Prywatność dla agencji i WordPress deweloperów

Nils Möllers Ostatnia aktualizacja 21.10.2020
.
. 5 Min.
Ochrona danych dla agencji
Ostatnia aktualizacja 21.10.2020

Rozwój rynku cyfrowego nie jest nową kwestią dla firm i osób pracujących na własny rachunek. Niestety, tego samego nie można powiedzieć o ochronie danych przez agencje. Co agencje i freelancerzy muszą wziąć pod uwagę w kontekście prawa o ochronie danych osobowych? A co z przetwarzaniem WordPress mówień? Przegląd.

Od prawie dwóch lat obowiązuje Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) - dotyczy ono również wszystkich, którzy pracują w środowisku WordPress . Jednak temat ochrony danych osobowych istnieje już od 1971 roku. Temat ochrony danych istnieje jednak od 1971 r. Coraz częściej pojawia się napięcie między ochroną danych a odpowiedzialną digitalizacją procesów biznesowych. Dlatego tym ważniejsze jest, aby znać centralne zasady.

Uwaga: Ten podstawowy artykuł nie zastępuje porady prawnej. Aby dokonać przeglądu środków i strony internetowej, zawsze należy skontaktować się z profesjonalną kancelarią prawną zajmującą się prawem internetowym i ochroną danych.

Kiedy agencja musi powołać inspektora ochrony danych?

W przeszłości toczyły się na ten temat burzliwe dyskusje. Możemy jednak teraz przedstawić następujące kluczowe punkty dla agencji polscy :

  1. Agencja zatrudnia ponad 20 pracowników, którzy przetwarzają dane osobowe.
  2. Agencja przeprowadza operacje przetwarzania danych, które muszą być ocenione w ramach oceny skutków dla ochrony danych.
  3. Agencja prowadzi działalność w zakresie badań rynku lub opinii publicznej 
  4. Agencja przetwarza dane osoboweo szczególnie wrażliwymcharakterze

Grupy parlamentarne CDU/CSU, dążąc do ograniczenia biurokracji, domagały się zwiększenia limitu obowiązku powołania zakładowego inspektora ochrony danych (§ 38 BDSG) do 50 osób. Ostatecznie w połowie 2019 r. osiągnięto porozumienie w sprawie limitu 20 pracowników.

Zasadniczo pojawia się tutaj pytanie, czy podniesienie limitu było rozsądne, ponieważ ochrona danych musi być przestrzegana przez każde przedsiębiorstwo. Nawet przez jednoosobową firmę.

Na co należy zwrócić uwagę w przypadku oprogramowania agencyjnego pod kątem ochrony danych?

Wiele agencji korzysta z oprogramowania agencyjnego, systemów biletowych lub zarządzania przepływem pracy, aby zautomatyzować procesy i zachować przegląd sytuacji. Zazwyczaj w tych rozwiązaniach programowych przetwarzane są dane osobowe klientów i innych partnerów. Dlatego również tutaj obowiązują przepisy o ochronie danych osobowych.

Z zasady agencje muszą zapewnić odpowiedni poziom ochrony wprowadzanych produktów oprogramowania. Oprócz koncepcji autoryzacji i usuwania danych, należy przestrzegać dalszych środków techniczno-organizacyjnych (TOM) zgodnie z artykułem 32 RODO w celu korzystania z odpowiedniego oprogramowania w sposób zgodny z ochroną danych.

Należy wziąć pod uwagę stosowność ekonomiczną. Na przykład TOM małej agencji nie może spełniać tych samych standardów we wszystkich dziedzinach, co środki stosowane przez dużą korporację ze względu na aspekty ekonomiczne.

W większości przypadków oprogramowanie to jest usługą w chmurze. Są to na przykład:

  • monday.com.
  • Google Suite lub
  • Atlassian Jira Service Desk

żeby wymienić tylko kilka. Z tymi dostawcami należy zdecydowanie zawrzeć umowę o przetwarzaniu danych, ponieważ narzędzia te przetwarzają dane osobowe zgodnie z instrukcjami.

Google RODO
Google udostępnia własne zasoby dla swoich usług w chmurze

W ramach zawierania umowy o przetwarzanie danych (przed rozpoczęciem współpracy) agencje lub deweloperzy muszą sprawdzić te środki techniczne i organizacyjne serwisu.

Umowa o realizację zlecenia powinna zawierać również m.in. następujące zagadnienia: Usługi wsparcia w przypadku dochodzenia praw przez osoby, których dane dotyczą, standardy jakości, istnienie ewentualnych podwykonawców.

Czy WordPress zajmuje się realizacją zamówień rozwojowych?

Wiele agencji rozpacza z powodu oceny, czy przetwarzają dane jako podmioty przetwarzające, czy jako (własni) administratorzy. W rzeczywistości ocena jest dość prosta: administrator danych to ten, kto określa cele i środki przetwarzania danych osobowych (art. 4 ust. 7 RODO). Z drugiej strony, agencja działa jako podmiot przetwarzający zgodnie z art. 4 ust. 8 RODO , jeśli przetwarza dane osobowe w imieniu klienta.

Problem polega jednak na tym, że agencje, a także freelancerzy często oferują usługi całościowe. W tym przypadku nie zawsze możliwe jest jednoznaczne sprawdzenie, czy mamy do czynienia z połączeniem obowiązków. Przeważająca opinia komisarzy ds. ochrony danych jest obecnie taka, że w przypadku wątpliwości przetwarzanie na zlecenie zostaje zakończone. Nawiasem mówiąc, stawia to agencję w lepszej sytuacji pod względem odpowiedzialności niż w przypadku braku umowy o przetwarzaniu zleconym.

Co należy wziąć pod uwagę podczas WordPress hosting?

Temat ochrony danych dla agencji obejmuje również hosting stron internetowych. Oprócz dostępności certyfikatu SSL, bardzo ważne jest, aby hosting odbywał się w centrum danych, które jest certyfikowane, na przykład, zgodnie z ISO/EN 27001. Na przykład zgodnie z normą ISO/EN 27001, ponieważ w tym przypadku obowiązuje ten sam wymóg, o którym mowa w art. 32 RODO: agencje i twórcy oprogramowania muszą zagwarantować dostępność, integralność i poufność poprzez odpowiedni poziom bezpieczeństwa.

Oprócz środków zapobiegawczych należy również wdrożyć odpowiednią strategię tworzenia kopii zapasowych. W praktyce sprawdziły się codzienne przyrostowe kopie zapasowe i cotygodniowe pełne kopie zapasowe, które są przechowywane przez okres do 90 dni.

strategia tworzenia kopii zapasowych
Automatyczne kopie zapasowe zwiększają bezpieczeństwo

Niemniej jednak, kopie zapasowe nie powinny być przechowywane w jednym miejscu. Z reguły centra danych oferują możliwość skorzystania z kilku pomieszczeń przeciwpożarowych.

Co powinna spełniać WordPress strona dla ochrony danych osobowych?

Zasadniczo strony internetowe muszą być zgodne z zasadami ogólnego rozporządzenia o ochronie danych. W związku z tym należy stosować:

  • Zasada minimalizacji danych
  • Przestrzeganie podstaw prawnych przetwarzania danych osobowych
  • Podobnie, przestrzeganie odpowiedniego celu przetwarzania danych

Klasycznie, każda strona internetowa powinna mieć kompleksową i poprawną politykę prywatności, aby spełnić wymagania informacyjne.

WordPress  Strona o ochronie prywatności
Ustaw stronę polityki prywatności w WordPress

Ponadto należy stworzyć podstawę prawną dla różnych operacji przetwarzania danych, zwłaszcza w odniesieniu do korzystania z plików cookie osób trzecich. Wymóg ten można bardzo łatwo spełnić za pomocą Cookie Consent Manager. W odniesieniu do strony WordPress należy rozważyć następujące aspekty:

Podobnie, w przypadku niektórych operacji przetwarzania danych (rejestracja, formularze kontaktowe itp.), należy sporządzić formularze zgody spełniające warunki określone w art. 7 RODO .

WordPress  Plugin  Zarządzanie
Praktyczne: Aktualizuj Plugins i Themes centralnie w backendzie hostingu

Ochrona danych dla agencji: Kiedy potrzebna jest zgoda?

Zasadniczo ogólne rozporządzenie o ochronie danych należy rozumieć jako zakaz z przyzwoleniem. Oznacza to, że przede wszystkim nie wolno przetwarzać żadnych danych osobowych. Ponieważ jednak dane osobowe muszą być często przetwarzane, ustawodawca europejski określił tzw. kryteria zezwolenia - w art. 6 (1) a-f RODO.

RODO Tekst
Tekst strony RODO na eur-lex.europa.eu

Zgoda jest wymagana zawsze wtedy, gdy nie zachodzi jedna z dopuszczalnych okoliczności zgodnie z art. 6 ust. 1 lit. b) do f) RODO . Zgoda taka musi spełniać warunki określone w art. 7. W dokumencie tym stwierdza się między innymi:

  • "Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych"
  • "Osoba, której dane dotyczą, ma prawo do wycofania swojej zgody w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody do momentu jej cofnięcia. Osoba, której dotyczą dane, jest o tym informowana przed wyrażeniem zgody. Wycofanie zgody jest równie proste jak jej udzielenie."

Dlatego zgoda musi być zawsze świadoma, przejrzysta, weryfikowalna, dobrowolna i odwoływalna.

Dodatkowo istnieje tzw. motyw 32 do RODO. Podane przykłady mają na celu ułatwienie projektowania zgody dla praktyki gospodarczej. Jednakże samodzielnie opracowane rozwiązania - jak również związane z nimi WordPress Plugins - powinny być regularnie sprawdzane pod względem prawnym, na przykład przez odpowiednią kancelarię prawną, pod kątem ich dopuszczalności.

Pytania dotyczące ochrony danych dla agencji

Masz pytania dotyczące ochrony danych osobowych dla agencji i freelancerów? Zapraszamy do skorzystania z funkcji komentarza. Chcesz być informowany o nowych artykułach na temat prawa w sieci? Następnie śledź nas na Twitterze, Facebooku lub poprzez nasz newsletter.

Nils Möllers jest założycielem i dyrektorem zarządzającym Keyed GmbH z Münsterland - jako certyfikowany inspektor ochrony danych i ekspert ds. ochrony danych w marketingu, w grupach przedsiębiorstw i w systemach franczyzowych. Nils Möllers doradza również firmom w zakresie bezpieczeństwa IT, towarzysząc ISO27001.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.