bucking comet

RODO jak rodeo część 20 – RODO na ostatnią chwilę

Okej, zwlekałeś z tematem lub za późno się dowiedziałeś – nie dla Ciebie długotrwałe audyty czy czasochłonne wdrożenia. Nadal uważam, że lepiej zrobić cokolwiek niż absolutnie nic – postaram się tym wpisem pomóc ze zgodami, e-commerce, WordPressem, Facebookiem czy Google Analytics, a nawet cookies czy wizytówkami. Zapraszam.

(Jakby co to nie jest ostatnia część mojego cyklu o RODO, będą dalsze.)

Być może nie każdy rozdział tego wpisu będzie Ci potrzebny (np. nie używasz wordpressa itp.) więc najpierw mały spis treści. Po kolei zamierzam tu omówić (i takie będą śródtytuły, by łatwiej znaleźć):

– Ogólnie

– Zgody

– Wizytówki

– Cookies

– WordPress

– Sklep

– Facebook

– Google Analytics

– Podsumowanie

Rozdzielę je też obrazkami. Jeśli chcesz – na końcu mam też zniżkę na swój kurs. Lecimy jak na miotle!

1

Ogólnie

Boisz się kontroli, a to nie jej powinieneś – dużo bardziej prawdopodobne jest użycie RODO przez kogoś, kto po prostu chce Ci zaszkodzić:

– niezadowolonego klienta

– konkurenta

– byłego pracownika

– szukającego dziury w całym „zawodowca” szantażującego „albo kasa, albo doniosę”.

Kontrolerów raczej nie będzie drastycznie więcej niż dotąd, natomiast chętnych do zrobienia krzywdy nigdy nie brakuje – a Twoja ewentualna niewiedza o RODO da im do tego narzędzie. Dlatego zacznij od ominięcia miejsc, gdzie się podkładasz tak prosto jak bomba w amerykańskich filmach:

– usuń z wszystkich dokumentów, polityk, zgód, checkboxów itp. odniesienia do ustawy o ochronie danych osobowych z 97 roku – jak zostaną, to od razu widać, że nic nie wdrożyłeś.

– przestań mówić i pisać o GIODO – ten organ znika. Zastąpi go Prezes Urzędu Ochrony Danych Osobowych – tak tak, czyli PUODO 😉 Może będzie Ci łatwiej zapamiętać i nie wychylać się z niewiedzą.

– jeśli kojarzyłeś takiego kogoś jak ABI, to przestań – jego odpowiednikiem będzie IOD, Inspektor Ochrony Danych.

Teraz zrób sobie mały porządek, który już i tak dawno powinieneś – a RODO to dobry pretekst. Pomyśl „którędy” zbierasz dane i czy ma to podstawę (najczęściej to będzie zgoda, o niej dalej). Jakie masz ich zbiory – pracownicy, odbiorcy newslettera, klienci na jeden produkt, klienci stali? Kto z załogi i z zewnątrz ma dostęp do tych zbiorów, czy to nie za wiele osób? Czy osoby „przetwarzane” wiedzą kto ma dostęp do ich danych i na jakich zasadach albo w jaki sposób mogą skorzystać z przysługujących im praw?

A jeśli to będzie naciągacz – jesteś w stanie za 3 miesiące udowodnić mu, że chciał być w tym newsletterze? Jesteś w stanie skutecznie usunąć go z bazy, gdy sobie tego zażyczy?

Pomyśl też, jak przechowujesz dane – i papierowe i komputerowe. Przyda się wprowadzenie większej liczby haseł, by w razie co móc powiedzieć „no okej, stało się, ale naprawdę robiłem co mogłem”. Nie musisz ich wszystkich pamiętać – wyręczy Cię w tym Keepass. Sprawdź też sobie programy Drivekrypt i Veracrypt – zahasłują Ci np. konkretne foldery.

Pomyśl też sobie, czy nie zbierasz za wiele danych – a może numer dowodu osobistego nie jest Ci do niczego potrzebny? Za to byłyby większe jaja, jakbyś go niechcący wypuścił w świat – bo może się przydać do kredytu. No a „większe jaja” to większa kara.

Co do konieczności sporządzenia umów powierzenia powiesz może, że nie dajesz danych nikomu na zewnątrz – a ja Ci nie uwierzę. Pomyśl, że taką osobą może być:

– twój prawnik

– twoja księgowa lub program fakturowy

– hosting

– kurierzy

– chmura typu Dropbox

– poczta elektroniczna

– agencja reklamowa

– samozatrudniony…

Jednak? Pochyl się jeszcze raz nad tematem – nieraz te „umowy” to były te maile ze zmianami regulaminów, którymi Cię zasypano. W pozostałych przypadkach rozważ zainicjowanie tematu z podmiotem, który ma od Ciebie dane.

2

Zgody

Takie w druczkach czy do zaznaczenia ptaszkiem na stronie – jest duże prawdopodobieństwo, że będziesz musiał je zmienić. Po pierwsze – pewnie jak pisałem wyżej powołują starą ustawę. Poza tym zapewne zawierają listę praw zgadzającego się – a ta lista wraz z wejściem w RODO się wydłuża. Warto też uwzględnić, żeby nie była gdzieś tajemniczo „zaszyta” np. w umowie.

Za to zgoda będzie miała być przejrzystsza – nareszcie bez powoływania numerów ustaw czy ich roku, rozbudowanych o kapitał zakładowy nazw firm itp. Co nie znaczy, że „wyrażam zgodę na przetwarzanie danych osobowych” wystarczy. Choćby dlatego, że nie wiadomo jaki rodzaj danych do tego posłuży – wszystkie, mail, adres fizyczny? Jeśli to newsletter to chyba nie wyślesz go na numer dowodu osobistego, nie? Czyli do tego celu nie jest Ci potrzebny.

No właśnie – potrzebne jest jeszcze podanie celu i musi być on ograniczony – „cele marketingowe” to za szeroko. Robisz konkurs? No to pewnie te dane po nim nie będą Ci potrzebne i możesz napisać, kiedy je usuniesz. Przy newsletterze wiadomo – nie musisz się ograniczać, niech sami odbiorcy decydują. 

Na to nakłada się wspomniana już wyliczanka praw (więcej o nich tutaj) czy wątek możliwości wycofania zgody – równie prostego, jak jej udzielenie. Różnice będą też przy np. dziecku. Zwróć też uwagę na podanie, kto właściwie przetwarza – a jeśli to Ciebie dotyczy, komu powierzasz dane lub kto jest jeszcze za nie u Ciebie odpowiedzialny (np. Inspektor Ochrony Danych).

Jak widać, dla każdego zgoda jest nieco inna i może się okazać całkiem długa. Dlatego w mojej ocenie warto rozważyć zawarcie w niej linka do „pełnego” dokumentu regulującego kwestię danych osobowych u Ciebie.

Rozważ też wrzucenie go (lub nawet pełnego brzmienia dokumentu) w treść pierwszego newsletterowego maila, tego z potwierdzeniem zapisu. A jeśli rejestracja jest bez potwierdzenia rozważ chociaż umieszczenie w polityce prywatności adnotacji, że błędnie wysłane maile można zgłosić lub w przeciwnym wypadku otrzymywać – a każdy dopisujący się do newslettera oświadcza, że to on jest właścicielem adresu.

Na marginesie o tym, jak fajnie rozegrać to marketingowo piszą tutaj.

A o tym, że ludzie chyba poszaleli z tym zbieraniem zgód trafnie napisał Guardian czy z moim udziałem money.pl w tym artykule.

3

Wizytówki

No tu powiem szczerze, że niektórzy całkiem powariowali 😀 Aż wolę nie przytaczać niektórych teorii na ten temat i dla domknięcia tematu pozwól, że dość wyjątkowo jak na ten blog dokonam dokładnego przytoczenia przepisu:

Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”.

Automatyzujesz przetwarzanie wizytówek, czy masz gdzieś je rozwalone na stosie ;)? Moglibyśmy pomyśleć ewentualnie jeśli faktycznie zrobiłeś z nich uporządkowany katalog wg branż, alfabetu itp. Z innej beczki – po co Ci jeszcze te kartoniki, skoro istnieją aplikacje wrzucające dane w nich zawarte w listę kontaktów telefonu? A telefon na bank masz jakoś zabezpieczony, nie? Nie wspominając już o tym, jak często w wymianie wizytówek może nas wyręczyć dodanie się z drugą osobą na Facebooku czy LinkedIn.

To zresztą rozwiązuje też problem jej zgody, o którym w kwestii wizytówek widuję sporo mitów. Spójrz proszę z kolei na to – jest to „prawnie uzasadniony interes”, inna niż zgoda podana w RODO podstawa legalnego przetwarzania. To też fragment samego RODO, zobacz:

Taki prawnie uzasadniony interes może istnieć np. w przypadkach gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą której dane dotyczą a administratorem, np. gdy osoba której dane dotyczą jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie usprawiedliwionego interesu należy w każdym przypadku przeprowadzić dokładną ocenę tego czy w czasie i kontekście w którym są zbierane dane osobowe, osoba ma rozsądne przesłanki by spodziewać się, że przetwarzanie może nastąpić w tym celu.

Lubię jeszcze słyszeć, że przecież to dane firmy, więc można je przetwarzać. Tu odniosła się sama UniaWyraźnie widać, że informacje odnośnie jednoosobowej działalności mogą powodować ustalenie konkretnej osoby. „Przepisy mają też zastosowanie do wszystkich danych osobowych dotyczących osób fizycznych w związku z ich działalnością zawodową, między innymi do danych pracowników zatrudnionych w przedsiębiorstwie/organizacji, służbowych adresów e-mail typu „imię.nazwisko@firma.eu” lub numerów telefonów służbowych.

4

Cookies

Tutaj temat jest szeroki i na dodatek nakłada się na niego ePrivacy (piszę o nim tutaj), ale parę rzeczy trzeba wyjaśnić. Przede wszystkim, choć może Cię to zaboleć – weź się wreszcie zorientuj, jakich cookies używasz na swojej stronie 😉 Spisz to i umożliw odbiorcy zapoznanie się – najlepiej z podziałem na first-party cookies i third-party cookies.

Niestety, to nie zaproszenie na imprezę. Chodzi o to, że te drugie „pochodzą” z innych stron niż Twoja – w praktyce służą np. do śledzenia odbiorców i dosyłania im remarketingowych reklam po wcześniejszej wizycie w jakimś sklepie.

Tylko przypomnę, że cookies to na przykład wtyczka społecznościowa, Google Analytics (o których za chwilę), Pixel Facebooka, Disqus, Adsense, Youtube, Vimeo. Jest gdzie sprzątać.

Jeśli potrzebujesz wejść w szczegóły, to są dwa świetne źródła po angielskuPierwsze zawiera wzór dokumentu. Natomiast drugie wydaje mi się lepiej omawiać temat.

Natomiast według mnie w miarę możliwości najlepiej „problem” w miarę możliwości zautomatyzować, na przykład poprzez wtyczkę WordPressa o nazwie Ginger – EU Cookie Law, o której poniżej opowie Ola Gościniak.

5

WordPress

Oprócz wspomnianych powyżej cookies warto jasno ogarnąć jakąś techniczną możliwość wycofania swoich danych i zgód. Tylko nie trzeba tu wymyślać koła od nowa – są wygodne narzędzia, które nas w tym wyręczą. Polecam zwłaszcza przejrzyste WP GDPR Compliance (przypomnę na wszelki wypadek, że RODO i GDPR to to samo, tylko skrót w różnych językach).

Dodaje zgodę do formularza kontaktowego, do zamówienia w WooCommerce (o tym niżej) czy WordPressowych komentarzy (Disqus to odrębny temat – też będzie niżej). Można w niej zalinkować do swojej strony z polityką prywatności. Zawiera też fajną edukacyjną checklistę o tym, jakie zgody wymagane są w określonych sytuacjach.

Drugim ciekawym rozwiązaniem jest wtyczka o jeszcze prostszej nazwie – GDPR. Ale tutaj właśnie tylko nazwa jest prostsza, bo to dużo bardziej rozbudowany kombajn i według mnie przeznaczona jest dla bardziej zaawansowanych. Ogarnia okno cookies, przycisk zgłoszenia chęci usunięcia konta czy pobrania danych przez użytkownika (czyli skorzystanie ze swoich praw – tu o nich mówię) albo metodę poinformowania o wyciekuo nim z kolei wspominam tutaj.

Pełna konfiguracja jest stosunkowo prosta, opowiada o niej Ola Gościniak z Jestem Interaktywna w tym filmie.

Strona internetowa

To raczej żartem – możesz skorzystać z narzędzia GDPR Shield. Sprawdza ono czy wchodzący na Twoją stronę jest z Unii – jeśli tak, blokuje mu dostęp do strony. Tu szczegóły jako ciekawostka, bo oczywiście zdecydowanie odradzam to rozwiązanie.

Wracamy do wątku Disqusa czy szerzej – komentarzy. Niby nic, ale przecież komentując podajesz maila, nieraz imię – może coś więcej w treści. Kto to kurczę przetwarza i na jakich warunkach?

Scenariusze są dwa. Zewnętrzna aplikacja (czyli właśnie wspomniany Disqus) – czyli to oni zbierają, a Ty tylko wyświetlasz. „Problem” jest po ich stronie – możesz w Polityce zalinkować do tego, jak się dopasowali, trzymaj linkJak komentarze masz wbudowane, to Ty je przetwarzasz i powinieneś mieć zgodę. Jak najwygodniej załatwić zgodę dla WordPressa omówiłem wyżej.

Livechat i jego odpowiedniki podobnie jak Disqus biorą przechowywanie na siebie – z jednym wyjątkiem. Jeśli nie jesteś pod ręką i nikt z Tobą czy pracownikiem nie pogada – dostajesz maila. Przetwarzaj go „grzecznie” i poinformuj, na jakich to robisz zasadach.

Fajne podejście do relacji UX z prawem możesz zobaczyć tutaj.

6

Facebook

W przypadku niebieskiego portalu połowa pytań dotyczy tego, czy jest on administratorem danych, czy jedynie podmiotem je przetwarzającym. Fejs bardzo fajnie sam to rozpisał tutaj i w zasadzie z reguły jest administratorem, a przetwarzającym tylko gdy mamy grupy niestandardowe (custom audience), pomiary i analizy oraz usługę Premium czyli Workplace. W praktyce najbardziej interesujący dla twórców reklam jest pierwszy z przypadków.

API, Piksel, Wtyczki społecznościowe itp. stały się „narzędziami biznesowymi Facebooka” i zasady ich stosowania są tutaj . Jak widać, w punkcie C „Użytkownik oświadcza i potwierdza, że udostępnił (samodzielnie lub za pośrednictwem dostawców danych) swoim użytkownikom odpowiednie i wystarczająco wyraźne powiadomienie i uzyskał ich stosowną zgodę dotyczącą gromadzenia danych o zdarzeniach oraz udostępniania i wykorzystywania tych danych poprzez korzystanie z narzędzi Facebooka. ” Dalej wymienione są konieczne elementy takiego powiadomienia, więc warto kliknąć.

Czyli używając piksela Facebooka, masz obowiązek zachowania zgodności z RODO. To dość ogólne 😉 Więc wymieniając plus minus to jest posiadanie podstawy prawnej do przetwarzania danych i uzyskanie spełniającej warunki zgody na przechowywanie plików cookie oraz innych informacji na urządzeniu danej osoby i uzyskiwanie do nich dostępu. Bardzo się tu może przydać przewodnik Facebooka odnośnie uzyskiwania zgód

W kwestii Facebooka pozostają jeszcze wątki prawidłowego skonfigurwania Lead Ads i chatbota. Tutaj jednak nie będę pisał od nowa, bo są dwa fajne teksty i do nich odsyłam – ten jest o Lead Ads , a ten o chatbotach

7

Sklep

Po pierwsze – jak już wspominałem wyżej można to załatwić wtyczką wordpressową dodającą zgodę do zamówienia w WooCommerce. W wielu przypadkach, na przykład Shoplo – to po ich stronie jako oferujących w Unii jest przygotowanie, swoją drogą Shoplo dzieli się odpowiednią polityką prywatności. Z kolei w Prestashop jest to płatny moduł dostępny pod tym linkiem

Świetnie rozegrało cały temat polskie edrone, które zapewnia wsparcie we wdrożeniu RODO tak kompletne, jak nikt. Zaczynając od przeprowadzenia ze mną lajwa przez Rahima konkretnie pod temat Rozporządzenia w e-commerce (możesz zobaczyć całość tutaj) oraz dwóch kolejnych „rodowych” z kim innym, a kończąc na tym, co znajdziesz pod tym linkiem

Przydatne, nie? Jest to „manual RODO”, który w zasadzie prócz wytłumaczenia o co w całej tej imprezie chodzi wyczerpuje temat potrzebnych dokumentów itp. Znajdziesz tam fajnie rozegrane treści maili potwierdzających czy informacji o profilowaniu i ogólniej przetwarzaniu danych.

8

Google Analytics

Możesz być zaskoczony, że tu też przetwarzasz dane – i coś w tym jest, bo teoretycznie nie powinieneś 😛 Pomyśl jednak, czy na przykład nie generujesz po potwierdzeniu zamówienia stron odsyłających do takich danych, może nawet zawierających je w adresie. Więcej dowodów na to wraz ze zrzutami ekranu znajdziesz w tym artykule, w którym miałem przyjemność się udzielić.

Konsultowałem też świetną tabelkę autorstwa niekwestionowanego autorytetu od Google Analytics i po prostu sympatycznego gościa, czyli Macieja Lewińskiego z http://www.maciejlewinski.pl . Znajdziesz ją pod tym linkiem i pozwól, że pokrótce ją omówię.

Składa się z trzech części – pierwsza z nich to przejrzysta checklista, na podstawie której zrobisz sobie rachunek sumienia. Co wiesz, czego warto się dowiedzieć, co posprzątać w pierwszej kolejności. Drugą jest audyt kodów stron trzecich (super!), a ostatnią przejrzysty algorytm „potrzebności” pop-upu ze zgodą na cookies w Twoim konkretnym przypadku.

Czyli używając Google Analytics zazwyczaj nie przetwarzasz informacji będących stricte danymi osobowymi. Zwykle możesz odmówić przetwarzanemu informacji o user ID czy ciastkach, bo nie są podstawą do identyfikowania kogokolwiek. Na ogół w ogóle nie zbierasz danych – wprowadź anonimizację na wszelki wypadek. O tym jak dowiesz się z powyższych linków.

Zamieszanie może być przy kwestii, czy używając Google Analytics profilujesz (i znów link do siebie :D). Jeśli używasz zaawansowanych funkcji GA, to raczej tak – przykładowo jeśli umiesz zidentyfikować czyjś zakup w sklepie internetowym i powiązać z zamówieniem na swojej stronie.

Nadal jednak to profilowanie bez automatu (orientujesz się, skąd wszedł itp.), o którym powinieneś poinformować. A jeśli o cenie czy reklamach decyduje automat to także o fakcie, że kiedyś zostanie skojarzony z danymi osobowymi i zidentyfikowany. Po prostu wrzuć to w Regulamin czy Politykę Prywatności – skrypty i ich cel.

9

Podsumowanie

Tak jak przewidywałem, RODO stało się polem do popisu dla naciągaczyJesteśmy straszeni wielkimi karami, ale warto chyba wspomnieć, co wpływa na ich ewentualną wysokość. Jest mnóstwo takich czynników i zapewne większość będzie działać na Twoją korzyść – charakter i waga naruszenia, liczba poszkodowanych osób, umyślność lub nieumyślność, próba zminimalizowania szkody, wcześniejsze naruszenia, współpraca z organem, rodzaj danych… Naprawdę, to powinno Cię uspokoić. RODO ma więcej zalet niż wad i jest w sumie spoko.

10

Dobrym na to przykładem jest fakt, że między innymi dzięki niemu dostaliśmy możliwość dowiedzenia się, który portal ile o nas trzyma. Każdy ma trochę inną zasadę zdobywania przez Ciebie tej informacji, ale wszystko do kupy zebrano na tej stronie.

Jak pisałem z przodu – to wcale nie jest mój ostatni wpis serii o RODO – choćby dlatego, że nadal trzeba śledzić co tam słychać z ePrivacy. Póki co mam dla Ciebie zniżkę na kurs, który widzisz tu na blogu – jak przed płatnością wpiszesz „zRODOwanyRabat” to cena spadnie o stówkę. Kurs bez zmian – wraz z moim niekorzystnym zdjęciem znajdziesz tutaj.

Gdybyś potrzebował innej pomocy, pisz do mnie i mojej załogi na rodo@eprofitplus.pl. No i – jak to mówią zagraniczni – stay tuned, pozostańcie nastrojeni!

 

Poprzedni wpis o RODO

Dzięki, że mnie odwiedziłeś 🙂

prawo2