Dostosowanie sklepów internetowych do wytycznych RODO w zakresie przetwarzania danych dla potrzeb marketingowych i nie tylko. – praktyczny przewodnik

Zakładając sklep internetowy, prowadzący takie przedsięwzięcie, musi wziąć pod uwagę fakt, iż będzie przetwarzał dane osobowe, w związku z tym będzie musiał dostosować swoje systemy, procesy do  wymagań prawa. Szczególnie temat wydaje się interesujący w świetle wykorzystania narzędzi klasy marketing automation, które praktycznie wykorzystują segmentację klientów bazując na wielu metadanych umożliwiających identyfikację odbiorcy. Toteż niniejszy wpis dedykuję marketerom, korzystającym w swojej pracy z danych, aby skutecznie realizować kampanie e-mail marketingowe, czy Google Adwords, czy też FaceBook Ads. Z niniejszego wpisu dowiecie się, jak dobrze przygotować się do nowych zmian w prawie dotyczącym danych osobowych i jakie są najważniejsze wymogi wynikające z nowego prawa. Do współpracy przy publikacji niniejszego wpisu zaprosiłem Tomasza Dziobiaka, aby przedstawił podstawowe zagadnienia technologiczne wykorzystujące dane, a przede wszystkim wyjaśnił trudne pojęcia z zakresu cyfrowego marketingu. A zatem, do rzeczy ….

Po pierwsze – definicja RODO

RODO lub z angielskiego GDPR – pod skrótem tym kryje się Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/697 z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w spawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jego pełny tekst można znaleźć na stronach: Rozporządzenie o RODO. Dokument ten oficjalnie już obowiązuje, nie wymaga również dodatkowych działań po stronie polskiego ustawodawcy – stosowany jest bowiem bezpośrednio.

Zgodnie z treścią RODO, przedsiębiorcy zobowiązani są do dostosowania swoich działań do treści tego dokumentu do dnia 25 maja 2018 r. RODO jest dokumentem obszernym i niełatwym w interpretacji. Stąd też im krótszy zostaje czas na dostosowanie, tym więcej powstaje szumu medialnego, związanego ze skutkami wejścia w życie nowych przepisów.

Jak zawsze w podobnym sytuacjach, warto zachować rozsądek – szczególnie w odniesieniu do powstających właśnie firm, które oferują gwarancję „bezpieczeństwa” lub „łatwe dostosowanie do RODO” w ostatnim momencie, strasząc jednocześnie bardzo wysokimi karami. Często bowiem takie podmioty żerują na niewiedzy i obawach przedsiębiorców, nie oferując w zamian obsługi adekwatnej do proponowanych stawek.

Mimo, iż dostosowanie działalności większości firm do nowych przepisów będzie wymagało pewnego nakładu pracy i faktycznie, konsekwencje braku zgodności z RODO mogą w skrajnych przypadkach być dość dotkliwe – szczególnie dla firm działających w ramach grup kapitałowych lub transgranicznie, to należy wziąć pod uwagę, że w Polsce obowiązują już przepisy dotyczące ochrony danych osobowych. Podmioty, które tych przepisów przestrzegały w znaczącym stopniu będą wypełniały również wymogi RODO. Dostosowanie do nowych lub bardziej rygorystycznych wymagań może wymagać trochę czasu i wysiłku, jednak przy działaniu z odpowiednim wyprzedzeniem, nie powinno nastręczać większych problemów.

Wskazując na najważniejsze zmiany, które związane są z wdrożeniem tego Rozporządzenia, w pierwszej kolejności należy zwrócić uwagę, że bardzo szeroko zostały zdefiniowane „dane osobowe” – są to bowiem :
„informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”

Ponieważ definicja powyższa wprowadza pojęcie możliwości pośredniej identyfikacji, to biorąc pod uwagę obecne możliwości przetwarzania dużych zbiorów danych (big data) należy przyjąć, iż w zasadzie każda informacja, która choćby tylko potencjalnie może prowadzić do identyfikacji konkretnej osoby, będzie daną osobową. Ucina to dyskusje, czy sam numer telefonu, MAC adres lub IP stanowi daną osobową. W świetle RODO – tak. W tym też kierunku zmierzają najnowsze interpretacje organów stojących na straży ochrony danych osobowych i orzecznictwo ETS. W tym kontekście problematyczne jest stosowanie popularnej metody „anonimizacji” danych – polegającej na usunięciu ze zbioru danych niektórych informacji identyfikujących konkretną osobę. Jest bowiem bardzo prawdopodobne, iż na podstawie pozostałych informacji można pośrednio zidentyfikować też taką „anonimową” osobę. Stąd też w RODO pojawia się nowe w polskim porządku prawnym pojęcie „pseudonimizacji” – czyli „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;” W praktyce stosowania RODO, pseudonimizacja będzie narzędziem często wykorzystywanym.

Warto również zwrócić uwagę na jeszcze jedno nowe pojęcie, którego wprowadzenie do porządku prawnego będzie miało bardzo istotne skutki dla wszystkich podmiotów przetwarzających dane osobowe. Jest to „profilowanie”, które „oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się,”. Dotychczas profilowanie nie było objęte większymi ograniczeniami czy wymogami prawnymi – a w praktyce jest ono stosowane powszechnie. RODO istotnie zmieni ten stan rzeczy, co wymagać będzie przygotowania organizacyjnego po stronie podmiotów przetwarzających dane osobowe.

Po drugie: Lista kontrolna 9 wymagań RODO, jakie należy wypełnić

Przy weryfikacji dostosowania działań firmy do wymogów RODO, dobrze jest przygotować listę kontrolną. Biorąc pod uwagę, że jak już wspomniano, część wymogów RODO pokrywa się z obecnie obowiązującymi w Polsce przepisami dotyczącymi ochrony danych osobowych, warto w pierwszej kolejności skupić się na tych zagadnieniach które są bądź to nowe bądź istotnie odmienne od zasad i wymagań obowiązujących w obecnym stanie prawnym.

Poniżej przedstawiam propozycję takiej listy z krótkim uzasadnieniem poszczególnych jej elementów. W kolejnych wpisach postaramy się omówić szerzej niektóre z tych wymagań – ze szczególnym uwzględnieniem tych, które nie były wcześniej znane w polskim prawie.

Do najważniejszych wymogów, wynikających w RODO należą:

• Obowiązek prowadzenia rejestrów przetwarzania danych osobowych; Choć same rejestry nie są niczym nowym – także w obecnym stanie prawnym należało zgłaszać do GIODO informacje o zbiorach danych osobowych, gdzie w zgłoszeniu zawarty był szereg informacji dotyczących tych danych, RODO rozszerza zakres danych które powinny być zawarte w takich rejestrach. Dużym novum jest wprowadzenie obowiązku rejestrowania danych administratora jak i współadministratorów oraz IOD – czyli osoby, która zastąpi obecnych ABI.
• Szerszy niż obecnie obowiązek informacyjny; Znacząco rozszerza się zakres informacji, które należy przekazać osobom, których dane są lub będą przetwarzane. Przykładowo konieczne będzie podanie danych kontaktowych do administratora oraz IOD (jeżeli zostanie powołany), konieczne będzie podanie informacji, z czego wynika prośba o podanie danych (np. przepisy ustawowe, treść umowy lub warunek konieczny do jej zawarcia). Ważną nowością będzie obowiązek poinformowania o użyciu algorytmów podejmujących decyzję w sposób zautomatyzowany – w tym profilujących dane.
• Zmiana ABI na IOD i analiza konieczności jego powołania. Jest to istotna zmiana – w szczególności w firmach, które korzystają z usług ABI. Nie ogranicza się ona wyłącznie do zmiany nazewnictwa. RODO określa sytuacje, gdy powołanie IOD będzie obowiązkowe np. gdy główna działalność administratora polega na operacjach przetwarzania danych osobowych, lub kategorii tych danych. Zmieni się zakres obowiązków IOD względem obecnego ABI – np. poprzez ściślejszą współpracę z organem nadzorczym niż ma to miejsce w przypadku ABI jak również poprzez zdefiniowanie nowych zadań w zakresie informowania czy dokumentowania oraz audytowania zagadnień dotyczących ochrony danych osobowych.
• Wdrożenie mechanizmów pozwalających informować osobę o przetwarzaniu jej danych. Dość istotny, nowy obowiązek, który będą musiały wdrożyć wszystkie podmioty przetwarzające dane osobowe. Polegać on będzie w praktyce na przekazaniu danej osobie w prostej formie informacji o wszelkich przetwarzanych przez dany podmiot danych osobowych. Informację przedstawić należy w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, nie później niż w ciągu miesiąca od otrzymania żądania (w sytuacjach skomplikowanych – dwóch miesięcy). Za przekazanie informacji zasadniczo nie będzie można pobierać opłat. Mechanizm ten powiązany będzie z prawem do przenoszenia danych. Oznacza to możliwość otrzymania lub przekazania innemu administratorowi w/w informacji w formie ustrukturyzowanej, w powszechnie używanym formacie w sposób umożliwiający odczyt maszynowy. W praktyce może to oznaczać, że klient zażyczy sobie przesłania wszystkich jego danych osobowych z firmy X do konkurencyjnej firmy Y np. w przypadku zmiany usługodawcy.
• Privacy by design/Privacy by default– ochrona danych w fazie projektowania. Istotna zmiana w samej filozofii przetwarzania danych osobowych. W świetle wymogów RODO kwestie związane z zabezpieczeniem przetwarzania danych (np. ich pseudonimizowaniem) należy wprowadzać już na etapie prac projektowych. Jednocześnie należy przetwarzać tylko te dane, które są niezbędne do osiągnięcia konkretnego celu, dla którego dochodzi do ich przetwarzania.
• Wdrożenie mechanizmu umożliwiającego realizację „prawa do zapomnienia”. Jest to jedno z wielu uprawnień osoby, której dane są przetwarzane, wprowadzone przez RODO. Warto jednak poświęcić mu szczególną uwagę, ponieważ jest to uprawnienie nowe jak również uprawnienie, do którego organy unijne przywiązują wagę szczególną. Na żądanie osoby, której dane są przetwarzane, wszelkie dane powinny zostać usunięte, z wyłączeniem tych, których przetwarzanie wynika z wymogów prawa. Co ważne i nowe w stosunku do obecnych przepisów– obowiązek ten rozciąga się na innych administratorów, którym dane zostały przez administratora „pierwotnego” przekazane.
• Krótszy czas na zgłaszanie naruszeń w zakresie ochrony danych osobowych. Zgodnie z RODO zgłoszenia o naruszeniu bezpieczeństwa danych osobowych będzie musiało być dokonane w przeciągu 72 godzin od stwierdzenia naruszenia. Dziś tak krótki termin obowiązuje jedynie w niektórych branżach (np. w odniesieniu do operatorów telekomunikacyjnych).
• Opracowanie procedur i dokumentów wewnętrznych. RODO w kilku przypadkach wymaga, aby w organizacji, w której przetwarzane są dane osobowe w sposób systematyczny – w formie procedury uregulować niektóre z zasad postępowania w określonych sytuacjach lub wzory niektórych dokumentów. Dotyczy to na przykład obowiązku opracowania procedury zgłaszania naruszeń, wzoru komunikatu o naruszeniu, procedury realizacji praw do żądania udostępnienia lub przenoszenia danych osobowych.
• Obowiązek uzyskania zgody na profilowanie danych osobowych. Będzie to nowy rodzaj zgody, obok tych, które są obecnie stosowane, koniczny aby możliwe było przetwarzanie danych w sposób, który odpowiada przytoczonej na wstępie definicji „profilowania” danych. O pobieranie tej zgody warto zadbać jeszcze przed wdrożeniem przepisów, ponieważ w przypadku jej braku, operacje na danych mające cechy „profilowania” stanowić będą naruszenie przepisów RODO.

Powyższa lista nie jest kompletna ani wyczerpuje wszystkich zmian wynikających z RODO – np. w przypadku stosowania umów o powierzeniu danych osobowych koniecznym może być zmiana wzorca takiej umowy lub jej aneksowanie, bowiem RODO modyfikuje wymagania w tym zakresie. Dodatkowe obowiązki spoczywać będą również na firmach, które przetwarzają dane w więcej niż jednym państwie członkowski Unii („przetwarzanie transgraniczne”).

Podsumowując, starałem się przystępnie wskazać wymagania, które są z poziomu przepisów RODO najistotniejsze, a które muszą być spełnione w dobie rozwoju sprzedaży internetowej przez właściciela sklepu internetowego lub przedsięwzięcia z zakresu gospodarki elektronicznej.