiami ochrony danych osobowych. Bez tego narażamy się na konsekwencje prawne i finansowe (przypominam, że RODO przewiduje kary nawet do 20 mln euro). Jeśli nie boimy się kary, pozostaje pokusa prokrastynacji, czyli zajęcia się RODO w dalszej kolejności. Dlaczego nie jest to dobry pomysł? Już wyjaśniam.

Zasady RODO, wbrew opinii wielu osób, są przemyślane i sensowne. Jedną z nich jest uwzględnienie zasad ochrony danych w fazie projektowania i domyślna ochrona danych (art. 25 RODO). Zgodnie z tą zasadą musimy zastanowić się na zakresem i sposobami przetwarzania danych przed rozpoczęciem ich przetwarzania. Wynika to z dwóch głównych kwestii:

  • Jeśli zaczniemy zbierać dane w sposób, który okaże się niezgodny z prawem (np. będziemy zbierać za dużo danych lub w oparciu o niewłaściwą podstawę prawną), to naprawienie tego stanu będzie wymagać kosztów i czasu (np. w zakresie weryfikacji bazy danych i usunięcia nadmiarowych danych, zmianę formularzy etc.).
  • Jeśli nad kwestiami bezpieczeństwa pochylimy się dopiero po jakimś czasie będzie oznaczało to, że dane nie była właściwie chronione. Teoretycznie nie stanowi to problemu, o ile w czasie „bez opieki” nie dojdzie do naruszenia danych (np. utraty czy wycieku). Gdyby tak się stało Prezes Urzędu Ochrony Danych Osobowych może uznać, że nie dołożyliśmy należytej staranności – a to pierwszy krok do pełnej procedury kontrolnej i dalszych konsekwencji.

 

No dobrze, ale czy wszystko musi być wdrożone od początku?

Zawsze marzyła mi się lista z wszystkimi wymaganiami RODO, które można by odznaczać i zapominać o sprawie. Pochylasz się wtedy nad kwestią raz i nie musisz do niej wracać. Tylko że RODO i bezpieczeństwo nie działają w ten sposób. RODO ma swoje źródła (czy raczej inspiracje) w systemach zarządzania bezpieczeństwem informacji (np. ISO 27001). Podobnie jak tam przeprowadzamy szacowanie ryzyka:

Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej i rzeczowej analizy, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Motyw 76 RODO

Oznacza to, że musimy przygotować analizę ryzyka. Polega ona na przeanalizowaniu potencjalnych zagrożeń oraz podatności i zaadresowaniu ich, czyli podjęcia decyzji w jaki sposób z nimi postąpić. Nie zawsze musimy od razu reagować (np. wprowadzać dodatkowych zabezpieczeń), chyba że występuje wysokie ryzyko wystąpienia zdarzenia (np. kradzieży laptopa). Wtedy musimy działać.

Mniej krytycznymi podatnościami możemy zająć później – ważne jednak, aby zaplanować te działania i móc to wykazać. Podsumowując – w przypadku zabezpieczenia danych od samego początku musimy zająć się kwestiami najbardziej krytycznymi, pozostałe możemy rozłożyć w czasie. Oprócz bezpieczeństwa mamy jednak szereg wymogów prawnych. Te powinny być bezdyskusyjnie wdrożone od samego początku.

 

Wymogi prawne wobec administratora serwisu (RODO)

Poniżej przedstawiamy najważniejsze kwestie, o które trzeba zadbać od samego początku działania serwisu.

  1. Utworzenie Rejestru czynności przetwarzania (RCP)

RCP to nic innego jak spis celów, do których wykorzystujemy dane osobowe, wraz ze wskazaniem podstawy prawnej, czy kategorii osób których dane dotyczą. Wyobraź sobie, że Twój serwis posiada bazę 10.000 użytkowników. Część z nich korzysta z usługi płatnej (nazwijmy je „kontem premium”), inni mają konta darmowe („konto standard”), a pozostali są tylko zarejestrowani w bazie odbiorców newslettera.

W takim wypadku będą to 3 wpisy w Twoim rejestrze, ponieważ mamy do czynienia z trzema niezależnymi celami przetwarzania danych (realizacja umowy na konto premium, realizacja umowy na świadczenie usługi konta w serwisie, wysyłka newslettera).

  1. Umieszczenie klauzul informacyjnych lub zgód na przetwarzanie danych osobowych.

Art. 13 i 14 RODO wymagają, aby w momencie pozyskiwania danych osobowych (bez względu na formę) podawać określony zestaw informacji (między innymi kim jesteśmy, do jakich celów będą wykorzystane dane, jak długo będziemy je przetwarzać etc.). To bardzo ważny element, ponieważ będą widzieć go wszyscy użytkownicy serwisu, ważne jest więc, aby przeanalizować wszystkie miejsca pozyskiwania danych (różne strony formularzy, landing page, zbieranie danych przez telefon i mailowo). Za brak dopełnienia obowiązku informacyjnego nałożono w Polsce pierwszą karę – prawie 1 mln złotych. https://uodo.gov.pl/pl/138/786

  1. Przeprowadzenie szacowania ryzyka dla Twojej sytuacji i podjęcie działań w krytycznych obszarach. W analizie należy uwzględnić: 
    • Urządzenia przy pomocy których przetwarzasz dane (czy komputery są odpowiednio zabezpieczone? Czy zainstalowane jest oprogramowanie antywirusowe? Czy szyfrujesz dyski? Czy dostęp do konta w systemie jest hasłowany? Czy sieć WiFi jest odpowiednio zabezpieczona?)
    • Fizyczne zabezpieczenie danych (czy pomieszczenia, w których przetwarzane dane są zabezpieczone? Czy posiadasz drzwi antywłamaniowe, system alarmowy?).
    • Inne zasoby, w tym ludzi (czy pracownicy zostali zapoznani z zasadami ochrony danych? Czy wydano upoważnienia do przetwarzania danych? Czy każdy z pracowników używa indywidualnego konta etc.) oraz podmioty zewnętrzne (czy zawarto umowy powierzenia danych osobowych? Czy podmiot gwarantuje odpowiednie bezpieczeństwo?).
    • Wszelkie inne kwestie mogące mieć wpływ na dostępność, poufności i integralność danych, w tym zdarzenia do których doszło w przeszłości (np. włamanie, zaszyfrowanie dysku przez ransomware, zniszczenie danych) oraz czy podjęto działania aby uniknąć ich w przyszłości.
  1. Przygotowanie ewidencji incydentów i naruszeń oraz planów postępowania z niechcianymi zdarzeniami.

Od samego początku działania Twojego serwisu musisz wiedzieć co zrobić, jeśli dojdzie do naruszenia bezpieczeństwa. Powinieneś określić co najmniej:

    • osobę której należy zgłosić naruszenie (np. specjalista IT, czy sam administrator)
    • ustalić plany postępowania na wypadek różnego rodzaju naruszeń (np. złamania poufności czy utraty danych)
    • ustalić sposób i metodę informowania osób, których dane dotyczą o naruszeniu oraz Prezesa Urzędu Ochrony Danych Osobowych
    • sposoby unikania / minimalizacji / ograniczenia negatywnych skutków naruszenia.

Więcej o postępowaniu z naruszeniami możesz przeczytać tutaj: Naruszenie ochrony danych osobowych w firmie – co zrobić jak już dojdzie do naruszenia? Praktyczny poradnik dla przedsiębiorcy

 

Zapamiętaj + infografika

Pamiętaj, że:

  • kwestie formalne, takie jak wymagana dokumentacja (analiza ryzyka, RCP, ewidencja naruszeń) lub treści (klauzule informacyjne, zgody) muszą być wdrożone od samego początku, a nawet wcześniej.
  • zabezpieczenia danych mogą być wprowadzane po jakimś czasie, (chyba że dotyczą krytycznych kwestii) ale nadal muszą być przeanalizowane i zaplanowane.

Dla ułatwienia wdrożenia RODO w Twojej firmy zachęcamy do zapoznania się z poniższą infografiką:

 

RODO serwis

RODO serwis