Co to jest RODO?

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679. Przepisy zostały przyjęte 27 kwietnia 2016 roku i są stosowane od 25 maja 2018 roku. Ich celem jest ochrona osób fizycznych w związku z przetwarzaniem danych osobowych oraz ułatwienie swobodnego przepływu takich danych w Unii Europejskiej.

W praktyce RODO odpowiada na pytania: kto zbiera dane, po co je zbiera, na jakiej podstawie, jak długo je przechowuje, komu je przekazuje i jak chroni je przed nieuprawnionym dostępem. Dlatego właściciel strony powinien wiedzieć, jakie dane trafiają do formularzy, systemu CMS, poczty, panelu sklepu, narzędzi analitycznych i kopii zapasowych. Najprościej mówiąc, RODO ma dać osobom fizycznym większą kontrolę nad ich danymi, a firmom i organizacjom wyznacza jasne zasady postępowania z takimi informacjami.

RODO nie jest jedynie formalnością w polityce prywatności. To zestaw zasad, które wpływają na projektowanie strony, wybór narzędzi, konfigurację formularzy, zabezpieczenia techniczne i sposób reagowania na zapytania użytkowników.

RODO dotyczy nie tylko dużych firm. Może obejmować także małą stronę usługową, blog z newsletterem, sklep online, panel klienta, system rezerwacji, formularz rekrutacyjny czy landing page z zapisem na webinar. Liczy się to, czy przetwarzasz dane osoby fizycznej, a nie skala projektu.

Jakie dane obejmuje RODO?

RODO obejmuje dane osobowe, czyli informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Nie zawsze musi to być imię i nazwisko. Czasem wystarczy zestaw informacji, który po połączeniu pozwala rozpoznać konkretną osobę.

• imię i nazwisko,
• adres e-mail,
• numer telefonu,
• adres zamieszkania lub adres dostawy,
• numer klienta lub identyfikator konta,
• adres IP, jeśli można powiązać go z użytkownikiem,
• identyfikator pliku cookie,
• dane zamówienia w sklepie internetowym,
• dane z formularza kontaktowego, zgłoszeniowego lub rekrutacyjnego.

RODO obejmuje także szczególne kategorie danych, na przykład dane o zdrowiu, poglądach politycznych, przekonaniach religijnych lub biometrii. Takie dane wymagają większej ostrożności i zwykle nie powinny być zbierane na stronie, jeśli nie ma do tego wyraźnej potrzeby oraz właściwej podstawy prawnej.

Ważne: dane zanonimizowane nie są danymi osobowymi, jeśli nie da się już odwrócić anonimizacji i zidentyfikować osoby. Inaczej jest z pseudonimizacją. Jeżeli dane można ponownie powiązać z konkretną osobą przy użyciu dodatkowych informacji, nadal podlegają RODO. Chcesz dowiedzieć się więcej? Zapoznaj się z naszym e-bookiem o RODO.

Administrator danych i podmiot przetwarzający

Jednym z najważniejszych pojęć w RODO jest administrator danych. To podmiot, który decyduje, po co i w jaki sposób przetwarzane są dane osobowe. Jeżeli prowadzisz stronę firmową i zbierasz zapytania przez formularz, najczęściej to Ty lub Twoja firma jesteście administratorem tych danych.

Drugą ważną rolą jest podmiot przetwarzający, czyli procesor. To podmiot, który przetwarza dane w imieniu administratora i zgodnie z jego instrukcjami. W zależności od sytuacji może to być na przykład dostawca hostingu, system mailingowy, operator płatności, biuro księgowe, narzędzie CRM albo firma obsługująca sklep internetowy.

Przykład: właściciel sklepu internetowego decyduje, jakie dane klientów są potrzebne do realizacji zamówienia. Hosting, system sklepu i operator płatności mogą technicznie obsługiwać część tych danych. Właściciel sklepu pozostaje administratorem, a wybrani dostawcy mogą pełnić rolę podmiotów przetwarzających lub odrębnych administratorów, zależnie od zakresu usługi.

Kiedy RODO dotyczy strony internetowej?

RODO może dotyczyć Twojej strony, jeśli zbierasz lub wykorzystujesz dane osób fizycznych. Nie musi to być skomplikowany system. Czasem wystarczy zwykły formularz kontaktowy, zapis do newslettera, komentarze na blogu, konto użytkownika albo panel zamówień.

• Masz formularz kontaktowy i użytkownik podaje imię, e-mail lub numer telefonu.
• Prowadzisz newsletter i zapisujesz adresy e-mail subskrybentów.
• Sprzedajesz produkty lub usługi online i przetwarzasz dane do wysyłki, faktury lub obsługi płatności.
• Korzystasz z narzędzi analitycznych, reklamowych lub marketing automation.
• Użytkownicy zakładają konta, dodają komentarze lub przesyłają pliki.
• Przechowujesz historię zgłoszeń, zamówień, reklamacji albo korespondencji.

W sklepach internetowych zakres danych jest zwykle większy, bo dochodzą adresy dostawy, numery telefonów, historia zamówień, dane do faktur, płatności, zwroty i reklamacje. Dlatego przy sprzedaży online trzeba zwrócić szczególną uwagę na regulamin, politykę prywatności, bezpieczeństwo panelu administracyjnego oraz integracje z operatorami płatności i firmami kurierskimi. Przy sklepie opartym na WooCommerce znaczenie ma także dobrze skonfigurowany hosting WooCommerce.

Jakie obowiązki ma właściciel strony?

Najbardziej widocznym obowiązkiem jest poinformowanie użytkownika, co dzieje się z jego danymi. Informacja powinna być napisana prosto, jasno i dostępnie. Użytkownik powinien wiedzieć, kto jest administratorem danych, w jakim celu dane są zbierane, jaka jest podstawa prawna, jak długo będą przechowywane i komu mogą zostać przekazane.

Warto podkreślić, że zgoda nie zawsze jest jedyną podstawą przetwarzania danych. Dane mogą być przetwarzane także dlatego, że jest to potrzebne do wykonania umowy, realizacji obowiązku prawnego, ochrony ważnych interesów, wykonania zadania publicznego albo prawnie uzasadnionego interesu administratora. Zgoda powinna być stosowana wtedy, gdy faktycznie jest właściwą podstawą, a użytkownik może ją swobodnie wyrazić i wycofać.

W praktyce właściciel strony powinien zadbać o kilka obszarów:

• obowiązek informacyjny, czyli czytelną politykę prywatności i komunikaty przy formularzach,
• minimalizację danych, czyli zbieranie tylko tego, co jest naprawdę potrzebne,
• bezpieczeństwo danych, czyli ograniczenie dostępu, aktualizacje, silne hasła i kopie zapasowe,
• obsługę praw użytkownika, na przykład prawa dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania,
• kontrolę dostawców, czyli sprawdzenie, komu dane są powierzane lub przekazywane,
• reakcję na naruszenia, czyli procedurę na wypadek wycieku, utraty lub nieuprawnionego dostępu do danych.

Praktyczna wskazówka: jeśli formularz pyta o numer telefonu, a do odpowiedzi wystarczy e-mail, rozważ usunięcie pola telefonu albo oznaczenie go jako opcjonalnego. To prosty przykład minimalizacji danych, który poprawia zgodność z RODO i zmniejsza barierę dla użytkownika.

Chcesz zadbać o bezpieczną transmisję danych na stronie? Zacznij od podstawowego elementu ochrony formularzy, logowania i zamówień.