Nawigacja

Prowadzisz blog, vlog lub tworzysz jakieś inne treści w sieci i zastanawiasz się, co musisz zrobić ze względu na RODO?

Zapoznałeś się już z jakimiś materiałami, ale nadal nie masz odpowiedzi na kluczowe pytania w kontekście twojej aktywności w internecie?

Doskonale trafiłeś. W tym materiale (tekst + wideo + audio) znajdziesz praktyczne informacje dotyczące właśnie twojej sytuacji.

Rozmowa na temat RODO – wideo

W pierwszej kolejności zapraszam cię do obejrzenia wideo będącego zapisem rozmowy z Bartkiem Luzakiem na temat RODO. Bartek jako twórca internetowy zadawał mi konkretne pytania, a ja na nie odpowiadałem. Przy okazji możesz zasubskrybować mój kanał na YT, bo planuję regularnie publikować tam przydatne materiały.

Podcast o RODO dla twórców internetowych

Na bazie rozmowy z Bartkiem stworzyłem osiemnasty odcinek podcastu o prawie dla kreatywnych. Jeżeli najbardziej lubisz słuchać, to podcast będzie dla ciebie idealny.

Podobał ci się odcinek? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Podcastu “Prawo dla kreatywnych” możesz słuchać regularnie w następujących miejscach:

Wszystkie pozostałe odcinki podcastu “Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Natomiast poniżej znajdziesz artykuł o RODO dla blogerów, vlogerów i twórców internetowych. To nie jest po prostu transkrypcja rozmowy. Ten artykuł napisałem zupełnie niezależnie od rozmowy z Bartkiem.

Nie takie RODO straszne jak je malują

RODO wcale nie jest takie przerażające. Serio. Tak, wiem, że straszą nim na lewo i prawo, ale bardzo często to po prostu próba zarobienia na strachu i niewiedzy.

Gigantyczne kary, nowe obowiązki, rewolucja w ochronie danych osobowych. Słyszałeś już te hasła, prawda?

Cóż, kary rzeczywiście są, ale wcale nie jest powiedziane, że zawsze będą nakładane w milionach złotych, ani że w ogóle będą nakładane z automatu na każdego, kto dopuści się choćby najmniejszego potknięcia na gruncie RODO.

Pisałem o tym w swoim ogólnym poradniku na temat RODO i odsyłam cię do niego po szczegóły w kontekście kar: RODO – czy naprawdę trzeba się bać?

Nowe obowiązki faktycznie się pojawiają, ale nie są aż tak uciążliwe, szczególnie dla twórców internetowych. Co więcej, RODO tak naprawdę raz na zawsze kończy z formalistycznymi obostrzeniami typu:

  • polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi,
  • zmiana hasła co 30 dni,
  • szczegółowe wymogi co do brzmienia hasła,
  • umowa powierzenia na piśmie,
  • zgłoszenie zbioru do GIODO.

RODO jest mądrzejsze niż dotychczasowa ustawa o ochronie danych osobowych. Koncentruje się na rzeczywistych środkach ochrony danych osobowych, a nie na jakiś przemądrzałych papierkach niemających wiele wspólnego z rzeczywistością.

Jeżeli chcesz dowiedzieć się więcej o odejściu od formalistycznego modelu ochrony danych osobowych, to ponownie odsyłam do mojego ogólne poradnika na temat RODO: RODO – czy naprawdę trzeba się bać?

Nie chcę w tym artykule powielać informacji, które zawarłem w podlinkowanym powyżej materiale. Tam podszedłem do tematu bardziej kompleksowo. Tutaj opowiem ci o najważniejszych kwestiach stricte z punktu widzenia twórcy internetowego.

Od RODO nie ma ucieczki

Zacznijmy od tego, że nie ma jakichkolwiek wątpliwości, że RODO znajduje do ciebie zastosowanie. Oczywiście pod warunkiem, że przetwarzasz jakieś dane osobowe. Biorąc jednak pod uwagę, że już samo gromadzenie maili na potrzeby newslettera jest przetwarzaniem danych osobowych, to nie mamy o czym dyskutować.

Dyskutować mogliśmy na gruncie polskiej ustawy o ochronie danych osobowych obowiązującej do 25.05.2018 r. Tam mieliśmy przepis mówiący, że ustawę stosujemy do osób fizycznych, które przetwarzają dane w związku z działalnością zarobkową, zawodową. To była pożywka dla tych, którzy twierdzili, że na blogu nie zarabiają, blogowanie to nie ich zawód, w związku z czym nie muszą przestrzegać ustawy.

RODO nie odwołuje się już do działalności zarobkowej i zawodowej jako kryterium decydującym o tym, czy ustawę stosujemy do osób fizycznych, czy nie. RODO wprowadza jedynie wyłączenie od jego stosowania dla przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

To nie pozostawia nam wątpliwości, że każdy bloger, który ma newsletter, podpada pod RODO, bo newsletter w żadnym wypadku nie jest czynnością czysto osobistą lub domową, tym bardziej, gdy na liście znajduje się kilka tysięcy adresów.

Czynnością czysto osobistą może być prowadzenie książki numerów w smartfonie, ale nie wysyłka newslettera.

Jeśli sam newsletter nie jest czynnością osobistą lub domową, to tym bardziej takimi czynnościami nie jest sprzedaż własnych produktów, czy to fizycznych, czy elektronicznych, a przecież coraz więcej twórców internetowych zakłada własne sklepy.

Jeżeli i ty sprzedajesz swoje produkty lub usługi, to pamiętaj, że nie ma zmiłuj – RODO cię dosięga. Nawet jeżeli nie sprzedajesz, ale masz tylko newsletter – RODO również cię dosięga. Najbezpieczniej w ogóle przyjąć, że RODO zawsze cię dosięga, bo twórczość internetowa już nieodłącznie wiąże się z przetwarzaniem danych osobowych.

Od RODO nie ma ucieczki
Od RODO nie ma ucieczki

Na początek rejestr czynności przetwarzania danych osobowych

Gdy już wiesz, że musisz zainteresować się RODO, to pewnie chcesz wiedzieć, co masz zrobić, by do tego RODO się dostosować.

Proponuję zacząć od stworzenia rejestru czynności przetwarzania danych osobowych. To jest taka mądra nazwa dokumentu, który wprawdzie nie jest obowiązkowy dla wszystkich administratorów danych osobowych, ale który zawsze warto mieć. Dlaczego? Dlatego, że tworząc taki dokument uświadomisz sobie, jakie dane osobowe przetwarzasz i w jaki sposób to robisz.

Żeby stworzyć taki dokument, zastanów się najpierw, jakie w ogóle dane osobowe przetwarzasz. Oto najczęściej występujące przypadki:

  • newsletter – dane osobowe subskrybentów (choćby sam adres e-mail),
  • konkursy – dane osobowe uczestników,
  • komentarze – dane osobowe komentujących,
  • sprzedaż swoich produktów – dane osobowe kupujących,
  • faktury – dane osobowe klientów,
  • telefon firmowy – dane osobowe w książce kontaktów,
  • poczta e-mail – dane osobowe w ramach korespondencji,
  • współpracownicy – dane osobowe związane z zatrudnieniem,
  • umowy – dane osobowe zawarte w umowach.

Dobra, nie wymieniam dalej, bo się przestraszysz. Widzisz już? Dane osobowe są tak naprawdę wszędzie. Jeśli tylko nie przetwarzasz ich w ramach czynności o czysto osobistym lub domowym charakterze, to masz na karku RODO. Bez obaw jednak, ze wszystkim sobie poradzimy.

Zatem zacząłeś od zidentyfikowania wszystkich sytuacji, w których przetwarzasz dane osobowe. Brawo, właśnie poznałeś czynności przetwarzania, jakich dokonujesz. Nie ma przypadków, przecież przygotowujesz rejestr czynności przetwarzania.

W takim rejestrze muszą znaleźć się następujące informacje:

  • twoje imię i nazwisko oraz dane kontaktowe (chyba że przetwarzasz dane np. jako spółka – wtedy nazwa spółki),
  • poszczególne cele przetwarzania danych (np. wysyłka newslettera, organizacja konkursu, publikowanie komentarzy na blogu, sprzedaż produktów, wystawianie faktur, kontakty z klientami),
  • kategorie osób, których dane przetwarzasz oraz kategorie danych (np. subskrybenci newslettera – imię i adres e-mail, uczestnicy konkursu – imię i nazwisko, adres e-mail; komentujący na blogu – imię, adres e-mail; klienci – imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu, numer NIP),
  • kategorie odbiorców, którym dane zostaną ujawnione (tutaj najczęściej będzie brak, bo przecież nie masz zamiaru ujawniać nikomu danych),
  • informacje o przekazywaniu danych do państwa trzeciego (zawsze, gdy dane przetwarzane są na serwerach znajdujących się poza Unią Europejską, np. korzystanie z MailChimp, gdzie dane przechowywane są na serwerach w USA),
  • planowany termin usunięcia danych osobowych (np. rezygnacja z otrzymywania newslettera, zakończenie konkursu, zamknięcie bloga, przedawnienie roszczeń z tytułu umowy o udział w kursie on-line),
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (np. dostęp do komputera i danych zabezpieczony hasłem, certyfikat SSL dla domeny, ochrona antywirusowa na komputerze, dane przetwarzane wyłącznie on-line bez zapisu na dysk i bez ich przetwarzania w formie papierowej).

Jak widzisz, ten rejestr czynności przetwarzania wcale nie jest taki straszny. Wystarczy stworzyć dla każdego celu przetwarzania danych odrębną tabelkę, w której będą zawarte wszystkie te informacje.

Np. oddzielna tabelka dla wysyłania newslettera, oddzielna dla organizacji konkursu, oddzielna dla obsługi klientów etc.

Traktuj każdy cel przetwarzania jako inną czynność przetwarzania danych osobowych. Teraz już widzisz, dlaczego ten dokument nazywa się rejestrem czynności przetwarzania danych osobowych, prawda?

Wzór rejestr czynności przetwarzania danych osobowych wraz z przykładem jego wypełnienia znajdziesz w pakiecie RODO dla twórców internetowych.

Box RODO
Kliknij w grafikę, by poznać ofertę.

Powierzenie przetwarzania danych osobowych

Wiesz już jakie dane przetwarzasz i w jakich celach. To solidny punkt wyjścia. Teraz zastanów się, jakie podmioty uczestniczą w przetwarzaniu danych. Mam tu na myśli np.:

  • hostingodawca – przechowuje gromadzone przez ciebie dane na serwerze,
  • dostawca systemu mailingowego – przechowuje po swojej stronie dane osób, które znajdują się na twoich listach mailingowych,
  • dostawca systemu do fakturowania – przechowuje po swojej stronie dane osób widoczne na fakturach,
  • biuro rachunkowe – przetwarza w ramach księgowania dane osobowe widoczne na fakturach oraz dane twoich współpracowników w ramach obsługi kadrowej,
  • wirtualna asystentka – przetwarza dane osobowe zawarte w korespondencji e-mail, którą obsługuje,
  • dostawca systemu CRM – przetwarza dane, które wprowadzasz do CRM,
  • firma kurierska – przetwarza dane zawarte w zamówieniach składanych w twoim sklepie.

To oczywiście tylko przykłady. Takich sytuacji może być więcej. Generalnie, każda sytuacja, gdy jakiś podmiot bierze na twoje zlecenie udział w przetwarzaniu danych, które gromadzisz, to powierzenie przetwarzania danych osobowych.

Gdy powierzasz przetwarzanie danych osobowych, musisz zawrzeć umowę powierzenia. Polska ustawa o ochronie danych osobowych obowiązująca do 25.05.2018 wymaga, by ta umowa była zawarta na piśmie. To często niemożliwe, gdy jakieś usługi świadczy dla ciebie podmiot z drugiego końca świata.

Na szczęście RODO dopuszcza zawarcie umowy również w formie elektronicznej. Oznacza to, że taką umowę można zawrzeć choćby poprzez akceptację regulaminu w trakcie rejestracji w usłudze, jeżeli w tym regulaminie znajdują się postanowienia dotyczące powierzenia danych.

Teraz zadanie dla ciebie – stwórz wykaz wszystkich podmiotów, którym powierzasz przetwarzanie danych wraz z opisem celu, dla którego do tego przetwarzania dochodzi.

Tutaj znowu wystarczy prosta tabelka z odpowiednimi kolumnami. Proponuję następujący układ kolumn:

  • nazwa podmiotu, któremu powierzasz przetwarzanie danych,
  • cel powierzenia – np. korzystanie z systemu mailingowego,
  • fakt zawarcia umowy powierzenia.

Wzór wykazu powierzeń przetwarzania danych osobowych wraz z przykładem jego wypełnienia znajdziesz w pakiecie RODO dla twórców internetowych.

Wypełnienie trzeciej kolumny – fakt zawarcia umowy powierzenia – to kolejne zadanie dla ciebie. Zerknij do umów lub regulaminów, na podstawie których korzystasz ze wszystkich usług i sprawdź czy znajdują się tam postanowienia dotyczące powierzenia danych osobowych.

Jeżeli nie ma, to zapytaj o możliwość zawarcia umowy powierzenia danych. Wzór umowy powierzenia przetwarzania danych osobowych znajdziesz w pakiecie RODO dla twórców internetowych.

Zwróć również uwagę czy podmioty, którym powierzasz dane, zapewniają stosowanie odpowiednich środków ochrony danych osobowych. Zajrzyj do regulaminów, polityk prywatności i upewnij się czy znajdują się tam postanowienia dotyczące odpowiedniego postępowania z ochroną danych osobowych.

Nie zaniedbaj tego, ponieważ skutki niedociągnięć tych podmiotów będziesz ponosić ty jako administrator danych osobowych.

RODO - odpowiedzialność
To ty przede wszystkim odpowiadasz za dane, które przetwarzasz.

Dodatkowa dokumentacja ochrony danych

Masz już zatem rejestr czynności przetwarzania danych osobowych oraz wykaz powierzeń. Sporo roboty już za tobą.

Teraz warto pomyśleć o przygotowaniu jakiejś dokumentacji, która będzie choćby w prosty sposób opisywać procedury postępowania z danymi osobowymi, jakie stosujesz. Chodzi o wskazanie m.in.:

  • w jakich miejscach dochodzi do przetwarzania danych,
  • kto ma dostęp do danych,
  • jakie zastosowano środki w celu ochrony danych osobowych.

Nie musi być to żaden formalny dokument. RODO nie wymaga już bezwzględnie posiadania polityki bezpieczeństwa przetwarzania danych osobowych oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Ja jednak uważam, że posiadanie takich dokumentów jest przydatne. Tak jak tworząc rejestr czynności przetwarzania danych osobowych i wykaz powierzeń nabywasz świadomości związanej z procesami przetwarzania danych osobowych, tak tworząc politykę bezpieczeństwa i instrukcję zarządzania zaczynasz dostrzegać zaplecze przetwarzania przez ciebie danych.

Tworząc taką dokumentację, kluczowe jest, by zastanowić się nad środkami ochrony danych. Te środki mają być takie, by zapewnić danym bezpieczeństwo.

Chodzi o to, by dane nie wyciekły, by nie uzyskał do nich dostęp nikt nieuprawniony, by nikt ich nie skasował, zmodyfikował itp.

Biorąc pod uwagę skalę przetwarzania danych przez twórcę internetowego, wystarczające wydają się następujące środki:

  • ochrona antywirusowa na sprzęcie wykorzystywanym do przetwarzania danych,
  • dostęp do sprzętu zabezpieczony użytkownikiem i hasłem,
  • dostęp do systemów, w których przetwarzane są dane zabezpieczony użytkownikiem i hasłem (mile widziany drugi faktor, np. kod SMS),
  • jeżeli do danych ma dostęp więcej osób, upoważnienie każdej osoby do przetwarzania danych, ujęcie jej w ewidencji osób upoważnionych i nadanie jej unikalnego użytkownika i hasła,
  • przeszkolenie wszystkich osób, które dla ciebie pracują i mają dostęp do danych w zakresie ochrony tych danych, szczególnie gdy przetwarzają dane z wykorzystaniem własnego sprzętu, nad którym nie masz jako takiej kontroli,
  • włączanie blokady ekranu z koniecznością podania hasła, gdy zostawiasz swój sprzęt przy innych i na chwilę gdzieś się oddalasz,
  • zachowanie ostrożności przy korzystaniu z urządzeń mobilnych w obecności innych, by nie mogli podejrzeć danych (np. pociąg),
  • jeżeli przechowujesz jakieś dane w formie papierowej (np. zbiór umów), to zapewnienie, by osoby nieupoważnione nie mogły do nich uzyskać dostępu (np. trzymanie papierów w szafie zamykanej na klucz),
  • niepozostawianie na wierzchu dokumentów z danymi osobowymi,
  • wykupienie certyfikatu SSL dla domeny, pod którą znajdują się formularze służące do przesyłania danych osobowych.

To przykładowe środki, jakie przychodzą mi do głowy, gdy myślę o twórcy internetowym przetwarzającym dane głównie z wykorzystaniem swojego komputera lub smartfona, ewentualnie przy pomocy współpracowników pracujących na odległość.

Oczywiście środków bezpieczeństwa może być dużo więcej i jeżeli chronisz dane w jeszcze jakiś inny sposób, to jak najbardziej opisz to w swojej dokumentacji.

Wzór pełnej dokumentacji ochrony danych osobowych wraz z przykładowym wypełnieniem znajdziesz w pakiecie RODO dla twórców internetowych.

Ewidencjonowanie i zgłaszanie naruszeń

Coraz więcej formalności mamy już za sobą:

  • rejestr czynności przetwarzania danych osobowych,
  • wykaz powierzeń,
  • uzupełniająca dokumentacja ochrony danych.

Został nam jeszcze jeden obowiązek, który jest nowością w RODO. Chodzi o ewidencjonowanie incydentów naruszeń ochrony danych osobowych. Czyli o sytuacje, gdy dane, które gromadzisz, wyciekają, tracisz je w niewiadomych okolicznościach, uzyskuje do nich dostęp ktoś nieuprawniony etc.

Każdy taki incydent powinien być przez ciebie szybko wyłapany, zewidencjowany i zaraportowany. Wszystko po to, byś był w stanie w ciągu 72 godzin podjąć decyzję czy zgłaszasz naruszenie do organu nadzorczego, czy nie.

W działaniach twórcy internetowego pewnie nie zajdzie nigdy sytuacja, gdy takie zgłoszenie do organu nadzorczego będzie obowiązkowe (choć np. gdybyś miał dużą listę mailingową i ktoś by te adresy wykradł, to taki obowiązek by powstał), ale warto, byś miał u siebie jakąś procedurę na wypadek zaistnienia naruszenia ochrony danych.

Taka procedura najczęściej opisywana jest w ramach uzupełniającej dokumentacji ochrony danych. Towarzyszy jej również ewidencja incydentów naruszenia ochrony danych osobowych oraz wzór raportu z naruszenia ochrony danych osobowych.

Krótko mówiąc, przygotowujesz się na wszelki wypadek. No i masz dokumenty, które możesz pokazać w razie kontroli jako dowód dołożenia należytej staranności w zakresie ochrony danych osobowych.

RODO - bezpieczeństwo
Ubezpieczony zawsze bezpieczny.

Wszystkie potrzebne dokumenty znajdziesz w pakiecie RODO dla twórców internetowych.

Inspektor ochrony danych osobowych

Zmęczony? Mam nadzieję, że nadal ze mną jesteś, bo jeszcze trochę nam zostało.

Porozmawiajmy chwilę o inspektorze ochronie danych osobowych. To taki człowiek w firmie, który ma pomagać w ochronie danych osobowych.

Najlepiej gdyby znał się na prawie ochrony danych osobowych i na kwestiach IT jednocześnie, by godzić te dwa obszary. Generalnie, wyznacza się go po to, by zajął się ochroną danych osobowych i odciążył administratora.

W polskiej ustawie o ochronie danych osobowych obowiązującej do 25.05.2018 r. jego pewnego rodzaju odpowiednikiem jest ABI (administrator bezpieczeństwa informacji), tyle, że w polskiej ustawie ABI jest całkowicie dobrowolny, a na gruncie RODO powołanie inspektora ochrony danych osobowych (IODO) będzie w pewnych sytuacjach obowiązkowe. W jakich? Ano takich:

  • przetwarzania dokonują organ lub podmiot publiczny,
  • główna działalność administratora polega na operacjach, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej, dane dotyczące wyroków skazujących oraz naruszeń prawa).

Jak widzisz, wyznaczanie IODO w sytuacji twórców internetowych nie będzie raczej częstą sytuacją. Oczywiście możesz IODO powołać nawet wtedy, gdy obowiązku nie masz, ale jestem w 99% pewien, że nie jesteś tym zainteresowany.

Ocena skutków przetwarzania danych

Kończąc wątek obowiązków wewnętrznych związanych z RODO (przed nami jeszcze zewnętrzne), trzeba powiedzieć kilka słów o ocenie skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

W pewnych sytuacjach administrator jest zobowiązany do dokonania takiej oceny i spisania jej w formie dokumentu.

Kiedy? Gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Tutaj ocena nie jest już tak prosta jak przy tym, czy musisz wyznaczyć IODO. Uważam jednak, że większość twórców internetowych nie będzie mieć obowiązków przeprowadzania takiej oceny, bo przetwarzanie przez nich danych będzie dość standardowe i nie będzie powodować szczególnego ryzyka naruszenia praw lub wolności użytkowników.

Na wszelki wypadek i jako dowód dołożenia należytej staranności warto przygotować krótki dokument, w którym znajdzie się zapis procesu myślowego i argumenty prowadzące do wniosku, że w związku z twoim przetwarzaniem danych nie ma jakiś szczególnych zagrożeń. Wzór takiego dokumentu znajdziesz w pakiecie RODO dla twórcy internetowego.

Checkboxy, które wszyscy kochaja

Uff… obowiązki wewnętrzne mamy za sobą. Dlaczego wewnętrzne? Bo wszystko to, co robisz na tym etapie nie jest widoczne dla użytkowników. To twoje wewnętrzne procedury, mechanizmy postępowania, środki bezpieczeństwa, rejestry itp.

Wdrożenie RODO nie kończy się jednak tylko na obowiązkach wewnętrznych. Mamy też obowiązki zewnętrzne, czyli te, które są już widoczne dla użytkownika.

W pierwszej kolejności trzeba powiedzieć o zgodzie na przetwarzanie danych.

Podstawowym zbiorem większości twórców internetowych jest zbiór newsletterowy. Żeby móc przetwarzać dane na potrzeby newslettera, musisz mieć na to zgodę użytkownika, który do tego newslettera się zapisuje.

Najlepiej żebyś tę zgodę odebrał w formie checkboxa. Chcąc być w 100% poprawnym, powinieneś mieć nawet trzy checkboxy:

  • zgodę na przetwarzanie danych osobowych w celach marketingowych,
  • zgodę na przesyłanie informacji handlowych za pośrednictwem poczty elektronicznej,
  • zgodę na wykorzystywanie końcowych urządzeń telekomunikacyjnych dla celów marketingu bezpośredniego.

W praktyce skłaniam się ku dopuszczalności jednego, łączonego checkboxa, np:

Chcę zapisać się do newslettera, a co za tym idzie wyrażam zgodę na otrzymanie na mój adres e-mail informacji o nowościach, promocjach, produktach i usługach Wojciecha Wawrzaka.

RODO - checkboxy
Checkboxów nie trzeba się bać.

Klauzula informacyjna

Checkbox ze zgodą na przetwarzanie danych osobowych to jeszcze nie wszystko. RODO nakłada na ciebie obowiązek informacyjny.

Polega on na tym, że zbierając dane osobowe, musisz przekazać osobom, których dane gromadzisz określone informacje. Tych informacji wg RODO jest naprawdę dużo. Oto przykładowa klauzula informacyjna na gruncie RODO:

Administratorem Twoich danych osobowych będzie Jan Kowalski, ul. Neonowa 123/12, 91-123 Kozia Wólka. Dane będą przetwarzane na podstawie art. 6 ust. 1 lit. a RODO w celu przesyłania Ci newslettera. Dane będą przechowywane w bazie administratora przez czas funkcjonowania newslettera, chyba że wcześniej zrezygnujesz z otrzymywania newslettera, co spowoduje usunięcie danych z bazy. Będziesz mieć prawo do żądania od administratora dostępu do swoich danych osobowych oraz do ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych – na zasadach określonych w art. 16 – 21 RODO. W każdej chwili będziesz mógł wycofać zgodę na otrzymywanie newslettera. Jeżeli uznasz, że Twoje dane są przetwarzane niezgodnie z przepisami prawa, będziesz mógł wnieść skargę do organu nadzorczego. Podanie danych jest dobrowolne, ale niezbędne do zapisu do newslettera.

Sporo tego, prawda? Ja osobiście stosuję skróconą klauzulę informacyjną:

Administratorem Twoich danych osobowych będzie Wojciech Wawrzak, ul. Tatrzańska 91/51, 93-279 Łódź, adres e-mail: kontakt@wojciechwawrzak.pl. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności. Ponadto, odnajdziesz je w wiadomości potwierdzającej zapis do newslettera.

Jeżeli nie chcesz w ogóle dodawać do formy newsletterowej klauzuli informacyjnej, proponuję przenieść ją do maila potwierdzającego zapis do newslettera. Tam możesz przekazać wszystkie wymagane informacje w sposób dużo mniej inwazyjny niż poprzez wtłaczanie ich w treść formy newsletterowej.

Ważna uwaga w tym miejscu jest taka, że projekt nowej polskiej ustawy o ochronie danych osobowych przewiduje ograniczenie obowiązku informacyjne dla przedsiębiorców zatrudniających mniej niż 25o pracowników.

Niestety nie wiemy jeszcze w jakim ostatecznie kształcie ustawa zostanie przyjęta, więc póki co ograniczyłem się do wskazania sposobu na realizację rozszerzonego obowiązku informacyjnego.

W żadnym przypadku realizacja obowiązku rozszerzonego nie będzie jednak błędem. Dlatego ze spokojem możesz w polityce prywatności uwzględnić najszerszy możliwy katalog informacji, nawet jeśli nowa polska ustawa umożliwi ci ich ograniczenie.

Polityka prywatności

Jak zauważyłeś, w mojej klauzuli informacyjnej znajduje się odniesienie do polityki prywatności.

Polityka prywatności to dokument, który powinien mieć każdy twórca internetowy posiadający swoją stronę. Najlepiej żeby taka polityka prywatności znajdowała się w postaci linku w stopce.

W tej polityce prywatności zawiera się wszystkie informacje związane z przetwarzaniem danych osobowych. Szczegółowo, precyzyjnie, ale jednocześnie w sposób zrozumiały i przejrzysty dla użytkownika.

Ponadto, polityka prywatności to miejsce na wskazanie wszystkich plików cookies, jakie wykorzystywane są na stronie.

Tutaj zaczyna się prawdziwa zabawa. Czy wiesz w ogóle, jakie pliki cookies wykorzystujesz? Oto kilka przykładów:

  • cookies Google Analytics,
  • cookies Facebooka, Pixel Facebooka,
  • cookies Disqusa,
  • cookies YouTube (embedowane filmy na stronie),
  • cookies wtyczki społecznościowej,
  • cookies sieci afiliacyjnej, do której należysz,
  • cookies różnego rodzaju wtyczek, z których korzystasz,
  • cookies narzędzi do wykonywania map cieplnych, np. HotJar,
  • cookies narzędzia do powiadomień typu push,
  • cookies zewnętrznego czatu.

Sporo tego, prawda? Mnóstwo! Często nawet nie zdajemy sobie sprawy, ile ciasteczek wykorzystywanych jest w ramach naszej strony poprzez korzystanie z różnych narzędzi. Można to sprawdzić, robiąc techniczny audyt cookies albo bazować na swojej wiedzy, intuicji i politykach prywatności rozwiązań, z których korzystamy.

Oprócz tego, że w polityce prywatności powinny zostać opisane wszystkie cookies, to użytkownik powinien jeszcze na te cookies wyrazić zgodę. Pierwotnie odbywa się to poprzez ustawienia przeglądarki, ale wtórnie najczęściej stosowanym rozwiązaniem jest wyskakujące okienko z informacją o cookies i prośbą o ich akceptację.

Nie jest to rozwiązanie modelowe, ale jeżeli już takowe jest, to trzeba chociaż sprawić, by ta wyskakująca informacja o cookies była zgodna z rzeczywistością, czyli wskazywała na podstawowe rodzaje plików cookies i odsyłała po szczegóły do polityki prywatności.

Wspomniałem powyżej o modelowym rozwiązaniu. Modelowe rozwiązanie to takie, w ramach którego użytkownik może zdefiniować ustawienia cookies, decydując, że np. zgadza się na cookies niezbędne do korzystania z funkcji społecznościowych, ale już nie zgadza się na cookies reklamowe. Jest już kilka rozwiązań technicznych, które to umożliwiają. Jeżeli jesteś zainteresowany, to zerknij choćby na stronę narzędzia Optanon.

Od checkboxa i klauzuli informacyjnej na potrzeby newslettera płynnie przeszedłem do polityki prywatności. Wracając jednak do tematu checkboxów i klauzul informacyjnych, to pamiętaj, że zgody i klauzule informacyjne mogą być konieczne jeszcze w innych miejscach.

Przykładowo, jeżeli masz na blogu wdrożony jakiś system sprzedaży, to klauzula informacyjna powinna znaleźć się pod formularzem zamówienia, przynajmniej w skróconej formie.

Generalnie, wszędzie tam, gdzie użytkownik podaje jakieś dane osobowe, powinna zostać zawarta choćby skrócona klauzula informacyjna odsyłająca do polityki prywatności, byś mógł powiedzieć, że wypełniłeś należycie obowiązek informacyjny.

Wzór polityki prywatności znajdziesz w pakiecie RODO dla twórców internetowych.

RODO - polityka prywatności
Czasem warto pokusić się o zrozumienie czegoś, co wydaje się niemożliwe do zrozumienia.

Certyfikat SSL

Już zupełnie na koniec zachęcam cię do wykupienia dla swojej domeny certyfikatu SSL. Nie, nie mam z tytułu tej namowy żadnego profitu.

Po prostu gdy na swojej stronie masz formularze poprzez które można przesyłać dane osobowe, to powinieneś wykupić certyfikat SSL, by korzystać z bezpiecznego połączenia i by twoi użytkownicy widzieli charakterystyczną kłódeczkę w pasku adresu.

Podsumowanie – lista zadań krok po kroku

Jak widzisz, z RODO na pewno jest sporo zabawy, ale nie jest to nic mega trudnego. Przerażać może nieco skala zagadnienia i ilość detali, dlatego przygotowałem ten poradnik. Żeby maksymalnie ułatwić ci życie, jeszcze treściwe podsumowanie twoich obowiązków na gruncie RODO.

Jeżeli chcesz być gotowy na RODO, podejmij następujące kroki:

  • przygotuj rejestr czynności przetwarzania danych osobowych,
  • stwórz wykaz powierzeń,
  • zawrzyj brakujące umowy powierzenia,
  • wdróż odpowiednie środki ochrony danych,
  • przygotuj polityki związane z ochroną danych osobowych,
  • nadaj upoważnienia współpracownikom, którzy mają dostęp do danych,
  • uwzględnij te osoby w ewidencji osób upoważnionych,
  • przeszkol te osoby w zakresie ochrony danych osobowych,
  • stwórz ewidencję incydentów naruszeń ochrony danych osobowych,
  • przygotuj wzór raportu z naruszenia ochrony danych osobowych,
  • dokonaj analizy ryzyka i skutków przetwarzania danych,
  • wyznacz IODO, jeżeli masz taki obowiązek albo chęć,
  • dodaj checkboxy tam, gdzie potrzebujesz zgody na przetwarzanie danych,
  • umieść klauzule informacyjne tam, gdzie zbierasz dane,
  • przygotuj politykę prywatności,
  • aktywuj mechanizm akceptacji cookies,
  • wykup protokół SSL dla swojej domeny.

Sporo formalności? Trochę ich jest. Uczciwe mówię w tym miejscu, że w przypadku MŚP, czyli przedsiębiorców zatrudniających mniej niż 250 pracowników część tych wymagań nie będzie obowiązkowa.

Ja zachęcam cię jednak do zmierzenia się z tematem w całości. Dlaczego? Dlatego, że znaczenie ochrony danych osobowych rośnie i warto mieć w tym zakresie odpowiednią wiedzę. Nic bardziej nie nauczy cię tego tematu jak wdrożenie na żywym organizmie ochrony danych osobowych u siebie.

Jeżeli będziesz potrzebować pomocy, oddaję do twojej dyspozycji pakiet RODO dla twórców internetowych. Możesz skorzystać również z mojego indywidualnego wsparcia – napisz na wojciech.wawrzak@prakreacja.pl.

Box RODO
Kliknij w grafikę, by poznać ofertę.

Dodatek dla tych, którzy już coś w temacie zrobili

Działania, które przedstawiłem powyżej w podsumowaniu krok po kroku, dotyczą tych, którzy z ochroną danych osobowych nie robili jak dotąd zupełnie nic. Jeżeli jednak już wcześniej ogarniałeś temat, to mam również coś dla ciebie, czyli instrukcję jak dostosować to, co już masz do RODO.

Jeżeli tykałeś temat wcześniej, to zapewne masz następujące dokumenty:

  • polityka bezpieczeństwa,
  • instrukcja zarządzania systemami informatycznymi,
  • ewidencja osób upoważnionych,
  • zawarte umowy powierzenia,
  • wzór upoważnienia
  • zgłoszenia do GIODO
  • protokół SSL dla domeny
  • politykę prywatności.

Dobra wiadomość jest taka, że wszystkie te dokumenty możesz wykorzystać. Oprócz zgłoszenia do GIODO, bo ono tak naprawdę traci znaczenie, ponieważ od 25.05.2018 r. nie będzie już obowiązku zgłaszania zbiorów do GIODO.

Jeżeli chodzi o ewidencję osób upoważnionych i wzór upoważnienia to w tych dokumentach nie musisz zmieniać nic. Zostają aktualne takie jakie są. Oczywiście jeśli nadal upoważniasz te same osoby do przetwarzania danych osobowych.

Polityka bezpieczeństwa i instrukcja zarządzania zostają jako dodatkowa dokumentacja ochrony danych osobowych. Oczywiście warto zweryfikować czy zawarte w niej informacje są aktualne i czy odpowiadają rzeczywistości.

Zostaje ci do zrobienia:

  • rejestr czynności przetwarzania,
  • ewidencja incydentów naruszeń ochrony danych osobowych,
  • analiza ryzyka i skutków przetwarzania danych,
  • dostosowanie checkboxów i klauzul informacyjnych do wymogów RODO,
  • dostosowanie polityki prywatności do wymogów RODO.

Oczywiście te powyższe kroki to tylko przykład, bo w twojej indywidualnej sytuacji może wyglądać to inaczej. Nie wiem jak do tej pory pochodziłeś do ochrony danych osobowych, jak rzetelnie przygotowałeś wcześniejsze dokumenty itp.

Jeżeli będzie potrzebować indywidualnej weryfikacji tego, co masz, to wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Podobał ci się ten materiał? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Chcesz wiedzieć więcej? Zajrzyj do strefy wiedzy dla kreatywnych.

Newsletter

Chcesz otrzymywać wartością wiedzę bezpośrednio na swoją skrzynkę e-mail? Zapisz się na newsletter.

Administratorem Twoich danych osobowych będzie Wojciech Wawrzak, ul. Tatrzańska 91/51, 93-279 Łódź, e-mail: kontakt@wojciechwawrzak.pl. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności. Ponadto, odnajdziesz je w wiadomości potwierdzającej zapis do newslettera.

  • Warto dodać, że obecnie certyfikat SSL nie jest “koniecznym kosztem”. Dzięki inicjatywie firm jak Mozilla, Google czy Akamai certyfikat SSL szanowany przez nawet stare urządzenia i przeglądarki jest obecnie darmowy. Mówię oczywiście o https://letsencrypt.org/. Mimo tego, że jest bezpłatny, nie jest ani mniej bezpieczny, ani bardziej skomplikowany we wdrożeniu od komercyjnych odpowiedników.

  • Christopher Obarski

    Czy aby na pewno sam tylko adres e-mail stanowić będzie dane osobowe? Przecież za jego pomocą nie jesteśmy w stanie zidentyfikować osoby a ustawa tego wymaga aby można było daną informację uznać za “dane osobowe”. http://www.giodo.gov.pl/319/id_art/973/j/pl

    • Tak, GIODO już wielokrotnie wypowiadał się na ten temat, przesądzając, że w większości przypadków adres e-mail będzie należał do kategorii danych osobowych. Wystarczy, że w adresie znajdzie się imię i nazwisko, np. jan.kowalski@gmail.com i już mówimy o danych osobowych, mimo że Janów Kowalskich może być na pęczki. Natomiast adres np. malolat26@buziaczek.pl nie będzie należał do kategorii danych osobowych. Niemniej jednak nie jesteśmy w stanie wykluczyć zbierając adresy e-mail, że nie pojawią się wśród nich te obejmujące imię i nazwisko, więc najbezpieczniej przyjąć, że zbierając choćby same adresy e-mail dokonujemy już przetwarzania danych osobowych.

  • Oczywiście zgadzam się z tą drogą argumentacji, że przeciętny internauta nie jest w stanie zdiagnozować tożsamości kogoś wyłącznie na podstawie adresu e-mail. O ile jednak są to interesujące dyskusje z punktu widzenia pewnych założeń ochrony danych osobowych, o tyle z punktu widzenia praktyki najbezpieczniej jest po prostu przyjąć, że jeśli przetwarzam adresy e-mail, to przetwarzam dane osobowe. Tym bardziej, że z tym adresem e-mail najczęściej powiązany jest również chociażby adres IP, np. w przypadku systemu mailingowego, który odnotowuje, z jakiego adresu IP został dokonany zapis na listę.

    • Christopher Obarski

      Czyli jak to mówią Anglicy: “Better safe than sorry”. 🙂 Dziękuję za konstruktywną rozmowę i solidny artykuł.

      Pozdrawiam, Krzysztof Obarski

  • Czy dobrze rozumiem, że jeśli prowadzę 1-os działalność, to wielu z tych rzeczy nie będę musiała wdrożyć, ale nie do końca wiadomo które?::) Bo już się pogubiłam, szczerze mówiąc i nie chcę tracić czasu na coś, czego robić nie muszę, kosztem czegoś, co jest konieczne.

    • Rejestr czynności przetwarzania – nieobowiązkowy dla przedsiębiorców, którzy zatrudniają mniej niż 250 pracowników, ale osobiście uważam, że ten rejestr to podstawa, którą powinien spełnić każdy, o czym wspomniałem w materiale.

      Polityka bezpieczeństwa i instrukcja zarządzania – dokumenty obowiązkowe na ten moment, nieobowiązkowe od 25.05.2018 r., gdzie to już administrator decyduje czy potrzebne mu takie polityki czy nie. Tutaj uważam, że choćby podstawą listę środków bezpieczeństwa warto mieć, jeżeli nie ma się polityk.

      Wykaz powierzeń – fakultatywny, ale przydatny, by mieć jasność, gdzie dane przepływają.

      Obowiązki informacyjne – prawdopodobnie zostaną ograniczone do mniejszej ilości informacji, ale to dopiero się okaże, gdy zostanie przyjęta nowa polska ustawa o ochronie danych osobowych, czyli pewnie gdzieś w kwietniu dopiero.

  • Jeszcze nie czytałem, ale widzę, że odwaliłeś kawał dobrej roboty i musiałem Ci to napisać już teraz. 🙂

  • Rewelacyjny artykuł, jak zwykle. Wszystko, co trzeba wiedzieć 🙂
    Mam małe pytanie z cyklu “nowe technologie” – czy logowanie do komputera za pomocą skanera linii papilarnych jest wystarczającym zabezpieczeniem? 🙂

    • Dzięki za ciepłe słowa! 🙂 Tak, takie logowanie jest nawet “lepszym” środkiem zabezpieczenia niż tylko użytkownik i hasło. 🙂

  • Tomek – BHPoint

    Gratuluję Wojtku ciekawego artykułu. Jak zwykle posłucham gdzieś “w biegu” lub w samochodzie 🙂

  • Dorota Jarzabek

    Jak zwykle u Pana rzetelnie i na temat. Gratuluje i dziękuję za ogrom bardzo potrzebnej wiedzy.

  • Krzysztof Księski

    Dzień dobry Panie Wojciechu.

    Jestem od zeszłego listopada 2017 nowym ABI w
    starostwie. Przed moim zatrudnieniem temat ochrony danych był w rozsypce, więc
    urząd zdecydował się na audyt i uporządkowanie tych kwestii. Audytor wykonał
    dokumentację , zidentyfikował zbiory. Zrobił między innymi i tak nazwał: Politykę
    bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym.
    Zacząłem się zgłębiać w te tematy i nurtuje mnie też taka sprawa
    Czytałem ostatnio sprawozdania pokontrolne NIK( z
    ubiegłego roku) z różnych starostw . W wielu przypadkach NIK miał uwagi
    do tego, że były prowadzone polityki bezpieczeństwa opracowane na
    podstawie §4 Rozporządzenia MSWiA z dnia 29.04.2004 a nie było prowadzonych
    polityk bezpieczeństwa informacji na podstawie §2 pkt 15
    Rozporządzenia Rady Ministrów z dnia 12.04.2012 w sprawie Krajowych Ram
    Interoperacyjności… Czy mam rozumieć, że winny być prowadzone dwie
    odrębne polityki? Czy jedną polityką jak nasza można spełnić
    wymagania z tych dwóch aktów prawnych ( choć w naszej polityce bezpieczeństwa
    informacji nie ma wskazanych podstaw prawnych z KRI) ? Zauważyłem, że co
    urząd to każdy robi inaczej.

    Proszę Pana o opinię, bo czym bardziej zagłębiam
    się w te tematy to coraz mniej śpię 🙂 Pozdrawiam

    • Dzień dobry, Panie Krzysztofie! Nie są mi znane szczególne podstawy dla dodatkowych polityk w starostwach. Z punktu widzenia przepisów o ochronie danych osobowych wystarczają jest polityka bezpieczeństwa przetwarzania danych osobowych. Być może z jakiś innych aktów wynikają dodatkowe obowiązki starostw, ale w tym zakresie niestety nie mam wiedzy.

  • Cześć Wojtek 🙂 Świetny materiał, bardzo pomocny, a procedura wydaje się być o wiele prostsza, niż przy giodo. Ale jako że ja jestem mistrzem błędnego interpretowania czegokolwiek co ma związek z prawem 🤭 to dopytam: dokumenty, które tworzymy pod RODO zostają u nas, tak? Nigdzie ich nie wysyłamy, nie zgłaszamy nic do żadnych instytucji?

    • Cześć, Paulina! Tak, wszystkie dokumenty wchodzące w skład wewnętrznej dokumentacji ochrony danych osobowych mają charakter wewnętrzny i nie podlegają publikacji ani zgłaszaniu do żadnych instytucji. Dla użytkowników dostępna jest natomiast polityka prywatności.

  • Michał Jędrak

    A ja mam pytanie, które nie daje mi spokoju. Mam serwer (hosting), na którym jest moja strona, konta mailowe itd. Serwer kupiłem kilka lat temu i znajduje się on w USA. W regulaminie firmy hostingowej jest napisane, że wszelkie dane na nim zawarte muszą być w zgodzie z prawem stanu Kalifornii. A więc fizycznie wszelkie dane, jakie posiadam znajdują się poza Polską. I teraz kilka wariantów (wszystkie możliwe w moim wypadku, mam wybór):

    Serwery w USA a ja:
    1. Mieszkam w Polsce i tu prowadzę działalność.
    2. Mieszkam w Polsce ale działalność prowadzę w Wielkiej Brytanii
    3. Mieszkam poza Polską (ośrodek interesów życiowych) ale utrzymuję polską działalność gospodarczą (aby klienci chętniej współpracowali) równolegle z działalnością zagranicą (działalność zagraniczna może oficjalnie być tą, która gromadzi dane osobowe, jak maile, użytkownicy i newslettery).

    Kiedy i w jakim stopniu mnie obowiązuje RODO a kiedy nie? Czy miejsce zbierania i przechowywania danych (serwer) jest nadrzędne wobec ośrodka interesów życiowych.

    • Jeżeli masz miejsce zamieszkania lub siedziby poza Polską, ale w UE, to RODO Cię obowiązuje. Nawet jeżeli masz miejsce zamieszkania lub siedziby poza UE, ale przetwarzasz dane obywateli UE w związku ze świadczeniem im usług lub sprzedażą produktów, to RODO Cię obowiązuje.

  • Wojtku!Dzięki za zastrzyk poukładanej wiedzy, którą teraz muszę na spokojnie przetrawić i pewnie na mniej spokojnie 😉 wdrożyć.
    Mam tylko zasadnicze 2 pytania:
    1) Mam blog i mam newsletter. Jego celem jest pisanie raz w miesiącu czegoś osobistego do czytelników, a raz w tygodni – rss wysyła powiadomienie o nowych wpisach. Tyle. Z powodów osobistych wiem, że przez co najmniej jeszcze rok nie będę mogła zarabiać na blogu: nie będę mieć żadnego sklepu, produktów itd. Czy w tym wypadku można potraktować jednak ten newsletter jako czynność osobista lub domowa: utrzymywanie kontaktu z czytelnikami?
    2) Mam złe doświadczenie ze stalkerem (przy okazji innego bloga). Czy naprawdę konieczne jest w Polityce Prywatności i w stopce newsletter podawanie swojego adresu zamieszkania (nie mam firmy, zatem siedziba firmy odpada)? Można to jakoś obejść?
    Pozdrawiam ciepło i wiem, że dmucham na zimne…, ale taki już mam charakter 😉 Dzięki za podpowiedzi!

  • Fantastyczny artykuł, dzięki Tobie Wojtku wreszcie ruszę z newsletterem i promocją kursu. Czy muszę zawsze w politykach, regulaminie, newsletterze (a przynajmniej pierwszy mailu) podawać adres fizyczny? Przy okazji wykazu podmiotów, którym powierzam dane zauważyłam, że wiele z nich nie ma takiego adresu w dokumentach a nawet trudno jest znaleźć go przeszukując internet. Myślę, że to byłoby dobre rozwiązanie, gdy np. bloger nie ma działalności i musi podać adres domowy (chyba nikt nie chce) . Dziękuję.

    • Dzięki za ciepłe słowa! Przepisy są tutaj jasne – należy podawać adres. Oczywiście w praktyce wiele podmiotów go nie podaje, to kwestia świadomej decyzji o niewypełnieniu w całości obowiązku informacyjnego.

  • Wojtku, zakładając, że dzisiaj kupię ten pakiet, a np. po 25 maja coś się jeszcze zmieni – wyjdą jakieś nowe rozporządzenia związane z RODO, czy będzie można liczyć na darmową aktualizację tego pakietu ? Czy raczej Twoim zdaniem już nic nie ma prawa się zmienić ?

    • Polska ustawa o ochronie danych osobowych może jedynie ograniczyć pewne obowiązki, tutaj jest maksimum wg rozporządzenia, wiec wszystko będzie aktualne. 🙂