Jak zrobić stronę (sklep) zgodną z prawem i RODO? c.d.

Spis treści

Strona zgodna z prawem - ciąg dalszy

W poprzednim artykule poruszałem temat zgodności strony z prawem. Brakowało tam jednak kilku informacji, więc postanowiłem zrobić kolejny - obszerniejszy, będący rozwinięciem poprzedniego.

Zacznę od tego, że tworzenie strony WWW lub sklepu nie zawsze sprowadza się do projektu, treści i uruchomienia domeny. Zanim w ogóle przejdziesz do kwestii RODO, cookies czy regulaminów, musisz wiedzieć jedno: nie każdą stronę można legalnie stworzyć.

Są branże, w których prawo wprost zabrania prowadzenia działalności online lub nakłada bardzo rygorystyczne ograniczenia. Przykładem są kasyna internetowe jak np Onlyspins Casino– w Polsce mogą działać wyłącznie podmioty posiadające odpowiednie zezwolenia. Stworzenie takiej strony „na własną rękę” może skończyć się poważnymi konsekwencjami prawnymi.

Są też branże, które mogą działać w internecie, ale pod określonymi warunkami. Dotyczy to m.in.:

• treści dla dorosłych jak np. sex shopy– obowiązek oznaczeń +18
• sprzedaży alkoholu – ograniczenia wiekowe i reklamowe
• niektórych suplementów i produktów regulowanych

Do tego dochodzą dodatkowe obowiązki informacyjne i techniczne, które muszą być spełnione, zanim użytkownik w ogóle zobaczy treść strony.

A co ze zwykłymi stronami firmowymi? Tu też nie jest tak prosto, jak mogłoby się wydawać. Nawet prosta strona wizytówka, bez sklepu i bez bloga, podlega konkretnym przepisom. RODO, cookies, dane firmy, formularze kontaktowe – to wszystko sprawia, że strona firmowa również musi być zgodna z prawem.

Dlatego zrobienie strony to jedno, ale dopilnowanie, żeby była zgodna z przepisami, to zupełnie osobny temat.

RODO – nawet jeśli „tylko masz stronę”

Wiele osób myśli, że RODO dotyczy tylko dużych firm, sklepów internetowych albo korporacji. To błąd. RODO dotyczy praktycznie każdej strony internetowej, nawet prostej strony firmowej.

Wystarczy, że na stronie masz:

• formularz kontaktowy
• formularz wyceny
• newsletter
• adres e-mail w domenie
• sklep internetowy

Od tego momentu przetwarzasz dane osobowe. A skoro je przetwarzasz, musisz spełnić konkretne obowiązki.

Obowiązek informacyjny

Każda osoba, która zostawia Ci swoje dane, musi wiedzieć:

• kto jest administratorem danych
• w jakim celu dane są zbierane
• na jakiej podstawie prawnej
• jak długo dane będą przetwarzane
• jakie ma prawa

Najczęściej realizuje się to poprzez politykę prywatności oraz odpowiednie informacje przy formularzach.

Zgody przy formularzach

Formularz bez RODO to proszenie się o problem. W zależności od tego, co robisz z danymi, mogą być wymagane:

• checkbox z akceptacją polityki prywatności
• osobna zgoda marketingowa
• rozróżnienie zgody na e-mail i telefon

Co ważne – zgody nie mogą być domyślnie zaznaczone, a użytkownik musi wiedzieć, na co dokładnie się zgadza.

RODO to nie jest dokument „do odhaczenia”. To realne obowiązki, które muszą być wdrożone na stronie.

Zabezpieczenia strony – obowiązek, nie opcja

RODO nie kończy się na checkboxach i dokumentach. Przepisy jasno mówią, że dane osobowe muszą być odpowiednio chronione. To oznacza, że strona internetowa musi być technicznie zabezpieczona.

Jeśli ktoś włamie się na Twoją stronę i wykradnie dane z formularzy, to Ty ponosisz odpowiedzialność – nie hosting, nie wykonawca strony.

Certyfikat SSL

SSL to absolutna podstawa. Bez niego dane przesyłane przez formularze mogą być przechwycone. Dodatkowo przeglądarki oznaczają takie strony jako niebezpieczne, co skutecznie odstrasza użytkowników.

Zabezpieczenie panelu administracyjnego

Dostęp do zaplecza strony powinien być maksymalnie utrudniony:

• dwuetapowe logowanie
• silne, unikalne hasła
• ograniczenie liczby kont administratorów

Im mniej osób ma dostęp do danych, tym mniejsze ryzyko problemów.

Dostęp do serwera

Serwer to miejsce, gdzie fizycznie znajdują się dane. Dlatego ważne jest:

• zabezpieczenie dostępu do FTP i panelu hostingu
• korzystanie z zaufanego dostawcy
• umowa powierzenia przetwarzania danych z hostingiem

Brak odpowiednich zabezpieczeń może zostać uznany za naruszenie RODO.

Aktualizacje i testy bezpieczeństwa

Strona, która nie jest aktualizowana, to łatwy cel dla ataków. Dlatego:

• CMS, wtyczki i motywy muszą być regularnie aktualizowane
• warto wykonywać testy i skany bezpieczeństwa
• należy reagować na wykryte zagrożenia

RODO wymaga, aby zabezpieczenia były stałe i aktualne, a nie wdrożone jednorazowo.

Cookies, zgody i Consent Mode 2.0

Pliki cookies to jeden z najczęstszych problemów prawnych na stronach internetowych. Wielu właścicieli stron wciąż myśli, że wystarczy mały pasek z informacją „ta strona używa cookies”. To już dawno nie wystarcza.

Kiedy potrzebujesz polityki cookies

Polityka cookies jest wymagana zawsze. Nawet jeśli nie korzystasz z cookies analitycznych ani reklamowych, musisz poinformować użytkownika, że ich nie stosujesz.

Jeśli natomiast używasz:

• Google Analytics
• Google Ads
• Facebook Pixel
• innych narzędzi śledzących

to wchodzisz w obszar zgód, które muszą być prawidłowo obsłużone.

Okienko cookies – realny wybór dla użytkownika

Prawo UE jasno mówi, że użytkownik ma prawo zdecydować, na jakie cookies wyraża zgodę. Nie może to być zgoda „wszystko albo nic”.

Prawidłowe okienko cookies powinno:

• pozwalać zaakceptować lub odrzucić zgody analityczne i reklamowe
• nie blokować dostępu do strony po odrzuceniu zgód
• umożliwiać łatwe cofnięcie zgody w dowolnym momencie

Consent Mode 2.0

Consent Mode 2.0 to standard wymagany m.in. przez Google, który dostosowuje działanie narzędzi analitycznych i reklamowych do zgód użytkownika.

W praktyce oznacza to, że:

• bez zgody dane nie mogą być zbierane
• narzędzia muszą reagować na wybory użytkownika
• źle wdrożone cookies to ryzyko kar i problemów z reklamami

Cookies to nie tylko kwestia techniczna, ale konkretny obowiązek prawny, który musi być poprawnie wdrożony.

Regulaminy i dodatkowe dokumenty – kiedy są wymagane

Nie każda strona potrzebuje tego samego zestawu dokumentów. Wszystko zależy od tego, co faktycznie robisz na stronie. Im więcej funkcji, tym więcej obowiązków.

Sklep internetowy

Jeśli prowadzisz sprzedaż online, regulamin sklepu jest obowiązkowy. Musi on jasno określać m.in.:

• zasady składania zamówień
• formy płatności i dostawy
• prawo do odstąpienia od umowy
• procedurę reklamacji

Regulamin nie może być skopiowany z innej strony ani napisany „na oko”. Musi być dostosowany do Twojej działalności.

Newsletter

Jeśli zbierasz adresy e-mail do newslettera, potrzebujesz:

• regulaminu newslettera
• jasnej informacji, co i jak często wysyłasz
• możliwości łatwego wypisania się

Newsletter to nie tylko marketing, ale też przetwarzanie danych osobowych.

Opinie klientów

Od momentu wejścia w życie dyrektywy Omnibus, jeśli publikujesz opinie, musisz posiadać politykę opinii.

Użytkownik powinien wiedzieć:

• czy opinie są weryfikowane
• w jaki sposób są zbierane
• czy wszystkie opinie są publikowane

Brak tych informacji to realne ryzyko kary.

Umowa powierzenia przetwarzania danych

Jeśli korzystasz z hostingu, poczty e-mail lub zewnętrznych narzędzi, które mają dostęp do danych, musisz posiadać umowę powierzenia przetwarzania danych.

Dotyczy to w szczególności:

• hostingu strony
• skrzynki e-mail w domenie
• systemów mailingowych

Bez takiej umowy przetwarzanie danych może być uznane za niezgodne z RODO.

Zwykła strona firmowa też ma obowiązki

Wielu przedsiębiorców zakłada, że skoro nie prowadzą sklepu internetowego ani nie zbierają dużej ilości danych, to prawo ich nie dotyczy. Niestety, to kolejne błędne założenie.

Zwykła strona firmowa, nawet prosta wizytówka, również podlega przepisom.

Dane firmy muszą być widoczne

Na stronie powinny znaleźć się podstawowe informacje o firmie:

• nazwa firmy
• adres siedziby
• NIP
• forma działalności

Brak tych danych może zostać potraktowany jako naruszenie przepisów o świadczeniu usług drogą elektroniczną.

Adres e-mail i formularz = RODO

Wystarczy, że na stronie podajesz adres e-mail lub masz prosty formularz kontaktowy. Od tego momentu:

• przetwarzasz dane osobowe
• musisz spełnić obowiązek informacyjny
• potrzebujesz polityki prywatności

Nie ma znaczenia, czy ktoś napisze do Ciebie raz w miesiącu czy raz w roku. Przepisy obowiązują zawsze.

Zgody marketingowe

Jeśli wykorzystujesz dane do marketingu, musisz zadbać o poprawne zgody:

• osobna zgoda na kontakt e-mail
• osobna zgoda na kontakt telefoniczny

To wymóg wynikający z RODO oraz prawa telekomunikacyjnego.

Strona firmowa może wyglądać niepozornie, ale pod względem prawnym wcale taka nie jest.

Co grozi za brak zgodności z prawem

Brak wymaganych dokumentów i zabezpieczeń to nie jest tylko „problem na papierze”. Niezgodna z prawem strona internetowa może mieć realne konsekwencje.

Kary finansowe

RODO przewiduje kary finansowe, które mogą sięgać bardzo wysokich kwot. W praktyce dla małych firm częściej są to mniejsze sankcje, ale:

• kontrola może dotyczyć także jednoosobowej działalności
• tłumaczenie „nie wiedziałem” nie jest argumentem

Skargi od użytkowników

Wystarczy jeden niezadowolony użytkownik, który zgłosi naruszenie do UODO. Brak polityki prywatności, nieprawidłowe zgody czy złe cookies to najczęstsze powody skarg.

Problemy z reklamami i narzędziami

Źle wdrożone cookies i brak Consent Mode 2.0 mogą skutkować:

• blokadą kont reklamowych
• nieprawidłowymi danymi w analityce
• spadkiem skuteczności kampanii

Utrata zaufania

Użytkownicy coraz częściej zwracają uwagę na kwestie prywatności. Strona bez dokumentów, zabezpieczeń i jasnych informacji może wyglądać na nieprofesjonalną.

Zgodność z prawem to nie koszt, tylko zabezpieczenie Twojego biznesu.

Podsumowanie – strona zgodna z prawem to proces

Strona internetowa zgodna z prawem to nie jest jednorazowe działanie. To proces, który zaczyna się już na etapie planowania strony, a nie kończy się w dniu jej uruchomienia.

Prawo się zmienia, technologie się zmieniają i sposób działania Twojej strony też może się zmieniać. Każda nowa funkcja, formularz, narzędzie analityczne czy kampania reklamowa może oznaczać nowe obowiązki.

Dlatego warto pamiętać, że:

• zrobienie strony to jedno
• utrzymanie jej zgodności z przepisami to drugie

RODO, cookies, regulaminy, zabezpieczenia techniczne – to wszystko musi działać razem. Brak jednego elementu może sprawić, że cała strona przestaje być zgodna z prawem.

Jeśli chcesz mieć pewność, że Twoja strona spełnia aktualne wymagania i nie naraża Cię na problemy, warto podejść do tego kompleksowo.

Lepiej zadbać o to wcześniej, niż tłumaczyć się później.

Jak możemy Ci pomóc

Jeśli masz już stronę internetową albo dopiero planujesz jej stworzenie, warto sprawdzić, czy wszystko jest zrobione poprawnie. Z doświadczenia wiemy, że większość stron nie spełnia wszystkich wymagań prawnych, mimo że na pierwszy rzut oka wygląda „okej”.

W Doneta pomagamy kompleksowo:

• sprawdzamy stronę pod kątem RODO i przepisów UE
• wdrażamy politykę prywatności, cookies i wymagane regulaminy
• konfigurujemy poprawne zgody i Consent Mode 2.0
• dbamy o zabezpieczenia techniczne strony
• dostosowujemy stronę do aktualnych przepisów

Dzięki temu masz pewność, że Twoja strona:

• jest zgodna z prawem
• nie naraża Cię na kary
• jest bezpieczna dla Ciebie i Twoich klientów

Chcesz mieć spokojną głowę? Odezwij się do nas, sprawdzimy Twoją stronę i powiemy Ci jasno, co trzeba poprawić.

Checklista – szybkie sprawdzenie, czy Twoja strona jest zgodna z prawem

Na koniec zostawiam prostą checklistę. Jeśli na któreś pytanie odpowiesz „nie wiem” albo „nie”, to znak, że warto się temu przyjrzeć.

• Czy na stronie masz aktualną politykę prywatności?
• Czy przy formularzach jest obowiązek informacyjny RODO?
• Czy zgody marketingowe są rozdzielone na e-mail i telefon?
• Czy strona posiada certyfikat SSL?
• Czy panel administracyjny jest zabezpieczony (2FA, silne hasła)?
• Czy strona, wtyczki i system są regularnie aktualizowane?
• Czy masz politykę cookies – nawet jeśli nie używasz cookies analitycznych?
• Czy okienko cookies daje realny wybór zgód?
• Czy Consent Mode 2.0 jest poprawnie wdrożony?
• Czy masz wymagane regulaminy (sklep, newsletter, opinie)?
• Czy posiadasz umowę powierzenia danych z hostingiem?
• Czy dane firmy są widoczne na stronie?

Jeśli choć jeden punkt budzi wątpliwości, to znak, że Twoja strona może nie być w pełni zgodna z prawem.

Lepiej sprawdzić to teraz, niż dowiedzieć się o tym przy kontroli albo skardze użytkownika.