23 maja 2018

Poradnik: Sugestie zmian do Regulaminu i Polityki Prywatności dla systemów rezerwacji IdoSell Booking w kontekście wejścia RODO

Wielu klientów na kilka dni przed wejściem w życie RODO chce mieć pewność, że zdążą wprowadzić wszystkie potrzebne zmiany pod kątem RODO. Wiele informacji przekazaliśmy już we wcześniejszych materiałach, które na bieżąco są aktualizowane. Jednak dla tych osób, które potrzebują jeszcze dodatkowych wskazówek, przygotowaliśmy szybką listę spraw które należy dopilnować.

Zastrzegamy, że są to nasze rady i wskazówki i dla 100% pewności w formułowaniu treści należy skonsultować się z prawnikiem. Część rzeczy można ująć w Regulaminie, część w Polityce Prywatności, w zależności od tego jak skonstruowane były wcześniej te dokumenty i co zawierały. To co wymaga ewidentnej zgody rezerwującego lepiej zastrzec w Regulaminie, to co jest tylko kwestią poinformowania, może zostać w polityce prywatności.

Poniższe zmiany w żaden sposób nie rozwiązują kwestii związanych z wewnętrznymi regulacjami w firmie, jak np. ocena skutków ryzyka, polityka przetwarzania danych osobowych czy inne dokumenty regulujące działalność firmy nie związaną z wykorzystywaniem systemu rezerwacji online. Tego też musisz bezwzględnie dopilnować, ale wcześniej najlepiej skonsultuj to z prawnikiem.

W pierwszej kolejności zadbaj aby w Regulaminie znalazły się zapisy o tym:

  1. Czym jest RODO np.: RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. W części dotyczącej danych osobowych zawrzyj informacje o tym, że:
    1. Twoja firma może przetwarzać dane osobowe w celu realizacji zamówienia na podstawie art. 6 ust. 1 lit. b RODO i że pozyskujesz te dane od klientów.
    2. Przekazanie tych danych jest dobrowolne, ale konieczne do zrealizowania zamówienia. Ponieważ bez tych danych nie będzie zawarta umowa – kupna sprzedaży(umowa najmu).
    3. Jesteś administratorem tych danych osobowych. Podaj nazwę swojej firmy oraz formę kontaktu. Jeżeli powołałeś Inspektora Ochrony Danych, podaj również jego dane (wystarczy imię, nazwisko oraz e-mail).
    4. Wskaż okres przez jaki planujesz przetwarzać dane osobowe. Nie może być to czas krótszy niż przewidują przepisy prawa, szczególnie podatkowe (minimum 5 pełnych lat). Sugerujemy czas nieokreślony, co nie będzie wymagało potem jego wydłużania czy pisania programów wymazujących dane według skomplikowanych kryteriów. Dłuższy czas możesz uzasadnić, np. ze względu na politykę rabatową, szykowanie specjalnych promocji. Pamiętaj aby wpisać te dane do Regulaminu.
    5. Umieść informację o prawie do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do przenoszenia danych.
    6. Zaznacz, że gość/osoba dokonująca rezerwacji ma prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
    7. Wskaż, że zobowiązujesz się do przestrzegania tajemnicy związanej z danymi Gościa/osoby rezerwującej i nieudostępniania tych danych osobom nieuprawnionym oraz do należytego zabezpieczenia tych informacji przed dostępem wszelkich osób nieuprawnionych. Zapisz, że Ty jako firma świadcząca usługi rezerwacji nie możesz wykorzystywać tych danych w celach innych niż wskazane w Regulaminie. Jeżeli te dane wykorzystujesz w inny sposób niż realizacja rezerwacji, musisz to jasno określić w Regulaminie.
    8. W przypisach końcowych, w miejsce gdzie precyzuje się, że spory rozstrzyga się na mocy prawa polskiego, dopisz informację, że „W sprawach nieuregulowanych niniejszym regulaminem zastosowanie mają postanowienia Kodeksu cywilnego i odpowiednich ustaw prawa polskiego, a także prawa Unii Europejskiej, w szczególności RODO.”
    9. Jeżeli nie jesteś pewien, czy posiadasz wszystkie zgody na przetwarzanie danych, to jest to dobra okazja do ich aktualizacji.
    10. Jeżeli jeszcze trochę musisz popracować nad dokumentacją wewnętrzną, podejmij najpóźniej w dniu 25.05.2018r. uchwałę, w której powołasz zespół do wdrożenia RODO i uruchomisz prace.

W Polityce Prywatności warto zawrzeć informacje, które nie wymagają zgody, a jedynie poinformowania, mogą to być informacje o tym:

  1. Komu przekazywane są niektóre dane osobowe, np.:
    1. Informacje, które już mogą być w dobrze przygotowanej polityce Cookies czyli o tym z jakich pixeli śledzących się korzysta, może to być Google Analytics, Facebook – wypisz to z czego faktycznie korzystasz. Wiele firm, których JavaScript osadzają nasi klienci na stronach, śledzi użytkowników czy ich profiluje. Koniecznie sprawdź na ich stronach pod kątem własnej analizy. Wypisz je z nazwy w swojej polityce i najlepiej podaj linki do ich polityki prywatności.
    2. Dane firm realizujących płatności w celu realizacji rezerwacji. Najlepiej jeżeli są to pełne dane kontaktowe tych firm i podane okoliczności, dlaczego dane do nich trafiają.
    3. Naturalnie podaj nas, IAI S.A. z siedzibą w Szczecinie, Aleja Piastów 30, 71-064 Szczecin, jako operatora IdoSell Booking, oprogramowania z którego korzystasz i my przetwarzamy dane.
    4. Dane biura księgowego, które też ma styczność z danymi osobowymi Twoich gości.
    5. Jeżeli korzystasz z usług e-mail marketingu to wypisz te firmy.

Następnie, dopiero po wykonaniu aktualizacji regulaminu, koniecznie przed 25 maja 2018 roku wyślij maila o sugerowanej treści:

Tytuł: RODO: Nowy regulamin i polityka prywatności systemu rezerwacji [NAZWA_FIRMY]

Treść:
Drogi gościu/rezerwujący,

Jakiś czas temu dokonywałeś rezerwacji za pomocą naszego systemu rezerwacji, ale z jakiś przyczyn nie zrealizowałeś rezerwacji. Przekazałeś nam wtedy dane kontaktowe, stanowiące w rozumieniu prawa dane osobowe. Umożliwiały nam kontakt, realizację rezerwacji lub przygotowanie i przesłanie materiałów promocyjnych z możliwie najlepszą ofertą oraz informowanie Ciebie o nowych promocjach w naszym biznesie. Dziękujemy, że nam zaufałeś, zawsze bardzo dbamy o to aby nie kontaktować się bez potrzeby, dlatego przez ten cały czas staraliśmy się kontaktować z Tobą wyłącznie w sprawach istotnych i nie stosowaliśmy nachalnego marketingu.

Teraz, jak zapewne wiesz, 25 maja zaczną obowiązywać nowe przepisy dotyczące ochrony danych osobowych, znane powszechnie jako RODO. Aby móc dalej pozostać w kontakcie i dbając o bezpieczeństwo dostosowaliśmy nasz Regulamin i Politykę Prywatności dla osób zalogowanych na stronie internetowej do nowych reguł. Jej treść znajdziesz pod tym linkiem:

Jeżeli interesuje Cię w jaki sposób zarządzamy danymi osobowymi, zapraszamy do zapoznania się dokumentem. Jeżeli nie chcesz abyśmy dalej przechowywali Twoje dane, prosimy o kontakt. Jeżeli uznasz, że dobrze było jak było, zwyczajnie nie musisz nic robić.

Pozdrawiamy,

Zespół [NAZWA_FIRMY]

To jest absolutna podstawa o jaką powinieneś zadbać. Traktuj to proszę jako naszą sugestię na podstawie większości, prostych przypadków. Jeżeli masz wątpliwości lub Twój model biznesowy jest bardziej skomplikowany, skontaktuj się proszę z doświadczonym prawnikiem.