Rozwój rynku cyfrowego nie jest nowym tematem dla firm i osób samozatrudnionych. Niestety, tego samego nie da się powiedzieć o ochronie danych osobowych w agencjach. Co agencje i freelancerzy muszą brać pod uwagę, jeśli chodzi o prawo ochrony danych osobowych? A co z przetwarzaniem zamówień w WordPressie? Przegląd.
Ogólne rozporządzenie o ochronie danych (GDPR) obowiązuje już od prawie 2 lat - dotyczy ono także wszystkich tych, którzy pracują w środowisku WordPress. Jednak temat ochrony danych istnieje od 1971 r. Coraz częściej pojawia się napięcie między ochroną danych a odpowiedzialną digitalizacją procesów biznesowych. Dlatego tym ważniejsza jest znajomość zasad centralnych.
Kiedy agencja musi powołać inspektora ochrony danych?
W przeszłości toczyły się na ten temat burzliwe dyskusje. Możemy jednak teraz podać następujące kluczowe punkty dla agencji:
- Agencja zatrudnia ponad 20 pracowników, którzy przetwarzają dane osobowe.
- Agencja przeprowadza operacje przetwarzania danych, które muszą być ocenione w ramach oceny skutków dla ochrony danych.
- Agencja prowadzi działalność w zakresie badań rynku lub opinii publicznej
- Agencja przetwarza dane osoboweo szczególnie wrażliwymcharakterze
Grupy parlamentarne CDU/CSU, dążąc do ograniczenia biurokracji, domagały się zwiększenia limitu obowiązku powołania zakładowego inspektora ochrony danych (§ 38 BDSG) do 50 osób. Ostatecznie w połowie 2019 r. osiągnięto porozumienie w sprawie limitu 20 pracowników.
Zasadniczo pojawia się tutaj pytanie, czy podniesienie limitu było rozsądne, ponieważ ochrona danych musi być przestrzegana przez każde przedsiębiorstwo. Nawet przez jednoosobową firmę.
Na co należy zwrócić uwagę w przypadku oprogramowania agencyjnego pod kątem ochrony danych?
Wiele agencji korzysta z oprogramowania agencyjnego, systemów biletowych lub zarządzania przepływem pracy, aby zautomatyzować procesy i zachować ogólny obraz sytuacji. Zazwyczaj w tych rozwiązaniach programowych przetwarzane są dane osobowe klientów i innych partnerów. Dlatego przepisy o ochronie danych osobowych obowiązują także tutaj.
Z zasady agencje muszą zapewnić odpowiedni poziom ochrony wprowadzanych produktów oprogramowania. Oprócz koncepcji autoryzacji i usuwania danych, należy przestrzegać dalszych środków techniczno-organizacyjnych (TOM) zgodnie z artykułem 32 RODO w celu korzystania z odpowiedniego oprogramowania w sposób zgodny z ochroną danych.
Należy wziąć pod uwagę stosowność ekonomiczną. Na przykład środki techniczne i organizacyjne małej agencji nie mogą we wszystkich obszarach spełniać tych samych standardów, co środki stosowane przez dużą korporację ze względu na aspekty ekonomiczne.
W większości przypadków oprogramowanie to jest usługą w chmurze. Są to na przykład:
- monday.com.
- Google Suite lub
- Atlassian Jira Service Desk
To tylko kilka przykładów. Z tymi dostawcami należy zdecydowanie zawrzeć umowę o przetwarzaniu danych na zlecenie, ponieważ narzędzia te przetwarzają dane osobowe zgodnie z instrukcjami.
W ramach zawierania umowy o przetwarzanie danych (przed rozpoczęciem współpracy) agencje lub deweloperzy muszą sprawdzić te środki techniczne i organizacyjne serwisu.
Umowa o realizację zlecenia powinna zawierać również m.in. następujące zagadnienia: Usługi wsparcia w przypadku dochodzenia praw przez osoby, których dane dotyczą, standardy jakości, istnienie ewentualnych podwykonawców.
Czy WordPress zajmuje się realizacją zamówień rozwojowych?
Wiele agencji rozpacza z powodu oceny, czy przetwarzają dane jako podmioty przetwarzające czy jako administratorzy danych. W rzeczywistości ocena jest dość prosta: administrator danych to ten, kto decyduje o celach i środkach przetwarzania danych osobowych (art. 4 ust. 7 RODO). Z drugiej strony, agencja działa jako podmiot przetwarzający zgodnie z artykułem 4(8) RODO, jeśli przetwarza dane osobowe w imieniu klienta.
Problem polega jednak na tym, że agencje, a także freelancerzy często oferują usługi całościowe. W tym przypadku nie zawsze możliwe jest jednoznaczne sprawdzenie, czy mamy do czynienia z połączeniem obowiązków. Przeważająca opinia komisarzy ds. ochrony danych jest obecnie taka, że w przypadku wątpliwości przetwarzanie na zlecenie zostaje zakończone. Nawiasem mówiąc, stawia to agencję w lepszej sytuacji pod względem odpowiedzialności niż w przypadku braku umowy o przetwarzaniu zleconym.
Na co powinieneś zwrócić uwagę, wybierając hosting WordPress?
Temat ochrony danych osobowych dla agencji obejmuje także hosting. Oprócz dostępności certyfikatu SSL, bardzo ważne jest, by hosting odbywał się w centrum danych, które posiada certyfikat. Na przykład zgodnie z normą ISO/EN 27001, ponieważ ten sam wymóg zawarty w artykule 32 RODO ma tu zastosowanie: Agencje i twórcy oprogramowania muszą zapewnić dostępność, integralność i poufność poprzez odpowiedni poziom bezpieczeństwa.
Oprócz środków zapobiegawczych należy także wdrożyć odpowiednią strategię tworzenia kopii zapasowych. W praktyce sprawdziły się codzienne przyrostowe kopie zapasowe i cotygodniowe pełne kopie zapasowe, które są przechowywane nawet przez 90 dni.
Niemniej jednak, kopie zapasowe nie powinny być przechowywane w jednym miejscu. Z reguły centra danych oferują możliwość skorzystania z kilku pomieszczeń przeciwpożarowych.
Do czego powinna stosować się witryna WordPress w zakresie ochrony danych?
Zasadniczo strony internetowe muszą być zgodne z zasadami ogólnego rozporządzenia o ochronie danych. W związku z tym należy stosować:
- Zasada minimalizacji danych
- Przestrzeganie podstaw prawnych przetwarzania danych osobowych
- Podobnie, przestrzeganie odpowiedniego celu przetwarzania danych
Klasycznie rzecz biorąc, każda strona internetowa powinna mieć kompleksową i poprawną politykę prywatności, by spełniać wymogi informacyjne.
Ponadto należy stworzyć podstawę prawną dla różnych operacji przetwarzania danych, zwłaszcza w odniesieniu do korzystania z plików cookie osób trzecich. Wymóg ten można bardzo łatwo spełnić za pomocą Cookie Consent Manager. W odniesieniu do strony WordPress należy rozważyć następujące aspekty:
- Zautomatyzowane aktualizacje WP-Core
- Regularne aktualizacje Plugin- & Theme-Updates
- Skuteczna ochrona przed hakerami i złośliwym oprogramowaniem
Podobnie, w przypadku niektórych operacji przetwarzania danych (rejestracja, formularze kontaktowe itp.), należy sporządzić formularze zgody spełniające warunki określone w art. 7 RODO.
Ochrona danych dla agencji: Kiedy potrzebna jest zgoda?
Zasadniczo ogólne rozporządzenie o ochronie danych należy rozumieć jako zakaz z przyzwoleniem. Oznacza to, że przede wszystkim nie wolno przetwarzać żadnych danych osobowych. Ponieważ jednak dane osobowe muszą być często przetwarzane, ustawodawca europejski określił tzw. kryteria zezwolenia - w art. 6 (1) a-f RODO.
Zgoda jest wymagana zawsze wtedy, gdy nie zachodzi jedna z dopuszczalnych okoliczności zgodnie z art. 6 ust. 1 lit. b) do f) RODO . Zgoda taka musi spełniać warunki określone w art. 7. W dokumencie tym stwierdza się między innymi:
- "Jeśli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych".
- "Osoba, której dane dotyczą, ma prawo do wycofania swojej zgody w dowolnym momencie. Odwołanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody do momentu jej odwołania. Osoba, której dane dotyczą, zostanie o tym poinformowana przed wyrażeniem zgody. Wycofanie zgody powinno być tak samo proste jak jej udzielenie".
Dlatego zgoda musi być zawsze świadoma, przejrzysta, weryfikowalna, dobrowolna i odwoływalna.
Dodatkowo istnieje tzw. motyw 32 do RODO. Podane przykłady mają na celu ułatwienie projektowania zgody dla praktyki gospodarczej. Jednakże samodzielnie opracowane rozwiązania - jak również związane z nimi WordPress Plugins - powinny być regularnie sprawdzane pod względem prawnym, na przykład przez odpowiednią kancelarię prawną, pod kątem ich dopuszczalności.
