LexDigital

Przetwarzanie danych osobowych w mediach społecznościowych

Obecne prawo dotyczące ochrony danych osobowych powstało w czasie, gdy internet zarówno w Polsce jak i na świecie stawiał dopiero pierwsze kroki. Nowe prawo o ochronie danych osobowych, uwzględnia zmiany społeczne i technologiczne jakie nastąpiły przez ostatnie 20 lat. RODO reguluje zasady przetwarzania danych osobowych w mediach społecznościowych.

Przetwarzanie danych osobowych w mediach społecznościowych

Obowiązek informacyjny i podstawy prawne przetwarzania danych osobowych

Wszystkie działania, które dotyczą przetwarzania, gromadzenia czy udostępniania danych osobowych, muszą mieć podstawę prawną, która będzie regulowała te procesy. Zgodnie z rozporządzeniem, przedsiębiorcy i administratorzy danych powinni zapewnić, że każda osoba, której dane przetwarzają, rozumie i wie, jakie informacje, w jakim zakresie i w jakich celach będą wykorzystywane, a same te cele nie mogą naruszać praw i wolności ludzi.

Kluczowe dla realizacji wymogów RODO jest opracowanie regulaminu. To instrument tożsamy umowie zawartej pomiędzy wydawcą, a użytkownikiem. Jego akceptacja oznacza tyle samo co podpis pod dokumentem. Dlatego ważne jest, aby był możliwie szczegółowy i precyzyjny. Z treści regulaminu musi wprost wynikać, jaką usługę świadczy serwis oraz jakie prawa i obowiązki otrzymuje każdy kto decyduje się na zawarcie umowy z właścicielem portalu. Regulamin określi zakres przetwarzania danych osobowych i szczegółowe cele. Znając je, właściciel serwisu będzie mógł zapewnić ograniczenie typów przetwarzanych informacji do minimum.

social media, przetwarzanie danych osobowych, RODO

Poza koniecznymi zapisami dotyczącymi funkcjonalności, ze względu na wymagania RODO, wydawcy muszą również przekazać użytkownikowi wszystkie informacje, które wiążą się z jego danymi osobowymi - chodzi tutaj o odpowiedzi na pytania: jakie działania będą wykonywane na danych, jaki będzie ich zakres i czas przetwarzania danych osobowych oraz w jakim celu dane osobowe będą wykorzystywane. Jeśli z danych osobowych użytkowników serwisu korzystać będą także podmioty trzecie, konieczne jest zawarcie takich informacji w treści regulaminu. Należy poinformować nie tylko o tym, kto będzie odbiorcą danych osobowych, ale również w jaki sposób będzie je wykorzystywał.

Transgraniczne przetwarzanie danych osobowych

Udostępnianie danych osobowych użytkowników do państw trzecich (czyli poza Europejski Obszar Gospodarczy) lub organizacji międzynarodowych to szczególny przypadek przetwarzania danych osobowych. Transgraniczny przepływ danych osobowych do państw spoza Unii jest kluczowy w globalnym handlu i transgranicznej gospodarce cyfrowej. W celu zabezpieczenia danych osobowych europejczyków, RODO nakazuje zastosowanie odpowiedniego stopnia ochrony, w oparciu o zabezpieczenia zarówno po stronie administratora danych jak i podmiotu przetwarzającego w państwie trzecim.

Niestety zabezpieczenie danych poprzez zawarcie samej tylko umowy powierzenia przetwarzania (a tak właśnie odbywa się legalizacja współpracy na danych osobowych w ramach ujednoliconego prawnie Europejskiego Obszaru Gospodarczego) nie jest tutaj dostateczne. Trudność wynika z tego, że ochrona danych osobowych przez system prawny państwa docelowego może nie być na poziomie porównywalnym z europejskim. RODO przewiduje parę mechanizmów pozwalających przetwarzać transgranicznie. Komisja Europejska prowadzi wykaz państw, których porządek prawny w zakresie ochrony prywatności jest porównywalny z naszym.

Kraje spoza tej listy mogą rozwiązać problem przetwarzania z Europą poprzez prowadzenie dedykowanego systemu certyfikacji. Tą drogą poszły Stany Zjednoczone, które wypracowały wspólnie z Unią Europejską system certyfikacji Privacy Shield. W dalszej kolejności, takie przetwarzanie danych osobowych można potraktować jako proces wysokiego ryzyka i skonsultować z regulatorem albo też oprzeć na wyraźnej zgodzie osób, których dane osobowe miałyby być przekazywane.

Poznaj zasady tworzenia i zarządzania hasłami

Zgoda na przetwarzanie danych osobowych - warunki prawne i techniczne

Przetwarzanie danych osobowych, powszechnie odbywa się na podstawie zgody osoby, której dane dotyczą. RODO wprowadza kilka zmian w kwestii wyrażenia i formy zgody oraz sposobu jej pozyskiwania.

Zgoda, podobnie jak regulamin, musi zawierać wszelkie informacje dotyczące zakresu jej obowiązywania, celu w jaki została udzielona oraz dane dotyczące administratora danych osobowych, a więc właściciela serwisu, któremu oświadczenie się składa. RODO nakazuje, aby wyrażenie zgody było dobrowolne, czyli nie wiązało się z realizacją usługi w sytuacji. Jeżeli prowadzenie operacji na danych jest niezbędne do świadczenia usługi, jego podstawą prawną powinien być sam regulamin.

Oznacza to, że niedozwoloną praktyką staje się zawieranie zapisów o “wyrażeniu zgody” w treści regulaminów. Te dwa instrumenty należy potraktować obecnie całkiem rozłącznie. Jeżeli przetwarzanie jest faktycznie niezbędne do świadczenia usługi (przykładem niech będzie procesowanie danych kont użytkowników), nie odbiera się na nie zgody - dostateczną podstawę stanowi sam regulamin tej usługi. Z drugiej strony wszystkie usługi dodatkowe, takie jak newsletter albo kontakt marketingowy, oparte muszą być na niezależnych zgodach na przetwarzanie danych, których wyrażenie odbywa się poprzez wyraźne działanie podejmowane w stanie pełnej świadomości celu (czyli dla przykładu, poprzez zaznaczenie checkbox’a, który nie jest wymagany i który zlokalizowany jest bezpośrednio przy pełnej klauzuli zgody).

Możliwości wyrażenia zgody jest wiele. Wiążąca będzie zarówno ta wyrażona mailowo, poprzez zaznaczenie odpowiedniego checkbox’a, ale również przez rozmowę na Live Chat’cie. Ważne jest, aby bez względu na formę jej wyrażenia, posiadać dowód potwierdzający uzyskanie zgody oraz aby osoba, którą się o tę zgodę prosi, dysponowała wszystkimi potrzebnymi informacjami.

Aktualność dotychczas wyrażonej zgody na przetwarzanie danych osobowych

Częstym pytaniem, pojawiającym się w kontekście zgody na przetwarzanie danych osobowych, jest kwestia aktualności zgód uzyskanych dotychczas. Zgody pobrane do 25 maja będą ważne, ale pod warunkiem ich zgodności z wymaganiami RODO. W rzeczywistości większość pozyskanych dotychczas zgód nie spełnia jednego ważnego elementu - nie informuje o możliwości jej wycofania. Niektóre procesy oparte na zgodach są ponad to faktycznie całkowicie pozbawione takiego mechanizmu.

RODO nakłada na administratora danych nie tylko obowiązek poinformowania o możliwości cofnięcia zgody na przetwarzanie danych, ale także stworzenie tak samo prostej procedury wycofania zgody jak procedury jej wyrażania. Dobrym przykładem praktyki, w której mechanizm ten jest już zagwarantowany, jest zawieranie linków rezygnacyjnych w treści newsletterów. Wycofanie zgody może się również odbywać poprzez zmianę ustawień profilowych.

Dwustopniowa zgoda - newslettery

W odniesieniu do portali internetowych, często spotykane jest zapytanie o zgodę na otrzymywanie newslettera. Nierzadko, pod przykrywką przekazywania użytkownikom ciekawych treści, newsletter wykorzystywany jest jako narzędzie pozyskiwania danych osobowych i budowania baz klientów w celach marketingowych lub sprzedażowych. Tym samym naruszane są prawa i wolności osób, a opisane działanie jest niezgodne z przepisami. Zgoda newsletterowa, podobnie jak każda inna, musi być jednoznaczna i konkretnie wskazywać na charakter i cechy przetwarzania, które chcemy na jej podstawie prowadzić.

Newslettery obarczone są również zagrożeniem polegającym na braku kontroli nad własnością adresu podawanego przy rejestracji. Dlatego, aby uniknąć sytuacji, w której przetwarzane są dane osób bez ich zgody (chodzi o przypadki, w których adres danej osoby został wskazany przez osobę trzecią), konieczne jest zapewnienie dodatkowego mechanizmu weryfikacji. W kontekście newslettera, poza oczywistą koniecznością zachowania zgodności z przedstawionym użytkownikowi celem przetwarzania, należy zastosować zasadę podwójnej weryfikacji - double opt-in. Oznacza to, że na każdy umieszczony w bazie newsletterowej mail, w momencie jego rejestracji, wysyłana jest wiadomość z prośbą o potwierdzenie zapisu oraz aktywowania maila poprzez przesłany link. Dzięki takim działaniom, właściciel adresu mailowego, może zareagować na sytuację polegającą na nieautoryzowanym podaniu jej adresu przez innego człowieka (dla przykładu handlowca premiowanego za skuteczność rozbudowy bazy newsletterowej).

Szczególna zgoda na przetwarzanie danych - profilowanie

Przetwarzanie danych osobowych w mediach społecznościowych.
Profilowanie - szczególne przetwarzanie danych osobowych

Częstym mechanizmem, z jakiego korzystają serwisy z treściami czy media społecznościowe, jest profilowanie. Proces ten może przybrać dwie formy. To dostosowywanie wyświetlania treści do preferencji użytkowników, odkrytych poprzez ich wcześniejsze wybory, lub tworzenie kategorii użytkowników w oparciu o postrzegane cechy wywnioskowane na podstawie zachowań w sieci.

Profilowanie ma miejsce wówczas, gdy ocena działań jest automatyczna. Pojawia się jednak rozróżnienie, które pociąga za sobą obowiązki administratora danych osobowych - w sytuacji, gdy zakwalifikowanie do określonej grupy pociąga za sobą konsekwencje finansowe, rabatowe, wpływa na dostępność usługi itp., będzie mogło odbywać się wyłącznie za wyraźną zgodą użytkownika. Tradycyjną klauzulę zgody należy rozbudować o informacje związane z zagrożeniami, które wiążą się z przyzwoleniem na przetwarzanie. W przypadku profilowania, informacje te będą musiały opisywać mechanizm segmentacji oraz informować o jej prawdopodobnych konsekwencjach.

O sytuacji w której dochodzi do profilowania tzw. “miękkiego”, którego konsekwencją jest wyłącznie zmiana sposobu prezentacji treści (zmiana kolorystyki ze względu na płeć, powszechne systemy podpowiadania produktów, które cieszą się zainteresowaniem innych użytkowników z danego segmentu itd.), trzeba będzie teraz informować podobnie, jak do tej pory informuje się o cookies.

Mniejszy zakres przetwarzania danych osobowych

Zgodnie z zasadą privacy by default ustawienia prywatności kont w mediach społecznościowych, muszą odgórnie zakładać maksymalną prywatność danych użytkownika.

Oznacza to, że ustawienia domyślne muszą być zawsze skrajnie prywatne spośród dostępnych opcji. Użytkownik sam musi dokonać zmiany, poprzez świadome działanie np. własnoręczne zaznaczenie checkbox’ów. Zgodnie z zasadą privacy by default, żaden z box’ów nie może być uzupełniony automatycznie, odgórnie. Niedozwolone jest też stosowanie mechanizmów czasowych, w których zgoda jest wyrażona przez zaniechanie działania w określonym oknie czasowym.

W mediach społecznościowych, zgody mogą być wyrażane poprzez profile prywatności. Z poziomu tych ustawień, każdy użytkownik powinien móc dostosować zakres udostępnianych danych oraz grupę ich odbiorców do własnych preferencji. Należy zaznaczyć, że ma się to odbywać w kierunku poszerzającym zakres upublicznionych danych, a nie odwrotnie. Oznacza to, że wszelkie działania związane z przetwarzaniem danych użytkownika w celach poza administracyjnych, a więc na przykład działania marketingowe, działania kwalifikujące się jako “profilowanie twarde” lub udostępnianie danych innym podmiotom i upublicznianie danych - muszą zostać poprzedzone zmianą ustawień prywatności.

Jak wynika z ostatnich doniesień prasowych, Facebook jeszcze w tym roku odda w ręce użytkowników nowe centrum gromadzące wszystkie ustawienia prywatności w jednym miejscu. Pozwoli to prościej i łatwiej niż dotąd zarządzać prywatnymi danymi.

Uwierzytelnianie poprzez media społecznościowe

Wyjątkiem, w którym odgórnie narzucony (i zaznaczony) będzie zakres przetwarzanych danych osobowych jest logowanie się za pomocą konta w mediach społecznościowych. W sytuacji, gdy za jego pomocą rejestrujemy się w innych serwisach, wygenerowana zostanie lista zaznaczonych elementów, które są niezbędne do świadczenia usługi w portalu, w którym następuje rejestracja. Jest to swojego rodzaju odstępstwo od przyjętej zasady privacy by default, ale w nieznacznym stopniu. Nadal zachowana musi być zasada minimalizacji przetwarzania danych i maksymalizacja poziomu prywatności oraz obowiązek informacyjny np. w kwestii profilowania. Należy tutaj zrozumieć potrzebę zakomunikowania użytkownikowi, które informacje są wymagane przez portal docelowy, a które mogą posłużyć do rozbudowy usługi lub zamówienia usług dodatkowych.

Decydując się na udostępnienie użytkownikom możliwości uwierzytelniania poprzez użycie konta we własnym portalu, należy pamiętać, że podstawa prawna nie jest przechodnia, a udostępnianie danych osobowych również kwalifikuje się jako przetwarzanie i musi zostać zabezpieczone. Nadal na portalu macierzystym spoczywa odpowiedzialność za bezpieczeństwo danych osobowych w procesie ich przekazywania odbiorcy. Ten, który otrzymał dane przez rejestrację powiązaną, ma obowiązki związane z wejściem w posiadanie i dalszym przetwarzaniem danych osobowych.

Przetwarzanie danych - zmiany w zakresie technologii

RODO nakłada na wydawców serwisów obowiązki związane z dostosowaniem  zaplecza technologicznego. Jednym z kluczowych postanowień RODO w tej kwestii jest zasada “need to know”, która jest kolejnym obliczem generalnej zasady adekwatności dotycząca zarządzania ustawieniami dostawcy treści. To stworzenie i dostosowanie poziomów dostępów nie tylko użytkowników, ale także personelu administracyjnego i developerskiego. Ważne jest, aby osoby wykonujące swoje zadania miały wgląd tylko w te dane, które są im niezbędne do wykonywania swoich obowiązków.

Kolejnym aspektem technicznym, który musi zapewnić dostawca, jest ochrona danych osobowych poprzez zastosowanie mechanizmów uwierzytelniania i szyfrowania. Dostawca usługi musi zapewnić aktualność tych zabezpieczeń, pamiętając, że kolejne generacje zagrożeń pojawiają się co parę miesięcy. Przykładem zaniedbywania kwestii aktualizacji, jest wciąż powszechne stosowanie protokołów SSL 2.0 i 3.0 pomimo tego, że już od pewnego czasu wiadomo o ich brakach.

Systemy muszą także spełniać dwie podstawowe kwestie związane z hasłami użytkowników. Po pierwsze, zarówno po stronie wydawcy, który gromadzi dane, jak i po stronie użytkownika logującego się do serwisu, składowanie haseł nie może odbywać się w postaci tekstu. Każdy, kto ma dostęp do miejsca składowania tych informacji (np. administrator serwera, na którym posadowiona jest usługa) mógłby wówczas wejść w posiadanie informacji poufnych. Przyjętą, dobrą praktyką, jest hashowanie haseł. Po drugie, system musi dopuszczać tzw. mocne hasła, czyli długie, składające się z ponad 15 znaków, oraz pozwalać na używanie cyfr i znaków specjalnych.

Podsumowanie

Nowe przepisy o ochronie danych osobowych w kontekście internetu spełniają bardzo ważną funkcję - chronią tam, gdzie ogromną ilość czasu spędza większość z nas. Choć wiele obowiązków, jakie RODO nakłada na wydawców portali internetowych, funkcjonowało dotychczas w charakterze dobrych praktyk, to dzięki nowym przepisom staną się one powszechne.


Sprawdź również:


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk