RODO ostatni dzwonek. Q&A z Paragrafki.pl

RODO to temat ostatniego miesiąca. Na każdym kroku można natknąć się na pytania związane z RODO, do mnie też trafia ich mnóstwo. Zebrałam te najczęściej zadawane a odpowiedzi na nie przygotowały Agata Bożek Radca prawny i Milena Rutkowska Radca prawny współautorki bloga i strony internetowej Paragrafki – www.paragrafki.pl. Jeśli macie jakieś wątpliwości / pytania w kwestiach RODO dla bloga czy RODO dla firm to z czystym sumienie odsyłam do nich : ) A teraz już zapraszam na Q&A.

Jakie dokumenty należy przygotować pod kątem RODO jeśli prowadzi się jednoosobową firmę oraz bloga z newsletterem?

Należy zaznaczyć, iż RODO nie określa zakresu (minimalnego) dokumentów związanych z jego wdrożeniem. Przepisy unijne nie przewidują ile dokładnie dokumentów ma powstać oraz jaka ma być ich treść. W celu wykazania przestrzeganie RODO, administrator powinien przyjąć wewnętrzne polityki i wdrożyć „odpowiednie” środki, które muszą uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Niemniej jednak należy wskazać, że mimo braku obowiązku, zasadne jest aby osoba prowadząca blog z newsletterem dostosowała obecną dokumentację pod RODO. Przede wszystkim należy przeprowadzić analizy ryzyka i skutków przetwarzania danych.

Podstawowe dokumenty to polityka prywatności, cookies, polityka zarządzania systemami informatycznymi, rejestr czynności przetwarzania danych osobowych, rejestr naruszeń. Należy też pamiętać o umowach powierzenia danych osobowych, sprawdzić zgody na przetwarzanie danych osobowych, zadbać o zrealizowanie obowiązku informacyjnego.

Jakie informacje ma zawierać polityka prywatności?

Polityka prywatności to dokument w którym zawarte są m.in. informacje o celu i sposobie przetwarzania danych osobowych oraz wyjaśniony jest mechanizm zbierania plików cookies.
Przy czym należy dodać, iż nie jest dokumentem obowiązkowym i nie ma z góry narzuconej formy lub wzoru. Polityka prywatności z uwagi na funkcję informacyjną powinna zawierać m.in.

1.  Kto jest administratorem danych osobowych, należy wskazać pełne dane, identyfikacyjne i dane kontaktowe,
2. Cel pozyskiwania danych osobowych,
3. W jaki sposób i jakie dane są zbierane od użytkowników,
4.  Jakie uprawnienia przysługują użytkownikowi np.:
   – prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
   – prawo do wniesienia sprzeciwu wobec przetwarzania,
   – prawo do przenoszenia danych,
   – prawo do cofnięcia zgody,
   – prawo wniesienia skargi do organu nadzorczego,
5.  Okres, przez który dane osobowe będą przechowywane,
6.  Jakim podmiotom i w jakim celu jest powierzane przetwarzanie danych osobowych,
7.  Informacje dot. konfiguracji przeglądarki, plików cookies, logów serwera.

Z kim należy podpisać umowy powierzenia danych osobowych w kontekście jednoosobowej firmy oraz osoby, która prowadzi bloga z newsletterem?

Administrator danych osobowych ma obowiązek zawrzeć umowę powierzenia danych osobowych w przypadku, gdy powierza/przekazuje dane osobowe innemu podmiotowi. W związku z tym ciężko wskazać zamknięte grono podmiotów, z którymi należy podpisać wskazaną umowę. Przykładowo można wskazać, że podmioty, którym najczęściej powierzamy dane osobowe to: firmy hostingowe – gdy powierzamy dane w celu ich przechowywania na serwerze; biura rachunkowe, firmy zajmujące się obsługą Newslettera (np. FreshMail). W takim przypadku ten inny podmiot przetwarza dane osobowe w imieniu administratora. Trzeba pamiętać, że zgodnie z motywem 81 RODO, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania. Nowością jaką wprowadza RODO jest możliwość zawarcia wskazanej umowy również w formie elektronicznej.

Jak jest z powiadomieniami push na stronach www np. od OneSignal – czy trzeba podpisywać z nimi umowę powierzenia danych osobowych?

W przypadku dostawcy web push należy sprawdzić jakie dane są przetwarzane, czy są to dane osobowe, czy korzysta z silnika OneSignal. W przypadku korzystania z silnika OneSignal należy zapoznać się z ich polityką prywatności i sprawdzić jakie dane do jakich firm i w jakim celu są przekazywane, jeżeli są to dane osobowe należy podpisać umowę powierzenia przetwarzania danych.

Jeżeli dostawca web push twierdzi, że nie przetwarza danych osobowych, poprosić o listę podmiotów z którymi współpracuje w celu realizacji niniejszej usługi z opisem jakie informacje są wymieniane.

Należy pamiętać, iż zgodnie z RODO administrator danych osobowych ma obowiązek poinformować swoich użytkowników o przetwarzaniu danych czy też profilowaniu i uzyskać ich zgodę.

Użytkownik musi wiedzieć jakie dane i w jakim celu i komu są przekazywane.

Czy jest różnica, gdy mailing obsługuje polska firma np. Freshmail a zagraniczna jak Mailchimp?

Freshmail to spółka z siedzibą w Krakowie, zatem obowiązuje to samo rozporządzenie o ochronie danych osobowych.

W przypadku Mailchimp, dane przekazywane są do Stanów Zjednoczonych, gdzie przepisy o ochronie danych osobowych są bardziej liberalne.

Zarówno w przypadku Freshmaila jak i Mailchimp, należy podpisać umowę powierzenia przetwarzania danych i poinformować użytkownika komu powierzamy przetwarzanie danych osobowych i w jakim celu. Ponadto w przypadku Mailchimp należy poinformować użytkownika, że jego dane zostaną przekazane na serwery znajdujące się w USA.

Czy pod komentarzami na blogu trzeba mieć checkboxa z informacją o przetwarzaniu danych osobowych?

W przypadku komentarzy na blogu podstawą przetwarzania danych jest akceptacja regulaminu przez osobę komentującą natomiast w przypadku możliwości komentowania postów bez akceptacji regulaminu z użyciem nicka wtedy podstawą prawną jest zgoda takiej osoby, wyrażona poprzez sam fakt zamieszczenia na blogu komentarza określonej treści.

Czy do formularza kontaktowego ma być załączony checkbox/y z informacją o przetwarzaniu danych osobowych?

Uzupełnienie przez użytkownika formularza kontaktowego w celu nawiązania kontaktu jest formą wyrażenia zgody. Nie można jednak zapomnieć o obowiązku informacyjnym. Pod formularzem należy umieścić obowiązek informacyjny podając informacje, o których mowa w art. 13 RODO.

Jak z ciasteczkami na stronach? Muszą być czy nie muszą? Czy taki standardowy pasek z przyciskiem ZGADZAM SIĘ wystarczy, czy trzeba umożliwić użytkownikom odhaczenie konkretnych ciasteczek?

RODO nic nie zmienia w kwestii informacji o używaniu plików cookies, która powinna być na stronach.

Użytkownik powinien wiedzieć jakie pliki cookies są stosowane. W przypadku stosowania cookies do prawidłowego działania strony bez dodatkowych funkcji wystarczy standardowy pasek z przyciskiem ZGADZAM SIĘ.

Natomiast w przypadku stosowania plików cookies wzbogaconych o dodatkowe funkcje, użytkownik powinien wyrazić zgodę na stosowanie takich plików lub mieć możliwość nie wyrażenia zgody.

W praktyce może być to na przykład okno z informacją o stosowanych plikach cookies, gdzie użytkownik ma możliwość odhaczenia stosownych checboxów lub nie wyrażenia zgody.

Jakieś inne zalecenie w kontekście RODO dla blogerów i małych firm?

Zalecamy rozważenie zakupu certyfikatu SSL żeby korzystać z bezpiecznego połączenia.

Odpowiedzi na pytania przygotowały Agata Bożek Radca prawny i Milena Rutkowska Radca prawny współautorki bloga i strony internetowej Paragrafki – www.paragrafki.pl – serdecznie dziękuję i odsyłam wszystkich na bloga Paragrafki, gdzie również można znaleźć sporo informacji na temat RODO dla blogerów i nie tylko 🙂

Jeśli zaś macie pytania o to jak od strony technicznej przygotować swojego bloga / stronę www pod RODO to zapraszam do grupy Biznes Bliższy Kobiecie 🙂