Web push a RODO - o czym należy pamiętać?

Wraz z rozwojem technologii kwestia ochrony danych osobowych staje się coraz bardziej  paląca - i coraz bardziej skomplikowana. Szczegółowe przepisy nie tylko podają rozbudowane definicje danych wymagających ochrony - nakładają też kolejne obowiązki na osoby i podmioty odpowiedzialne za ich przetwarzanie. 

W gąszczu przepisów łatwo się pogubić, ale ich znajomość jest kluczowa dla każdego prowadzącego działalność w internecie Dlatego zwróciliśmy się do Ewy Molendy-Kropielnickej, radcy prawnego w Kancelarii Kropielnicka, która pracuje z agencjami reklamowymi oraz firmami z obszaru nowych technologii i e-commerce, wspierając je w zagadnieniach prawnych dotyczących cyfrowej komunikacji marketingowej, z pytaniami dotyczącymi ochrony danych osobowych. Nasza rozmowa dotyczyła GDPR (po polsku RODO) - czyli przepisów ochrony danych osobowych obowiązujących w Unii Europejskiej. 

Czym jest GDPR i kiedy został wprowadzony? 

GDPR (General Data Protection Regulation) - po polsku RODO, czyli rozporządzenie o ochronie danych osobowych - jest podstawową regulacją dotyczącą przetwarzania danych osobowych w Unii Europejskiej, która weszła w życie 25 maja 2018 r. Nadrzędnym  celem tego aktu prawnego jest ochrona danych osobowych i prywatności obywateli UE poprzez ustanowienie ogólnych zasad mówiących m.in. o tym, że żaden podmiot nie może gromadzić, przetwarzać czy dzielić się danymi bez zgody osób, których te dane dotyczą (podmiot danych osobowych).

Od momentu implementacji GDPR wywarł ogromny wpływ na prowadzenie w zasadzie każdego biznesu na terenie Unii Europejskiej.  Co ważne, nawet jeżeli nie masz siedziby w kraju UE, GDPR będzie cię dotyczyć, o ile kierujesz swoje działania sprzedażowe czy marketingowe  do obywateli któregokolwiek z krajów EU.

Co należy do danych osobowych według zapisów RODO?

Danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Warto zwrócić uwagę, że zgodnie z tą definicją daną osobową jest nie tylko informacja, która wprost identyfikuje osobę fizyczną (np. imię i nazwisko).Wystarczy potencjalna możliwość zidentyfikowania tej osoby. Na przykład sam adres IP nie stanowi danej osobowej, ale już w powiązaniu  z adresem e-mail będzie w większości przypadków spełniał kryteria uznania za daną osobową w świetle RODO. 

Podobnie sam Custom ID - ciąg znaków przypisany do osoby dokonującej zapisu na notyfikacje push - nie jest daną osobową. W połączeniu z innymi informacjami, które posiada reklamodawca, np. z CMS, może jednak zyskać taki status.

Czy po implementacji notyfikacji push na stronie należy podać tę informację w Polityce Prywatności? 

Tak, po implementacji notyfikacji push rekomendujemy dodanie w polityce prywatności informacji o tym, że strona www wykorzystuje te notyfikacje (z krótkim wyjaśnieniem czym są) oraz że ich dostawcą jest PushPushGo sp. z o.o. Warto też wskazać w polityce prywatności, że korzystanie z notyfikacji jest całkowicie dobrowolne i że użytkownik w każdej chwili może zrezygnować z ich otrzymywania poprzez ustawienia przeglądarki. 

Co jeszcze należy zrobić, żeby mieć pewność, że wdrożenie notyfikacji web push jest całkowicie zgodne z regułami RODO?

Wdrożenie notyfikacji web push nie wymaga dokonywania szczególnych czynności prawnych. Jeśli przetwarzasz  dane osobowe (o których wspomnieliśmy na początku rozmowy), niezbędne będzie jednak zawarcie z dostawcą notyfikacji umowy powierzenia przetwarzania danych osobowych. 

Trzeba także pamiętać, że RODO nakłada zarówno na administratorów jak i przetwarzających dane osobowe wiele wymogów, m.in.: spełnienie obowiązku informacyjnego wobec osób, których dane są przetwarzane, uwzględnienie żądania usunięcia danych i dostępu do danych, zawiadomienie osoby, której dane dotyczą, o ewentualnych naruszeniach bezpieczeństwa danych czy wyznaczenie inspektora danych osobowych. 

Jeżeli dane obywateli UE przetwarzane są przez podmiot spoza Wspólnoty, to podmiot ten powinien stosować się do postanowień GDPR. Oznacza to konieczność zapewnienia ochrony danych osobowych w takim stopniu, w jakim wymagana jest w krajach członkowskich. 

A jakie informacje powinny być zawarte w wiadomości zapraszającej do subskrybowania notyfikacji? 

Narzędzie dostarczane przez PushPushGo daje użytkownikowi możliwość podjęcia decyzji, czy zezwala na otrzymywanie notyfikacji push (Zezwól) czy chce je zablokować (Blokuj). Dodatkowo klient ma możliwość dodania własnego tekstu prawnego do powiadomienia pop-up (np. informacji o administratorze danych).

Czy procedura opt-out z notyfikacji web push jest zgodna z przepisami o ochronie danych osobowych? 

Tak. Użytkownik w każdej chwili może wycofać zgodę na korzystanie z notyfikacji push dokonując odpowiednich zmian w ustawieniach przeglądarki. 

Czy można zatem powiedzieć, że notyfikacje web push są zgodne z przepisami ochrony danych osobowych?

Notyfikacje push są jednym z najczęściej wybieranych i jednym z najskuteczniejszych kanałów komunikacji, który pozwala na angażowanie użytkowników w treści dostarczane przez reklamodawcę. Użytkownik dobrowolnie wyraża zgodę na otrzymywanie notyfikacji (bez tej zgody, notyfikacje do niego nie trafią) i w każdej chwili może tę zgodę wycofać, co jest zgodne z podstawowymi zasadami GDPR. 

W kwestiach prawnych zawsze warto mieć całkowitą pewność zgodności z przepisami. Dlatego jeśli masz jakiekolwiek wątpliwości w kwestii zgodności zasad przetwarzania danych osobowych z RODO swojej firmy - nie tylko w odniesieniu do web push - skonsultuj się z prawnikiem.