Zarządzanie kontem:

Zarządzanie kontem: Pomoc

Co RODO oznacza dla mojej firmy?

Ogólne rozporządzenie o ochronie danych (RODO)

Ogólne rozporządzenie o ochronie danych (RODO) to prawo Unii Europejskiej (UE) poświęcone ochronie danych i prywatności wszystkich obywateli i mieszkańców UE. RODO reguluje sposób, w jaki firmy - w tym GoDaddy - mogą przetwarzać dane osobowe osób w UE. RODO weszło w życie 25 maja 2018 r. Aby uzyskać bardziej szczegółowy opis RODO i zgodności z RODO, zapoznaj się z informacjami w naszym Centrum ochrony prywatności .

Firma GoDaddy nie jest kancelarią prawną

Mamy nadzieję, że ten dokument przedstawi ogólne informacje na temat RODO i jego ewentualnego wpływu na Twoją działalność, ale firma GoDaddy nie zajmuje się udzielaniem porad prawnych, a ten dokument nie jest kompleksowym przewodnikiem po RODO. Każda sytuacja biznesowa jest inna, a RODO stanowi bardzo złożony zestaw przepisów prawnych. Jeśli masz konkretne pytania dotyczące swojej działalności i ewentualnego wpływu RODO (oraz innych obowiązujących przepisów dotyczących prywatności) na Twoją firmę, zdecydowanie polecamy skonsultowanie się z prawnikiem.

Nie jesteśmy ekspertami w sprawach Twojej firmy

Bardzo chcielibyśmy być w stanie udzielić Ci jednoznacznej porady, jak należy przestrzegać zgodności z RODO, ale biorąc pod uwagę jego wszystkie cele i założenia, jest to niemożliwe. Każda firma działa inaczej, stosuje inne zasady i protokoły, ma różnych pracowników, lokalizacje itp. W związku z tym chcemy przedstawić ogólne podejście firmy GoDaddy do RODO. W rozporządzeniu istnieje jednak kilka niuansów, wyszczególnionych dla Ciebie w tym dokumencie, które należy ocenić indywidualnie, uwzględniając własne okoliczności.

Co sprawia, że RODO jest inne?

RODO nie różni się znacząco od innych praw dotyczących prywatności stosowanych na świecie. To, co nadaje RODO wysoką rangę to fakt, że wykracza ono poza granice UE i ma zastosowanie do każdej firmy, która zarządza danymi osobowymi obywateli UE, a także fakt, że niezastosowanie się do jego zasad powoduje nałożenie znaczących kar finansowych (do wysokości 20 mln EUR lub 4% globalnego rocznego przychodu). Zatem więcej krajów, większe kary finansowe, szerszy zasięg oznaczają większą obecność w mediach. Nie oznacza to jednak, że nie ma między nimi różnic — RODO wymaga od firm, których dotyczy, zapewnienia ich klientom określonych praw (takich jak „prawo do bycia zapomnianym” i „prawo do przenoszenia danych”), a także wdrożenia określonych działań zapewniających firmie odpowiedni poziom zgodności.

Czy wpłynie to na moją firmę?

Istnieje kilka powodów, dla których rozporządzenie może wpływać na Twoją firmę. Jeśli siedziba firmy znajduje się lub prowadzi działalność obejmującą klientów na terenie Europejskiego Obszaru Gospodarczego (EOG), sprzedając im towary lub usługi, czytaj dalej. Jeśli nie prowadzisz działalności w tym regionie ani w inny sposób nie kontaktujesz się z obywatelami UE, prawdopodobnie nie musisz nic robić (powtórzmy: aby to potwierdzić, skontaktuj się z radcą prawnym).

Czy moje produkty i usługi firmy GoDaddy spełniają wymagania RODO?

Żadne produkty ani usługi nie spełniają wymagań RODO automatycznie. Jednak przy ich odpowiednim dostosowaniu do konkretnych potrzeb Twojej firmy i użyciu w połączeniu z innymi środkami, zasadami i procesami wymaganymi w ramach Twojej działalności (niektóre z nich zostały opisane poniżej) mogą być zgodne z przepisami RODO. Nikt nie zna Twojej firmy lepiej niż Ty. Mimo że firma GoDaddy stara się zaoferować narzędzia i zasoby pomocne Twojej firmie w osiągnięciu zgodności z wymogami RODO i jesteśmy gotowi do pomocy, nie jesteśmy w stanie zagwarantować zgodności Twojej działalności z żadnymi obowiązującymi w jej przypadku przepisami prawnymi.

Co oznacza spełnienie wymogów RODO?

RODO skupia się przede wszystkim na prywatności informacji osobistych. W skrócie chodzi o zapewnienie ochrony danych osobowych Twoich klientów i używanie ich w odpowiedni sposób. Zanim przejdziemy do szczegółów, poniżej przedstawimy kilka kluczowych definicji prawnych, które pomogą nam zdefiniować właściwe obowiązki w zakresie obsługi danych osobowych:

  • Podmiot danych: Osoba podająca dane osobowe. Może być to klient, pracownik lub ktoś odwiedzający Twoją witrynę (ostatnia opcja, jeśli gromadzisz informacje o takich osobach przy użyciu „plików cookie i podobnych technologii”).
  • Administrator danych: Podmiot określający cele i środki związane z przetwarzaniem danych osobowych.
  • Podmiot przetwarzający dane osobowe: Podmiot przetwarzający dane osobowe w imieniu administratora danych.
  • Przetwarzanie danych: Każda operacja lub zestaw operacji dokonywanych na danych osobowych, także przy użyciu metod zautomatyzowanych, takich jak gromadzenie, rejestrowanie, porządkowanie, tworzenie struktury, przechowywanie, dostosowywanie lub modyfikowanie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  • Dane osobowe: RODO ma zastosowanie tylko w przypadku „danych osobowych”, czyli informacji odnoszących się do osoby, którą można zidentyfikować pośrednio lub bezpośrednio, w szczególności przez odwołanie się do danego identyfikatora. Ta definicja obejmuje szeroką gamę identyfikatorów osobistych, stanowiących dane osobowe, takich jak: imię i nazwisko, numer identyfikacyjny, dane lokalizacyjne czy identyfikator internetowy, i uwzględnia postęp technologiczny oraz sposób, w jaki organizacje zbierają informacje o ludziach. Zasadniczo za dane osobowe uznajemy wszelkie dane umożliwiające zidentyfikowanie użytkownika, klienta lub dowolnej osoby.

Co te definicje oznaczają dla mnie?

W naszej relacji występują sytuacje, gdy jesteśmy administratorem danych (gdy gromadzimy od Ciebie dane w celu sprzedaży naszych produktów i usług — takie jak Twoje imię i nazwisko, adres, adres e-mail, numer telefonu i dane karty kredytowej), a także sytuacje, gdy jesteśmy podmiotem przetwarzającym dane osobowe, a Ty jesteś administratorem danych (kiedy używasz naszych usług hostowanych dla własnych celów biznesowych, a informacje są przekazywane do naszych serwerów, abyśmy mogli świadczyć usługi, zarządzać nimi i je obsługiwać (więcej informacji na ten temat znajduje się poniżej)).

Jakie są dokładnie wymagania prawne?

Oficjalna wersja RODO składa się z 261 stron, zawiera 173 punkty preambuły i 99 artykułów i (jak już wspomniano) jest złożonym oraz często rozbudowanym, niejasnym i niejednoznacznym aktem prawnym (na szczęście). Omówimy tylko kilka kluczowych zasad tego rozporządzenia:

  • Przejrzystość

    Jakie dane zbierasz i jak będą one używane? Wyjaśnienie tego Twoim klientom w formie łatwej do przeczytania i w prosty do zrozumienia sposób to ważna reguła każdego prawa dotyczącego zagadnień prywatności, w tym RODO.

    Zakładamy, że w ostatnim czasie zasypano Cię milionem wiadomości e-mail typu „Uaktualniliśmy nasze zasady ochrony danych osobowych”, zgadza się? To nie przypadek. RODO wymaga od firm zapewnienia większej jasności i przejrzystości procesu gromadzenia danych osobowych klientów i sposobu ich użycia (innymi słowy cały proces ma być bardziej przyjazny dla użytkownika). Zasady ochrony danych osobowych to mechanizm zapewniający przejrzystość — klarownie i prostym językiem tłumaczący Twoim klientom, w jaki sposób są zbierane i używane ich dane osobowe oraz jak mogą się oni z Tobą skontaktować lub wyegzekwować przysługujące im prawa.

    Firma GoDaddy oferuje narzędzia pozwalające uwzględnić zasady prywatności w Twoich witrynach, a w niektórych przypadkach dostarcza szablony ułatwiające pracę. Ponieważ nie wiemy, jak funkcjonuje Twoja firma, nie możemy zaoferować Ci zasad ochrony danych osobowych zapewniających pełną zgodność z przepisami.

  • Opcje kontroli dostępne dla klientów i zarządzanie zgodą

    Zapewnienie przejrzystości to świetny start, ale jeśli dodatkowo używasz informacji od klientów (lub je gromadzisz) w celach innych niż ściśle związane z dostarczaniem im oferowanych przez Ciebie towarów lub usług, konieczne jest zagwarantowanie klientom opcji wyrażenia zgody na wykorzystanie ich danych do innych celów oraz możliwości cofnięcia tej zgody w późniejszym terminie.

    Najbardziej oczywistym przykładem jest używanie zebranych adresów e-mail i numerów telefonów do komunikowania się z klientami (przeważnie mówiąc o tego typu komunikacji/subskrypcjach, mamy na myśli opcje wyrażenia zgody na uczestnictwo/wycofanie tej zgody). Te informacje mogą być podawane przez klientów podczas tworzenia konta lub nabywania od Ciebie produktu lub usługi. Ten proces obejmuje jednak również zbieranie informacji o osobach fizycznych odwiedzających Twoje witryny za pośrednictwem narzędzi zwanych powszechnie „plikami cookie” (oraz podobnych technologii, takich jak piksele, skrypty itd.). Z pewnością podczas odwiedzania witryn rzuciły Ci się w oczy banery z informacją o plikach cookie, i podobnie jak w przypadku zasad ochrony danych osobowych, banery te zapewniają większą przejrzystość. Z wyświetlonego baneru z informacjami o plikach cookie użytkownicy mogą dowiedzieć się, jakie narzędzia są używane do zbierania informacji o nich, wyrazić zgodę (lub nie) na takie użycie i/lub w inny sposób każdorazowo kontrolować, które pliki cookie będą dozwolone do użycia.

    Zgodnie z RODO Twoi klienci muszą mieć prawo do wyrażenia zgody na takie pobieranie danych (oraz ich późniejsze wykorzystanie). Jedyną właściwą metodą uzyskania takiej zgody będzie przedstawienie klientom opcji jej wyrażenia w prosty do zrozumienia, specyficzny (dla danej sytuacji) i jednoznaczny sposób. Wstępnie zaznaczone pola, brak reakcji lub brak aktywności nie mogą oznaczać zgody klienta. Jeśli na przykład w swojej witrynie masz pole wyboru „Twoje dane zostaną udostępnione innym reklamodawcom”, nie możesz wstępnie zaznaczyć tego pola wyboru, aby w ten sposób wskazać, że podmioty danych wyraziły zgodę na przetwarzanie swoich danych. Pole wyboru musi być widoczne jako niezaznaczone dla podmiotów danych z EOG do momentu dobrowolnego wyrażenia przez nie zgody na przetwarzanie danych.

    W rezultacie musisz zapewnić swoim klientom możliwość kontrolowania sposobu komunikacji z nimi, użycia ich danych osobowych i wyrażenia zgody na ich przetwarzanie, łącznie z prawem do jej cofnięcia.

  • Prawo do bycia zapomnianym

    Wspomnieliśmy wcześniej, że RODO jest bardzo podobne do innych przepisów prawnych na świecie — to prawo przyznawane Twoim klientom jest unikatowe dla RODO. RODO zapewnia osobom „prawo do bycia zapomnianym” (zgodnie z terminologią prawną: „prawo do usunięcia danych”). Oznacza to, że klient może poprosić o usunięcie swoich danych osobowych (o bycie „zapomnianym”), w przypadku gdy zebrane dane osobowe nie są już wymagane w celach, w jakich zostały zgromadzone, lub nie jest wymagane ich dalsze przetwarzanie.

    Jeśli to prawo ma zastosowanie, musisz usunąć dane osobowe podmiotu danych ze swoich systemów (chyba że istnieją uzasadnione przyczyny biznesowe lub prawne przechowywania takich danych, na przykład dla celów sprawozdawczości finansowej lub ze względu na prawne zasady przechowywania).

    Jeśli na przykład klient postanowi zakończyć współpracę z Tobą, może nie życzyć sobie dalszego przechowywania przez Ciebie wcześniej zebranych informacji na swój temat. Mimo że występują ograniczenia tego prawa — w tym wyjątki i skomplikowane niuanse — gdy ma ono zastosowanie, należy rozważyć możliwość i sposób realizacji żądania, jeśli takie otrzymasz.

    Ze swojej strony firma GoDaddy zgodnie z zasadami opisanymi w dokumencie Przetwarzanie danych — aneks zobowiązuje się do realizacji otrzymanych od Ciebie (administratora danych) żądań dotyczących usunięcia informacji o Twoich klientach z naszych systemów, gdy takie żądanie do nas wpłynie.

  • Prawo do przenoszenia danych

    Prawo do przenoszenia danych to kolejne prawo charakterystyczne dla RODO, które pozwala osobom fizycznym na uzyskiwanie swoich danych osobowych i używanie ich ponownie dla własnych celów w obrębie różnych usług. To prawo umożliwia proste przenoszenie, kopiowanie lub transferowanie danych osobowych z jednego środowiska IT do drugiego w bezpieczny sposób, bez ograniczania możliwości korzystania z tych danych.

    Powiedzmy, że zajmujesz się planowaniem imprez. Twój klient dostarczył wszystkie informacje kontaktowe i przedstawił istotne osobiste preferencje, ale postanowił się przeprowadzić i zatrudnić nowego planistę. Na terenie Europejskiego Obszaru Gospodarczego (EOG) powinien on łatwo otrzymać elektroniczną kopię swoich danych osobowych, którą będzie mógł przekazać nowemu planiście. Firma GoDaddy służy pomocą w przypadku tego typu żądań w zakresie, w którym dane osobowe Twojego klienta istnieją i mogą zostać Ci przekazane w ramach produktów i usług oferowanych przez naszą firmę.

  • Zasada prywatności w fazie projektowania

    Generalnie zasada prywatności w fazie projektowania (lub w ustawieniach domyślnych) oznacza, że gdy uzyskujesz, przetwarzasz, przechowujesz lub wykorzystujesz dane osobowe, konieczne zabezpieczenia są brane pod uwagę i uwzględniane — nie ma okoliczności specjalnych, żadne dodatkowe kroki nie są wymagane, jedynie dane absolutnie niezbędne są gromadzone, otrzymywane w sposób bezpieczny (np. w formie zaszyfrowanej), przechowywane w bezpiecznym miejscu, a dostęp do nich jest ograniczony wyłącznie do odpowiednio przeszkolonych osób, które tych danych potrzebują. Oznacza to także konieczność zapewnienia, że firmy zewnętrzne, do których planujesz wysłać dane osobowe swoich klientów, wdrożyły już odpowiednie zabezpieczenia.

    Zasadniczo proces ten nie różni od wizyty pacjenta w gabinecie lekarskim. Jako pacjent oczekujesz, że informacje o Twoim stanie zdrowia, zapisy w Twojej karcie oraz otrzymane porady będą przechowywane w bezpieczny i poufny sposób. Aby nie mieć powodów do obaw, zachowaj podobną czujność w przypadku podmiotów danych.

    Każda analiza działalności Twojej firmy powinna uwzględniać sposób, w jaki można używać produktów i usług firmy GoDaddy, mając na uwadze konieczność ochrony prywatności. Mamy nadzieję, że nasze produkty i usługi można dostosować do Twoich potrzeb. Jednak to do Ciebie należy niezależna ocena, czy korzystanie z naszych usług wystarczy, aby spełnić wymogi zgodności z odpowiednimi przepisami dotyczącymi ochrony danych i ich prywatności.

  • Powiadomienia o naruszeniu zabezpieczeń danych

    W przypadku niefortunnego zdarzenia polegającego na naruszeniu bezpieczeństwa danych firmy mają obowiązek powiadomić organ nadzorujący w ciągu 72 godzin od zidentyfikowania takiego naruszenia lub bez zbędnej zwłoki. W celu uzyskania szczegółowych informacji dotyczących sposobu ujawniania zdarzenia oraz kroków do podjęcia należy skontaktować się z prawnikiem.

Co to oznacza dla nas?

Jak wspomniano wcześniej, przez większość czasu firma GoDaddy jest Twoim podmiotem przetwarzającym dane. Będziemy przetwarzać dane wyłącznie zgodnie z wymaganiami dotyczącymi dostarczania w Twoim imieniu usług zakupionych od nas lub zgodnie z innymi ustaleniami. Używasz naszych usług do zbierania danych w celu sprzedawania swojego asortymentu albo gromadzisz informacje o spotkaniach lub potencjalnych klientach? Nie ma problemu. Gwarantujemy, że przetworzymy dane w Twoim imieniu w sposób pewny i bezpieczny.

Jako administrator danych kontrolujesz, w jaki sposób dane są wykorzystywane i przechowywane, a my będziemy je przetwarzać tylko zgodnie z naszymi warunkami Aneks dotyczący przetwarzania danych w celu świadczenia i obsługi usług w Twoim imieniu. Oznacza to, że musisz zwrócić szczególną uwagę na wewnętrzne zasady i dostęp pracowników do rekordów, w tym na sposób udostępniania danych stronom trzecim i na to, jak łatwo ktoś może uzyskać dostęp do informacji o osobie, której dane dotyczą.

Jak wynika z kluczowych zagadnień opisanych powyżej, RODO (i inne prawa dotyczące prywatności) ma na celu zagwarantowanie, że dane zbierane i przetwarzane w celu zapewnienia sukcesów naszych firm są odpowiednio chronione i zabezpieczone.