Jak wdrożyć RODO na stronie internetowej małej firmy?

Jak wdrożyć RODO na stronie internetowej małej firmy?

Dodano 27 marca 2018

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to gorący temat. Wchodzi w życie już 25 maja 2018 i do tego czasu każdy powinien być już na nowe przepisy gotowy. I to dotyczy każdej, nawet najmniejszej firmy. W końcu każda firma ma Klientów, więc przetwarza ich dane.

Można przetwarzać dane Klientów, ale można też przetwarzać dane potencjalnych Klientów. Przetwarzanie danych osobowych tych dwóch grup coraz częściej odbywa się na firmowej stronie internetowej. Będzie to jeden z punktów odniesienia tego artykułu.

Na początku przedstawię Ci kilka sytuacji, w których możesz przetwarzać dane osobowe poprzez swoją firmową stronę internetową (czasami nie mając o tym pojęcia). W dalszej części opowiem, co z tym wszystkim zrobić.

Masz formularz kontaktowy? Przetwarzasz dane i podlegasz RODO!

Już samo posiadanie formularza kontaktowego na stronie lub też podany adres email powoduje, że każdy kto wyśle wiadomość do Twojej firmy zezwala na przetworzenie swoich danych.

W każdym z tych przypadków podaje swój adres email, a adres email to już jest dana osobowa. Do tego może również podać swoje imię, nazwisko, numer telefonu czy też inne parametry.

Co dzieje się dalej z taką wiadomością, którą otrzymasz? Używasz podanych w niej danych np. do przygotowania oferty (jeśli nadawca o to poprosi). Prawdopodobnie po kilku dniach wyślesz też wiadomość przypominającą. Być może wykorzystasz te dane jeszcze po raz trzeci, piąty i dziesiąty.

Ale co jeszcze może się z taką wiadomością dziać? Przechowujesz ją w programie pocztowym w jakimś specjalnie do tego utworzonym folderze? A może taka wiadomość wraz z danymi nadawcy trafia do programu CRM i będzie tam przechowywana?

Być może trochę teraz wyolbrzymiam, ale chcę Ci pokazać w jakich miejscach na Twojej stronie internetowej może Cię obowiązywać RODO :)

Czy umieszczenie Pixela Facebooka też podlega RODO?

Przede wszystkim Pixel Facebooka, kod remarketingowy Google, kod śledzący HotJar to są wszystko zewnętrzne aplikacje, które wklejasz na swoją stronę internetową. One gromadzą oraz przetwarzają dane o swoich użytkownikach we własnym zakresie i na własnych serwerach.

Ale Ty, zebrane w ten sposób dane, wykorzystujesz. Na tej podstawie wyświetlasz np. komunikaty marketingowe w postaci reklam na Facebooku.

Dzięki tym narzędziom możesz profilować osoby, które odwiedziły Twoją stronę www. Na przykład jeśli prowadzisz sklep z zabawkami i posiadasz kategorie produktowe takie jak: „zabawki dla dzieci od 0 do 2 lat”, „zabawki dla dzieci od 2 do 5 lat” itd. to dzięki Pixelowi FB możesz wyłowić osoby, które przeglądały wybrane kategorie i skierować do nich odpowiednio dobraną reklamę zabawek. To właśnie jest profilowanie.

Przetwarzanie danych osobowych kojarzy się jednak z zaznaczaniem zgody na takie czynności. Pod każdą umową czy też pod formularzem składania zamówienia w sklepie internetowym są checkboxy (kwadraciki) do zaznaczenia, że wyrażasz zgodę na to i na to.

W przypadku, kiedy na stronie używasz wyżej wspomniane kody typu Pixel Facebooka czy kod remarketingowy Google, nie możesz takiego checkboxa do zaznaczenia zamieścić. No bo niby gdzie to zrobić?

Dlatego właśnie takie (oraz wszystkie inne) czynności związane z danymi o użytkownikach, do których wykorzystujesz swoją stronę www, powinny być opisane w jej polityce prywatności.

Do polityki prywatności wrócę jeszcze pod koniec tego artykułu.

Czat z Klientami może podlegać RODO

Czym innym jest już czat z Klientami, czyli aplikacje typu Live Chat i podobne. To też kawałek kodu, który wstawiasz na swoją stronę i który powoduje, że ktoś może Cię o coś zapytać przed zakupem. Rozwiązanie to jest chyba najbardziej popularne w sklepach internetowych oraz w różnego rodzaju aplikacjach online, gdzie możesz poprosić o pomoc.

W przypadku chatów dane wszystkich osób, które chcą rozmawiać z Twoją firmą zbierane są po stronie chatu. Jest jednak jedno „ale”.

W momencie, gdy ani Ty, ani żaden Twój pracownik nie jest dostępny w danej chwili na czacie to użytkownik ma możliwość zostawienia wiadomości. Taka wiadomość jest zazwyczaj do Ciebie wysyłana mailem i w taki sam sposób możesz odpowiedzieć.

No i to już jest przypadek podobny do punktu z formularzem kontaktowym. Dane (chociażby adres email) trafiają do Ciebie i przetwarzasz je w celu udzielenia odpowiedzi.

Komentarze a RODO

Zwłaszcza na blogach ale też na portalach internetowych pod artykułami można zostawiać komentarze. Może to zrobić każdy użytkownik strony, który ma taką wolę i robi to dobrowolnie.

Ale jednak aby dodać komentarz trzeba podać swoje dane. Są to zazwyczaj imię (lub nick), adres email oraz treść komentarza.

Jeśli korzystasz z zewnętrznej aplikacji typu Disqus to dane zbierane są po stronie tejże aplikacji. Każdy użytkownik, który chce zostawić w ten sposób komentarz akceptuje regulamin Disqusa. Ty wyświetlasz te komentarze tylko na swojej stronie.

Ale jeśli korzystasz z komentarzy wbudowanych np. w WordPressa to już wszystkie dane przechowujesz i przetwarzasz Ty – jako właściciel strony. Musisz więc poprosić takiego użytkownika o zaznaczenie zgody na przetwarzanie jego danych.

Poinformuj zatem w jakim zakresie pozostawione dane będą przetwarzane i w jaki sposób wykorzystywane. Na przykład w celu zapobiegania spamowi. Jeśli jednak planujesz wysyłać osobom zostawiającym komentarze także newsletter lub oferty to musisz poprosić o osobną zgodę na takie czynności.

Zapisy na newsletter, czyli zbieranie adresów email podlegają RODO

To już ostatni najczęstszy przypadek pozyskiwania danych osobowych za pomocą strony www – słynne newslettery.

Tutaj zauważyłem największą rozbieżność zdań i to wśród prawników. Można jednak z ich komentarzy wyciągnąć wspólne wnioski i wdrożyć tutaj zasady RODO.

W tym momencie pozwolę sobie na małe wtrącenie. Każdy kto słyszał o RODO, słyszał też zapewne o milionowych karach za brak jego przestrzegania. Prawda jest taka, że jeśli wdrożysz jakiekolwiek zasady to już jesteś na dużo lepszej pozycji niż firmy, które tego nie zrobią. A to powoduje, że o ile dotknie Cię jakakolwiek kara to będzie ona proporcjonalna do wykroczenia oraz Twoich obrotów.

Wracając jednak do newslettera tutaj użytkownik również powinien wyrazić zgodę na jego otrzymywanie.

Przy formularzu zapisu na newsletter (a także przy każdym innym formularzu) należy umieścić odpowiedni checkbox do zaznaczenia dla każdego celu, w związku z którym będziesz te dane przetwarzać. Czyli jeśli przetwarzasz te dane po to by wysyłać newsletter, wysyłki marketingowe, oferty handlowe, darmowy ebook, to na każdy z tych przypadków potrzebny jest oddzielny checkbox i oddzielna zgoda.

Tekst znajdujący się przy checkboxie warto też podlinkować do regulaminu lub polityki prywatności, w której to wszystko jest dokładnie opisane. Natomiast trzeba tutaj rozsądku. Bo jeśli moja polityka prywatności ma 5 stron A4, to nie wyobrażam sobie umieszczenia jej w całości (i wyszczególnienia checkboxów) bezpośrednio pod formularzem zapisu na newsletter czy też pod formularzem kontaktowym. Bo to już nie byłby formularz a blok tekstu :) Należy więc zbierać tylko takie dane i w takim celu, w jakim są one Ci niezbędne.

Pod swoimi formularzami umieszczam checkbox wraz z podlinkowaną polityką prywatności, o treści:

„Wyrażam zgodę na przetwarzanie moich danych osobowych w celach i zakresie zgodnymi z realizacją usługi newsletter opisanej w Polityce prywatności. Wiem, że zgodę tą mogę w każdej chwili wycofać.”

Tak jak już wspomniałem, pod koniec artykułu wrócę do polityki prywatności.

Dodatkowo politykę prywatności możesz omówić w skrócie (oraz podlinkować do pełnej wersji) w pierwszym mailu, jaki wysyłasz po zapisie na newsletter.

I ten pierwszy mail jest również kluczowy. Są do niego dwa podejścia. Pierwsze to tzw. double opt-in czyli rejestracja w dwóch krokach. Z tego co widzę to taki sposób umożliwiają wszyscy operatorzy email marketingu.

Polega to na tym, że w pierwszym mailu użytkownik otrzymuje tzw. link aktywacyjny. Klika w niego i tym samym potwierdza, że to on jest właścicielem danego adresu email.

Drugie podejście to rejestracja w jednym kroku. Czyli użytkownik nie musi kliknąć w link aktywacyjny. To rozwiązanie dużo prostsze pod kątem użytkownika. Ty natomiast jako właściciel strony jesteś bardziej narażony na spam albo przypadkowo podawane maile.

Warto się więc w tym miejscu zabezpieczyć. W pierwszym mailu podają informację, że jeśli ta wiadomość trafiła do użytkownika przypadkowo, powinien on zgłosić Tobie ten fakt a w przeciwnym przypadku będzie otrzymywał od Ciebie kolejne wiadomości.

W przypadku rejestracji jednostopniowej na newsletter umieść w swojej polityce prywatności taką adnotację oraz dopisek, że każdy kto dodaje adres email do newslettera oświadcza, że to on jest jego właścicielem.

Kto zarządza danymi osobowymi w Twojej firmie?

Jeśli prowadzisz jednoosobową działalność gospodarczą to Ty osobiście jesteś administratorem danych osobowych w swojej firmie. Natomiast jeśli prowadzisz małą firmę w postaci spółki z o. o. to już ta spółka jest osobowością odpowiedzialną za przetwarzanie danych.

W tych dwóch przypadkach nie masz obowiązku zatrudniania tzw. IOD czyli Inspektora Ochrony Danych (Ty nim jesteś). Taka konieczność jest tylko w instytucjach publicznych lub w przypadku firm, które zajmują się przetwarzaniem danych na dużą skalę (np. to ich główna działalność).

W przypadku swojej roli administratora danych osobowych, nie możesz jej zrzucić całkowicie na żadnego ze swoich pracowników, bo to Ty osobiście odpowiadasz za swoją działalność.

Możesz jednak przekazywać prawo do przetwarzania danych swoim pracownikom, np. jeśli faktury Klientom wystawia Twoja asystentka, musi mieć prawo dostępu do tych danych. Ale jeśli Twój pracownik kontaktuje się z Klientem poprzez email Klienta, który mu udostępnisz to również korzysta z tych danych. Warto takie informacje zawrzeć w umowach z pracownikami.

Jest natomiast jeszcze inna kwestia. To moment, w którym powierzasz dane swoich Klientów zewnętrznym firmom. Na przykład wspomniany przed chwilą newsletter lub też serwer, na którym masz swoją pocztę. Oni wszyscy dysponują danymi Twoich Klientów (lub potencjalnych Klientów).

W tym przypadku należy podpisać z takimi podmiotami umowę o powierzenie tychże danych osobowych. Można to zrobić zarówno elektronicznie jak i na papierze. W przypadku GetResponse, z którego korzystam wystarczyło poprosić o wzór takiej umowy w rozmowie z konsultantem. Wzór otrzymałem na maila, podpisałem i odesłałem skan. Podejrzewam, że identycznie jest także z innymi firmami.

Procedury w RODO, czyli co robisz z danymi osobowymi krok po kroku

O ile jeszcze jest tak, że nie każda firma ma własną stronę internetową, to każda powinna posiadać procedury związane z przetwarzaniem danych osobowych.

Jak powinny wyglądać takie procedury?

W tych procedurach musisz opisać wszystko to, co krok po kroku dzieje się z danymi Klienta lub potencjalnego Klienta. I tak, w swojej firmie przygotowałem sześć podstawowych procedur:

  • zapis na newsletter – realizowana w momencie gdy ktoś pobierze darmowe materiały z mojej strony,
  • otrzymanie formularza kontaktowego lub wiadomości email – realizowana w momencie, gdy Klient (lub potencjalny Klient) wyśle do mnie wiadomość w dowolny sposób,
  • złożenie zamówienia – realizowana w momencie dokonywania zakupu przez Klienta,
  • zmiana danych osobowych – realizowana w przypadku, w którym Klient poprosi o zmianę swoich danych w bazie,
  • usunięcie danych osobowych – realizowana w przypadku, w którym Klient poprosi o usunięcie swoich danych z mojej bazy,
  • naruszenie danych osobowych – procedura realizowana w przypadku wycieku danych osobowych.

 

Każda z tych procedur opisana jest krok po kroku w postaci schematów, na których opisuję co dzieje się w danym przypadku.

Dodatkowo w przypadku ostatniej procedury utworzony został wzór raportu o naruszeniu danych osobowych. Ponieważ za każdym razem kiedy nastąpi takie naruszenie (np. wyciek danych) należy ten fakt w ciągu 72 godzin od wykrycia zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). I ten obowiązek ciąży na Tobie jeśli jesteś właścicielem firmy.

Poniżej pobierzesz paczkę z plikami PDF. Znajduje się tam rozpiska wspomnianych wyżej sześciu procedur oraz wzór raportu o naruszeniu danych osobowych.

Tutaj pobierzesz plik

Procedury w RODO [PDF]

To oczywiście tylko przykłady, ale na ich podstawie możesz stworzyć własne procedury z uwzględnieniem swoich potrzeb. Wydrukuj je i przechowuj wraz z firmową dokumentacją. Przydadzą się w razie ewentualnej kontroli. One wcale nie muszą być tak skomplikowane jak to na początku brzmi podczas wymawiania słowa „procedura”.

Polityka prywatności zgodna z RODO

W końcu przyszedł czas na wspomnianą już wcześniej kilkukrotnie politykę prywatności. O co cały ten szum?

Polityka prywatności dotąd kojarzyła się głównie ze sklepami internetowymi. Od czasu pojawienia się na stronach internetowych pasków z informacją o cookies staje się coraz bardziej powszechna. Jeszcze bardziej upowszechni ją RODO.

Nie bój się polityki prywatności. To brzmi jak jakiś prawniczy dokument a w rzeczywistości to tylko zbiór informacji mówiących o wszystkim, co dzieje się na Twojej stronie www.

W stworzeniu takiej podstrony na pewno pomoże wszystko co zostało opisane powyżej, na czele z procedurami z ostatniego punktu.

Politykę prywatności zacznij od informacji, że w ogóle za pośrednictwem swojej strony zbierasz informacje o użytkownikach. A w dalszej kolejności opisz w jakich sytuacjach i w jaki sposób to się dzieje.

Czyli na przykład dodaj tam informacje, że zbierasz informacje po to, by zliczać statystyki dotyczące swojej strony albo móc w ten sposób wyświetlić użytkownikom reklamy na Facebooku.

Poinformuj kto jest administratorem danych osobowych w Twojej firmie, czyli podaj swoje dane. Jeśli powierzasz dane zebrane na swojej stronie podmiotom trzecim umieść tu również taką informację. A jeśli nie powierzasz, nie udostępniasz i nie sprzedajesz zebranych danych to taka adnotacja także powinna się znaleźć.

Napisz też co dzieje się w przypadku pozostawienia danych osobowych w formularzu kontaktowych, formularzu newslettera itd. Napisz jakie są kolejne kroki i do czego te dane są używane. Opisz także za co ponosisz odpowiedzialność a za co nie i czego może się spodziewać użytkownik pozostawiający dane w dalszej kolejności. Zaznacz też, które dane są wymagane, a które nie.

Opisz również dokładnie w jaki sposób można zgłaszać zmianę danych lub chęć ich usunięcia (np. poprzez wysłanie maila w tej sprawie).

Słowem, w polityce prywatności powinny znaleźć się informacje o tym wszystkim w jaki sposób pobierane są dane od użytkowników i co się z nimi dalej dzieje.

I nie musisz tu wymyślać niestworzonych rzeczy. Opisz prawdę.

Jako punkt wyjściowy do napisania własnej polityki prywatności możesz wykorzystać politykę innej strony. Taką przykładową politykę znajdziesz na www.wszystkoociasteczkach.pl. Pamiętaj jednak o jej dostosowaniu pod własne potrzeby.

Rodo a platformy sklepowe i email marketingowe

Wydaje się, że w bardzo dobrej sytuacji są wszystkie sklepy internetowe, które korzystają z rozwiązań abonamentowych, takich jak np. Shoplo. W tym bowiem przypadku to dostawca sklepu, działając na terenie Unii Europejskiej powinien zagwarantować odpowiednie funkcjonalności w platformie. A zatem cały sklep będzie pod tym względem przygotowany. Zresztą Shoplo udostępnia także gotowy regulamin oraz politykę prywatności. Można ją oczywiście dostosować do własnych potrzeb.

W przypadku sklepu na WooCommerce, PrestaShop i innych trzeba się pobawić we własnym zakresie.

Niestety na platformach do email marketingu (zaglądałem do GetResponse oraz do MailerLite) nie ma jeszcze gotowych rozwiązań w tym zakresie. Oczywiście można sobie to wszystko wyklikać. Oczekiwałbym jednak od tych firm, że zastosują odpowiednie rozwiązania w gotowych szablonach do zbierania maili, które udostępniają użytkownikom.

Podsumowanie

RODO to temat mocno prawniczy. Ja nie jestem prawnikiem i jeśli uważasz to za słuszne skontaktuj się z takim w celu skonsultowania tego wszystkiego co wdrożysz na swojej stronie www. Jednak wszystko co opisałem powyżej będzie prawdą w przypadku zdecydowanej większości małych firm. Pamiętaj jednak, żeby śledzić zmiany związane z tematem RODO. Jak widzisz nie ma się tu czego bać.

Nie napisałem jeszcze nic o bezpieczeństwie danych i sposobie ich przechowywania. RODO nie nakłada tu bowiem specyficznych rozwiązań. Ważne, aby były one chronione w należyty sposób, zgodny z polityką prywatności.

Najprościej takie dane chronić hasłem. Czyli jeśli zbierasz dane Klientów w postaci tabelki w Excelu to zabezpiecz plik hasłem. Zresztą masz też hasło do logowania na komputerze. Każdy ma też hasło do programu pocztowego czy też do platformy email marketingowej.

Pamiętaj też, aby pozyskiwać i przetwarzać wyłącznie te dane, jakich potrzebujesz. To znaczy, jeśli nie potrzebujesz czyjegoś adresu fizycznego, aby wysłać mu ofertę (wystarczy email), to ich nie wymagaj. A zaraz po zakończeniu przetwarzania danych pamiętaj o ich usunięciu.

A Ty jakie masz doświadczenia odnośnie RODO? Podziel się nimi w komentarzu. Masz już wdrożone? Może masz jakiś problem albo rozwiązanie, którym możesz się podzielić z innymi? Napisz w komentarzu :)

Przeczytaj także:

 

Zdjęcie: Pixabay

 

#mała firma  #rodo  #ochrona danych osobowych  #newsletter  #email marketing  

Mam dla Ciebie coś jeszcze :)

Już teraz dołącz do nowego darmowego szkolenia i pobierz ebooka "Jak przestać uganiać się za Klientami i sprawić, by przychodzili do Ciebie sami".

 
Dostęp jest za darmo. Podaj tylko swój adres email:

Paweł Kępa

   

Copyright © Mała Wiejska Firma. Wszelkie prawa zastrzeżone.

Strona używa plików cookies. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki oraz akceptujesz Politykę Prywatności i politykę cookies.