zgodność małych stron z GDPR i innymi przepisami

Zastanawiam się jak małe serwisy mogą / powinny podchodzić do przepisów o przetwarzaniu danych osobowych.

Powiedzmy robię mały serwis internetowy, testowo, chcę zobaczyć czy ktoś w ogóle go kupi, robię rejestracje i czy już na tym etapie muszę się upewnić, że wszelkie przetwarzanie danych będzie z godne z GDPR, a jeśli użytkownik jest z innego kraju to z przepisami w danym kraju i tym sposobem musze się upewnić, ze jestem zgodny z X setką przepisów w każdym możliwym kraju?:P

Istnieją jakieś proste w miarę sposoby upewnienia się, że jest się zgodnym z GDPR i wszelkimi innymi przepisami? Oddelegowanie do Auth0 wydaje się jednym sensownym pomysłem, oni chyba to zapewniają z automatu, ale cena i brak konfiguracji której potrzebowałem mnie zniechęciły trochę.

Ogólnie sprawa jest prosta.
Przetwarzasz dane użytkowników musisz mieć okienko. Nie przetwarzasz wcale to nie musisz.
Dla małych serwisów prawdopodobnie wystarczy Ci proste okienko z informacją. Nie w każdym przypadku musisz mieć zarejestrowane CMP_ID czy listy współpracujących partnerów.
Są też "self hosted consent manager" - wówczas za darmo możesz to na swojej stronie zaimplementować.

Większość przepisów w tych wszystkich krajach sprowadza się do tego, że nie możesz odpalić skryptów śledzących / analizujących do momentu aż wyraźnie poinformowany użytkownik strony nie wyrazi na to zgody. Czyli najpierw pokazuje się komunikat z informacja co robią skrypty. Dopiero po tym jak klient oznacza i klika, że zgadza się na uruchomienie tych skryptów,
Dołączasz je do strony. Dynamicznie , ajaxem czy innymi sposobami uruchamiasz skrypty GTAG, Facebook pixel itp.
Zaimplementowanie czegoś takiego to parę godzin roboty w JS ale masz rozwiązanie dla wszystkich pozostałych klientów i nie musisz za to nikomu płacić.
Dodatkowo musisz dać możliwość cofania zgody oraz musisz przechowywać informacje o wyrażonych i cofniętych zgodach na potrzeby kontroli.

Owszem są przypadki kiedy łatwiej skorzystać z gotowych rozwiązań ale jak sam pisałeś - w małym serwisie pewnie nie będziesz wyświetlać profilowanych reklam.

Jeśli serwis wymaga logowania to o wszystkich sposobach przetwarzania informujesz w regulaminie, który użytkownik musi zaakceptować podczas zakładania konta. Wówczas wyskakujące okienka nie są niezbędne.

Tu znajdziesz wytyczne i sugestie UE w tym temacie:

https://turserwis.pl/seoContent_pl/self-hosted-consent-manager/edpb_guidelines_202005_consent_pl.pdf

Bełkot straszliwy ale to jedynie świadczy o tym jakie "osoby" się tym zajmują.
Warto przejrzeć całe ale najciekawsze masz w okolicy punktu 80.

Najogólniej rzecz ujmując. Nie kantuj, nie cwaniakuj, poinformuj użytkownika o tym co faktycznie robisz, zbierz zgody, daj możliwość cofnięcia zgody i po kłopocie.

Masz też różne rozwiązania darmowe np.:
https://www.freeprivacypolicy.com/free-cookie-consent/

Choć tu skrypt wywołuje zewn., serwer a to też przetwarzanie danych... więc lepiej poszukać self hosted.

Zrób politykę prywatności i opisz jej zakresy oraz prawa ludzi co do danych itp. Jeśli nie są to dane z dostępem dla osób 3 to jest git. Jeśli nie powierzasz ich firmom 3 to jest dobrze. Jeśli powierzasz musisz powiedzieć jakim i w jakim zakresie oraz jakie dane użytkownikom. Generalnie jest to przepis mający pozorycznie chronić. Bardziej niedogodność dla małych a do olania dla dużych bo sami gromadzą dane jakie tylko mogę bez informowania.

@Cimron
W kontekście wymagalności zgody użytkownika na jakiekolwiek przetwarzanie danych, sama polityka prywatności raczej nie wystarczy.
Do tego musi być możliwość wycofania tej zgody.
Wyjątkiem jest sytuacja kiedy na stronie faktycznie nie ma nawet Google Analytics ale i tutaj w zależności od interpretacji nawet adres IP może być traktowany jako dana osobowa. Ja rozumiem, że to jest głupie ale nie ja te głupoty wymyślam (https://archiwum.giodo.gov.pl/pl/319/2258).

A teraz na chłopski rozum...
Większość przepisów powstało by ograniczyć przetwarzanie i handel danymi na masową skalę przez największych graczy.
Ci jednak wykpili się przystępując do IAB i teraz nadal robią to samo tylko pod przykrywką dbania o bezpieczeństwo :-) Warto zobaczyć co trzeba zrobić aby do nich przystąpić: https://www.iab.org.pl/przystap-do-iab-polska/

Jak masz małą stronę www pewnie nigdy żaden urzędnik się do Ciebie nie przyczepi.
Gorzej jak znajdzie się jakiś przychylny urzędowi "sygnalista", który Cię nie polubił i zacznie Ci robić kłopoty. Wtedy i tak będziesz musiał sprawdzić czy złamałeś prawo czy nie (pewnie będzie tak, że na 99% nie) ale kłopot i niepotrzebne nerwy pozostaną.

Z drugiej strony groźniejsze rzeczy mogą przyjść np. z Austrii. Tam wylęgły się hieny żerujące na tego typu rozporządzeniach i już zaczynają działać w tym nowym obszarze.
Doświadczenia mają już ponad 20 lat, a zdobyli je na straszeniu ludzi tym, że na swoich stronach wykorzystywali zdjęcia objęte licencjami wymagającymi np. podpisu. Stworzyli automaty, które skanują strony WWW i szukają zdjęć objętych licencją a jak znajdą wysyłają z automatu pisma z opcją pójścia na ugodę za jedyne 1000EUR. Z doświadczenia wiem, że autorzy zdjęć często o ich działalności nawet nie wiedzą. Takie same mechanizmy powstają już w kontekście braku okienek RODO. Automat odpala stronkę, sprawdza czy założyły się jakieś cookie mające cechy śledzących i jak znajdzie to z automatu leci pismo - oczywiście jak jesteś świadom swoich działań to ich olejesz. Realia są jednak takie że nikt nie ma 100% pewności i zawsze będzie to rodziło niepotrzebny stres.

Dlatego dla własnego spokoju lepiej to durne okienko wstawiać albo całkowicie zrezygnować z narzędzi przetwarzających dane w sposób, którego nie jesteśmy do końca pewni.
Przepisy w tym obszarze są niebywale mętne i ciężko jest wskazać jakikolwiek konkret, a to niestety idealne środowisko do wylęgu oszustów, naciągaczy i cwaniaków.

A to jest prawda, ale jest to zależne od zakresu świadczenia usług w serwisie. Jeśli masz same artykuły i nc nie zbierasz od ludzi to nic nie musisz, po za polityką. Jeśli zbierasz dane, to wtedy w zależności od tego jakie dane i do czego potrzebne - trzeba o to zabrać. Pytający nie napisał nic o danych i ich przetwarzaniu oraz potrzeb ich wykorzystania.

Przy przetwarzaniu danych osobowych jeszcze trzeba mieć administratora danych osobowych (ADO) i jakieś tam wewnętrzne regulaminy. Na razie jest to jednak tylko teoria w przypadku mniejszych stron bo kontroluje się to tylko w dużych sklepach czy korporacjach. Mniejsze strony ogólnie są łagodniej traktowane - np. jak mały sklep internetowy ma regulamin niezgodny z prawem (oczywiście w granicach rozsądku) to zazwyczaj dostaje najpierw upomnienie i czas na wprowadzenie zmian, a duży sklep czy korporacja od razu dostają karę i to często niemałą. Oczywiście nikt nie zagwarantuje, że w Twoim przypadku będzie tak samo i od razu jakiejś kary nie dostaniesz.
Zabawa się zaczyna po wycieku danych osobowych - wtedy już mogą się pojawić pytania o dokumentację i od tego czy była/jaka była zależy wysokość kary (lub jej brak).

hadwao napisał(a):

Przy przetwarzaniu danych osobowych jeszcze trzeba mieć administratora danych osobowych (ADO) i jakieś tam wewnętrzne regulaminy.

Mieszasz pojęcia. Czym innym jest przetwarzanie danych w Twojej firmie gdy przetwarzasz dane w swoich systemach CRM ERP itp., a czym innym jest poinformowanie klienta strony WWW, że jego dane mogą być przetwarzane przez podmioty zewnętrzne.

Na razie jest to jednak tylko teoria w przypadku mniejszych stron bo kontroluje się to tylko w dużych sklepach czy korporacjach.

Wielkość nie ma tu żadnego znaczenia.

Mniejsze strony ogólnie są łagodniej traktowane - np. jak mały sklep internetowy ma regulamin niezgodny z prawem (oczywiście w granicach rozsądku) to zazwyczaj dostaje najpierw upomnienie i czas na wprowadzenie zmian, a duży sklep czy korporacja od razu dostają karę i to często niemałą.

zazwyczaj dostaje najpierw upomnienie skąd masz takie informacje? Znasz udokumentowany przypadek wystawienia takiego upomnienia?

Zabawa się zaczyna po wycieku danych osobowych - wtedy już mogą się pojawić pytania o dokumentację i od tego czy była/jaka była zależy wysokość kary (lub jej brak).

Pomieszałeś tematy.