Strona internetowa, wizytówka i świadectwo standardów obowiązujących w Twojej firmie

Czy na pewno tak jest?

W ostatnim czasie audytowałem, poprawiałem i opracowywałem różne elementy około 30 witryn należących do różnych firm. Wnioski jakie się nasuwają są jednoznaczne. Strona internetowa nie kończy się na opracowaniu layoutu, grafiki czy schematów i funkcjonalności. Strona internetowa to także wymogi formalnoprawne. Obszar którego większość zleceniodawców nie uwzględnia

w kosztorysie. Tymczasem ma on podobne znaczenie co strona graficzna i ergonomiczna.
Dla większości przedsiębiorców wdrażanie RODO w firmie kojarzy się zazwyczaj z jakimś szkoleniem lub dokumentacją. Czasami do tego zestawu dorzucają liczne i niepotrzebne zgody na przetwarzanie danych. Niewielu zdaje sobie sprawę z tego, że wdrażanie zasad bezpiecznego przetwarzania danych jest wielowymiarowe. W lipcowym magazynie 4fs pisałem o potrzebie sformalizowania funkcjonowania monitoringu wizyjnego, dzisiaj więcej informacji o stronie internetowej.

W dalszym ciągu nie wszyscy zdają sobie sprawę z tego, że ruch w sieci w doskonałej większości jest identyfikowalny. Obrazowo rzecz ujmując wejście na stronę internetową, jest niczym wjazd na monitorowaną ulicę samochodem z tablicami rejestracyjnymi. Czyli ludzie posiadający odpowiednią wiedzę lub możliwości, w prosty sposób dotrą do właściciela pojazdu. Jeśli już posiadacz strony www zdaje sobie sprawę z możliwości identyfikacji i śledzenia użytkownika, nie zawsze umie poradzić sobie z zabezpieczeniem technicznym i formalnym poufności takiego ruchu. A przecież mamy do czynienia
z danymi osobowymi. Administrator danych (właściciel strony) odpowiada za ich bezpieczeństwo
i prawidłowe przetwarzanie. Tymczasem w krótkim okresie czasu, weryfikując około 30 stron, trafiam na element składowy strony w którym popełniono aż 4 duże błędy, wskazujące ewidentnie na kompletny brak wiedzy dotyczącej ochrony danych osobowych.

Zatem na jakie elementy zwracać uwagę?

Pierwszy i chyba najważniejszy od strony bezpieczeństwa technicznego i faktycznego. Certyfikat SSL.

Ten element może sprawdzić każdy. Mało tego, coraz więcej osób zwraca uwagę właśnie na szyfrowane połączenie z witryną. Do tego stopnia, że w sierpniu trafiła do mnie Pani notariusz, która Poprosiła klienta o przesłanie skanów dokumentów niezbędnych do sporządzenia aktu notarialnego. Klient odmówił ponieważ zauważył brak szyfrowanego połączenia z witryną za pośrednictwem której miał przesłać dokumenty. Strona internetowa kancelarii notarialnej posiadała także inne braki formalne.

W jaki sposób sprawdzić czy nasze połączenie jest szyfrowane?

Po wpisaniu adresu wybranej przez nas strony internetowej, w pasku adresu powinna pojawić się kłódka. Dla przykładu posłużę się moimi witrynami www.finedata.pl lub www.kodrood.pl

Jak możesz się sam przekonać połączenie z tymi witrynami jest bezpieczne. Dane przekazywane za pośrednictwem formularzy są dużo bezpieczniejsze niż w przypadku braku takiego szyfrowania.

Wdrażanie RODO w firmie, większości kojarzy się wyłącznie z dwoma elementami. Szkolenia i „jakaś dokumentacja” czasami jeszcze wszechobecne i niepotrzebne zgody na przetwarzanie danych

Istnieje kilka certyfikatów SSL, różnią się one poziomem certyfikacji, a co za tym idzie poziomem bezpieczeństwa. Podstawowy z którego korzysta większość firm zabezpiecza między innymi witrynę gov.pl i towarzyszy nam przy zakładaniu profilu zaufanego. W tym wypadku „podstawowy” oznacza w większości przypadków dobry i wystarczający.

(brak certyfikatu SSL)

Czy wszystkie witryny muszą/powinny posiadać SSL? Nie. W szyfrowane połączenie powinne być wyposażone przede wszystkim witryny za pośrednictwem których przekazujemy dane osobowe. Te, które posiadają formularze kontaktowe do wypełnienia. Oczywiście witryny sklepów internetowych, gdzie podajemy dane karty płatniczej. Takim szyfrowaniem powinny być zabezpieczone także strony, których właściciele dbają o prywatność swoich użytkowników. Poniżej przykład strony internetowej biura podróży. Screen zrobiony w dniu 24.11.2021. Strona nie jest zabezpieczona – w zasadzie nigdy nie była. Biuro za jej pośrednictwem zbiera między innymi numery PESEL czy numery Paszportów, do tego telefon, adres e-mail – mamy komplet danych potrzebnych do zaciągnięcia 20.000PLN kredytu u co najmniej kilkunastu pożyczkodawców.

Drugim elementem jest zakładka „RODO”

W niektórych przypadkach zakładka ta służy wyłącznie do przedstawienia czy też do wywiązania się z obowiązku informacyjnego. Oczywiście nie jest ona elementem obowiązkowym strony internetowej , ale z drugiej strony nie ma tańszego sposobu wywiązania się z obowiązku jaki spoczywa na administratorze względem podmiotów od których dane pobiera i przetwarza. Nadal mamy problem z właściwym wywiązywaniem się z tego elementu, tymczasem strona daje nam taką możliwość. Jeśli administrator nie ma zbyt wielu informacji dotyczących zabezpieczania danych, zakładka ta może być zbędna. Sam obowiązek informacyjny przedstawimy w kolejnym elemencie jakim jest polityka prywatności. Zakładka RODO w przypadku firmy, podobnie jak dla instytucji publicznych biuletyn informacji publicznej, jest doskonałym miejscem do zaprezentowania standardów obowiązujących w waszej firmie. Regulamin obsługi żądań, procedura zabezpieczenia i udostępnienia kopii z monitoringu, informacje dotyczące przetwarzania danych pracowników i kandydatów do pracy, a także wiele innych. Te elementy powinny znaleźć się właśnie w tej zakładce.

Każda strona internetowa powinna zawierać politykę prywatności. W skład tego dokumentu wchodzą przynajmniej trzy elementy składowe:

Polityka prywatności

Polityka bezpieczeństwa

Polityka plików cookies

W ramach polityki prywatności administrator przekazuje te same informacje co w obowiązku informacyjnym. Podaje tożsamość administratora adres siedziby, kontakt w sprawie przetwarzania danych osobowych, cel i podstawę prawną przetwarzania danych, okres przetwarzania i przysługujące podmiotowi danych prawa.

Mówimy w tym przypadku o pełnej klauzuli informacyjnej a nie skróconej wersji. Dla przykładu jedynie powiem, że jeden z lubelskich DPSów ma wyjątkowo skróconą wersję obowiązku informacyjnego na swojej stronie internetowej.

Jeśli pominiemy nazwę DPSu oraz dane kontaktowe to obowiązek informacyjny będzie liczył jakieś 3 słowa, co czyni go najkrótszym dokumentem tego typu na świecie. Powodów do dumy… Nie widzę.

Pragnę przypomnieć, że o zawartości obowiązku informacyjnego mówi art. 13 lub 14 RODO. Nie jest to element polegający na wolnej i dowolnej twórczości. Dokument ten składa się z konkretnych kilkunastu punktów, które są obligatoryjne.

W kilku badanych przez nas ostatnio przypadkach, obowiązki informacyjne zawierały wszystkie możliwe cele przetwarzania danych, jakie występowały w organizacji. Łącznie z przetwarzaniem danych pracowników w celu wypełnienia obowiązków pracodawcy wobec ZUS i US.

Obowiązek informacyjny w polityce prywatności powinien dotyczyć tych danych, które ADO pobiera/ przetwarza za pośrednictwem strony internetowej.

W polityce bezpieczeństwa informujemy odbiorców o sposobach zabezpieczania danych .

Polityka plików cookies zawiera opis plików z których korzysta strona internetowa, a co za tym idzie jej właściciel.

Jakie jest źródło pochodzenia dokumentów powszechnie podpinanych do różnych stron www. Jak wcześniej wspominałem elementu formalnoprawnego nie uwzględniamy w kosztorysie. Co oznacza że nie są one tworzone na potrzeby konkretnego przedsiębiorstwa. Zatem szukamy najtańszych rozwiązań. Kopiujemy polityki innych stron, innych firm, lub kupujemy szablony. O ile kupując szablon udaje się czasami trafić z odpowiednimi zapisami w zakresie dwóch pierwszych polityk, to polityka plików cookies jest tym elementem, który demaskuje prawdziwe pochodzenie dokumentu. Najczęściej właściciel strony nie ma bladego pojęcia z jakich plików korzysta jego strona.

Elementem w którym znaleźliśmy aż 4 błędy był formularz kontaktowy. Właściciel strony wymagał zbyt dużej ilości danych osobowych do tego aby wysłać zapytanie. Klauzula zgody pod formularzem miała domyślnie zaznaczoną zgodę na przetwarzanie danych oraz domyślną zgodę marketingową. Podstawą prawną przetwarzania danych była ustawa o ochronie danych z 1997 roku.

To tylko kilka elementów. Oczywiście są jeszcze inne jak regulamin sklepu internetowego, fotografie pracowników, prywatne telefony czy adresy mail. Wszystkie te aspekty trzeba pozbierać, przemyśleć i odpowiednio opisać w procedurach.

Wchodząc na różne witryny należy zwracać szczególną uwagę na wszelkie próby pozyskania naszych danych osobowych. Większość z nas zna pojęcie „phishingu” polegającego na wyłudzaniu danych. Tymczasem strona internetowa jednego z podlubelskich urzędów gmin, przez blisko 3 lata wyłudzała takie dane za sprawą wirusa. W ramach ciekawostki powiem, że urząd w tym czasie przeszedł co najmniej dwa audyty teleinformatyczne, które nie zdołały wykryć zagrożenia. Ale jeśli za audyt płacisz 1 zł (słownie jeden złoty) to jego skuteczność jest wprost proporcjonalna do ceny.

Widząc taki komunikat – w żadnym wypadku nie podawaj danych.

Już w grudniu 2021, każdy będzie mógł przeprowadzić samodzielnie audyt swojej strony internetowej. Mało tego, każdy, niezależnie od branży i posiadanej w zakresie RODO wiedzy będzie mógł przeprowadzić audyt zgodności funkcjonowania firmy z przepisami dotyczącymi ochrony danych.
Aplikacja RODOCare o której dowiecie się ze strony finedata.pl oraz rodocare.com pomaga każdemu wdrażać RODO na bardzo dobrym poziomie.

Aplikacja zawiera trzy moduły, umożliwiające prowadzenie wszystkich wymaganych przepisami prawa rejestrów w tym rejestru czynności przetwarzania danych i rejestru kategorii przetwarzania. Audytu zgodności z RODO czy też audytu sprawdzającego zakres i poziom wdrożenia RODO w organizacji.

Trzecim elementem jest generator dokumentów. Pozwala on zgodnie z branżą wygenerować większość obowiązków informacyjnych, regulaminów czy umowy powierzenia danych.
Do tego bezpłatne merytoryczne wsparcie i doradztwo.

Twoje RODO w jednym miejscu.