RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, będziemy stosować już od 25 maja. Z pewnością słyszałeś już wiele na ten temat – rewolucja w ochronie danych osobowych – to jedno z najpopularniejszych haseł. Kiedy słucha się tylko ogólników, RODO może przerażać, wydawać się skomplikowane i zawiłe. Ale, gdy tylko poznasz szczegóły, okaże się, że nie ma w tym nic trudnego.
Abyś lepiej zrozumiał RODO, możesz porównać je do księgowości w firmie. Tam też musisz rozliczać się z pieniędzy, które wydajesz. Opisywać wszystkie operacje finansowe, w jakim celu i z kim je wykonałeś. Tak samo musisz postępować z RODO. Tutaj jednak nie chodzi o finanse, a o dane osobowe, które przetwarzasz. O to, abyś każdą operację na danych osobowych mógł wytłumaczyć odpowiednim celem, zgodą i upoważnieniem osoby, której te dane dotyczą.
Skomplikowane formułki – RODO z tym kończy!
Tym, co większość osób najbardziej przeraża w RODO, jest przekonanie, że trzeba będzie wszędzie wpisywać skomplikowane formułki prawne. Nic bardziej mylnego. RODO nakazuje bowiem, by wszystkie komunikaty dotyczące ochrony danych osobowych były napisane językiem prostym i zrozumiałym. Przytaczanie przepisów, odsyłanie do numerów artykułów i Dziennika Ustaw jest wręcz źle widziane. Nie warto też pisać komunikatów drobnym szarym druczkiem. Wszystko powinno być zrozumiałe dla osoby, która nie ma ani wiedzy prawniczej, ani informatycznej.
Czy zbierając maile, podlegam pod RODO?
Pod RODO podlega każdy, kto przetwarza jakieś dane osobowe (wyjątkiem jest przetwarzanie danych dla celów czysto osobistych lub domowych, np. prowadzenie książki adresowej na telefonie). Co to dokładnie oznacza?
– Przetwarzanie danych osobowych to tak naprawdę wszystkie operacje, jakie jesteśmy w stanie sobie wyobrazić – wyjaśnia Wojciech Wawrzak, prawnik obsługujący branżę kreatywną i e-commerce. – Chodzi więc o gromadzenie, przeglądanie, modyfikowanie, archiwizowanie, usuwanie etc. Nie ulega wątpliwości, że samo pozyskanie czyjegoś adresu e-mail należy zaliczać do przetwarzania danych osobowych.
Jeżeli prowadzisz blog i na tym blogu masz newsletter, to podlegasz pod RODO. Nawet jeżeli na blogu nie zarabiasz i nie jest to Twój zawód (GIODO mówiło o przetwarzaniu danych w związku z działalnością zarobkową, zawodową. W RODO takich wyjątków nie ma). W tym artykule skupimy się na newsletterze, bo jest to podstawowy zbiór danych większości osób działających w internecie. Zanim jednak wyjaśnimy, jak zrobić wszystko zgodnie z prawem, poruszmy jeszcze jedną kwestię. Mianowicie, co z danymi, które już zebrałeś? Co z bazą mailową, którą masz i do której rozsyłasz swój newsletter.
Czy trzeba zbierać na nowo zgody, do osób, które są już zapisane na newsletter?
Jeżeli od początku budowałeś swoją bazę w sposób prawidłowy, tzn. zbierałeś zgody zgodnie z przepisami i realizowałeś obowiązek informacyjny, to nie musisz ponawiać tych działań. Jednak, jak twierdzi Wojciech Wawrzak, doświadczenie pokazuje, że najczęściej są jakieś uchybienia przy zbieraniu danych.
- – Jeżeli uchybienie polega wyłącznie na niezrealizowaniu obowiązku informacyjnego, to proponuję przesłać wiadomość w stylu „Dbam o Twoją prywatność, dlatego pragnę przekazać Ci najważniejsze informacje związane z przetwarzaniem przeze mnie Twoich danych osobowych”. Trzeba do takiego maila dołączyć oczywiście pełną klauzulę informacyjną plus możliwość wypisania się z listy – wyjaśnia założyciel bloga prakreacja.pl. – Jeżeli uchybienia dotyczyły również sposobu zbierania zgody, np. w ogóle nie była odbierana, a mimo to osoby trafiały na listę mailingową albo zgoda była odbierana w sposób nieprawidłowy, np. z powodu błędnej treści albo w sposób wymuszony, to powinniśmy uzyskać poprawne zgody.
Nasz ekspert wyjaśnia, że w przypadku konieczności ponownego zbierania zgód, można postąpić, zgodnie z tymi krokami:
- Stworzyć landing page z możliwością wyrażenia prawidłowej zgody (lub zgód, jeżeli potrzeba ich więcej niż jedną).
- Wysłać do osób znajdujących się w bazie wiadomość w stylu „Dbam o Twoją prywatność, dlatego daję Ci możliwość aktualizacji Twoich danych znajdujących się w mojej bazie, w tym możliwość zadecydowania, czy chcesz nadal otrzymywać ode mnie wiadomości”. W takiej wiadomości podajemy użytkownikowi link kierujący do landing page, gdzie może wyrazić prawidłową zgodę albo zażądać usunięcia swoich danych.
- Ten, kto wyrazi prawidłową zgodę – zostaje w bazie. Ten kto zażąda usunięcia – zostaje usunięty. Ten, kto nie zrobi nic (w założonym okresie czasu), ponownie dostanie wiadomość z prośbą o aktualizację danych. Jeżeli znowu nie zrobi nic, zostaje usunięty.
Oczywiście istnieje ryzyko, że część osób, nie wyrazi ponownej zgody, ale jeżeli chcesz być zgodny z RODO, musisz zaktualizować swoją bazę. Jest jeszcze jeden sposób, na potwierdzenie zgody, którego raczej nie polecamy.
– Bardziej liberalny wariant przewiduje, że wysyłamy do bazy wiadomość z pełną klauzulą informacyjną oraz linkiem pozwalającym na usunięcie się z bazy. Przyjmujemy wtedy, że jeżeli ktoś się nie usunie, to mamy jego zgodę na dalsze przetwarzanie – tłumaczy Wojciech Wawrzak. – Jednak to podejście jest ryzykowne, ponieważ godzi w zasadę rozliczalności, zgodnie z którą administrator musi móc wykazać udzieloną zgodę. Tutaj naszą zgodę opieramy na braku sprzeciwu.
Newsletter w RODO. Jak zrobić wszystko zgodnie z prawem?
1. Zgoda na przetwarzanie danych
Żeby móc przetwarzać dane na potrzeby newslettera, musisz mieć na to zgodę użytkownika, który do tego newslettera się zapisuje. Zgodę tę najlepiej odebrać w formie checkboxa. Pamiętaj jednak, że powinna ona być gdzieś zapisana, aby móc ją później wykazać.
– Najlepsza praktyka jest taka, że zaznaczona przez użytkownika zgoda w ramach formularza zostaje odnotowana w bazie. Jeżeli nie mamy do tego możliwości technicznych, możemy zrobić to w sposób bardziej tradycyjny, czyli po prostu przesłać wiadomość ze sformułowaną zgodą i zapytać użytkownika czy wyraża taką zgodę, odpisując TAK lub NIE. – wyjaśnia Wawrzak. – Odpowiedzi TAK, zostaje w bazie. Odpowiedzi NIE, wylatuje z bazy. Brak działania – ponowienie wiadomości za jakiś czas, a w razie braku ponownego działania – usunięcie z bazy. W takim wariancie wiadomości z TAK należy archiwizować jako dowód udzielenia zgody.
Odebranie zgody w sposób tradycyjny, jest chyba najlepszym sposobem, jeżeli chodzi o poprawność i prostotę tego rozwiązania. Jeżeli bowiem zapisujemy zgodę automatycznie, np. w naszym systemie mailingowym, to nie jest to do końca poprawne, bo taką zgodę można zawsze edytować.
– Moim zdaniem, aby posiadać wartościowy dowód udzielenia zgody, należałoby cały proces ich zbierania oprzeć o zaawansowane rozwiązania np. oparte o technologię blockchain. Niestety na dzień dzisiejszy jest to mało osiągalne – wyjaśnia Michał Jaworski, założyciel upsell.pl. – Jeśli zapisuję dane w wewnętrznej bazie, to przecież mam do nich dostęp i mogę je modyfikować bez zostawiania śladu takiej operacji. Nie ma obecnie moim zdaniem rozwiązania spełniającego wymagania stawiane przez RODO. Tym samym trzeba się posiłkować własnymi systemami lub liczyć na to co udostępniają systemy mailingowe.
Na chwilę obecną nie ma idealnego rozwiązania. Jeżeli więc Twoja baza jest duża, nie masz możliwości odbierania zgód w sposób tradycyjny lub zastosowania technologii blockchain, najlepiej skorzystać z systemu mailingowego, gdzie zgoda zapisywana jest po zaznaczeniu przez użytkownika odpowiedniego checkboxa.
Ile checkboxów muszę zastosować?
Być może myślisz, że wraz z RODO będziesz musiał stosować mnóstwo checkboxów. Nic takiego, ponieważ nowe przepisy nie wymagają większej liczby zgód.
– Jeżeli chcemy wysyłać użytkownikowi newsletter, to musimy mieć jego zgodę na przetwarzanie danych osobowych w celach marketingowych, przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej oraz zgodę na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingowych – wyjaśnia nasz ekspert. – Możemy utworzyć oddzielny chceckbox dla każdej zgody lub stworzyć jeden chcecbox, kierując się jedną, podstawową zasadą – że na każdy środek komunikacji musimy mieć oddzielną zgodę, a użytkownik zawsze musi mieć pełną wiedzę, na co się godzi.
Przykład zgody w jednym checkboxie wygląda tak:
„Chcę zapisać się do newslettera, a co za tym idzie wyrażam zgodę na przesyłanie na mój adres e-mail informacji o nowościach, promocjach, produktach i usługach pochodzących od Jana Kowalskiego, ul. Piekarnicza 27/9, 91-546 Łódź. Wiem, że w każdej chwili będę mógł wycofać zgodę.”
Pamiętaj, że checkbox ze zgodą na newsletter powinien być domyślnie odznaczony, a jego zaznaczenie powinno być całkowicie dobrowolne. U nas wygląda to tak:
2. Klauzula informacyjna
RODO nakłada na Ciebie również obowiązek informacyjny, co oznacza, że musisz poinformować osoby, których dane będziesz przetwarzać, o tym, co z ich danymi będzie się działo. Tych informacji jest sporo, np. kto będzie administratorem danych, gdzie będą przechowywane, kiedy zostaną usunięte itp. Te wszystkie informacje możesz umieścić pod checkboxem lub wysłać je w mailu potwierdzającym zapis do newslettera. Część informacji możesz umieścić również w polityce prywatności i do niej odesłać użytkownika.
My stosujemy uproszczoną klauzulę informacyjną – w której część informacji zawarta jest w naszej polityce prywatności oraz w mailu potwierdzającym zapis na newsletter. Informację o tym umieszczamy zaraz za przyciskiem „zapisz mnie”. Wygląda ona tak:
Jeżeli chcesz zobaczyć również, jak wygląda nasz mail, potwierdzający zapis na newsletter, zapisz się na niego. Formularz znajdziesz pod tym wpisem.
Wiesz już wszystko?
Podsumowując, RODO wcale nie jest takie straszne, trzeba tylko je dobrze zrozumieć i odpowiednio do niego podejść. Chodzi przede wszystkim o to, żeby użytkownik wiedział, co dzieje się z jego danymi i żeby udzielane mu informacje były dla niego jasne. Żebyś mógł w każdej chwili wykazać, co dzieje się z jego danymi.
Jeżeli chcesz dowiedzieć się więcej o RODO, szczegółowe znajdziesz w artykule „RODO blogerów, vlogerów i twórców internetowych”. Zobacz też Pakiet: RODO krok po kroku, który pozwoli Ci samodzielnie wywiązać się ze wszystkich obowiązków, jakie nakłada na Ciebie RODO. Pakiet składa się z kilkunastu dokumentów w postaci plików .doc oraz instrukcji postępowania krok po kroku. Wszystkie dokumenty wchodzące w skład pakietu zawierają komentarze, które pozwolą ci dostosować dokumenty do twoich indywidualnych potrzeb. Co najważniejsze, dokumenty są już wypełnione w przykładowy sposób.
I mała rada na koniec, która pozwoli Ci zacząć, gdy w nawale informacji nie wiesz, za co masz się złapać. Proces wdrażania zgodności z RODO możesz podzielić na 3 etapy i w dokładnie takiej kolejności proponujemy Ci działać:
- Dostosuj formularze (zapis na newsletter, kontakt, zamówienie etc.) – dodaj checkboxy tam, gdzie trzeba to zrobić i spełnij obowiązek informacyjny. Dzięki temu zabezpieczysz się przed działaniami osób, które będą próbować zarobić na Twoich błędach w nieetyczny sposób (tak jak to miało miejsce kiedyś z regulaminami sklepów internetowych) lub konkurencji, która zechce Ci zaszkodzić. Po prostu uznają, że nie ma się do czego przyczepić i poszukają innej ofiary.
- Zrób porządek w polityce prywatności i regulaminie. Zadbaj także o umowy powierzania przetwarzania danych osobowych z firmami, którym przekazujesz dane, np. hostingodawcą, dostawcą systemu mailingowego itp. Po wejściu w życie RODO będzie możliwe podpisanie tych umów w formie elektronicznej, co ułatwi nieco cały proces.
- Przygotuj dokumentację wewnętrzną (politykę bezpieczeństwa, instrukcję zarządzania systemami informatycznymi itp.) – ten krok w zasadzie nie jest w pełni wymagany, ale warto to zrobić, aby w razie kontroli wykazać staranność, jaką przyłożyliśmy (nawet jeśli popełniliśmy jakieś błędy, to stawia nas to w lepszym świetle).
Jeżeli masz jeszcze jakieś pytania, napisz w komentarzu. Podziel się z nami Twoją wiedzą na temat RODO. Chętnie wysłuchamy Twoich wskazówek 🙂
Sprawdź także:
[elementor-template id="18339"]
Wreszcie konkretnie i w przystępny sposób napisany artykuł na temat newslettera w świetle RODO 🙂 Wystarczy przeczytać i już wszystko staje się jasne 🙂
Dzięki 🙂
Dziękuję za ten artykuł! Przyda się!