Formularze google a RODO krok po kroku w postępowaniu

W dobie powszechnej cyfryzacji i poszukiwania optymalnych rozwiązań organizacyjnych, Formularze Google (Google Forms) stały się jednym z najchętniej wybieranych narzędzi do zbierania informacji. Służą do rejestracji na wydarzenia, przeprowadzania ankiet satysfakcji, zbierania zgłoszeń rekrutacyjnych, a nawet realizowania procesów wewnątrzfirmowych. Jednak wygoda tego narzędzia często przesłania kluczowy aspekt prawny – ochronę danych osobowych. Każde zebranie imienia, nazwiska, adresu e-mail czy numeru telefonu za pomocą formularza online stanowi przetwarzanie danych osobowych w rozumieniu Ogólnego Rozporządzenia o Ochronie Danych (RODO). W konsekwencji podmiot korzystający z tego rozwiązania staje się Administratorem Danych Osobowych (ADO) i musi sprostać szeregowi rygorystycznych wymogów prawnych. Zaniedbania w tym zakresie mogą prowadzić do wszczęcia postępowania przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO) oraz nałożenia dotkliwych kar finansowych.

1. Teza publikacji: Legalność Formularzy Google w świetle RODO

Główną tezą niniejszego opracowania jest stwierdzenie, że korzystanie z Formularzy Google do zbierania danych osobowych jest w pełni legalne i zgodne z RODO, pod warunkiem, że administrator korzysta z płatnej wersji usługi (Google Workspace), zawarł z dostawcą umowę powierzenia przetwarzania danych, przeprowadził rzetelną analizę ryzyka oraz wdrożył odpowiednie procedury informacyjne i techniczne. Korzystanie z darmowych wersji kont konsumenckich (@gmail.com) do celów biznesowych lub publicznych wiąże się z niemal natychmiastowym naruszeniem przepisów o ochronie danych osobowych ze względu na brak możliwości skutecznego zawarcia umowy powierzenia oraz profilowanie danych przez dostawcę usługi.

2. Na czym polega problem prawny?

Problem prawny związany z Formularzami Google koncentruje się wokół trzech głównych zagadnień: powierzenia przetwarzania danych podmiotowi trzeciemu, transferu danych poza Europejski Obszar Gospodarczy (EOG) oraz realizacji zasady rozliczalności. Gdy użytkownik wypełnia formularz, jego dane nie trafiają bezpośrednio na dysk twardy komputera administratora, lecz są przesyłane i przechowywane na serwerach należących do Google LLC. Oznacza to, że Google staje się podmiotem przetwarzającym (procesorem). Zgodnie z art. 28 RODO, administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Ponadto, serwery Google zlokalizowane są na całym świecie, co rodzi skomplikowane pytania o legalność transferu danych do państw trzecich, w szczególności do Stanów Zjednoczonych.

3. Kogo dotyczy ten problem?

Problem ten dotyczy każdego podmiotu, który wykorzystuje Formularze Google do celów innych niż czysto osobiste lub domowe. W grupie tej znajdują się:

  • Przedsiębiorcy i firmy: zbierający dane klientów, organizujący rekrutacje, prowadzący zapisy na newslettery czy szkolenia;
  • Instytucje publiczne i szkoły: zbierające dane uczniów, rodziców, pacjentów czy petentów;
  • Organizacje pozarządowe (NGO): rejestrujące wolontariuszy, członków czy uczestników projektów społecznych;
  • Osoby fizyczne prowadzące działalność gospodarczą: wykorzystujące formularze do kontaktu z klientami.

4. Podstawa prawna i praktyczna

Podstawowym aktem prawnym regulującym tę materię jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO). Kluczowe artykuły, które należy wziąć pod uwagę, to:

  • Art. 5 RODO: określający podstawowe zasady przetwarzania (w tym minimalizację danych, ograniczenie celu i rozliczalność);
  • Art. 6 RODO: definiujący legalne podstawy przetwarzania danych (np. zgoda, wykonanie umowy, prawnie uzasadniony interes);
  • Art. 13 RODO: nakładający obowiązek informacyjny wobec osób, których dane dotyczą;
  • Art. 28 RODO: regulujący kwestie powierzenia przetwarzania danych osobowych;
  • Art. 32 RODO: nakazujący wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa;
  • Art. 44-49 RODO: określające zasady transferu danych do państw trzecich.

W wymiarze krajowym zastosowanie znajduje również Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, która reguluje m.in. procedurę postępowania przed Prezesem Urzędu Ochrony Danych Osobowych.

5. Warunki i obowiązki administratora danych

Aby administrator mógł legalnie korzystać z Formularzy Google, musi spełnić szereg warunków. Po pierwsze, musi posiadać status administratora i zdefiniować cel przetwarzania. Po drugie, musi dokonać wyboru odpowiedniej wersji usługi. Wersja darmowa nie pozwala na pełną kontrolę nad danymi i nie zawiera odpowiednich gwarancji prawnych ze strony Google. Po trzecie, konieczne jest zaakceptowanie Aneksu o przetwarzaniu danych (Data Processing Amendment - DPA), który stanowi umowę powierzenia. Kolejnym obowiązkiem jest przeprowadzenie analizy ryzyka (Risk Assessment) oraz, w określonych przypadkach, oceny skutków dla ochrony danych (DPIA). Administrator musi również zapewnić, że dostęp do zebranych danych będą miały wyłącznie osoby upoważnione, a same dane będą przetwarzane tylko przez niezbędny okres czasu (zasada ograniczenia przechowywania).

6. Procedura krok po kroku: Jak legalnie wdrożyć Formularze Google

Wdrożenie Formularzy Google w organizacji wymaga przejścia przez ustrukturyzowaną procedurę prawno-organizacyjną. Poniżej przedstawiamy instrukcję krok po kroku:

Krok 1: Migracja do Google Workspace

Pierwszym i bezwzględnym krokiem jest rezygnacja z darmowych kont Google na rzecz płatnej subskrypcji Google Workspace. Tylko w tej wersji administrator ma dostęp do zaawansowanych ustawień bezpieczeństwa oraz możliwości formalnego zawarcia umowy powierzenia.

Krok 2: Akceptacja Aneksu o przetwarzaniu danych (DPA)

Administrator musi zalogować się do konsoli administracyjnej Google Workspace, przejść do zakładki dotyczącej ustawień prywatności i ochrony danych, a następnie zaakceptować warunki Aneksu o przetwarzaniu danych (Data Processing Amendment). Fakt ten należy odnotować w wewnętrznym rejestrze umów powierzenia.

Krok 3: Przeprowadzenie analizy ryzyka i TIA

Przed uruchomieniem pierwszego formularza należy przeprowadzić analizę ryzyka dla praw i wolności osób, których dane będą zbierane. W ramach analizy należy uwzględnić charakter danych (zwykłe czy szczególnej kategorii) oraz fakt, że dane są przechowywane w chmurze. Ze względu na transfer danych do USA, zaleca się również sporządzenie uproszczonej oceny transferu (Transfer Impact Assessment - TIA), potwierdzającej, że Google LLC uczestniczy w programie EU-US Data Privacy Framework.

Krok 4: Projektowanie formularza zgodnie z zasadą minimalizacji

Tworząc pytania w formularzu, należy ograniczyć je do absolutnego minimum niezbędnego do realizacji celu. Jeśli celem jest zapis na newsletter, niedopuszczalne jest żądanie podania numeru PESEL czy adresu zamieszkania. Każde pole powinno być uzasadnione.

Krok 5: Wdrożenie obowiązku informacyjnego (Klauzula RODO)

W nagłówku formularza (w polu opisu) należy umieścić pełną klauzulę informacyjną zgodną z art. 13 RODO lub bezpośredni, aktywny link do polityki prywatności, która taką klauzulę zawiera. Klauzula musi jasno określać, kto jest administratorem, w jakim celu zbiera dane, jak długo będzie je przechowywać oraz jakie prawa przysługują użytkownikowi (w tym prawo do cofnięcia zgody, dostępu do danych, ich usunięcia).

Krok 6: Dodanie obowiązkowego checkboxa zapoznania się z klauzulą

W formularzu należy dodać obowiązkowe pytanie typu checkbox o treści: „Potwierdzam, że zapoznałem/am się z klauzulą informacyjną dotyczącą przetwarzania moich danych osobowych”. Uniemożliwi to wysłanie odpowiedzi przez osobę, która nie miała szansy zapoznać się z zasadami przetwarzania.

Krok 7: Zabezpieczenie dostępu do wyników

Wyniki formularza (zapisywane automatycznie w Arkuszach Google) muszą być rygorystycznie zabezpieczone. Dostęp do arkusza mogą mieć wyłącznie pracownicy posiadający imienne upoważnienia do przetwarzania danych osobowych wydane przez administratora. Należy bezwzględnie unikać udostępniania arkusza za pomocą linku publicznego.

Krok 8: Określenie procedury retencji i usuwania danych

Należy ustalić sztywny termin, po upływie którego zebrane dane zostaną trwale usunięte z Formularza Google, powiązanego arkusza oraz kosza w usłudze Google Drive. Przechowywanie danych „na zapas” jest rażącym naruszeniem RODO.

7. Postępowanie przed Prezesem UODO w przypadku skargi

Naruszenie zasad ochrony danych osobowych przy korzystaniu z Formularzy Google (np. brak klauzuli informacyjnej, wyciek danych poprzez publiczne udostępnienie arkusza) może skutkować wniesieniem skargi przez osobę poszkodowaną do Prezesa Urzędu Ochrony Danych Osobowych. Wpłynięcie skargi uruchamia formalne postępowanie administracyjne.

Przebieg postępowania i obowiązki administratora

Po wpłynięciu skargi, organ nadzorczy (Prezes UODO) analizuje wniosek i wszczyna postępowanie wyjaśniające. Administrator otrzymuje oficjalne pismo z żądaniem ustosunkowania się do zarzutów. W piśmie tym organ wyznacza termin – najczęściej 7 lub 14 dni – na złożenie pisemnych wyjaśnień oraz przedstawienie dowodów.

W toku postępowania administrator ma obowiązek pełnej współpracy z organem. Aby wykazać zgodność z prawem (zasada rozliczalności), administrator musi przedłożyć:

  • Dowód korzystania z Google Workspace oraz akceptacji Aneksu DPA;
  • Dokumentację potwierdzającą przeprowadzenie analizy ryzyka przed rozpoczęciem zbierania danych;
  • Zrzuty ekranu przedstawiające wygląd formularza wraz z widoczną klauzulą informacyjną i checkboxem;
  • Ewidencję osób upoważnionych do przetwarzania danych w ramach tego procesu;
  • Rejestr Czynności Przetwarzania (RCP), w którym proces ten został prawidłowo zaewidencjonowany.

Jeśli administrator nie przedstawi tych dokumentów w wyznaczonym terminie, organ może uznać, że doszło do naruszenia przepisów RODO, co może skutkować wydaniem decyzji nakazującej dostosowanie operacji przetwarzania do przepisów, upomnieniem, a w skrajnych przypadkach – nałożeniem administracyjnej kary pieniężnej.

8. Najczęstsze błędy i ryzyka

Analiza postępowań przed organem nadzorczym pozwala na zidentyfikowanie najczęstszych błędów popełnianych przez administratorów korzystających z Formularzy Google:

  • Korzystanie z darmowych kont osobistych (@gmail.com): Brak formalnej umowy powierzenia danych i zgoda na profilowanie danych przez Google;
  • Udostępnianie arkusza odpowiedzi jako publicznego: Zmiana ustawień udostępniania na „każdy mający link może edytować/wyświetlać” prowadzi do natychmiastowego wycieku danych i konieczności zgłoszenia naruszenia do UODO w ciągu 72 godzin;
  • Zbieranie danych wrażliwych bez podstawy prawnej: Zbieranie informacji o zdrowiu, alergiach, niepełnosprawnościach czy wyznaniu bez wyraźnej, dobrowolnej zgody i odpowiednich zabezpieczeń;
  • Brak realizacji praw osób, których dane dotyczą: Ignorowanie wniosków o usunięcie danych lub brak technicznej możliwości ich sprawnego usunięcia z kopii zapasowych chmury.

9. Praktyczny przykład wdrożenia procedury

Firma „Logos Sp. z o.o.” organizuje bezpłatne szkolenie dla partnerów biznesowych. Do rejestracji postanowiono wykorzystać Formularze Google. Firma posiada pakiet Google Workspace. Przed uruchomieniem formularza, Inspektor Ochrony Danych (IOD) w firmie przeprowadził analizę ryzyka, która wykazała niskie ryzyko dla praw uczestników, pod warunkiem zbierania jedynie imienia, nazwiska, nazwy firmy oraz adresu e-mail.

W formularzu, w sekcji opisowej, umieszczono pełną klauzulę informacyjną wskazującą „Logos Sp. z o.o.” jako administratora, cel przetwarzania (organizacja szkolenia) oraz podstawę prawną (niezbędność do wykonania umowy – art. 6 ust. 1 lit. b RODO). Dodano obowiązkowy checkbox potwierdzający zapoznanie się z klauzulą. Dostęp do arkusza z odpowiedziami przyznano wyłącznie jednemu pracownikowi działu marketingu, zabezpieczając jego konto weryfikacją dwuetapową (2FA). Po zakończeniu szkolenia i wysłaniu certyfikatów, dane z formularza i arkusza zostały trwale usunięte w terminie 30 dni od zakończenia wydarzenia. W przypadku jakiejkolwiek kontroli, firma „Logos” posiada pełną dokumentację potwierdzającą zgodność procesu z RODO.

10. Podsumowanie i wnioski końcowe

Formularze Google to niezwykle przydatne narzędzie, które przy zachowaniu odpowiednich procedur może być bezpiecznie i legalnie wykorzystywane w działalności gospodarczej i publicznej. Kluczem do pełnej zgodności z RODO jest świadomość, że odpowiedzialność za bezpieczeństwo danych zawsze spoczywa na administratorze, a nie na dostawcy narzędzia. Przejście na wersję Google Workspace, formalne zawarcie umowy powierzenia, rzetelne informowanie użytkowników oraz dbałość o bezpieczeństwo techniczne to fundamenty, które chronią organizację przed sankcjami ze strony organu nadzorczego. W przypadku skomplikowanych projektów lub zbierania danych o podwyższonym ryzyku, zawsze zaleca się skonsultowanie struktury formularza z Inspektorem Ochrony Danych lub wyspecjalizowanym prawnikiem.