LexDigital

Przetwarzanie danych osobowych w mediach społecznościowych

Obecne prawo dotyczące ochrony danych osobowych powstało w czasie, gdy internet zarówno w Polsce jak i na świecie stawiał dopiero pierwsze kroki. Nowe prawo o ochronie danych osobowych, uwzględnia zmiany społeczne i technologiczne jakie nastąpiły przez ostatnie 20 lat. RODO reguluje zasady przetwarzania danych osobowych w mediach społecznościowych.

Przetwarzanie danych osobowych w mediach społecznościowych

Obowiązek informacyjny i podstawy prawne przetwarzania danych osobowych

Wszystkie działania, które dotyczą przetwarzania, gromadzenia czy udostępniania danych osobowych, muszą mieć podstawę prawną, która będzie regulowała te procesy. Zgodnie z rozporządzeniem, przedsiębiorcy i administratorzy danych powinni zapewnić, że każda osoba, której dane przetwarzają, rozumie i wie, jakie informacje, w jakim zakresie i w jakich celach będą wykorzystywane, a same te cele nie mogą naruszać praw i wolności ludzi.

Kluczowe dla realizacji wymogów RODO jest opracowanie regulaminu. To instrument tożsamy umowie zawartej pomiędzy wydawcą, a użytkownikiem. Jego akceptacja oznacza tyle samo co podpis pod dokumentem. Dlatego ważne jest, aby był możliwie szczegółowy i precyzyjny. Z treści regulaminu musi wprost wynikać, jaką usługę świadczy serwis oraz jakie prawa i obowiązki otrzymuje każdy kto decyduje się na zawarcie umowy z właścicielem portalu. Regulamin określi zakres przetwarzania danych osobowych i szczegółowe cele. Znając je, właściciel serwisu będzie mógł zapewnić ograniczenie typów przetwarzanych informacji do minimum.

Poza koniecznymi zapisami dotyczącymi funkcjonalności, ze względu na wymagania RODO, wydawcy muszą również przekazać użytkownikowi wszystkie informacje, które wiążą się z jego danymi osobowymi - chodzi tutaj o odpowiedzi na pytania: jakie działania będą wykonywane na danych, jaki będzie ich zakres i czas przetwarzania danych osobowych oraz w jakim celu dane osobowe będą wykorzystywane. Jeśli z danych osobowych użytkowników serwisu korzystać będą także podmioty trzecie, konieczne jest zawarcie takich informacji w treści regulaminu. Należy poinformować nie tylko o tym, kto będzie odbiorcą danych osobowych, ale również w jaki sposób będzie je wykorzystywał.

Transgraniczne przetwarzanie danych osobowych

Udostępnianie danych osobowych użytkowników do państw trzecich (czyli poza Europejski Obszar Gospodarczy) lub organizacji międzynarodowych to szczególny przypadek przetwarzania danych osobowych. Transgraniczny przepływ danych osobowych do państw spoza Unii jest kluczowy w globalnym handlu i transgranicznej gospodarce cyfrowej. W celu zabezpieczenia danych osobowych europejczyków, RODO nakazuje zastosowanie odpowiedniego stopnia ochrony, w oparciu o zabezpieczenia zarówno po stronie administratora danych jak i podmiotu przetwarzającego w państwie trzecim.

Niestety zabezpieczenie danych poprzez zawarcie samej tylko umowy powierzenia przetwarzania (a tak właśnie odbywa się legalizacja współpracy na danych osobowych w ramach ujednoliconego prawnie Europejskiego Obszaru Gospodarczego) nie jest tutaj dostateczne. Trudność wynika z tego, że ochrona danych osobowych przez system prawny państwa docelowego może nie być na poziomie porównywalnym z europejskim. RODO przewiduje parę mechanizmów pozwalających przetwarzać transgranicznie. Komisja Europejska prowadzi wykaz państw, których porządek prawny w zakresie ochrony prywatności jest porównywalny z naszym.

Kraje spoza tej listy mogą rozwiązać problem przetwarzania z Europą poprzez prowadzenie dedykowanego systemu certyfikacji. Tą drogą poszły Stany Zjednoczone, które wypracowały wspólnie z Unią Europejską system certyfikacji Privacy Shield. W dalszej kolejności, takie przetwarzanie danych osobowych można potraktować jako proces wysokiego ryzyka i skonsultować z regulatorem albo też oprzeć na wyraźnej zgodzie osób, których dane osobowe miałyby być przekazywane.

Zgoda na przetwarzanie danych osobowych - warunki prawne i techniczne

Przetwarzanie danych osobowych, powszechnie odbywa się na podstawie zgody osoby, której dane dotyczą. RODO wprowadza kilka zmian w kwestii wyrażenia i formy zgody oraz sposobu jej pozyskiwania.

Zgoda, podobnie jak regulamin, musi zawierać wszelkie informacje dotyczące zakresu jej obowiązywania, celu w jaki została udzielona oraz dane dotyczące administratora danych osobowych, a więc właściciela serwisu, któremu oświadczenie się składa. RODO nakazuje, aby wyrażenie zgody było dobrowolne, czyli nie wiązało się z realizacją usługi w sytuacji. Jeżeli prowadzenie operacji na danych jest niezbędne do świadczenia usługi, jego podstawą prawną powinien być sam regulamin.

Oznacza to, że niedozwoloną praktyką staje się zawieranie zapisów o “wyrażeniu zgody” w treści regulaminów. Te dwa instrumenty należy potraktować obecnie całkiem rozłącznie. Jeżeli przetwarzanie jest faktycznie niezbędne do świadczenia usługi (przykładem niech będzie procesowanie danych kont użytkowników), nie odbiera się na nie zgody - dostateczną podstawę stanowi sam regulamin tej usługi. Z drugiej strony wszystkie usługi dodatkowe, takie jak newsletter albo kontakt marketingowy, oparte muszą być na niezależnych zgodach na przetwarzanie danych, których wyrażenie odbywa się poprzez wyraźne działanie podejmowane w stanie pełnej świadomości celu (czyli dla przykładu, poprzez zaznaczenie checkbox’a, który nie jest wymagany i który zlokalizowany jest bezpośrednio przy pełnej klauzuli zgody).

Możliwości wyrażenia zgody jest wiele. Wiążąca będzie zarówno ta wyrażona mailowo, poprzez zaznaczenie odpowiedniego checkbox’a, ale również przez rozmowę na Live Chat’cie. Ważne jest, aby bez względu na formę jej wyrażenia, posiadać dowód potwierdzający uzyskanie zgody oraz aby osoba, którą się o tę zgodę prosi, dysponowała wszystkimi potrzebnymi informacjami.

Aktualność dotychczas wyrażonej zgody na przetwarzanie danych osobowych

Częstym pytaniem, pojawiającym się w kontekście zgody na przetwarzanie danych osobowych, jest kwestia aktualności zgód uzyskanych dotychczas. Zgody pobrane do 25 maja będą ważne, ale pod warunkiem ich zgodności z wymaganiami RODO. W rzeczywistości większość pozyskanych dotychczas zgód nie spełnia jednego ważnego elementu - nie informuje o możliwości jej wycofania. Niektóre procesy oparte na zgodach są ponad to faktycznie całkowicie pozbawione takiego mechanizmu.

RODO nakłada na administratora danych nie tylko obowiązek poinformowania o możliwości cofnięcia zgody na przetwarzanie danych, ale także stworzenie tak samo prostej procedury wycofania zgody jak procedury jej wyrażania. Dobrym przykładem praktyki, w której mechanizm ten jest już zagwarantowany, jest zawieranie linków rezygnacyjnych w treści newsletterów. Wycofanie zgody może się również odbywać poprzez zmianę ustawień profilowych.

Dwustopniowa zgoda - newslettery

W odniesieniu do portali internetowych, często spotykane jest zapytanie o zgodę na otrzymywanie newslettera. Nierzadko, pod przykrywką przekazywania użytkownikom ciekawych treści, newsletter wykorzystywany jest jako narzędzie pozyskiwania danych osobowych i budowania baz klientów w celach marketingowych lub sprzedażowych. Tym samym naruszane są prawa i wolności osób, a opisane działanie jest niezgodne z przepisami. Zgoda newsletterowa, podobnie jak każda inna, musi być jednoznaczna i konkretnie wskazywać na charakter i cechy przetwarzania, które chcemy na jej podstawie prowadzić.

Newslettery obarczone są również zagrożeniem polegającym na braku kontroli nad własnością adresu podawanego przy rejestracji. Dlatego, aby uniknąć sytuacji, w której przetwarzane są dane osób bez ich zgody (chodzi o przypadki, w których adres danej osoby został wskazany przez osobę trzecią), konieczne jest zapewnienie dodatkowego mechanizmu weryfikacji. W kontekście newslettera, poza oczywistą koniecznością zachowania zgodności z przedstawionym użytkownikowi celem przetwarzania, należy zastosować zasadę podwójnej weryfikacji - double opt-in. Oznacza to, że na każdy umieszczony w bazie newsletterowej mail, w momencie jego rejestracji, wysyłana jest wiadomość z prośbą o potwierdzenie zapisu oraz aktywowania maila poprzez przesłany link. Dzięki takim działaniom, właściciel adresu mailowego, może zareagować na sytuację polegającą na nieautoryzowanym podaniu jej adresu przez innego człowieka (dla przykładu handlowca premiowanego za skuteczność rozbudowy bazy newsletterowej).

Szczególna zgoda na przetwarzanie danych - profilowanie

Przetwarzanie danych osobowych w mediach społecznościowych.
Profilowanie - szczególne przetwarzanie danych osobowych

Częstym mechanizmem, z jakiego korzystają serwisy z treściami czy media społecznościowe, jest profilowanie. Proces ten może przybrać dwie formy. To dostosowywanie wyświetlania treści do preferencji użytkowników, odkrytych poprzez ich wcześniejsze wybory, lub tworzenie kategorii użytkowników w oparciu o postrzegane cechy wywnioskowane na podstawie zachowań w sieci.

Profilowanie ma miejsce wówczas, gdy ocena działań jest automatyczna. Pojawia się jednak rozróżnienie, które pociąga za sobą obowiązki administratora danych osobowych - w sytuacji, gdy zakwalifikowanie do określonej grupy pociąga za sobą konsekwencje finansowe, rabatowe, wpływa na dostępność usługi itp., będzie mogło odbywać się wyłącznie za wyraźną zgodą użytkownika. Tradycyjną klauzulę zgody należy rozbudować o informacje związane z zagrożeniami, które wiążą się z przyzwoleniem na przetwarzanie. W przypadku profilowania, informacje te będą musiały opisywać mechanizm segmentacji oraz informować o jej prawdopodobnych konsekwencjach.

O sytuacji w której dochodzi do profilowania tzw. “miękkiego”, którego konsekwencją jest wyłącznie zmiana sposobu prezentacji treści (zmiana kolorystyki ze względu na płeć, powszechne systemy podpowiadania produktów, które cieszą się zainteresowaniem innych użytkowników z danego segmentu itd.), trzeba będzie teraz informować podobnie, jak do tej pory informuje się o cookies.

Mniejszy zakres przetwarzania danych osobowych

Zgodnie z zasadą privacy by default ustawienia prywatności kont w mediach społecznościowych, muszą odgórnie zakładać maksymalną prywatność danych użytkownika.

Oznacza to, że ustawienia domyślne muszą być zawsze skrajnie prywatne spośród dostępnych opcji. Użytkownik sam musi dokonać zmiany, poprzez świadome działanie np. własnoręczne zaznaczenie checkbox’ów. Zgodnie z zasadą privacy by default, żaden z box’ów nie może być uzupełniony automatycznie, odgórnie. Niedozwolone jest też stosowanie mechanizmów czasowych, w których zgoda jest wyrażona przez zaniechanie działania w określonym oknie czasowym.

W mediach społecznościowych, zgody mogą być wyrażane poprzez profile prywatności. Z poziomu tych ustawień, każdy użytkownik powinien móc dostosować zakres udostępnianych danych oraz grupę ich odbiorców do własnych preferencji. Należy zaznaczyć, że ma się to odbywać w kierunku poszerzającym zakres upublicznionych danych, a nie odwrotnie. Oznacza to, że wszelkie działania związane z przetwarzaniem danych użytkownika w celach poza administracyjnych, a więc na przykład działania marketingowe, działania kwalifikujące się jako “profilowanie twarde” lub udostępnianie danych innym podmiotom i upublicznianie danych - muszą zostać poprzedzone zmianą ustawień prywatności.

Jak wynika z ostatnich doniesień prasowych, Facebook jeszcze w tym roku odda w ręce użytkowników nowe centrum gromadzące wszystkie ustawienia prywatności w jednym miejscu. Pozwoli to prościej i łatwiej niż dotąd zarządzać prywatnymi danymi.

Uwierzytelnianie poprzez media społecznościowe

Wyjątkiem, w którym odgórnie narzucony (i zaznaczony) będzie zakres przetwarzanych danych osobowych jest logowanie się za pomocą konta w mediach społecznościowych. W sytuacji, gdy za jego pomocą rejestrujemy się w innych serwisach, wygenerowana zostanie lista zaznaczonych elementów, które są niezbędne do świadczenia usługi w portalu, w którym następuje rejestracja. Jest to swojego rodzaju odstępstwo od przyjętej zasady privacy by default, ale w nieznacznym stopniu. Nadal zachowana musi być zasada minimalizacji przetwarzania danych i maksymalizacja poziomu prywatności oraz obowiązek informacyjny np. w kwestii profilowania. Należy tutaj zrozumieć potrzebę zakomunikowania użytkownikowi, które informacje są wymagane przez portal docelowy, a które mogą posłużyć do rozbudowy usługi lub zamówienia usług dodatkowych.

Decydując się na udostępnienie użytkownikom możliwości uwierzytelniania poprzez użycie konta we własnym portalu, należy pamiętać, że podstawa prawna nie jest przechodnia, a udostępnianie danych osobowych również kwalifikuje się jako przetwarzanie i musi zostać zabezpieczone. Nadal na portalu macierzystym spoczywa odpowiedzialność za bezpieczeństwo danych osobowych w procesie ich przekazywania odbiorcy. Ten, który otrzymał dane przez rejestrację powiązaną, ma obowiązki związane z wejściem w posiadanie i dalszym przetwarzaniem danych osobowych.

Przetwarzanie danych - zmiany w zakresie technologii

RODO nakłada na wydawców serwisów obowiązki związane z dostosowaniem  zaplecza technologicznego. Jednym z kluczowych postanowień RODO w tej kwestii jest zasada “need to know”, która jest kolejnym obliczem generalnej zasady adekwatności dotycząca zarządzania ustawieniami dostawcy treści. To stworzenie i dostosowanie poziomów dostępów nie tylko użytkowników, ale także personelu administracyjnego i developerskiego. Ważne jest, aby osoby wykonujące swoje zadania miały wgląd tylko w te dane, które są im niezbędne do wykonywania swoich obowiązków.

Kolejnym aspektem technicznym, który musi zapewnić dostawca, jest ochrona danych osobowych poprzez zastosowanie mechanizmów uwierzytelniania i szyfrowania. Dostawca usługi musi zapewnić aktualność tych zabezpieczeń, pamiętając, że kolejne generacje zagrożeń pojawiają się co parę miesięcy. Przykładem zaniedbywania kwestii aktualizacji, jest wciąż powszechne stosowanie protokołów SSL 2.0 i 3.0 pomimo tego, że już od pewnego czasu wiadomo o ich brakach.

Systemy muszą także spełniać dwie podstawowe kwestie związane z hasłami użytkowników. Po pierwsze, zarówno po stronie wydawcy, który gromadzi dane, jak i po stronie użytkownika logującego się do serwisu, składowanie haseł nie może odbywać się w postaci tekstu. Każdy, kto ma dostęp do miejsca składowania tych informacji (np. administrator serwera, na którym posadowiona jest usługa) mógłby wówczas wejść w posiadanie informacji poufnych. Przyjętą, dobrą praktyką, jest hashowanie haseł. Po drugie, system musi dopuszczać tzw. mocne hasła, czyli długie, składające się z ponad 15 znaków, oraz pozwalać na używanie cyfr i znaków specjalnych.

Podsumowanie

Nowe przepisy o ochronie danych osobowych w kontekście internetu spełniają bardzo ważną funkcję - chronią tam, gdzie ogromną ilość czasu spędza większość z nas. Choć wiele obowiązków, jakie RODO nakłada na wydawców portali internetowych, funkcjonowało dotychczas w charakterze dobrych praktyk, to dzięki nowym przepisom staną się one powszechne.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.