Jak sprawić, by Twoja witryna była zgodna z RODO?

Wielu naszych użytkowników pytało nas o RODO: co to oznacza? Kogo i czego dotyczy? Jak to wpływa na mnie jako firmę? Wiemy, że chociaż w sieci krąży wiele informacji, część z nich może być niekompletna, niepoprawna lub myląca.

Dlatego skontaktowaliśmy się z jedną z wiodących brytyjskich kancelarii prawnych, Fladgate, firmą specjalizującą się we własności intelektualnej. Byli na tyle uprzejmi, że udzielili pełnych i profesjonalnych odpowiedzi na ten temat, zawartych w tym poście.

Poniżej znajdziesz czytelne i łatwe do zrozumienia wytyczne dotyczące RODO, ponieważ odnoszą się one do tematów istotnych dla twórców witryn Elementor. Jest napisany na piśmie prawniczym, więc różni się nieco od naszego zwykłego żargonu blogowego, ale uważamy, że jest to najlepszy (i jedyny) sposób na jasne zrozumienie zasad RODO. Chcielibyśmy podziękować Eddie Powellowi z Fladgate za napisanie i wyjaśnienie tych rozbudowanych i wyczerpujących wytycznych dla naszej społeczności.

Odpowiedzi na pytania zawarte w tym poście obejmują:

Czym jest RODO i dlaczego jest ważne?

Jakie są podstawowe zasady RODO?

Jakie dane osobowe mogę wykorzystać i jak można je wykorzystać?

Czy mogę przekazać dane osobowe osobie trzeciej?

Jakie prawa mają osoby fizyczne wobec firm?

W jaki sposób, jako właściciel firmy, powinienem chronić dane osobowe w mojej witrynie?

RODO oznacza ogólne rozporządzenie o ochronie danych. Jest to nowy, sformułowany przez UE zbiór zasad regulujących sposób, w jaki przedsiębiorstwa przechowują i wykorzystują dane osobowe osób fizycznych.

Większość ludzi słyszała o grzywnach, jakie mogą zostać nałożone na firmy łamiące przepisy. Mogą one sięgać nawet 20 milionów euro lub, w przypadku szczególnie dużych grup przedsiębiorstw, 4% globalnego obrotu grupy, co może stanowić ogromną sumę pieniędzy.

Co ważniejsze jednak, rozgłos związany z nieprzestrzeganiem zasad ochrony danych może znacznie zaszkodzić reputacji firmy i sprawić, że klienci i dostawcy nie będą jej ufać. Ponadto na nową działalność wpłynie to, że klienci nie ufają firmie w zakresie informacji i że zachowa ona wysoki standard prywatności. Klienci chcą mieć poczucie kontroli nad swoimi danymi osobowymi.

Zasady dotyczą „danych osobowych”. Dane osobowe obejmują oczywiste rzeczy, takie jak imiona i nazwiska osób, adresy i dane kontaktowe itp. Będzie ona również zawierać listę adresów e-mail, na których można zidentyfikować daną osobę na podstawie jej adresu (np. [email protected] – można stwierdzić, że Bob Smith pracuje w Universal Widgety) i adresy IP. Informacje przestaną być danymi osobowymi, jeśli je anonimizujesz, aby nigdy nie można było ustalić, kim jest dana osoba z zestawu informacji.

RODO mówi, że nie można po prostu gromadzić, przechowywać, wykorzystywać i przekazywać tych danych osobowych (wszystkie one nazywane są „przetwarzaniem”) tylko dlatego, że są one przechowywane w systemie Twojej firmy. Musisz pomyśleć o tym, co chcesz zrobić i zastosować zasady.

Musisz mieć jedną z 6 podstaw, które określa RODO. Kluczowe dla naszych celów to:

• wykonanie umowy z osobą fizyczną lub wykorzystanie informacji do zawarcia umowy;
• spełnienie obowiązku prawnego (nie umowy z inną firmą), któremu podlega działalność gospodarcza – np. przestrzeganie przepisów dotyczących przeciwdziałania praniu brudnych pieniędzy lub zapobieganie przestępstwom;
• gdy dana osoba wyraziła zgodę (która musi być konkretna, świadoma i jednoznaczna) na to, co chcesz zrobić z jej informacjami; oraz
• gdy przetwarzanie, które chcesz przeprowadzić, jest niezbędne dla uzasadnionego interesu firmy, ale zrównoważone z prawami i interesami osoby, której dane dotyczą, która będzie zainteresowana swoją prywatnością.

Istnieją specjalne zasady, w których masz do czynienia z dziećmi, w których musisz zweryfikować ich zgodę z rodzicami. Istnieją również specjalne zasady postępowania z informacjami o wyrokach skazujących ludzi oraz w odniesieniu do tego, co prawo nazywa „specjalnymi kategoriami”, które obejmują informacje o:

• Zdrowie
• Pochodzenie etniczne
• Orientacja seksualna
• Przekonania polityczne
• Religia
• Członkostwo w związkach zawodowych
• Dane genetyczne i biometryczne.

Warto też pamiętać, że istnieją specjalne zasady (nie będące częścią RODO) dotyczące marketingu e-mailowego i SMS-owego – nie zakładaj, że skoro masz czyjś adres e-mail lub dane kontaktowe, możesz wysyłać do niego komunikaty marketingowe tymi kanałami. Musisz dać im możliwość rezygnacji z tej komunikacji podczas zbierania informacji i zawsze umożliwiać im wypisanie się z przyszłych komunikatów marketingowych.

Jeśli chcesz użyć danych osobowych do czegoś, na przykład do wdrożenia nowego oprogramowania, nowego projektu bazy danych lub do świadczenia bardziej spersonalizowanej usługi klientom, naprawdę ważne jest, aby nie zakładać, że jest w porządku, aby wykorzystać istniejące dane osobowe, które mogą być w systemach firmy i korzystaj z nich. Musisz pomyśleć o podstawach, które zostały omówione powyżej, aw szczególności zastanowić się, czy mogą istnieć jakieś specjalne dane kategorii, które mogą być uwzględnione, ponieważ zasady dotyczące tych są o wiele bardziej rygorystyczne.

Jeśli zbierzesz dalsze informacje we wskazanym celu, upewnij się, że zbierasz tylko to, czego faktycznie potrzebujesz. Nie proś osób, aby dostarczyły więcej, niż jest to wymagane do osiągnięcia celu, o którym zostały poinformowane.

Osobie należy powiedzieć w bardzo jasny sposób o tym, co dzieje się z jej danymi osobowymi. To zawiera:

• dane Twojej firmy i dane kontaktowe;
• jaki jest cel przetwarzania danych;
• komu zamierzasz przesłać dane;
• czy zamierzasz wyeksportować dane do innego kraju;
• jak długo będziesz przechowywać dane; oraz
• informacje o prawach do wycofania zgody oraz innych prawach wynikających z RODO.

Informacje te muszą być dostarczone zgodnie z RODO, gdy informacje są gromadzone lub (jeśli informacje są otrzymywane pośrednio) w ciągu miesiąca od ich otrzymania. Twoja firma powinna mieć standardowe formularze, które pozwolą na podanie tych informacji – powinny one być zawsze używane przy zbieraniu nowych danych osobowych.

Gdy już zastosujesz się do powyższego, zrealizuj zaplanowany projekt, ale trzymaj się go i upewnij się, że usuniesz wszelkie dane osobowe, które nie są potrzebne lub nie mogą być legalnie przechowywane. Pamiętaj, że jeśli zmienisz swoje plany lub zdecydujesz się zrobić coś innego z danymi osobowymi, musisz ponownie cofnąć się do kroków i powtórzyć ćwiczenie.

Zachowaj szczególną ostrożność przy korzystaniu z danych osobowych, które zostały zebrane dla Twojej firmy, a teraz chcesz je przekazać osobie trzeciej.

Musisz pomyśleć o podstawowych krokach dotyczących zgodności powyżej i upewnić się, że spełniłeś prawne podstawy przetwarzania, a dana osoba otrzymała wszystkie niezbędne informacje na ten temat.

Jeśli odbiorca wykonuje dla Ciebie pracę (np. dostawca usług płacowych) na Twoje polecenie, będzie on Twoim „przetwarzającym” i musisz zawrzeć z nim pisemną umowę, która zawiera pewne gwarancje dotyczące bezpieczeństwa i zgodności.

Jest bardzo mało prawdopodobne, że będziesz w stanie otrzymywać lub przekazywać „specjalne kategorie” danych, a jeśli okaże się to konieczne, upewnij się, że skontaktujesz się z zespołem ds. zgodności swojej firmy.

Istnieją również specjalne zasady, jeśli chcesz przenieść informacje do kraju spoza UE, gdzie przepisy dotyczące ochrony danych osobowych mogą nie być tak rygorystyczne. Być może będziesz musiał skorzystać ze standardowych formularzy umów z firmą lub organizacją, która ma otrzymać dane osobowe, lub dokonać innych ustaleń, które zapewnią poszanowanie praw jednostki.

RODO przyznaje osobom fizycznym szereg praw wobec firm przechowujących ich dane osobowe. Obejmują one

• Sprostowanie – wszelkie błędy lub nieścisłości muszą zostać poprawione;
• Dostęp – należy dostarczyć kopię danych oraz szczegóły, do czego są one wykorzystywane;
• Zaprzestanie przetwarzania – zaprzestanie wszelkiego wykorzystywania czyichś danych osobowych
• Erasure (prawo do bycia zapomnianym) – usunięcie wszystkich zapisów dotyczących osoby fizycznej
• Przenośność – przekazanie danych osobowych przechowywanych w formacie nadającym się do odczytu maszynowego osobie fizycznej lub innemu dostawcy.

RODO nie określa poziomów bezpieczeństwa; mówi po prostu, że firmy muszą mieć odpowiedni poziom bezpieczeństwa technologicznego i organizacyjnego, więc Twoja firma będzie miała procedury bezpieczeństwa, które mają pomóc w spełnieniu tego wymogu. Zawsze ich przestrzegaj.

Pamiętaj, że nie tylko cyberataki na dużą skalę mogą stanowić naruszenie bezpieczeństwa danych osobowych. Często to drobiazgi powodują największe problemy, takie jak utrata danych osobowych przechowywanych na urządzeniach mobilnych, czy niezaszyfrowane laptopy pozostawione w miejscach publicznych. Jedną z największych przyczyn utraty danych osobowych jest błądzenie wiadomości e-mail z powodu automatycznego uzupełniania nieprawidłowego adresu e-mail.

RODO nakłada na firmy obowiązek powiadamiania władz o wszelkich naruszeniach bezpieczeństwa, a Twoja firma będzie zobowiązana do prowadzenia rejestru wszelkich naruszeń, niezależnie od tego, jak drobnych, tak aby kierownictwo mogło podjąć decyzję o tym, co należy zgłosić . Upewnij się, że wszelkie straty dotyczące danych osobowych, nawet jeśli zostaną szybko naprawione lub prawdopodobnie nie spowodują żadnych szkód, zostały zgłoszone zgodnie z polityką Twojej firmy.

Eddie Powell jest partnerem w zespole Commercial Sport i IP w kancelarii prawnej Fladgate LLP w Londynie. Więcej informacji na stronie https://www.fladgate.com/lawyer/eddie-powell/

Jakie kroki podjąłeś, aby Twoja witryna była zgodna z RODO? Daj nam znać w komentarzach poniżej.