Strona zgodna z RODO: na co zwrócić uwagę przy ochronie danych, cookies i formularzach

RODO brzmi jak biurokracja, ale w istocie sprowadza się do całkiem przejrzystej listy obowiązków. Większość naruszeń na stronach małych i średnich firm nie wynika ze złej woli, lecz z trzech klasyków: baner cookies, który niczego nie blokuje, narzędzia wysyłające dane do USA bez wiedzy kogokolwiek oraz szablonowa polityka prywatności, która nie pasuje do strony. Tutaj otrzymasz uczciwe podsumowanie tego, czego naprawdę potrzebujesz, a co jest tylko dobrze brzmiącą półprawdą.

Ważne na początek: budujemy strony i narzędzia, nie jesteśmy kancelarią prawną. Ten tekst to techniczna i praktyczna orientacja, a nie porada prawna. W trudniejszych przypadkach warto skorzystać z opinii adwokata specjalisty lub inspektora ochrony danych. Wiemy, gdzie czyhają pułapki, ponieważ prowadzimy na produkcji siedem własnych marek i każdą z nich musieliśmy ustawić zgodnie z przepisami o ochronie danych.

Polityka prywatności: musi odpowiadać rzeczywistej technologii

Polityka prywatności jest obowiązkowa, gdy tylko Twoja strona przetwarza jakiekolwiek dane osobowe, a robi to praktycznie każda witryna, choćby przez logi serwera zawierające adresy IP. Kluczowy punkt: dokument musi opisywać to, co Twoja strona faktycznie robi, a nie to, co domyśli się generyczny generator.

• Każde narzędzie musi się tam znaleźć: hosting, czcionki, narzędzia analityczne, mapy, osadzone filmy, usługa newslettera, widżet czatu. Co osadzasz, to musi zostać wymienione.
• Podstawa prawna i cel: do każdej operacji przetwarzania należy uzasadnienie (np. prawnie uzasadniony interes lub zgoda).
• Prawa osób, których dane dotyczą: dostęp, usunięcie, sprzeciw. Te standardowe akapity dostarczają dobre generatory.
• Dostępność: link z każdej podstrony, bez przeklikiwania się przez menu, najlepiej w stopce.

Bezpłatny generator z renomowanej platformy prawnej to dobry punkt wyjścia. Prawdziwą pracą jest późniejsze utrzymanie: gdy tylko dodasz nowe narzędzie, tekst musi za nim nadążyć. Właśnie tutaj z czasem pojawiają się luki w większości polityk.

Cookies i zgoda: najczęstszy błąd

Wielki mit: naklej baner i po sprawie. Błąd. Decydujące jest to, by narzędzia śledzące ładowały się dopiero po wyrażeniu zgody, a nie wcześniej. Baner, który tylko pyta, a w tle już dawno wysyła dane, jest gorszy niż żaden, ponieważ dokumentuje naruszenie.

• Technicznie niezbędne cookies (sesja logowania, koszyk, ustawienie języka) nie wymagają zgody.
• Narzędzia analityczne, marketingowe i komfortowe mogą uruchamiać się dopiero po aktywnym kliknięciu „Akceptuję”.
• Odrzucenie musi być tak samo łatwe jak akceptacja. Żadnego ukrytego linku, żadnych domyślnie zaznaczonych pól. Opcja „Tylko niezbędne” musi stać równoprawnie obok „Akceptuj wszystkie”.

I dobra wiadomość: jeśli Twoja strona jest zbudowana lekko, często w ogóle nie potrzebujesz uciążliwego banera. Wiele naszych stron obywa się bez cookies marketingowych, ponieważ hostujemy czcionki lokalnie, stawiamy na przyjazną dla prywatności analitykę i unikamy zewnętrznych osadzeń. Brak banera to najlepsze rozwiązanie banera.

Google Fonts, Maps i transfer do USA

Niedoceniana kwestia: usługi zewnętrzne często ładują dane z serwerów w USA, zanim użytkownik wyrazi zgodę. Czcionki ładowane bezpośrednio z obcego serwera przekazują adres IP odwiedzającego, a za to były już fale wezwań do zaprzestania naruszeń. Rozwiązanie jest proste:

• Czcionki osadzaj lokalnie zamiast ładować je z zewnętrznego serwera.
• Mapy i filmy ładuj dopiero po kliknięciu (rozwiązanie dwukrotnego kliknięcia) albo całkowicie z nich zrezygnuj.
• Przy narzędziach z USA sprawdź, czy istnieje europejska alternatywa. Często tak.

Formularze: tam konkretnie powstają dane

Formularze kontaktowe, rezerwacyjne i newslettera to miejsce, w którym aktywnie zbierasz dane osobowe. Obowiązuje tu kilka konkretnych zasad:

• Minimalizacja danych: pytaj tylko o to, czego naprawdę potrzebujesz. Numer telefonu jako pole obowiązkowe przy zwykłym zapytaniu mailowym to za dużo.
• Informacja o zgodzie: krótkie zdanie z linkiem do polityki prywatności tuż przy przycisku wysyłania. Wcześniej zaznaczone pole wyboru jest niedozwolone.
• Szyfrowanie: strona bezwzględnie wymaga HTTPS (SSL), inaczej dane przechodzą przez sieć otwartym tekstem.
• Double opt-in przy newsletterze: najpierw kliknięcie w mail potwierdzający, dopiero potem zapis. Bez tego kroku zapis jest podatny na nadużycia.
• Ochrona przed spamem przyjazna dla prywatności: jeśli zewnętrzna usługa captcha wysyła dane użytkowników do USA, potrzebujesz alternatyw albo czystej zgody.

Powierzenie przetwarzania i hosting

Gdy tylko usługodawca przetwarza dane na Twoje zlecenie, czyli Twój hostingodawca, Twoje narzędzie do newslettera, zaplecze Twojego formularza, potrzebujesz umowy powierzenia przetwarzania danych (UPPD). Renomowani dostawcy udostępniają ją gotową, najczęściej jako PDF do pobrania albo jednym kliknięciem w panelu klienta. Hosting w UE dodatkowo oszczędza Ci dyskusji o transferach do państw trzecich. Nasze projekty świadomie hostujemy na europejskich serwerach, dzięki czemu cała część dotycząca ochrony danych staje się znacznie prostsza.

Czego NIE potrzebujesz

Uczciwie mówiąc: nie każdy obowiązek dotyczy każdej strony. Inspektor ochrony danych w małych firmach najczęściej nie jest wymagany, zależy to od liczby pracowników i rodzaju przetwarzania danych. Baner cookies jest potrzebny tylko wtedy, gdy ustawiasz cookies wymagające zgody, bez śledzenia odpada. A drogie platformy do zarządzania zgodami z miesięcznym abonamentem opłacają się dopiero wtedy, gdy naprawdę prowadzisz wiele narzędzi marketingowych. Dla większości stron małych i średnich firm wystarczy lekka, oszczędzająca dane konstrukcja, która rozwiązuje problem u źródła, zamiast zarządzać nim za pomocą banerów.