Co to jest RODO i czemu jest ważne w Inernecie?

Wszyscy o tym słyszeli, wielu się tego boi, a nieliczni rozumieją, o co naprawdę chodzi. RODO – cztery litery, które wstrząsnęły internetem, przestraszyły tysiące przedsiębiorców i sprawiły, że nawet drobne blogi zaczęły tworzyć polityki prywatności. Ale czy faktycznie jest się czego bać? To rozporządzenie weszło w życie 25 maja 2018 r., obowiązuje we wszystkich krajach Unii Europejskiej i… nie zniknęło. Nadal jest aktualne, nadal jest kontrolowane i – co istotne – nadal obowiązuje każdego, kto przetwarza dane osobowe. A „przetwarzać” oznacza nie tylko zbierać, ale też przechowywać, analizować, przekazywać dalej lub nawet tylko wyświetlać.

Co gorsza – nie musisz nawet wiedzieć, że to robisz. Twoja strona może zbierać dane bez Twojej wiedzy – przez ciasteczka, formularze, wtyczki albo Google Analytics. A odpowiedzialność za to spada na Ciebie jako właściciela serwisu. Dlatego właśnie wokół RODO narosło tyle stresu, mitów i zamieszania.

W tym artykule odpowiadamy na najważniejsze pytania:

• Czym tak naprawdę jest RODO?
• Dlaczego dotyczy nawet małych blogów i stron-wizytówek?
• Co się zmieniło w prawie i w świadomości po 2018 roku?
• Jakie realne konsekwencje grożą za ignorowanie RODO?
• Jaka jest najwyższa kara RODO w Polsce?

Bez prawniczego bełkotu, bez straszenia karami – konkretnie, praktycznie i z przykładami. Jeśli kiedykolwiek zadawałeś sobie pytanie „Czy to mnie w ogóle dotyczy?”, to tak, dotyczy. A ten artykuł pokaże Ci, jak ogarnąć temat z głową i spokojem.

Znasz już podstawy? Świetnie! Teraz zobacz, jak RODO wygląda w praktyce:

• Hosting zgodny z RODO – co to znaczy i jak wybrać? – czym różni się hosting zgodny z przepisami.
• Dlaczego każdy sklep internetowy podlega RODO? – co grozi właścicielom sklepów.
• Hosting a zgodność strony WWW z RODO – co musisz wiedzieć? – jak hosting wpływa na zgodność z przepisami.
• Strona internetowa zgodna z RODO – co to oznacza? – jakie elementy musi mieć witryna, by była legalna.

Czym tak naprawdę jest RODO?

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR – General Data Protection Regulation), to unijne prawo obowiązujące od 25 maja 2018 roku. Jego celem jest ujednolicenie zasad przetwarzania danych osobowych we wszystkich państwach członkowskich UE oraz zapewnienie obywatelom pełniejszej kontroli nad tym, co dzieje się z ich danymi. Brzmi formalnie? Może. Ale w praktyce chodzi o jedną prostą rzecz: żeby Twoje dane – imię, e-mail, adres IP, zdjęcie, lokalizacja – nie były zbierane, przetwarzane i sprzedawane bez Twojej wiedzy i zgody.

RODO to reakcja na gwałtowny rozwój technologii i przypadki nadużyć – od wycieków danych po nieuczciwy marketing. Regulacja nakłada obowiązki zarówno na korporacje z miliardowymi budżetami, jak i na mikrofirmy, blogerów czy właścicieli małych stron WWW. Przetwarzasz dane? Musisz się dostosować. Nie ma znaczenia, czy jesteś Facebookiem, czy fotografem z jednoosobową działalnością.

Dlaczego RODO dotyczy nawet małych blogów i stron-wizytówek?

Wielu właścicieli stron nadal uważa, że skoro nie sprzedają produktów, nie prowadzą e-sklepu, nie zbierają danych w celowy sposób – to ich RODO nie dotyczy. To błędne założenie. RODO nie interesuje się Twoim modelem biznesowym, tylko tym, czy dochodzi do przetwarzania danych osobowych. A do tego wystarczy zaskakująco niewiele:

• Formularz kontaktowy,
• Komentarze na blogu,
• Zapis do newslettera,
• Google Analytics lub inne skrypty śledzące,
• Facebook Pixel,
• Ciasteczka marketingowe.

Każde z tych narzędzi zbiera dane osobowe – nawet jeśli Ty ich nie widzisz, nie analizujesz i nie przechowujesz ręcznie. Jeśli masz na stronie ciasteczka, które zapisują identyfikatory użytkownika, adres IP albo informacje o urządzeniu, to… tak, jesteś administratorem danych i musisz spełnić obowiązki z art. 13 i 14 RODO.

Co się zmieniło w prawie i w świadomości po 2018 roku?

Przed wejściem w życie RODO ochrona danych osobowych była traktowana raczej po macoszemu – przez użytkowników, firmy, a nawet samych administratorów systemów. Brakowało standardów, zrozumienia i konsekwencji. Dane były często zbierane „na wszelki wypadek”, bez konkretnego celu czy jasnej zgody.

Po 2018 roku wszystko się zmieniło:

• Powstały konkretne obowiązki informacyjne – np. polityka prywatności musi zawierać wskazanie administratora danych, podstawy przetwarzania, okres przechowywania, prawa użytkownika, informacje o odbiorcach danych.
• Pojawił się obowiązek rozliczalności – musisz być w stanie wykazać, że przestrzegasz zasad RODO (np. posiadanie rejestru czynności przetwarzania, klauzul informacyjnych, umów powierzenia).
• Wzrosła świadomość użytkowników – coraz więcej osób pyta, prosi o dostęp do danych, żąda usunięcia lub ograniczenia przetwarzania.
• Zaczęły się realne kary – UODO nakłada sankcje na małe i duże firmy. To nie fikcja – wystarczy spojrzeć na rejestr decyzji.

Innymi słowy: skończyły się czasy ignorowania tematu. Jeśli masz dane – musisz mieć procedury.

Jakie realne konsekwencje grożą za ignorowanie RODO?

Najbardziej medialne są oczywiście kary finansowe – sięgające nawet 20 milionów euro lub 4% rocznego obrotu. Ale dla małych firm i właścicieli stron znacznie groźniejsze są inne skutki:

• Zgłoszenia od użytkowników – każdy może zażądać informacji, usunięcia danych, ograniczenia przetwarzania. Jeśli nie masz procedur, ryzykujesz konflikt i zgłoszenie do UODO.
• Brak zaufania – brak polityki prywatności, nieczytelne zgody, brak SSL – wszystko to wygląda nieprofesjonalnie i zniechęca użytkowników.
• Problemy przy współpracy z firmami – coraz więcej partnerów biznesowych oczekuje od Ciebie dokumentów potwierdzających zgodność z RODO (np. umów powierzenia, analizy ryzyka, informacji o zabezpieczeniach).
• Techniczne konsekwencje – przeglądarki oznaczają strony bez SSL jako „niebezpieczne”, Google obniża pozycje stron bez podstawowych zabezpieczeń.

W skrócie: brak zgodności z RODO to dziś ryzyko wizerunkowe, prawne i techniczne. Nie trzeba bać się przepisów – wystarczy je zrozumieć i wdrożyć. A to właśnie robimy w kolejnych artykułach tej serii. A skoro o konsekwencjach mowa. Sprawa Morele.net to jedno z najgłośniejszych naruszeń RODO w Polsce – i doskonały przykład, jak realne są konsekwencje nieprawidłowego przetwarzania danych osobowych. Oto najważniejsze informacje, które warto znać:

W 2018 roku doszło do wycieku danych ponad 2,2 miliona klientów sklepu internetowego Morele.net. W ręce nieuprawnionych osób trafiły takie informacje jak:

• imię i nazwisko,
• adres e-mail,
• numer telefonu,
• adres zamieszkania,
• dane o zamówieniach,
• oraz – w części przypadków – dane dot. dochodów i numer PESEL, bo firma oferowała zakupy na raty i przetwarzała dane kredytowe.

Do naruszenia doszło wskutek braku odpowiednich zabezpieczeń kont klientów, w tym zbyt prostego systemu resetowania haseł oraz nieprawidłowego zabezpieczenia dostępu do panelu administracyjnego. UODO uznał, że firma:

• nie wdrożyła adekwatnych środków technicznych i organizacyjnych, które zapewniałyby bezpieczeństwo danych (naruszenie art. 32 RODO),
• nie uwzględniła ryzyka związanego z przetwarzaniem danych, w tym danych szczególnej kategorii (jak PESEL i dochody),
• zbyt długo zwlekała z reakcją i powiadomieniem klientów o wycieku.

W 2019 roku Urząd Ochrony Danych Osobowych nałożył na Morele.net karę 2,8 miliona złotych – była to najwyższa kara RODO w Polsce w tamtym momencie i do dziś pozostaje jedną z najczęściej cytowanych. Co istotne, kara została utrzymana mimo odwołań – sądy potwierdziły, że firma miała obowiązek lepiej zabezpieczyć dane i informować klientów w sposób przejrzysty.

Wnioski na dziś?

1. Nie tylko sklepy mają obowiązki – każda firma przetwarzająca dane (nawet przy newsletterze czy formularzu) musi wdrożyć środki bezpieczeństwa.
2. PESEL to nie zabawka – przetwarzanie danych wrażliwych (w tym finansowych) wymaga szczególnej ostrożności.
3. Zgłoszenie incydentu to nie opcja, to obowiązek – administrator danych ma 72 godziny na reakcję.
4. Brak audytu i prostych środków zabezpieczeń (jak 2FA, silne hasła, logi dostępu) może kosztować miliony.

FAQ: 5 najczęściej zadawanych pytań o RODO

1. Nie mam sklepu, tylko prostą stronę – czy RODO też mnie dotyczy?

Tak. Wystarczy, że zbierasz jakiekolwiek dane osobowe – np. przez formularz kontaktowy, newsletter, ciasteczka (cookies), system komentarzy czy narzędzia analityczne typu Google Analytics. RODO nie rozróżnia, czy jesteś wielką firmą czy jednoosobowym blogerem. Przetwarzasz dane = masz obowiązki.

2. Co to właściwie znaczy "dane osobowe"? Tylko imię i nazwisko?

Nie. Dane osobowe to wszystko, co pozwala zidentyfikować osobę fizyczną – bezpośrednio lub pośrednio. To może być adres e-mail, numer IP, lokalizacja, ID użytkownika, ciasteczko trackingowe, dane z formularza, zapis rozmowy, zdjęcie, a nawet głos. Jeśli po ich zebraniu da się dojść do konkretnej osoby – to już są dane osobowe.

3. Czy muszę mieć politykę prywatności na stronie?

Jeśli zbierasz jakiekolwiek dane – tak, powinieneś. Polityka prywatności to najprostszy sposób poinformowania użytkownika o tym, co się dzieje z jego danymi. Musi zawierać: kto przetwarza dane, po co, na jakiej podstawie prawnej, jak długo i jakie prawa przysługują użytkownikowi. Bez tego – łamiesz art. 13 i 14 RODO.

4. Czy wystarczy, że mam hosting zgodny z RODO, żeby być „na czysto”?

Nie. Hosting zgodny z RODO to tylko połowa układanki – odpowiada za przechowywanie danych w bezpiecznym środowisku. Ale Ty jako właściciel strony musisz zadbać o całą resztę: formularze, checkboxy, politykę prywatności, baner cookies, certyfikat SSL i – co ważne – umowy powierzenia z każdym podmiotem, który ma dostęp do danych (np. developer, marketingowiec, agencja).

5. Co mi grozi, jeśli zignoruję RODO? Czy ktoś to w ogóle sprawdza?

Tak – Urząd Ochrony Danych Osobowych prowadzi kontrole, a za naruszenia grożą kary do 20 mln euro lub 4% rocznego obrotu (w praktyce zwykle mniejsze, ale bolesne). Co ważniejsze – coraz więcej użytkowników wie, jakie mają prawa i potrafi je egzekwować. Zgłoszenie od klienta, wezwanie do usunięcia danych albo mail z pytaniem „gdzie jest moja polityka prywatności?” może Cię zaskoczyć. Lepiej być przygotowanym.