Obecne prawo dotyczące ochrony danych osobowych powstało w czasie, gdy internet zarówno w Polsce jak i na świecie stawiał dopiero pierwsze kroki. RODO, czyli nowe prawo o ochronie danych osobowych, uwzględnia zmiany społeczne i technologiczne jakie nastąpiły przez ostatnie 20 lat. RODO dostosowuje prawo do współczesnych form przetwarzania danych. Tym samym wprowadza wiele zmian w zasadach funkcjonowania portali i mediów społecznościowych. O tym jakie obowiązki nakłada na wydawców szczegółowo wyjaśnia Szymon Matylla – ekspert ds. ochrony danych osobowych, z LexDigital.
Co to jest RODO?
Od 25 maja 2018 r. zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej ustawy o ochronie danych osobowych. Przepisy RODO, zwane także GDPR (General Data Protection Regulation) będą dotyczyć wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Obejmą przede wszystkim firmy, które gromadzą i przetwarzają dane dotyczące osób fizycznych..
Wokół przepisów związanych z RODO wciąż panuje dezorientacja i chaos, bowiem nie ma szczegółowych wytycznych mówiących o tym jak wdrażać przepisy przewidziane przez unijne rozporządzenie. Dlatego RODO budzi niepokój przedsiębiorców nie wiedzących do końca jak się do niego przygotować, a dane dotyczące wprowadzenia regulacji w życie są niepokojące – jedynie 15 proc. firm w regionie EMEA (Europa, Środkowy Wschód i Afryka) deklaruje swoją gotowość na RODO, a w Polsce tylko 13 proc. menedżerów zna dokładny termin wejścia w życie nowych przepisów.
Obowiązek informacyjny i podstawy prawne przetwarzania danych
Wszystkie działania, które dotyczą przetwarzania, gromadzenia czy udostępniania danych osobowych, muszą mieć podstawę prawną, która będzie regulowała te procesy. Drugą, fundamentalną zasadą RODO jest dostęp użytkowników do wiedzy i obowiązek informacyjny wydawców. RODO ma zapewnić większą ochronę danych użytkowników sieci. Zgodnie z rozporządzeniem, przedsiębiorcy i administratorzy danych powinni zapewnić, że każda osoba, której dane przetwarzają, rozumie i wie, jakie informacje, w jakim zakresie i w jakich celach będą wykorzystywane, a same te cele nie mogą naruszać praw i wolności ludzi.
Kluczowe dla realizacji powyższych wymogów jest opracowanie regulaminu. To instrument tożsamy umowie zawartej pomiędzy wydawcą, a użytkownikiem. Jego akceptacja oznacza tyle samo co podpis pod dokumentem. Dlatego ważne jest, aby był możliwie szczegółowy i precyzyjny. Z treści regulaminu musi wprost wynikać, jaką usługę świadczy serwis oraz jakie prawa i obowiązki otrzymuje każdy kto decyduje się na zawarcie umowy z właścicielem portalu. Regulamin określi cele operacji, które będą prowadzone na danych osobowych. Znając je, właściciel serwisu będzie mógł zapewnić ograniczenie typów przetwarzanych informacji do minimum oraz rzeczowo wywiązać się z obowiązku ograniczenia okresu przetwarzania danych ponieważ będzie w stanie ustalić kiedy, albo w jakich okolicznościach jego cele zostaną zrealizowane.
Poza koniecznymi zapisami dotyczącymi funkcjonalności, ze względu na wymagania RODO, wydawcy muszą również przekazać użytkownikowi wszystkie informacje, które wiążą się z jego danymi osobowymi – chodzi tutaj o wspomniane wyżej i również nierozerwalnie związane z przeznaczeniem serwisu odpowiedzi na pytania, jakie działania będą wykonywane na danych, jaki będzie ich zakres i czas przetwarzania oraz w jakim celu dane będą wykorzystywane. Jeśli z danych osobowych użytkowników serwisu korzystać będą także podmioty trzecie, konieczne jest zawarcie takich informacji w treści regulaminu. Należy poinformować nie tylko o tym, kto będzie odbiorcą danych osobowych, ale również w jaki sposób będzie je wykorzystywał. Dla przykładu, należy rozróżnić przypadki, w których podmioty zewnętrzne świadczą usługi na rzecz serwisu wystawcy (powiedzmy hosting danych albo prace developerskie) od przypadków udostępnienia, w których bardzo prawdopodobne jest, że dane zasilą bazy marketingowe stron trzecich.
Transgraniczne przetwarzanie danych osobowych
Szczególną sytuacją dotyczącą udostępniania danych osobowych użytkowników jest przekazanie ich do państw trzecich (czyli poza Europejski Obszar Gospodarczy) lub organizacji międzynarodowych. Transgraniczny przepływ danych osobowych do państw spoza Unii jest kluczowy w globalnym handlu i transgranicznej gospodarce cyfrowej. W celu zabezpieczenia danych osobowych europejczyków, RODO nakazuje zastosowanie odpowiedniego stopnia ochrony, w oparciu o zabezpieczenia zarówno po stronie administratora danych jak i podmiotu przetwarzającego w państwie trzecim.
Niestety zabezpieczenie danych poprzez zawarcie samej tylko umowy powierzenia przetwarzania (a tak właśnie odbywa się legalizacja współpracy na danych osobowych w ramach ujednoliconego prawnie Europejskiego Obszaru Gospodarczego) nie jest tutaj dostateczne. Trudność wynika z tego, że system prawny państwa docelowego może nie gwarantować porównywalnej z europejską ochrony danych osobowych. RODO przewiduje parę mechanizmów pozwalających przetwarzać transgranicznie. Komisja Europejska prowadzi wykaz państw, których porządek prawny w zakresie ochrony prywatności jest porównywalny z naszym.
Kraje spoza tej listy mogą rozwiązać problem przetwarzania z Europą poprzez prowadzenie dedykowanego systemu certyfikacji. Tą drogą poszły Stany Zjednoczone, które wypracowały wspólnie z Unią Europejską system certyfikacji Privacy Shield. W dalszej kolejności, sprawę takiego przetwarzania można potraktować jako proces wysokiego ryzyka i skonsultować z regulatorem albo też oprzeć na wyraźnej zgodzie osób, których dane miałyby być przekazywane.
Zgoda – warunki prawne i techniczne
Powszechnie wykorzystywaną podstawą prawną do przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą. RODO wprowadza kilka zmian w kwestii wyrażenia i formy zgody oraz sposobu jej pozyskiwania.
Zgoda, podobnie jak regulamin, musi zawierać wszelkie informacje dotyczące zakresu jej obowiązywania, celu w jaki została udzielona oraz dane dotyczące administratora danych osobowych, a więc właściciela serwisu, któremu oświadczenie się składa. RODO nakazuje, aby wyrażenie zgody było dobrowolne, czyli nie wiązało się z realizacją usługi w sytuacji. Jeżeli prowadzenie operacji na danych jest niezbędne do świadczenia usługi, jego podstawą prawną powinien być sam regulamin.
Oznacza to, że niedozwoloną praktyką staje się zawieranie zapisów o “wyrażeniu zgody” w treści regulaminów. Te dwa instrumenty należy potraktować obecnie całkiem rozłącznie. Jeżeli przetwarzanie jest faktycznie niezbędne do świadczenia usługi (przykładem niech będzie procesowanie danych kont użytkowników), nie odbiera się na nie zgody – dostateczną podstawę stanowi sam regulamin tej usługi. Z drugiej strony wszystkie usługi dodatkowe, takie jak newsletter albo kontakt marketingowy, oparte muszą być na niezależnych zgodach, których wyrażenie odbywa się poprzez wyraźne działanie podejmowane w stanie pełnej świadomości celu (czyli dla przykładu, przez zaznaczenie checkbox’a, który nie jest wymagany i który zlokalizowany jest bezpośrednio przy pełnej klauzuli zgody).
Możliwości wyrażenia zgody jest wiele. Wiążąca będzie zarówno zgoda wyrażona mailowo, poprzez zaznaczenie odpowiedniego checkbox’a, ale również przez rozmowę na Live Chat’cie. Ważne jest, aby bez względu na formę jej wyrażenia, posiadać dowód potwierdzający uzyskanie zgody oraz aby osoba, którą się o tę zgodę prosi, dysponowała wszystkimi potrzebnymi informacjami.
Aktualność dotychczas wyrażonych zgód
Częstym pytaniem, pojawiającym się w kontekście zgody na przetwarzanie danych osobowych, jest kwestia aktualności zgód uzyskanych dotychczas. Zgody pobrane do 25 maja będą ważne, ale pod warunkiem ich zgodności z wymaganiami RODO. W rzeczywistości większość pozyskanych dotychczas zgód nie spełnia jednego ważnego elementu – nie informuje o możliwości i mechanizmie wycofania zgody. Niektóre procesy oparte na zgodach są ponad to faktycznie pozbawione tego mechanizmu.
RODO nakłada na administratora danych nie tylko obowiązek poinformowania o możliwości cofnięcia zgody, ale także stworzenie tak samo prostej procedury wycofania zgody jak procedury jej wyrażania. Dobrym przykładem praktyki, w której mechanizm ten jest już zagwarantowany, jest zawieranie linków rezygnacyjnych w treści newsletterów. Wycofanie zgody może się również odbywać poprzez zmianę ustawień profilowych.
Dwustopniowa zgoda – newslettery
W odniesieniu do portali internetowych, często spotykane jest zapytanie o zgodę na otrzymywanie newslettera. Nierzadko, pod przykrywką przekazywania użytkownikom ciekawych treści, newsletter wykorzystywany jest jako narzędzie pozyskiwania danych osobowych i budowania baz klientów w celach marketingowych lub sprzedażowych. Trzeba jednak powiedzieć wprost, że osobom tym odmawia się prawa kontroli nad celami przetwarzania – ciekawy branżowy newsletter to nie to samo, co każdy marketing przesyłany mailem. Opisana praktyka narusza więc prawa i wolności tych osób i jest niezgodna z przepisami. Zgoda newsletterowa, podobnie jak każda inna zgoda, musi być jednoznaczna i konkretnie wskazywać na charakter i cechy przetwarzania, które chcemy na jej podstawie prowadzić.
Newslettery obarczone są również zagrożeniem polegającym na braku kontroli nad własnością adresu podawanego przy rejestracji. Dlatego, aby uniknąć sytuacji, w której przetwarzane są dane osób bez ich zgody (chodzi o przypadki, w których adres danej osoby został wskazany przez osobę trzecią), konieczne jest zapewnienie dodatkowego mechanizmu weryfikacji. W kontekście newslettera, poza oczywistą koniecznością zachowania zgodności z przedstawionym użytkownikowi celem przetwarzania, należy zastosować zasadę podwójnej weryfikacji – double opt-in. Oznacza to, że na każdy umieszczony w bazie newsletterowej mail, w momencie jego rejestracji, wysyłana jest wiadomość z prośbą o potwierdzenie zapisu oraz aktywowania maila poprzez przesłany link. Dzięki takim działaniom, właściciel adresu mailowego, może zareagować na sytuację polegającą na nieautoryzowanym podaniu jej adresu przez innego człowieka (dla przykładu handlowca premiowanego za skuteczność rozbudowy bazy newsletterowej).
Szczególna zgoda – profilowanie
Częstym mechanizmem, z jakiego korzystają serwisy z treściami czy media społecznościowe, jest profilowanie. Proces ten może przybrać dwie formy. To dostosowywanie wyświetlania treści do preferencji użytkowników, odkrytych poprzez ich wcześniejsze wybory, lub tworzenie kategorii użytkowników w oparciu o postrzegane cechy wywnioskowane na podstawie zachowań w sieci.
Abyśmy mieli do czynienia z profilowaniem, powyższa ocena musi być automatyczna. RODO nie zakazuje tych działań – profilowanie nadal jest dozwolone. Pojawia się jednak istotna różnica – profilowanie ze skutkiem prawnym czyli w sytuacji, gdy zakwalifikowanie do określonej grupy pociąga za sobą konsekwencje finansowe, rabatowe, wpływa na dostępność usługi itp., będzie mogło odbywać się wyłącznie za wyraźną zgodą użytkownika. Wyraźna zgoda, nieco podobnie jak double opt – in, wymaga potwierdzenia, a więc jest wyrażana niejako dwustopniowo. Ponadto tradycyjną klauzulę zgody należy rozbudować o informacje związane z zagrożeniami, które wiążą się z przyzwoleniem na przetwarzanie. W przypadku profilowania, informacje te będą musiały opisywać mechanizm segmentacji oraz informować o jej prawdopodobnych konsekwencjach.
O sytuacji w której dochodzi do profilowania tzw. “miękkiego”, którego konsekwencją jest wyłącznie zmiana sposobu prezentacji treści (zmiana kolorystyki ze względu na płeć, powszechne systemy podpowiadania produktów, które cieszą się zainteresowaniem innych użytkowników z danego segmentu itd.), trzeba będzie teraz informować podobnie, jak do tej pory informuje się o cookies.
Minimalizacja danych maksymalizacja bezpieczeństwa
RODO powołało do życia nową zasadę dotyczącą prywatności użytkowników – privacy by default. Zasada ta zakłada takie automatyczne ustawienia prywatności kont, które odgórnie zakładają maksymalną prywatność danych użytkownika.
W mediach społecznościowych, zgody mogą być wyrażane poprzez profile prywatności. Z poziomu tych ustawień, każdy użytkownik powinien móc dostosować zakres udostępnianych danych oraz grupę ich odbiorców do własnych preferencji. Należy zaznaczyć, że ma się to odbywać w kierunku poszerzającym zakres upublicznionych danych, a nie odwrotnie. Oznacza to, że wszelkie działania związane z przetwarzaniem danych użytkownika w celach poza administracyjnych, a więc na przykład działania marketingowe, działania kwalifikujące się jako “profilowanie twarde” lub udostępnianie danych innym podmiotom i upublicznianie danych – muszą zostać poprzedzone zmianą ustawień prywatności.
Innymi słowy, ustawienia domyślne są zawsze skrajnie prywatne spośród dostępnych opcji. Użytkownik sam musi dokonać zmiany. Musi ona odbywać się poprzez świadome działanie np. własnoręczne zaznaczenie checkbox’ów. Zgodnie z zasadą privacy by default, żaden z box’ów nie może być uzupełniony automatycznie, odgórnie. Niedozwolone jest też stosowanie mechanizmów czasowych, w których zgoda jest wyrażona przez zaniechanie działania w określonym oknie czasowym.
Jak wynika z ostatnich doniesień prasowych, Facebook jeszcze w tym roku odda w ręce użytkowników nowe centrum gromadzące wszystkie ustawienia prywatności w jednym miejscu, pozwalające im prościej i łatwiej niż dotąd zarządzać prywatnymi danymi na ich kontach. Centrum ma realizować nałożone na podmioty przetwarzające dane osobowe, w tym media społecznościowe, obowiązki w tym ochronę prywatności, pełną kontrolę użytkowników nad ich danymi, czy możliwość usunięcia przez użytkowników wszelkich informacji na ich temat.
Uwierzytelnianie poprzez media społecznościowe
Możemy się spotkać z wyjątkiem, w którym odgórnie narzucony (i zaznaczony) będzie zakres przetwarzanych danych osobowych w sytuacji, w której za pomocą konta w mediach społecznościowych rejestrujemy się w innych serwisach. Wówczas wygenerowana zostanie lista zaznaczonych elementów, które są niezbędne do świadczenia usługi w portalu, w którym następuje rejestracja. Jest to swojego rodzaju odstępstwo od przyjętej zasady privacy by default, ale w nieznacznym stopniu. Nadal zachowana musi być zasada minimalizacji przetwarzania danych i maksymalizacja poziomu prywatności oraz obowiązek informacyjny np. w kwestii profilowania. Należy tutaj zrozumieć potrzebę zakomunikowania użytkownikowi, które informacje są wymagane przez portal docelowy, a które mogą posłużyć do rozbudowy usługi lub zamówienia usług dodatkowych. Oczywiście lepszą praktyką będzie rozróżnienie tych pól informacyjnych w inny czytelny sposób (na przykład kolorystycznie) przy jednoczesnym pozostawieniu wszystkich checkbox’ów pustych.
Decydując się na udostępnienie użytkownikom możliwości uwierzytelniania poprzez użycie konta we własnym portalu, należy pamiętać, że podstawa prawna nie jest przechodnia, a sama czynność udostępnienia również kwalifikuje się jako przetwarzanie i musi zostać zabezpieczona. Nadal na portalu macierzystym spoczywa odpowiedzialność za bezpieczeństwo danych w procesie ich przekazywania odbiorcy. Ten, który otrzymał dane przez rejestrację powiązaną, ma obowiązki związane z wejściem w posiadanie i dalszym przetwarzaniem danych osobowych.
Zmiany w zakresie technologii
RODO, poza zasadami rozwiązującymi kwestie związane z funkcjonowaniem użytkowników, nakłada na wydawców serwisów obowiązki związane z dostosowaniem zaplecza technologicznego. Jednym z kluczowych postanowień RODO w tej kwestii jest zasada “need to know”, która jest kolejnym obliczem generalnej zasady adekwatności dotycząca zarządzania ustawieniami dostawcy treści. To stworzenie i dostosowanie poziomów dostępów nie tylko użytkowników, ale także personelu administracyjnego i developerskiego do danych użytkowników w taki sposób, aby osoby wykonujące swoje zadania miały wgląd tylko w te dane, które są im niezbędne do wykonywania swoich obowiązków.
Kolejnym aspektem technicznym, który musi zapewnić dostawca, jest ochrona danych poprzez zastosowanie mechanizmów uwierzytelniania i szyfrowania. Szczęśliwie, dobór narzędzi kryptograficznych, ułatwiony jest funkcjonowaniem solidnych standardów w tym zakresie. Dostawca usługi musi jednak zapewnić aktualność tych zabezpieczeń, a kolejne generacje zagrożeń pojawiają się co parę miesięcy. Z czasem ujawnia się znaczna liczba podatności szeroko stosowanych rozwiązań. Przykładem zaniedbywania kwestii aktualizacji, jest wciąż powszechne stosowanie protokołów SSL 2.0 i 3.0 pomimo tego, że już od pewnego czasu wiadomo o ich brakach.
Dodatkowo, systemy muszą spełniać dwie podstawowe kwestie związane z hasłami użytkowników. Po pierwsze, zarówno po stronie wydawcy, który gromadzi dane, jak i po stronie użytkownika logującego się do serwisu, składowanie haseł nie może odbywać się w postaci tekstu. Każdy, kto ma dostęp do miejsca składowania tych informacji (np. administrator serwera, na którym posadowiona jest usługa) mógłby wówczas wejść w posiadanie informacji poufnych. Przyjętą, dobrą praktyką, jest hashowanie haseł. Po drugie, system musi dopuszczać tzw. mocne hasła, czyli długie, składające się z ponad 15 znaków, oraz pozwalać na używanie cyfr i znaków specjalnych.
Nowe przepisy o ochronie danych osobowych w kontekście internetu spełniają bardzo ważną funkcję – chronią tam, gdzie ogromną ilość czasu spędza większość z nas. Choć wiele z obowiązków, jakie RODO nakłada na wydawców portali internetowych, funkcjonowało dotychczas w charakterze dobrych praktyk, to dzięki nowym przepisom staną się one powszechne. Zapewni to wszystkim użytkownikom sieci większą kontrolę nad swoimi danymi, oraz podniesie ich poczucie bezpieczeństwa.
Czy RODO to rewolucja? Odpowiedź na to pytanie, zależeć będzie od indywidualnej oceny każdego wydawcy, przed którym stoi obowiązek dostosowania portalu do wymagań RODO. Z pewnością jednak, jest to nowy rozdział dotyczący przetwarzania danych osobowych dla wszystkich użytkowników sieci.
______________________________________________
Autor:
Szymon Matylla, ekspert ds. ochrony danych osobowych w LexDigita