iSecure logo
Blog

Czy aplikacja chatbot wymaga od administratora podpisania umowy powierzenia przetwarzania danych osobowych?

Aplikacja chatbot staje się nieodłączonym elementem nowoczesnej strony internetowej. Właściciele witryn internetowych chcą być wobec swoich klientów jak najbardziej transparentni i pragną umożliwić nieograniczone możliwości kontaktu. Dlatego też na zainstalowanie chatbota decydują się przede wszystkim sklepy internetowe, przewoźnicy transportujący przesyłki czy hotele. Jakie konsekwencje wobec administratorów wiążą się z wdrożeniem rozwiązania chatbota na stronie internetowej w kontekście obowiązujących zasad ochrony danych osobowych?

Dostawca rozwiązania chatbot – wprowadzenie

Na wstępie należy zaznaczyć, że wdrożenie rozwiązania chatbot na stronie internetowej będzie wiązało się z koniecznością podjęcia współpracy z dostawcą takiej usługi. Właściciele stron internetowych w wielu przypadkach decydują się rozpocząć współpracę z dostawcą, który ma przygotowane narzędzia i uszyte na miarę instrumenty pozwalające na prawidłowe i skuteczne wykorzystania chatbota.

Dlatego też współpraca z dostawcą rozwiązania chatbot może wiązać się z szeregiem obowiązków w zakresie ochrony danych osobowych. Do uzgodnienia pozostaje nie tylko kwestia samej umowy, ale również ewentualne określenie decyzji podejmowanych w sposób automatyczny, czy pokazywanie reklam (wszystko zależy od możliwości chatbota i decyzji administratora). Zainstalowanie wirtualnego asystenta wspierającego obsługę klienta generuje możliwe przetwarzanie danych osobowych. Chatbot może być również wykorzystywany w social mediach, z tego też względu tożsamość podmiotu danych będzie identyfikowalna na poziomie rozpoczęcia rozmowy.

Jak łatwo zauważyć, chatboty wykorzystywane są na stronach internetowych w wielu różnych celach. Część z aplikacji zapewnia nie tylko odpowiedzi na proste pytania zadawane przez klientów bądź potencjalnych klientów, ale również oferuje przekazanie bardziej złożonych informacji. Mogą to być nawet odpowiedzi dotyczące rozpatrzenia reklamacji czy wskazania potencjalnych sposobów rozwiązania problemu opisanego przez użytkownika. Zazwyczaj jednak aplikacje chatbot odpowiadają w bardzo szybki sposób na szereg pytań, np. w jakich godzinach można składać zamówienia, gdzie znajduje się przesyłka.

Jak nietrudno dostrzec, w każdym z określonych przypadków aplikacja chatbot może uzyskać dostęp do szeregu danych osobowych. Z tego też względu uregulowanie współpracy z dostawcą rozwiązania oraz określenie możliwości chatbota jest niezwykle kluczowe do pozostania w pełnej zgodności z przepisami o ochronie danych osobowych.

Umowa powierzenia – czy jest niezbędna?

Decydując się na wdrożenie rozwiązania chatbot na stronie internetowej, przede wszystkim należy rozważyć zawarcie umowy powierzenia przetwarzania danych osobowych na podstawie art. 28 RODO. Jeśli dostawca chatbota będzie miał wgląd do danych osobowych, co do których rolę administratora pełni właściciel strony, wówczas z dostawcą chatbota należy zawrzeć w zakresie ochrony danych osobowych umowę powierzenia przetwarzania danych osobowych. Jeśli już na tym etapie podejmowania współpracy właściciel wie, że dostawca chatbota będzie miał wgląd do danych, trzeba w odpowiedni sposób ustalić zakres powierzenia. Z uwagi na to, że w konwersacjach mogą pojawić się bardzo różne dane osobowe, w tym nawet dane szczególnej kategorii, należy zadbać o odpowiednie zabezpieczanie tego obszaru.

Umowa powierzenia będzie wymagała przede wszystkim określenia prawidłowego zakresu powierzenia przetwarzania danych osobowych. Właściciel strony, pełniący jednocześnie rolę administratora danych powinien w skrupulatny i szczegółowy sposób określić kategorie osób oraz kategorie danych osobowych podlegających powierzeniu do dostawcy. Ponadto, co równie istotne, należy zwrócić uwagę na wdrożone u dostawcy środki organizacyjne i techniczne zapewniające odpowiedni stopień bezpieczeństwa powierzonych danych osobowych. Z tego też względu rekomendowane jest przeprowadzenie wstępnej weryfikacji dostawcy jako podmiotu przetwarzającego dane w imieniu administratora. Najprostszym i najbardziej skutecznym sposobem kontroli może okazać się przesłanie krótkiej ankiety z pytaniami w zakresie bezpieczeństwa i stosowanych rozwiązań w tym zakresie. Po odesłaniu odpowiedzi przez dostawcę, właściciel strony będzie mógł w pełni świadomie zdecydować, czy chce podjąć współpracę z procesorem i czy wdrożone rozwiązania są dla administratora wystarczające.

Dodatkowo, wobec osób kontaktowych oraz reprezentantów występujących po drugiej Stronie, należy spełnić obowiązek informacyjny. Zazwyczaj jest on dołączony do umowy głównej, ale może też stanowić załącznik do umowy powierzenia.

Biorąc powyższe pod uwagę, należy jednoznacznie stwierdzić, że w przypadku otrzymania przez dostawcę chatbota dostępu do danych osobowych, których administratorem jest właściciel witryny internetowej, należy podpisać z dostawcą umowę powierzenia na podstawie art. 28 RODO. Co ważne, trzeba w niej określić zakres powierzenia przetwarzania danych (przede wszystkim wskazanie podmiotów – osób, których dane mogą być przetwarzane, celu przetwarzania – czy tylko bieżący kontakt, czy również reklamacje, możliwość dołączania załączników do konwersacji, rodzaju danych ze wskazaniem konkretnych danych – rozważenie przekazywania przez klientów danych szczególnej kategorii). Opracowując zakres powierzenia, należy bazować na dotychczasowym doświadczeniu w zakresie pytań i konwersacji prowadzonych z klientami.

Inne wymogi poza umową powierzenia – checklista

Aby prawidłowo i w pełni zgodnie z RODO rozpocząć współpracę z firmą oferującą rozwiązanie chatbot, poza zawarciem umowy powierzenia przetwarzania danych osobowych, należy przede wszystkim:

  • Wyznaczyć odpowiednie cele i podstawy prawne przetwarzania danych osobowych;
  • Zrealizować obowiązek informacyjny wobec użytkowników;
  • Wyznaczyć odpowiedni termin retencji danych osobowych przechowywanych w ramach chatbota w zależności od wyznaczonych celów przechowywania (można uwzględnić również terminy obrony przed roszczeniami);
  • Określić możliwości podejmowania automatycznych decyzji, w tym profilowania;
  • Zweryfikować dostawę poprzez przesłanie ankiety weryfikującej poziom wdrożonych zabezpieczeń i stosowanych środków technicznych;
  • Przekazać klauzulę informacyjną dla celów biznesowych (dla reprezentantów i osób kontaktowych występujących po drugiej stronie umowy).

Biorąc powyższe pod uwagę, należy przede wszystkim zweryfikować i doprecyzować kluczowe kwestie jak informację, czy chatbot będzie miał dostęp do danych osobowych klientów właściciela strony internetowej – jeśli będą to dane osobowe, dodatkowo należy przeanalizować kwestię podejmowania zautomatyzowanych decyzji (w zależności od zakresu współpracy i dalszych procesów opartych na danych). Kluczowe może okazać się również określenie, czy chatbot będzie wykorzystywany również do celów marketingowych (przesyłanie reklam, informacji handlowych, tworzenie bazy newsletterowej).

Podsumowanie

Aplikacja chatbot może w wielu aspektach ułatwić klientom korzystanie ze strony internetowej. W prosty i szybki sposób użytkownicy mogą uzyskać odpowiedzi na pytania. Należy jednak pamiętać, że stosowanie tego rodzaju rozwiązań w witrynach internetowych wiąże się z koniecznością usystematyzowania kwestii ochrony danych i ich bezpieczeństwa. Dlatego też zawsze należy dokładnie zweryfikować współpracę z dostawcą rozwiązania chatbot, by w dalszej perspektywie móc wyznaczyć cele związane z zapewnieniem poszanowania zasad ochrony danych przy wdrożeniu chatbota na stronie internetowej.

Pobierz wpis w wersji pdf

Podobne wpisy:

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej […]

Wizerunek pracownika – kiedy pracodawca może go wykorzystać?

Czy wyobrażacie sobie dobrze prosperującą firmę, która nie posiada własnej strony internetowej? Lub takiej, która nie prowadzi aktywnych działań w mediach społecznościowych? Wydarzenia ostatnich lat uświadomiły nam jeszcze mocniej jak ważną wizytówką przedsiębiorcy jest jego strona www. Okazuje się, że w dobie coraz częstszych spotkań online, braku nawiązywania kontaktów biznesowych „face to face”, bardzo istotne […]

Przetwarzanie danych służbowych

SZKOLENIA PRACOWNIKÓW – UDOSTĘPNIAMY CZY POWIERZAMY DANE?

Temat szkoleń pracowników dotyka każdego pracodawcę – z jednej strony zobowiązani są oni do zapewniania szkoleń, o których wprost mówią przepisy prawa (szkolenia BHP), z drugiej zaś duże grono pracodawców, w ramach chęci zapewnienia pracownikom ciekawych form benefitów pracowniczych, organizuje różnego rodzaju dodatkowe kursy i szkolenia dla zainteresowanych osób (np. kursy językowe, branżowe, szkolenia podnoszące […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki