Hosting zgodny z RODO

Czasy własnych serwerów pod biurkiem w domu czy biurze to już historia. Obecnie usługi utrzymania strony internetowej, niezależnie czy jest to strona statyczna czy cały system CMS taki jak WordPress, stanowią marginalny koszt dla większości przedsiębiorców. Ale co to takiego ten Hosting zgodny z RODO?

Z firmą, która świadczy na naszą rzecz tego typu usługę dzielimy się zarówno zadaniami jak i odpowiedzialnością. Powierzamy jej obszerny zbiór danych osobowych, często bardzo cennych dla naszej działalności gospodarczej. Gdy wybieramy hosting odpowiedni do potrzeb naszej firmy musimy wybrać firmę, która oferuje odpowiednie podejście do przetwarzania danych osobowych – zarówno to techniczne, jak i poprzez odpowiednie umowy.

Nie powinno być to dla nikogo zaskoczeniem, że hosting naszego serwisu wiąże się z przetwarzaniem danych osobowych. A jednak wielu przedsiębiorców, z którymi rozmawiam, nie widzi od razy tego związku. Powiązanie takie niewątpliwie istnieje i to na dwóch obszarach.

 

Do jakich danych ma dostęp hostingodawca

Po pierwsze hostingodawca posiada dostęp do  treść samej strony internetowej. Informacje, które zamieszczamy na naszej witrynie mogą zawierać przeróżne dane osobowe. Najczęściej będą to dane kontaktowe do wybranych pracowników, często także ich zdjęcia. Fotografii może tam być o wiele więcej. Popularne jest umieszczanie zdjęć z organizowanych przez firmę wydarzeń. Dane osobowe możemy nie tylko udostępniać za pomocą strony internetowej, ale też i pozyskiwać. Wykorzystuje się do tego systemy komentarzy wbudowane w silnik WordPress-a, ankiety, czy formularze kontaktowe. Wiele z nich zapisuje zebrane dane w bazie lub plikach, które przechowywane są na serwerze dostawcy.

Ale nawet jeżeli dopilnujemy by na naszej stronie nie znalazły się wspomniane powyżej treści, to prawie na pewno w samym silniku CMS będziemy przechowywali dane osobowe osób zarządzających treściami na stronie. Wystarczy, że będzie to służbowy imienny adres e-mail powiązany z lokalnym kontem administratora czy moderatora.

Drugi obszar przetwarzania danych osobowych przez dostawcę hostingu jest nieco mniej oczywisty dla osób, które nie znają technicznych aspektów świadczenia usługi. Obowiązkiem dostawcy tego typu usługi jest zapewnienie najwyższej jakości jej działania. Równie ważne są jego zobowiązania w zakresie bezpieczeństwa świadczonej usługi i przechowywanych w niej danych. Jego obowiązkiem jest stosowana reakcja na incydenty związane z bezpieczeństwem, w tym także w zakresie współpracy choćby z uprawnionymi organami ścigania.

Aby wypełnić te zobowiązania operator hostingu między innymi zbiera informacje na temat połączeń z utrzymywanymi serwisami. Takie logi zawierają adres IP urządzenia, z którego nastąpiła próba połączenia. W świetle RODO adres IP jest daną osobową, gdyż na jego podstawie można ustalić konkretnego użytkownika, mimo że niekoniecznie jest to proste.

 

Zadbaj o Hosting zgodny z RODO

Niewątpliwie firma oferująca hosting dla naszego serwisu będzie przetwarzać dane osobowe. Najczęściej występować będzie ona w roli podmiotu przetwarzającego, czyli firmy, która przetwarza powierzone nam dane osobowe. Wykonywane jest ono na nasze żądanie i jest związane z realizowaniem przez nas wskazanego celu przetwarzania. Takim celem jest choćby marketing naszych usług lub produktów poprzez stronę WWW, czy kontakt z potencjalnymi klientami poprzez formularz na stronie. W przypadku takiej relacji wymagane jest abyśmy podpisali umowę powierzenia, która ureguluje zakres przekazywanych danych i cel ich przetwarzania. Muszą znaleźć się w niej także zapisy o odpowiedzialności każdej ze stron.

Firma hostingowa jest także administratorem danych na przykład w odniesieniu do danych kontaktowych związanych z realizacją usługi hostingowej. Mogą to być na przykład dane kontaktowe do osoby odpowiedzialnej za utrzymanie strony WWW w naszej firmie. W przypadku jednoosobowych działalności gospodarczych będą to dane samej firmy. W tym wypadku odpowiednie formalności najlepiej dopełnić poprzez uważne przeczytanie i zaakceptowanie regulaminu usługi. Jeżeli firma hostingowa zbiera dane o adresach IP jedynie na własny użytek zazwyczaj będzie też w odniesieniu do nich administratorem danych osobowych.

Nieco inaczej sytuacja wygląda, gdy do informacji od adresach IP masz także dostęp ty jako klient. Możesz wtedy wykorzystywać tą informację także na swoje potrzeby na przykład do prowadzenia własnych statystyk. W takiej sytuacji do wskazanych czynności zarówno Twoja firma jak i firma hostingowa jesteście współadministratorami. Wymaga ona podpisania specjalnej umowy, która w szczegółach będzie opisywać relację pomiędzy firmami, cele przetwarzania czy obowiązki każdej ze stron. Więcej o tej formie współpracy przeczytasz w moim artykule „Współadministrator to brzmi odpowiedzialnie„.

 

Polityka prywatności

Nie zapomnij o umieszczeniu odpowiednich informacji o tym komu udostępniasz dane w swojej polityce prywatności. Nie zalecam odsłaniania swojego warsztatu pracy i ujawniania szczegółowych informacji o firmach, które realizują na twoją rzecz usługi. Najlepiej gdy w polityce prywatności opiszemy jakiego typu usługi podwykonawcy dla nas realizują. Możemy też wymienić jakie kategorie danych osobowych im przekazujemy. Bardziej szczegółowego opisania wymagać będzie sytuacja, w której jesteście wspólnie współadministratorami.

Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. umowę powierzenia przetwarzania danych osobowych to zajrzyj do naszego  sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.

 

 

Tu mnie znajdziesz:

 Dołącz do mnie na Facebooku: https://www.facebook.com/AnnaZamojcinARP

 Nie omieszkaj wbić się na instagram: https://www.instagram.com/rodozgodny

YT A tu obejrzysz porady wideo: https://www.youtube.com/channel/UCDfrurKd9Q7CeIae1uwHjuw

 

5 pytań o pierwsze kroki w świecie RODO

Wywiad z Damianem Michalakiem (nastykusieci.pl)

Co czuje przedsiębiorca dostosowujący działanie swojej firmy do wymogów RODO? Jak wygląda RODO w małej firmie? Czy pierwsze kroki budzą strach? A może jawią się jako niewykonalne zadania? Między innymi o to pytam Damiana Michalaka – przedsiębiorcę i prowadzącego serwis nastykusieci.pl. Jak wyglądały pierwsze kroki w świat RODO? Jak wdrożone rozwiązania proceduralne oraz teleinformatyczne usprawniły i zabezpieczyły działanie biznesu.

 

Pytanie: Kiedy pierwszy raz usłyszałeś, że Twój cały biznes musi być zgodny z RODO to co sobie wyobraziłeś?

Odpowiedź na to pytanie zacznę od wprowadzenia dodatkowego kontekstu – a jest nim pierwsza styczność z RODO. Każdy z nas chyba pamięta falę maili od różnych firm i organizacji, gdy te regulacje weszły w życie. Wtedy byliśmy niejako „po drugiej stronie barykady”. Odbiór RODO w tamtym momencie oczywiście był dość subiektywną sprawą, na dodatek mocno zależną od jakości przeprowadzonych kampanii informacyjnych. Moje odczucia były wtedy dość negatywne, nie podobało mi się w świecie rodo.
Z jednej strony poirytowanie zalewem maili, z drugiej pewne rozdrażnienie w związku z brakiem pełnego zrozumienia tematu. Mnie osobiście brakowało jakościowej kampanii informacyjnej.Negatywne odczucia jednak bardzo szybko odeszły w niepamięć, gdy już po wprowadzeniu RODO spotkałem się z pierwszymi naruszeniami związanymi z przetwarzaniem moich danych. Wtedy to sobie przypomniałem, że RODO jest orężem do walki z tego typu przewinieniami. Z chęcią wykorzystałem przysługujące mi prawa, chociażby do wycofania zgody na przetwarzanie moich danych osobowych. Tego typu doświadczenia uświadomiły mi, jak istotne jest RODO, zwłaszcza gdy jesteśmy stroną, która te dane przetwarza.
W pewnym momencie tak też się stało i u mnie, gdy otworzyłem moją działalność gospodarczą. Spadł na mnie pewien ciężar odpowiedzialności. O ile rozumiałem, po co jest RODO i jakie są podstawy tych regulacji, to dostosowanie mojej działalności do wymogów prawnych było zadaniem, które nie za bardzo wiedziałem, jak ugryźć.Wyobrażałem sobie, że oto teraz będę musiał spędzić godziny na czytaniu ustaw, aby zrozumieć każdy szczegół RODO, a stworzenie integralnej polityki prywatności zajmie mi dni z uwagi na delikatną kwestię doboru odpowiedniego słownictwa. Można powiedzieć, że trochę się bałem tego na wyrost, ale od czasu afery Rywina i słynnego „lub czasopisma” zacząłem z wielką powagą traktować wszelkie kwestie prawne. Podsumowując, na starcie RODO było dla mnie olbrzymią górą, na którą nie wiedziałem, jak się wdrapać i od której strony. Otuchy nie dodawał fakt, że w mojej ocenie nie posiadałem odpowiedniego ekwipunku to zmierzenia się z tym wyzwaniem.
Pytanie: Czy trudno było wykonać pierwsze świadome kroki, które nie były kopiowaniem gotowców z innych stron albo szablonów. Jak wyglądała Twoja pierwsza dokumentacja RODO?
Owszem, przyszło mi to z trudem. Cieszę się, że poruszamy kwestię kopiowania gotowców z innych stron. Ja również popełniłem ten grzech zaniechania na początku i poszedłem niejako na łatwiznę. Ot znalazłem wydeptaną ścieżkę i nią podążyłem. Moja polityka prywatności w tamtym momencie stanowiła zlepek tekstów z trzech innych stron. Wybrałem takie fragmenty, które poruszały jak najszerszy zakres zagadnień i dostosowałem je delikatnie do mojej działalności. Wprowadziłem oczywiste modyfikacje takie jak wprowadzenie danych mojej firmy, czy też opisanie narzędzi firm trzecich, z których korzystałem. Wydawało mi się, że osiągnąłem zamierzony efekt – że jestem „zgodny z RODO”. Jak się później okazało, po konsultacji z Tobą, wydeptana ścieżka doprowadziła mnie ledwie na jakiś pagórek, a pełna zgodność z RODO nadal majaczyła daleko na horyzoncie ???? Generalnie moje odczucie jest takie, że trudno wykonać WŁAŚCIWIE, pierwsze, świadome kroki.
Dlaczego? W tekstach prawnych bardzo często pojawiają się dość enigmatycznie brzmiące sformułowania, które odstraszają przeciętnego Kowalskiego. Większość z nas nie została nauczona jak czytać teksty prawne. Gdy więc pierwszy raz trafimy chociażby na konieczność przygotowania „wykazu powierzeń” na potrzeby RODO to większość poczuje się jakby stała pod ścianą. Teraz gdy mam już cały proces redagowania polityki prywatności OD ZERA za sobą to wiem, że nie jest to „rocket science”. Nie zmienia to faktu, że mamy dwie opcje. Pierwsza to próba przeskoczenia tej ściany poprzez spędzenie długich godzin na samodzielnym zapoznawaniu się z wymogami prawnymi. Druga, znacznie lepsza opcja, to poświęcenie kilku minut na znalezienie kogoś, kto da nam drabinę, czyli osoby, która już taką wiedzę posiada i nas odpowiednio pokieruje.

Pytanie: Jesteś osobą z branży IT – jak oceniasz, czy w obecnych czasach przedsiębiorca może skutecznie wdrożyć wymogi RODO bez znajomości podstaw teleinformatyki lub wsparciu kogoś, kto „ogarnia IT”?

Tu się odwołam do mojej poprzedniej odpowiedzi. Przedsiębiorca może skutecznie samodzielnie wdrożyć wymogi RODO, ale musi być gotowy do zainwestowania znacznej ilości czasu. Ponadto trzeba się również pogodzić z faktem, że najprawdopodobniej i tak się znajdą jakieś niedociągnięcia. Znacznie lepszym pomysłem jest skonsultowanie się z kimś, kto się już na tych regulacjach zna – na przykład z Tobą. Zaoszczędzimy w ten sposób czas i będziemy mogli spać spokojnie, nie martwiąc się, czy czegoś nie pominęliśmy.Z systemami teleinformatycznymi jest generalnie tak, że istnieją one po to, by nam ułatwiać życie. W większości przypadków są one skonstruowane tak, aby poradził sobie z nimi przeciętny Kowalski, nieznający się na technikaliach.
Schody zaczynają się w momencie, gdy mamy do czynienia z kilkoma bądź kilkunastoma systemami IT, które na dodatek są ze sobą w jakiś sposób powiązane. A tak jest niemal w każdym przedsiębiorstwie w branży IT – mamy do czynienia chociażby z hostingiem strony, mailingu, mediami społecznościowymi, bazami danych itd. Przygotowanie polityki prywatności uwzględniającej te zawiłości może być nie lada wyzwaniem – dlatego też warto zasięgnąć opinii konsultanta.

 

Pytanie: Czy wdrożenie przez Ciebie nowych narzędzi dobranych pod kątem RODO usprawniło w innych aspektach to jak pracujesz, lub jak chronisz inne informacje?

Tak, z pewnością. Przede wszystkim postawienie na mailing oparty o G Suite od Google zdjęło z ramion pewien ciężar odpowiedzialności związany z RODO. Możliwość ustawiania polityk retencji to zaledwie jedna z zalet. Śmiem stwierdzić, że przenosiny na G Suite dały mojej firmie również wymierne korzyści w postaci chociażby dostępu do ujednoliconej platformy komunikacyjnej (Google Hangouts + Meet) czy też dodatkowego storage’u opartego o chmurę, który wykorzystujemy do backupowania owoców naszej pracy. Kolejną zaletą, którą dostrzegam po dostosowaniu się do RODO i po wprowadzeniu odpowiednich narzędzi jest większa świadomość mojej firmy. Co mam na myśli? Teraz doskonale zdaję sobie sprawę z tego, jakie dane przetwarzam oraz jaka w związku z tym ciąży na mnie odpowiedzialność. Ponadto bardzo cenna jest wiedza o tym, które z zewnętrznych podmiotów, z którymi współpracuję, również przetwarza dane moich klientów.

 

Pytanie: Czy Twoim zdaniem przygotowanie do RODO małej firmy wymaga angażowania prawnika?

Dobre pytanie, na które odpowiem trochę przekornie – to zależy. W przypadku dużych firm i korporacji, które przetwarzają ogromne ilości różnego rodzaju danych i powierzają te dane wielu zewnętrznym podmiotom, z pewnością angażowanie prawnika ma sens. Gracze dużego rozmiaru nie mogą sobie zwyczajnie pozwolić na błędy, które w ich przypadku mogłyby kosztować miliony. Inaczej ma się sprawa w przypadku sektora MŚP. Tutaj nadal na nas spoczywa odpowiedzialność za solidne dostosowanie firmy do wymogów RODO, rownież dokumentacja RODO musi być specjalistyczna. Natomiast skala „problemu” jest na tyle mała, że można sobie z nim ze spokojem poradzić bez angażowania funduszy na konsultacje prawne.

Odpowiadając kolokwialnie – prawnik w takiej sytuacji to według mnie trochę overkill. Z pewnością jednak warto się zastanowić nad zasięgnięciem opinii zewnętrznego konsultanta, który pomoże nam poukładać wszystkie klocki na miejscu. Ja osobiście się bardzo cieszę, że przyszło nam razem współpracować. Dogłębne zrozumienie tematyki RODO oraz doświadczenie po Twojej stronie były dla mnie kluczowe. Owocem naszej współpracy był zestaw bardzo praktycznych porad, które udało mi się z powodzeniem wdrożyć w mojej firmie. Tak wygląda ochrona danych osobowych i RODO w małej firmie krok po kroku .

Dziękuję za rozmowę 🙂

Poznaj pakiet RODO dla jednoosobowej działalności.

.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku: https://www.facebook.com/AnnaZamojcinARP

zamówienie Nie omieszkaj wbić się na instagram: https://www.instagram.com/rodozgodny

YT A tu obejrzysz porady wideo: https://www.youtube.com/channel/UCDfrurKd9Q7CeIae1uwHjuw

Utrata subskrybenta – kłopotliwa sprawa

Utrata subskrybenta – kłopotliwa sprawa. W jednym z poprzednich artykułów opisywałam przykład pułapki, w którą możesz wpaść, gdy nowa osoba zapisuje się jako odbiorca Twojego newslettera. Możesz przeczytać o tym tu. Ważne jest odpowiednie wypełnienie obowiązku informacyjnego w stosunku do osoby zapisującej się na naszą listę – zdecydowanie nie wystarczy zapisać stosowne informacje w polityce prywatności. Należy jasno w formularzu, w którym zbieramy dane wyjaśnić cel ich przetwarzania. Jednak pułapki czają się też, gdy ktoś rezygnuje z Twojego newslettera. Może ona potencjalnie sprowadzić na Ciebie kłopoty.

Jak się traci subskrybenta?

Utrata osoby subskrybującej Twój newsletter może być wynikiem wielu czynników – słaba treść, zbyt duża liczba wiadomości, spełnił się cel, dla którego osoba się zapisała. Jednak ja nie o tym chcę opowiedzieć. Skupię się na technicznym procesie związanym z tą czynnością oraz wymaganiami, jakie RODO przed każdym administratorem stawia.

W punkcie 3 artykułu 7 RODO znajdziemy zapis:

(…) Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

RODO, Artykuł 7 punkt 3 (fragment)

Zatem skoro aby zapisać się na newsletter wystarczy wypełnić formularz, to wypisanie się z niego musi być co najmniej tak samo nieskomplikowaną czynnością. Niedozwolone będzie żądanie od osoby zapisanej na Twoją listę dystrybucyjną, aby wysyłała do Ciebie podanie w formie papierowej z żądaniem zaprzestania przetwarzania danych i ich usunięcia.

Większość systemów do obsługi newsletterów pozwala na wypisanie się z listy na dwa sposoby. Pierwszy z nich nie wymaga żadnych czynności ze strony administratora. W stopce każdej wysłanej wiadomości odbiorca znajdzie unikalny odnośnik, za pomocą którego samodzielnie może wycofać swoją zgodę. Proces ten jest automatyczny i wbudowany w silnik usługi newslettera. Czasem może wymagać od strony użytkownika dodatkowego potwierdzenia chęci wypisania się, czasem tylko operacja ta potwierdzana jest odpowiednią wiadomością. Drugim ze sposobów jest ręczne usunięcie wskazanej osoby z listy subskrybentów przez administratora.

Wypisany, lecz nie usunięty

Wypisanie osoby z newslettera opiszę na przykładzie popularnego systemu do obsługi newslettera MailChimp. Gdy osoba zapisana do newslettera wypisuje się z niego, nie jest ona automatycznie usuwana z bazy danych kontaktów systemu MailChimp. Dane tej osoby nadal w nim widnieją, lecz zmienia się jej status na Unsubscribed.

SUBSKRYB

MailChimp nie jest jedynym systemem do prowadzenia kampanii mailowych, w którym kontakt nie jest usuwany wraz z wypisaniem się użytkownika z ostatniej listy. Podobnie dzieje się choćby w ActiveCampaign czy GetResponse. Stawiam orzechy przeciw chrupkom ;), że użytkownicy pozostałych dostawców systemów do kampanii marketingowych także nie usuwają od razu kontaktu z bazy adresów.

Czy jest to zgodne z RODO?

Jest to bardzo uzasadnione pytanie. Stosując prostą logikę, należałoby przyjąć, że skoro dana osoba się wypisała z newslettera, to powinniśmy przestać przetwarzać informacje o niej. Samo przechowywanie informacji jest czynnością przetwarzania, zatem logicznym następstwem wycofania zgody wydaje się konieczność usunięcia danych. RODO nie jest jednak tak rygorystyczne. Co więcej, taka jednoznaczna interpretacja byłaby trudna do wdrożenia niezależnie od tego, czy dane przetwarzane są jedynie w formie cyfrowej, czy także papierowej. Aby zrozumieć jakie obowiązki ma administrator, przytoczę zapis całego punktu 3, który we fragmencie już cytowałam.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

RODO, Artykuł 7 punkt 3

Kluczowe jest sformułowanie użyte w drugim zdaniu, które mówi o tym, że informacje uzyskane w procesie przetwarzania, czy same wykonane czynności przetwarzania, wykonane przed odwołaniem zgody nadal są legalne. Zresztą nie ma możliwości odwołania wysłanych już maili marketingowych. Po wycofaniu zgody nie możesz jednak wysyłać danej osobie kolejnych wiadomości.

Jest jeszcze druga podstawa wynikająca z RODO, która uprawnia Cię do zachowania informacji o subskrybencie. Systemy obsługujące kampanie marketingowe są skonstruowane w ten sposób, że użytkownik za pomocą wspomnianego wcześniej odnośnika zawartego w mailu cofa jedynie zgodę na przetwarzanie podanych przez niego danych w celu wysyłki newslettera. Nie jest to tożsame z żądaniem usunięcia danych. Pamiętaj jednak, że jeżeli takie żądanie zostanie przez niego złożone, to musisz ręcznie usunąć wszystkie dane.

Niebezpieczeństwa

Taki sposób działania produktów takich jak MailChimp, ActiveCampaign czy GetResponse, wydaje się być oczywisty z punktu widzenia administratora danych. Każda z osób prowadząca serwis internetowy czy sklep chce jak najwięcej wiedzieć o swoich czytelnikach, czy klientach. Jako administrator musisz jednak rozumieć, w jaki sposób działa produkt, z którego korzystasz, by nie złamać innych ograniczeń wynikających z RODO.

Pamiętaj, że masz prawo przechowywać i przetwarzać dane historyczne zebrane w czasie, gdy udzielona była zgoda. Zatem nadal możesz przeglądać informację o tym, które wiadomości przez daną osobę zostały otwarte, statystyki klikania w odnośniki czy innego zaangażowania. Dotyczy to wszystkich atrybutów, które system przypisał do danego kontaktu (pamiętaj jednak zawsze o zasadzie minimalizacji i nie zbieraj więcej danych, niż jest to niezbędne).

Nie wolno Ci jednak dopisywać żadnych nowych informacji czy przetwarzać tych już posiadanych w innym celu niż pierwotnie określony, nawet jeżeli zaktualizowana została przez Ciebie polityka prywatności. Swego rodzaju „wytrychem” w tej sytuacji jest odpowiednie skonstruowanie polityki prywatności. Możesz rozdzielić wszelkiego rodzaju czynności związane z profilowaniem czy statystykami od czynności wysyłki samego newslettera. Wtedy wycofanie zgody na otrzymywanie maili nie będzie cofać zgody na inne działania. Takie podejście może być jednak ryzykowne – musisz bardzo uważać, w jaki sposób spełniasz obowiązek informacyjny. Ponadto część takich działań może wymagać od profilowanej osoby wyrażonej świadomej dodatkowej zgody.

Oczywiście nie możesz danej osobie wysyłać już więcej wiadomości z newslettera. Bardzo łatwo jednak popełnić błąd migrując swoją bazę kontaktów pomiędzy różnymi systemami do kampanii marketingowych. Jeżeli przez nieuwagę lub pomyłkę przeniesiesz taką wypisaną z list osobę do nowego systemu, a następnie otrzyma ona od nas maila z newsletterem będzie miała ona solidne podstawy, by złożyć na Ciebie skargę do UODO, czy dochodzić zadośćuczynienia.

Moje rady

Końcowa decyzja o tym, co robić a czego nie zależy od Ciebie i tego, jakie cele chcesz osiągnąć. Ja mam dla Ciebie kilka porad:

  • Jeżeli jesteś początkującym przedsiębiorcą, to nie kombinuj. Zajmujesz się na pewno bardzo wieloma rzeczami i łatwo możesz przeoczyć drobnostki, jak niepoprawna migracja bazy kontaktów. Ja po prostu co miesiąc kasuję osoby, które nie są zapisane na żadną z moich list.
  • Oddzielanie profilowania od czynności związanych z newsletterem w polityce prywatności może być ryzykowne. Jeżeli się na to decydujesz, to postaraj się skorzystać z opinii prawnika i specjalisty od IT.
  • Postaraj się rozumieć jak najlepiej, w jaki sposób działa system do kampanii marketingowych, z którego korzystasz. Przeczytaj dokładnie dokumentację techniczną lub zadaj pytanie do wsparcia technicznego. Pamiętaj, że twórcy mogą szumnie określać swój produkt jako „zgodny z RODO”, co nie oznacza, że nie masz żadnych obowiązków.
  • Dbaj o jasne zapisy w polityce prywatności i samym formularzu zapisywania na newsletter.

Przeczytaj też: 5 pytań o pierwsze kroki w świecie RODO

 

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku: https://www.facebook.com/AnnaZamojcinARP

zamówienie Nie omieszkaj wbić się na instagram: https://www.instagram.com/rodozgodny

YT A tu obejrzysz porady wideo: https://www.youtube.com/channel/UCDfrurKd9Q7CeIae1uwHjuw

Double opt-in przy zbieraniu zgód

Jednym z obowiązków, jakie RODO oraz Ustawa o Świadczeniu Usług Drogą Elektroniczną nakładają na przedsiębiorcę, jest zebranie zgody na przetwarzanie danych osobowych w celach marketingowych. Wymogi stawiane przed przedsiębiorcą wynikające z tych dwóch różnych aktów prawnych mają jedną wspólną cechę – to do przedsiębiorcy należy wykazanie, że zgoda została wyrażona. Mechanizm Double Opt-in jest jedną z technik, które mają za zadanie zebrać jednoznaczną i weryfikowalną zgodę.

Po co te zgody marketingowe?

Marketing może być prowadzony na bardzo wiele sposobów. W internecie spotkamy się z reklamami graficznymi, zarówno sprofilowanymi, jak i wyświetlanymi w sposób losowy. Mniej popularne są formy afiliacyjne czy marketing szeptany. Jedną z najstarszych i nadal najpopularniejszych metod dotarcia do klienta jest jednak marketing za pomocą e-maili. Może on przyjąć wiele form. Najczęściej jest to newsletter z treściami przynoszącymi odbiorcy konkretną wartość. Spotkać się możemy też z bezpośrednim przeniesieniem idei gazetki reklamowej do postaci elektronicznej. Z kuponami zniżkowymi włącznie.

RODO, tam gdzie nie wynika to z innych przepisów, nakłada obowiązek zebrania zgody na przetwarzanie danych osobowych do wszelkich czynności. Nie inaczej jest, gdy chcemy te dane przetwarzać w celach marketingu produktów własnych czy remarketingu oferty firm trzecich. Jednak w przypadku tego typu działań w formie elektronicznej musimy się liczyć także z zapisami Ustawy o Świadczeniu Usług Drogą Elektroniczną. Szczególnie ważne są zapisy zawarte w artykule 10 ustawy.

  1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
  2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny

Zatem jasno wynika, że zgoda na marketing w formie newslettera jest wymagana. Co więcej, zarówno RODO, jak i Prawo Telekomunikacyjne wprost mówią, że zgoda ta „nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”. Zatem administrator musi mieć możliwość wykazania w przypadku kontroli, że dana osoba zgodę wyraziła. Double Opt-In jest metodą na wykazanie dopełnienia wszystkich obowiązków przez przedsiębiorcę.

Wzory zgód marketingowych znajdziesz w pakiecie Regulamin sklepu internetowego 2021 + pakiet RODO na stronę

Single Opt-In

Typowy mechanizm pozwalający zapisać się do newslettera ma postać formularza. Zainteresowana osoba wypełnia go wpisując w odpowiednim polu swój adres e-mail i klika przycisk rejestracji. Następnie na jego skrzynkę mailową przychodzi potwierdzenie w formie wiadomości powitalnej. Taki proces nazywamy Single Opt-In, gdyż zgoda na dopisanie się wyrażana jest jednokrotnie poprzez wypełnienie formularza. Nawet jeżeli do formularza dodamy dodatkowy checkbox z przygotowaną formułą typu „wyrażam zgodę na przesyłanie informacji handlowych”. Przy dobrze spełnionym obowiązku informacyjnym jest on w wielu przypadkach zbędny.

OPT1

Single Opt-In jest bardzo prostą i wydajną metodą lecz nie w każdej sytuacji

Zalety

  • Prostszy proces zapisu przekłada się na szybszą budowę bazy odbiorców newslettera
  • Szybciej przyrastająca liczba subskrybentów

Wady

  • Mniejszy poziom zaangażowania uczestników listy mailowej, większa liczba „martwych dusz”.
  • Wyższy wskaźnik osób wypisujących się z newslettera i odbitych maili (bounce rate), który negatywnie może wpływać na Twoją reputację i efektywność dostarczania maili.
  • Potencjalnie lista może łatwo zostać zaśmiecona nieistniejącymi adresami przez Twoją konkurencję.
  • Wymaga innych dodatkowych metod potwierdzających, że zgoda została wydana świadomie.

 

Kiedy warto stosować

Model Single Opt-In możemy z powodzeniem stosować w formularzach dedykowanych jedynie do zapisu do listy mailingowej. Osoba zapisująca się na listę musi wykonać świadomą i jednoznaczną czynność polegającą na wpisaniu swojego adresu e-mail i jednoznacznego potwierdzenia odpowiednim przyciskiem. Formularz powinien zawierać w sobie dobrze wypełniony obowiązek informacyjny, w tym jednoznaczną informację, że podanie danych jest dobrowolne i będzie skutkowało wyrażeniem zgody na otrzymywanie informacji o charakterze marketingowym. Zatem sam formularz jest kluczem do poprawnego zebrania zgody i wypełniania obowiązku informacyjnego

 

Double Opt-In

Wmodelu Double Opt-In stosuje się dwa kroki celem weryfikacji udzielonej zgody. Wypełnienie przez zainteresowanego odbiorcę formularza na stronie nie kończy procesu dodawanie nowej osoby do listy. Powoduje natomiast wysłanie na podany adres e-mail wiadomości zawierającej specjalnie przygotowany link potwierdzający chęć rejestracji. W tym etapie system obsługujący wysyłkę newslettera ma już informacje podane w formularzu, lecz nie wysyła jeszcze wiadomości marketingowych. Osoba, która dołącza do newslettera musi potwierdzić swoją chęć klikając na wygenerowany dla niej specjalny link, który wysyłany jest do niej w wiadomości zwrotnej. Jeżeli nie odbierze ona maila lub nie potwierdzi chęci zapisania się do newslettera, to po określonym czasie wygenerowany odnośnik wygaśnie. Pozyskany zaś adres zostanie usunięty z systemu mailowego. Dokończenie rejestracji możliwe jest tylko poprzez świadome otwarcie maila i kliknięcie na załączony odnośnik. Dopiero po wykonaniu tych czynności system mailingowy zarejestruje wyrażoną zgodę i przeniesie osobę do wskazanej grupy odbiorców.

OPT2

Zalety

  • Lepsza weryfikacja fałszywych adresów e-mail oraz osób niezainteresowanych wysyłanymi do nich wiadomościami
  • Lepszy (niższy) wskaźnik niedoręczonych wiadomości (bounce rate)
  • Subskrybenci rzeczywiście zainteresowani wysyłanymi do nich wiadomościami

 

Wady

  • Wolniej przebiegający proces budowy listy mailowej.
  • Młodsi odbiorcy, szczególnie nastolatkowie, są mniej przyzwyczajeni do sprawdzania skrzynki pocztowej, co powoduje, że mogą nie potwierdzić na czas subskrypcji.
  • Wyższy koszt pozyskania subskrybenta, jeżeli korzysta się z usług operatora, u którego koszt zależy także od ilości wysyłanych maili.

 

Kiedy warto stosować

Proces Double Opt-In jest przydatny w sytuacji, gdy dajemy osobom możliwość dopisania się do odbiorców newslettera przy okazji innej czynności. Jest to bardzo wygodne rozwiązanie dla prowadzących sklepy internetowe. Zazwyczaj oferują oni możliwość wyrażenia zgody na otrzymywanie wiadomości marketingowych w finalnym kroku dokonywania zakupów. Metoda Double Opt-In pozwoli im zebrać jednoznaczną i wiarygodnie udokumentowaną zgodę. Pozwoli to uniknąć podejrzeń o bezprawne dopisywanie do listy lub domyślne zaznaczenie w formularzu zamówienia zgody na marketing. Skorzystają na niej też osoby, którym zależy na dodatkowej weryfikacji adresów e-mail i automatycznym odrzucaniu nieprawidłowych adresów.

Polecany artykuł:

Utrata subskrybenta – kłopotliwa sprawa

 

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku: https://www.facebook.com/AnnaZamojcinARP

zamówienie Nie omieszkaj wbić się na instagram: https://www.instagram.com/rodozgodny

YT A tu obejrzysz porady wideo: https://www.youtube.com/channel/UCDfrurKd9Q7CeIae1uwHjuw

72 godziny na zgłoszenie naruszenia

72 godziny, właśnie tyle masz czasu na zgłoszenie naruszenia ochrony danych osobowych do UODO. Nie panikuj, tylko się przygotuj.

Odpowiedzialny administrator danych osobowych dba o to, by odpowiednio zabezpieczyć wszystkie zagadnienia związane z przetwarzaniem danych osobowych. Polega to zarówno na wprowadzeniu odpowiednich technicznych środków ochrony, procedur, szkoleniu pracowników i współpracowników, jak i podpisaniu odpowiednich upoważnień czy umów powierzenia. Odpowiedzialny administrator jest też przygotowany na sytuację, gdy nastąpi incydent związany z naruszeniem ochrony danych. Specjaliści od analizy ryzyka i bezpieczeństwa są zgodni, że należy myśleć w kategoriach „kiedy nastąpi”, a nie „czy nastąpi” takie naruszenie. Po prostu żyjemy i pracujemy w świecie elektroniki i technologii, a najbardziej zawodnym zawsze będzie czynnik ludzki. Dlatego ważne jest, aby administrator danych osobowych wiedział, jakie ciążą w takiej sytuacji na nim obowiązki. To właśnie z tytułu niewłaściwego postępowania, czy wręcz próby zatajenia informacji o naruszeniu, UODO może nakładać najbardziej dotkliwe kary finansowe.

Czym jest naruszenie ochrony danych osobowych

Naruszenie bezpieczeństwa w RODO zdefiniowane jest w sposób następujący:

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

RODO, artykuł 4 punkt 12

W motywie 75 preambuły znajdziemy ponadto przykłady, kiedy występuje ryzyko naruszenia ochrony danych osobowych. Są to między innymi sytuacje, które mogą prowadzić do:

  • uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych
  • dyskryminacji
  • kradzieży tożsamości lub oszustwem dotyczącym tożsamości
  • straty finansowej
  • naruszenia dobrego imienia
  • naruszenia poufności danych chronionych tajemnicą zawodową
  • nieuprawnionego odwrócenia pseudoanonimizacji
  • wszelkiej znacznej szkody gospodarczej lub społecznej

Jednocześnie naruszeniem ochrony danych osobowych występuje zawsze, jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności, lub wyroków skazujących i naruszeń prawa, lub związanych z tym środków bezpieczeństwa.

Bezpieczeństwo danych osobowych, czyli RODO w interesie Twojej firmy!

RODO nic nie mówi o tym, jak ma wyglądać bezpieczeństwo procesu przetwarzania. Znajdziemy w nim ogólne zasady, którym ma ono podlegać. Wymaga też od administratora analizy, jakie dane osobowe i w jakim celu są przetwarzane, czyli prowadzenia rejestru czynności przetwarzania. Musi on także dokonać analizy ryzyka konsekwencji, jakie mogą się wiązać dla osoby, która nam swoje dane powierzyła, gdy wystąpi naruszenie ochrony tych danych. Do administratora należy na tej podstawie zapewnienie odpowiednich zabezpieczeń, zarówno technicznych jak i proceduralnych. Podjęte środki bezpieczeństwa, w zależności od wielkości firmy, skali działalności, czy rodzaju przetwarzanych danych mogą się diametralnie między sobą różnić.

SECURITY

Czy wdrożenie tych bezpiecznych rozwiązań będzie kosztowne i czasochłonne, zależy od przeprowadzonej przez Ciebie analizy oraz podjętych decyzji. Z moich obserwacji wynika, że osoby prowadzące mikro i małe przedsiębiorstwa z gałęzi e-commerce, edukacji czy usług nie powinny mieć z tym większych problemów. Tak naprawdę wiele z technicznych mechanizmów ochrony powinno być przez Ciebie stosowanych od dawna także w życiu prywatnym.

Odnoszą się one do bezpiecznego korzystania z komputera, Internetu i poczty elektronicznej, przechowywania czy przesyłania plików. Zaleca się stosowanie odpowiedniego oprogramowania wykrywającego złośliwe pliki. Wszyscy powinniśmy stosować zasadę ograniczonego zaufania do tego, co mówią i za kogo podają się osoby do nas dzwoniące czy piszące. Wiele organizacji wydało swoje przewodniki po rekomendowanych najlepszych praktykach, które uwzględniają specyfikę pracy przedsiębiorstw z danej branży. Znajdziemy w nich też przykłady, czym może być naruszenie ochrony danych osobowych w procesach przetwarzania charakterystycznych dla branży.

Popraw bezpieczeństwo wszystkich informacji

Jeżeli w tym momencie widzisz tylko piętrzące się przed Tobą obowiązki i rosnące koszty, to mam dla Ciebie dwie dobre informacje. Po pierwsze wdrożenie technicznych zabezpieczeń czy nowych procedur nie musi być kosztowne. Większość znanych programów wspomagających prowadzenie firmy jest odpowiednio już przygotowana i nie musisz ich wymieniać. Także większość dostawców usług jest od początku gotowa ze swoimi produktami, by być w zgodzie z RODO. Jeżeli używasz usług Microsoft Office 365 czy Google G Suite to może nawet nie wiesz o wbudowanych w nich możliwościach ochrony i nadzoru.

Druga wiadomość jest dla Ciebie jeszcze lepsza. Jakiekolwiek zmiany nie wprowadzisz, to wszystko, co zrobisz, będzie chronić nie tylko przetwarzanie danych osobowych, ale wszystkie najcenniejsze informacje w Twojej firmie. Mogą to być przykładowo pliki z cennikami od producenta, którego Twoja firma jest dystrybutorem w Polsce, dokumenty serwisowe, plany handlowe czy marketingowe i inne. Zarówno te przechowywane w formie elektronicznej, jak i tradycyjnej. Dobrze wiesz, co jest dla Twojej firmy największym skarbem. Dlatego przestań patrzeć na RODO jak na zły obowiązek, a zacznij jak na szansę poprawy jej bezpieczeństwa.

Zgłoszenie naruszenia

Postępowanie gdy wykryjesz naruszenie ochrony danych osobowych powinno być jasną spisaną procedurą czynności, które należy wykonać krok po kroku. Jeżeli zatrudniasz parę osób, pamiętaj, by przypisać kto jest za wykonanie danej czynności odpowiedzialny, oraz kto będzie podejmował decyzje. Postaraj się, aby decyzyjne zawsze były co najmniej dwie osoby, na wypadek, gdyby jedna z nich była chora lub na urlopie. Jest to o bardzo ważne. Jeżeli naruszenie będzie musiało być zgłoszone do Urzędu Ochrony Danych Osobowych, to masz na to tylko 72 godziny od momentu jego wykrycia. Niezależnie od tego, każdy incydent musi być odnotowany w wewnętrznym rejestrze – możesz go prowadzić na przykład w dedykowanym arkuszu kalkulacyjnym czy dokumencie tekstowym.

Ponadto, w sytuacji, gdy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie takie nie będzie konieczne, jeżeli wdrożysz odpowiednie techniczne i organizacyjne środki ochrony i będą one stosowane. Ponadto musisz wdrożyć środki eliminujące prawdopodobieństwo wysokiego ryzyka. Od informowania poszkodowanych możesz też odstąpić, gdyby wymagałoby ono niewspółmiernie dużego wysiłku. Pamiętaj jednak, że każda z tych sytuacji to subiektywna ocena Twoja jako administratora, oraz kontrolera z UODO, jeżeli będzie on przyglądał się sprawie. Dlatego warto wszystko przemyśleć na spokojnie, a nie pod wpływem stresu związanego z naruszeniem. Procedurę zgłaszania incydentu znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.

ZEGARY

Napisz procedurę postępowania

Przykładowe postępowanie po wykryciu naruszenia może wyglądać następująco:

  1. Zebranie informacji o incydencie:
    • Co się stało, kiedy i gdzie?
    • Jak wykryto lub kto zgłosił naruszenie?
    • Jakie kategorie danych były przedmiotem incydentu?
    • Jaki jest zasięg incydentu, ilu jest potencjalnie poszkodowanych?
  2. Potwierdzenie wystąpienia incydentu przez drugiego pracownika, lub firmę zewnętrzną.
  3. Jakie środki ochrony danych osobowych wdrożono i czy były one rzeczywiście zastosowane.
  4. Analiza skali incydentu.
  5. Analiza, czy wystąpiło wysokie naruszenia praw lub wolności osób fizycznych.
  6. Odnotowanie incydentu w wewnętrznym rejestrze naruszeń.

Po przeprowadzonym postępowaniu należy podjąć decyzję co do poinformowania o incydencie UODO oraz osoby potencjalnie poszkodowane. Procedurę zgłaszania incydentu, jak i odpowiednie formularze, znajdziesz na stronie Urzędu. Ponadto w rejestrze naruszeń warto wpisać jakie przesłanki były brane pod uwagę przy podejmowaniu decyzji o zgłoszeniu incydentu lub zastosowaniu jednego z wyłączeń od tego obowiązku.

Przykłady naruszeń

Poniżej znajdziesz kilka przykładów incydentów oraz przesłanek, które mogą być wiążące do podjęcia decyzji o zgłoszeniu naruszenia do UODO, lub odstąpienia od tej czynności. Pamiętaj, by nie stosować ich bezkrytycznie – zawsze musisz samodzielnie dokonać oceny sytuacji.

Zgubienie lub kradzież laptopa

Kradzież lub zgubienie sprzętu to częste sytuacje. Odpowiednia ocena zależy od wdrożonych zabezpieczeń a także odpowiedniej edukacji osób.

  • Nie zgłaszamy, jeżeli laptop był wyłączony lub w stanie hibernacji oraz włączone było szyfrowanie wszystkich dysków znajdujących się w urządzeniu.
  • Zgłaszamy, jeżeli co najmniej jeden z dysków nie był zaszyfrowany lub w sytuacji, gdy komputer był uruchomiony lub w stanie uśpienia.

Zgubienie lub kradzież dysku przenośnego lub pamięci pendrive

  • Nie zgłaszamy, jeżeli dysk lub pendrive były w całości zaszyfrowane (nie tylko pojedyncze pliki)
  • Zgłaszamy, jeżeli dysk lub pendrive nie były w całości zaszyfrowane lub istnieją co do tego wątpliwości.

Pozostawiony otwarty sejf lub zamykana szafa z dokumentami osobowymi pracowników

  • Nie zgłaszamy, jeżeli pracownik o niedopatrzeniu się szybko zorientował i natychmiast wrócił i zamknął szafę, lub monitoring potwierdził, że nikt nie miał do niej i pomieszczenia dostępu.
  • Zgłaszamy, jeżeli istnieje prawdopodobieństwo, podejrzenie lub pewność, że ktoś miał dostęp do szafy lub nawet samego pomieszczenia.

Niewłaściwie zaadresowana poczta elektroniczna

  • Nie zgłaszamy, jeżeli z adresu jak i treści poczty nie wynika jednoznacznie kto jest odbiorcą (na przykład wysyłamy mail na alias pocztowy) i nie zwiera w treści żadnych danych osobowych
  • Zgłaszamy, gdy prawowity odbiorca, lub inne osoby są identyfikowalne

Aktywne konta pracowników, którzy już nie są zatrudnieni

Jakakolwiek utrata kontroli nad danymi jest już sama w sobie naruszeniem. W większych firmach zdarza się, że przez niedopatrzenie odchodzącemu pracownikowi nie zostanie zablokowany dostęp do służbowego konta lub poczty.

  • Nie zgłaszamy, jeżeli na podstawie logów z serwera potwierdzimy, że nikt nie miał dostępu do konta od chwili rozwiązania współpracy z pracownikiem
  • Zgłaszamy, gdy istnieje prawdopodobieństwo nieuprawnionego dostępu

Podanie danych przez telefon niezweryfikowanemu rozmówcy

Wyłudzenia przez telefon nie są niczym nowym i nadal są powszechne. Ktoś dzwoniący do księgowej może podawać się za pracownika ZUS i pytać o dane osobowe pracowników. Ważne jest odpowiednie szkolenie Twojej kadry oraz stosowanie zdroworozsądkowej zasady ograniczonego zaufania.

  • Nie zgłaszamy, jeżeli pracownik w porę zorientował się w zagrożeniu i oszacujemy ryzyko na podstawie udostępnionych w ten sposób danych na niskie.
  • Zgłaszamy, w każdym innym przypadku.

Niepoprawne usunięcie danych z nośników elektronicznych

Nie usunęliśmy odpowiednio danych z telefonu, tabletu czy komputera pracownika przed przekazaniem sprzętu innej osobie, oddaniem do serwisu lub odsprzedażą. Pamiętaj, że samo formatowanie dysku nie wystarcza, a niektóre nośniki wymagają fizycznego zniszczenia.

  • Nie zgłaszamy, gdy dane na nośniku były niekompletne lub zanonimizowane.
  • Zgłaszamy w każdym innym przypadku.

Wyrzucenie dokumentów na śmietnik

O sytuacji takiej mówimy nawet wtedy, gdy pracownik wyrzuci odręczne notatki do zwykłego kosza na śmieci w biurze, nie mówiąc już o wyrzucaniu całych segregatorów na śmietnik.

  • Nie zgłaszamy, gdy pracownik szybko poprawił swój błąd lub gdy mamy pewność (np. z zapisu monitoringu), że nikt nie miał do danych dostępu.
  • Zgłaszamy, gdy nie ma pewności co do tego czy ktoś miał dostęp do wyrzuconych danych lub potwierdzimy taki fakt.

 

Polecany artykuł:

5 pytań o pierwsze kroki w świecie RODO

Darmowa skrzynka e-mail a RODO

Praktycznie nie istnieją już chyba przedsiębiorstwa, które mogą obejść się bez poczty elektronicznej. Służy nam ona do kontaktu z klientami, partnerami handlowymi czy urzędami administracji publicznej. W samych listach znajdują się natomiast dane osobowe, które przetwarzamy poprzez odbieranie, przechowywanie, przesyłanie czy kasowanie wiadomości. Zatem usługa poczty elektronicznej musi być zgodna z RODO. Czy zatem darmowy e-mail możemy za taki uznać?

Darmowa skrzynka pocztowa e-mail, czyli kto za to płaci?

W biznesie nie ma nic za darmo. Nie inaczej jest z usługami darmowej poczty. Polskie firmy czy globalne koncerny przecież nie wydają swoich pieniędzy na zbudowanie i utrzymanie darmowej poczty bezinteresownie. Walutą, którą za taką usługę płacimy, jest prywatność – nasza i osób, z którymi korespondujemy. Dokonując analizy treści przesyłanych wiadomości e-mail, można bardzo wiele dowiedzieć się o danej osobie, o jej nawykach, upodobaniach, hobby, animozjach, kręgu znajomych itp. A wszystkie te dane firma oferująca darmowe skrzynki może potem sprzedać lub samodzielnie przetwarzać w celach marketingowych. Za naszą zgodą. Jej brak skutkowałby zakończeniem świadczenia „darmowej” usługi dla nas.

Aby profilować użytkowników darmowej poczty, operator musi zaglądać w jej treść. Oczywiście dzieje się to w sposób automatyczny bez udziału człowieka, niemniej naraża to przedsiębiorcę na odpowiedzialność z tytułu złamania RODO. Jeżeli skorzystamy z usługi darmowej poczty, to nie podpiszemy z jej operatorem umowy powierzenia. Pozwolimy także profilować naszych klientów, na co oni przecież mogą nie wyrażać zgody. Przyjrzyjmy się kilku najpopularniejszym w Polsce dostawcom usługi darmowej poczty elektronicznej.

Gmail

Niewątpliwie GMail jest jedną z najpopularniejszych platform darmowej poczty elektronicznej nie tylko w Polsce, ale na całym świecie. Jest jedną z usług całego ekosystemu darmowych usług, do korzystania z których Google zaleca, by być na stałe zalogowanym przy pomocy swojej tożsamości identyfikowanej przez konto GMail. Wraz z wejściem RODO przejrzystość dokumentów opisujących warunki użytkowania usług się znacznie poprawiła. Nie oznacza to jednak, że łatwo się połapać w zależnościach i przetwarzanych danych. Świadczą o tym nagłaśniane w mediach co jakiś czas potencjalne nadużycia ze strony Google, a także działania organizacji społecznych wymierzone przeciwko praktykom giganta.

W warunkach użytkowania usługi możemy napotkać następujący fragment: “Nasze automatyczne systemy analizują treść (w tym wiadomości e-mail) w celu oferowania spersonalizowanych funkcji usług, takich jak wyniki wyszukiwania, reklamy indywidualne i wykrywanie spamu oraz złośliwego oprogramowania. Tę analizę przeprowadzamy podczas wysyłania, odbierania oraz zapisywania treści.”

Warunki korzystania z usług Google (https://policies.google.com/terms?hl=pl)

Zapis ten w pewnym uproszczeniu oznacza, mówiąc potocznie, że automaty Google „czytają” pocztę”, gdy ją wysyłamy, odbieramy, a także przechowujemy w usłudze GMail. Jeżeli prowadzimy przedsiębiorstwo, oznacza to, że przekazujemy celem automatycznego przetwarzania dane osobowe, które nasi klienci czy kontrahenci przekazali nam w zupełnie innym celu. Nie można też powiedzieć, że te dane są poufne, skoro analizuje je automat. Google co prawda zapowiedziało wycofywanie się z takiego analizowania poczty, lecz zapisy takie nadal są w regulaminach.

Outlook.com, czyli dawny hotmail.com

Popularny Hotmail jest obecnie darmową usługą realizowaną w ramach Office365, czyli zestawu usług od Microsoft, w skład których wchodzi także darmowa poczta. Podobnie jak Google darmowa poczta wymaga od użytkownika zrzeczenia się części prywatności. Microsoft nie mówi wprost o skanowaniu poczty w celach marketingowych, natomiast nie ma usług za darmo. Pamiętajmy także, że konto może zostać powiązane z systemem Windows, na którym pracujesz, a cały ekosystem może zostać rozszerzony o wiele wtyczek i dodatków, to któreś z rozszerzeń może mieć pełen dostęp do Twojej poczty. Jedną z takich wtyczek jest popularny Boomerang, który pozwala między innymi na opóźnienie wysłania poczty wysyłając ją za Ciebie w ustalonym momencie. Rozszerzenie takie nie zadziała jednak, jeżeli nie nadamy mu pełnego dostępu do naszej skrzynki pocztowej.

Pamiętajmy, że zarówno korzystając z konta od Googla jak i od Microsoft ustawienia prywatności mogą znajdować się w różnych miejscach. Choć trzeba docenić, że obie firmy starają się stan rzeczy uporządkować i wyjaśniać użytkownikom. Natomiast, jak już wcześniej wspomniałem, darmowa poczta nie jest tak na prawdę darmowa. Wielkie koncerny udostępniając nam usługę darmowej poczty nie oczekują pieniędzy, ale nie znaczy że za nią nie płacimy. Walutą jest prywatność – nasza, a także osób z którymi korespondujemy.

Interia

Polscy dostawcy działają w bardzo podobny sposób, choć informacje o metodach profilowania nie są tak bezpośrednie. Mając trochę wiedzy technicznej i znając sposoby, w jaki profilowanie zapisane w regulaminie usługi się odbywa, można wywnioskować stopień zagrożenia dla powierzonych nam danych. W regulaminie usługi darmowej poczty Interii znajdziemy następujący fragment:

W przypadku chęci skorzystania przez Użytkownika z opcji Konta Bezpłatnego Użytkownik przyjmuje do wiadomości, że korzystanie z Usługi bez opłat wymaga od Użytkownika wyrażenia zgód na przetwarzanie danych osobowych w sposób umożliwiający INTERIA.PL dokonywania operacji na danych osobowych Użytkownika w celu kierowania do Użytkownika spersonalizowanej reklamy. Powyższe operacje na danych osobowych dokonywane są przez INTERIA.PL z poszanowaniem praw Użytkownika, umożliwiają INTERIA.PL świadczenie usługi za darmo, gdyż dopasowanie reklam do preferencji użytkownika umożliwia INTERIA.PL zarabianie na reklamach.

REGULAMIN ŚWIADCZENIA USŁUG UDOSTĘPNIANIA KONT POCZTOWYCH PRZEZ GRUPA INTERIA.PL SPÓŁKA z o.o. Sp. k. (Cz VIII pkt. 9) (https://konto-pocztowe.interia.pl/agreements/item/50/file/10)

Zapis mówi enigmatycznie o „operacjach na danych osobowych” nie przekazując wprost na czym to polega, ani czyje dane są przetwarzane. Zatem można przyjąć, że każde, w tym dane nam powierzone w nagłówkach czy treści poczty e-mail. Na liście podmiotów, którym dane zaś mogą być udostępniano znajdziemy przede wszystkim firmy trudniące się marketingiem i profilowaniem pod kątem marketingu. Cel zatem wydaje się jasny.

O2

Regulamin i polityka serwisu O2 jest mało czytelna, jednak zakładając darmowe konto pocztowe musimy zaznaczyć następujące zgody

email darmowy

 

Zgody marketingowe mówią o zbieraniu danych w celu reklamy w tym jej dopasowania, zatem do profilowania. Dodatkowo w polityce prywatności możemy przeczytać, że firma wykonuje „pomiary statystyczne (…) marketing (w tym analizowanie i profilowanie danych w celach marketingowych)” zarówno w odniesieniu do marketingu własnego jak i firm trzecich. Zatem należy założyć, że także jakiś automat czyta pocztę i zbiera dane.

Czy da się zgodnie z RODO prowadzić działalność gospodarczą korzystając z usług darmowej poczty?

Da się, nie jest to jednak proste. Akceptując regulamin takiej usługi nie podpisujemy umowy powierzenia danych osobowych z operatorem takiej poczty. Zatem ciężko wykazać, że wypełniony został obowiązek formalny. Można próbować na podstawie regulaminu czy polityki prywatności, bo umowę na koniec formalnie zawieramy, lecz jest to działanie, które UODO może w trakcie kontroli podważyć. Warto też zastanowić się nad taką darmową pocztą od strony wizerunku naszej firmy. Adres w domenie darmowych skrzynek e-mail takich jak @gmail.com, @wp.pl i podobne nie wyglądają profesjonalnie i mogą zniechęcić część klientów.

Najlepszym i niedrogim rozwiązaniem, jest płatna usługa pocztowa. Oferuje je bardzo wielu dostawców, często jest elementem składowym bardziej kompleksowego pakietu usług biurowych. Wybierając dostawcę, musisz zwrócić uwagę na to by podpisana została umowa powierzenia, tak aby przetwarzanie danych na serwerze usługodawcy miało poparcie w odpowiednich dokumentach. Przeanalizuj też dokładnie regulamin i politykę prywatności komercyjnej usługi, aby uzyskać pewność, że nie ma w niej uderzających w Twoje interesy zapisów. W razie wątpliwości zapytaj się o wykładnię Inspektora Danych Osobowych dostawcy lub swojego prawnika.

Warto też przyjrzeć się całemu pakietowi usług, nie tylko samej poczcie elektronicznej. Zarówno Google, jak i Microsoft oferują całe pakiety usługi i aplikacji dedykowane przedsiębiorcom. Odsprzedają je także polscy dostawcy, oferując do nich własne dodatkowe serwisy.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku: https://www.facebook.com/AnnaZamojcinARP

zamówienie Nie omieszkaj wbić się na instagram: https://www.instagram.com/rodozgodny

YT A tu obejrzysz porady wideo: https://www.youtube.com/channel/UCDfrurKd9Q7CeIae1uwHjuw