RODO na stronie internetowej – co należy wiedzieć o obowiązku informacyjnym?
- RODO i polityka prywatności a obowiązek informacyjny
- Obowiązki właścicieli stron internetowych związane z informowaniem zgodnie z RODO
- Czy wszystkie strony i sklepy internetowe muszą przestrzegać polityki prywatności?
- Jakie dane osobowe mogą być pozyskiwane przez stronę?
- RODO na stronie internetowej – niezbędne klauzule
- Aktualizowanie polityki prywatności na stronie internetowej
- RODO a pliki cookies – czy zgoda jest obowiązkowa w każdym wypadku?
RODO, czyli Ogólne rozporządzenie o ochronie danych, to wiążący akt ustawodawstwa Unii Europejskiej stosowany na jej terytorium. Przepisy weszły w życie 24 maja 2016 roku, a ich celem było ujednolicenie ochrony danych osobowych we wszystkich państwach wspólnoty. Ustawa z 10 maja 2018 roku o ochronie danych osobowych dostosowuje do wymogów polski system prawny. Jak wygląda kwestia RODO w internecie i co administrator strony musi na ten temat wiedzieć?
RODO i polityka prywatności a obowiązek informacyjny
Obowiązki związane z wprowadzeniem RODO dotyczą nie tylko podmiotów publicznych, ale także przedsiębiorców, którzy gromadzą informacje umożliwiające ustalenie tożsamości ich klientów. Pozyskiwane oraz przetwarzane przez pracodawców dane pracowników, materiały zbierane i przechowywane przez placówki medyczne czy szkoły nie są jedynymi, które podlegają szczególnej ochronie. Obowiązek informowania o przetwarzaniu danych spoczywa również na administratorze strony internetowej. Obowiązujące przepisy związane z RODO w internecie mają swoje zastosowanie, kiedy dochodzi do zawarcia umowy sprzedaży w sklepie internetowym, przeglądamy bloga, zwracamy się z prośbą o przedstawienie interesującej oferty czy wypełniamy formularz kontaktowy. Jak zatem klauzula informacyjna zgodna z RODO powinna być przekazana na stronie internetowej? Czym jest polityka prywatności? Czy jest obowiązkowa? Ustalmy, na czym polega obowiązek informacyjny i jakie są rozwiązania w odniesieniu do pozyskiwania danych osobowych odbiorców i ich ochrony.
Administrator danych osobowych informuje użytkowników konkretnej strony internetowej o przetwarzaniu informacji, umożliwiających ustalenie ich tożsamości, za pośrednictwem klauzuli informacyjnej albo poprzez zamieszczenie na stronie polityki prywatności.
Polityka prywatności zawiera informację o tym, kto jest administratorem danych osobowych, w jaki sposób można skontaktować się z właścicielem witryny, a także czy platforma zbiera i wykorzystuje pliki cookies. Poza tym zamieszczone są w niej uwagi dotyczące: pobrania, a następnie przetwarzania danych, tego, w jaki sposób się to odbywa i na podstawie jakich przepisów. W polityce prywatności muszą znaleźć się też adnotacje o tym, jaki jest cel podejmowanych działań, do czego wykorzystywane są dane i czy następuje przekazywanie ich kolejnym podmiotom.
Ponadto administrator powinien zamieścić informacje o prawach odbiorców wynikających z RODO, a więc o możliwości sprostowania bądź usunięcia zgromadzonych danych czy ich modyfikacji. Warto wspomnieć także o rozszerzonym uprawnieniu do sprzeciwu wobec przetwarzania danych. Kolejną kwestią jest udzielenie informacji o tym, jak wygląda polityka bezpieczeństwa oraz podanie, jakie zabezpieczenia są stosowane celem ochrony danych, również tych poufnych.
Obowiązki właścicieli stron internetowych związane z informowaniem zgodnie z RODO
Obowiązek podania informacji, o tym, jakie dane są pobierane, po co i w jaki sposób będą przetwarzane, ciąży na administratorze witryny internetowej, a w praktyce – na przedsiębiorcy. Zazwyczaj przedsiębiorca pełni jednocześnie funkcję właściciela strony WWW. Musi on wówczas skutecznie poinformować swoich klientów o tym, jakie informacje są przez niego przetwarzane.
Niewywiązanie się z obowiązku informacyjnego przez przedsiębiorcę – podobnie jak nieodpowiednie zabezpieczenie chronionych danych – wiąże się z wysokimi karami finansowymi, które na administratorów nakłada Prezes Urzędu Ochrony Danych Osobowych. Ponadto administratorzy są również zobowiązani do niezwłocznego zgłoszenia odpowiednim organom naruszeń w związku z ochroną przetwarzanych danych, najpóźniej jednak w ciągu 72 godzin od momentu ich wykrycia.
Osoba, której dane zostały naruszone, ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Po przeprowadzeniu postępowania w sprawie właściwy organ nakazuje przywrócenie stanu zgodnego z prawem. Osoba poszkodowana, niezależnie od toczącego się postępowania, ma także możliwość żądania odszkodowania przed sądem cywilnym.
Czy wszystkie strony i sklepy internetowe muszą przestrzegać polityki prywatności?
Nie wszystkie strony i platformy internetowe są zobowiązane do stosowania polityki prywatności. Po pierwsze, obowiązek informacyjny, którego jedną z form realizacji jest polityka prywatności, dotyczy tylko tych podmiotów, które gromadzą i przetwarzają dane osobowe.
Po drugie, w obowiązującym prawie nie ma formalnego nakazu stosowania polityki prywatności – ułatwia ona jedynie odnalezienie w jednym miejscu wszystkich informacji dotyczących ochrony danych osobowych. Dzięki niej zawartość strony internetowej i przekazywane na niej informacje są bardziej przejrzyste, co przekłada się również na lepszą komunikację przedsiębiorcy z klientami.
Polityka prywatności nie jest obowiązkowym elementem witryny internetowej, a raczej popularnym standardem, za pomocą którego realizujemy obowiązek informacyjny – praktycznym rozwiązaniem zarówno dla administratora strony, jak i jej użytkowników. Warto podkreślić, iż jej treść nie musi zostać zamieszczona bezpośrednio na stronie internetowej. Może być opublikowana w innym miejscu, na przykład w formie osobnego pliku, do którego przekierowuje nas umieszczony w witrynie odsyłacz. Często stosowanym zabiegiem jest umieszczanie jej w regulaminie lub w oddzielnej zakładce.
Jakie dane osobowe mogą być pozyskiwane przez stronę?
Zakres pozyskiwanych danych różni się w zależności od tego, czy są pobierane bezpośrednio od osób, których dotyczą, czy też za pośrednictwem innych podmiotów. W obu przypadkach osoba, której dane są przetwarzane, powinna zostać poinformowana o prawach, jakie przysługują jej w związku z ochroną danych osobowych. Osoby, których dane zostały pozyskane pośrednio, powinny zostać poinformowane przez administratora danych osobowych o źródle pochodzenia informacji.
Najlepiej natychmiast informować o fakcie gromadzenia i przetwarzania danych. W sytuacji, kiedy podmiot pozyskał informacje w sposób pośredni, administrator jest zobowiązany do wypełnienia tego obowiązku w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od zebrania danych.
Danymi, na podstawie których możliwe jest jednoznaczne zidentyfikowanie konkretnej osoby, są nie tylko: imię i nazwisko, PESEL, adres e-mail i adres zamieszkania, ale także identyfikator internetowy. Najlepiej, aby zbierane były tylko informacje niezbędne do osiągnięcia konkretnego celu, dzięki czemu można ograniczyć ich ilość do minimum.
RODO na stronie internetowej – niezbędne klauzule
Polityka prywatności i klauzula informacyjna, chociaż obie dotyczą danych, różnią się od siebie. Klauzula informacyjna RODO na stronie internetowej może mieć zróżnicowaną formę, ponieważ nie istnieje określony wzór – RODO określa jedynie zawartość. Podobnie jak polityka prywatności, klauzula to dokument, który w przypadku stron internetowych ma postać elektroniczną.
Zarówno jedna, jak i druga jest formą udokumentowania wypełnienia obowiązku informacyjnego. Polityka prywatności zawiera wszystkie informacje związane z ochroną danych osobowych na danej stronie. To odróżnienia ją od klauzuli, która dotyczy konkretnego zagadnienia (oznaczony cel – oznaczona klauzula). Wyróżniamy zatem klauzulę plików cookies czy klauzulę, w której za pośrednictwem formularza możliwe jest wyrażenie zgody na zapisanie się do newslettera.
Klauzula musi być zrozumiała dla odbiorcy, napisana w sposób przejrzysty i zwięzły i powinna ułatwiać użytkownikom podjęcie właściwej decyzji w związku udostępnianiem danych. Wyrażone przez nich zgody powinny być świadome i dobrowolne. Język, którym posługuje się administrator, nie może być zatem zawiły. Zapoznaj się z tabelą poniżej, w której znajdziesz podsumowanie, co powinna zawierać polityka prywatności mająca realizować obowiązek informacyjny. Potraktuj ją jako checklistę:
| Polityka prywatności realizująca obowiązek informacyjny powinna zawierać |
|---|
|
|
|
|
|
|
|
|
|
|
|
|
Aktualizowanie polityki prywatności na stronie internetowej
Polityka prywatności musi być aktualizowana za każdym razem, kiedy dochodzi do zmian w zakresie gromadzenia i przetwarzania danych na stronie internetowej. Pozostawienie w witrynie informacji nieaktualnych powoduje, iż administrator zaniedbuje kwestię rzetelnego wypełnienia obowiązku informacyjnego, co wiąże się z karami finansowymi.
Ponadto administratorzy danych osobowych aktualizują swoje polityki prywatności także w związku z nowelizacjami w prawie ochrony danych osobowych. Zgodność postanowień polityki prywatności z aktualnie obowiązującymi przepisami jest niezbędna do tego, aby uznać taki dokument za istotny.
RODO a pliki cookies – czy zgoda jest obowiązkowa w każdym wypadku?
Pliki cookies to pliki tekstowe umieszczane na urządzeniu podczas przeglądania witryn internetowych. Chociaż wydają się nieszkodliwe, mogą wykorzystywać dane osobowe użytkowników, które z kolei podlegają ochronie.
Pliki cookies dzielimy na:
- tymczasowe (wygasają po zamknięciu przeglądarki),
- trwałe
- własne (pochodzące z odwiedzanej strony) i stron trzecich.
Ponadto wyróżniamy ciasteczka obowiązkowe, na które zgoda nie jest wymagana, ponieważ administrator strony instaluje je na urządzeniu użytkownika w ramach swojego uzasadnionego interesu (np. są to ciasteczka niezbędne do prawidłowego wyświetlania elementów strony). Pozostałe cookies, jak marketingowe, analityczne, statystyczne, funkcjonalne itd. wymagają zgody użytkownika.
W dobie szeroko rozpowszechnionego profilowania i śledzenia ruchów w sieci wymóg posiadania świadomie wyrażonej zgody na ciasteczka wydaje się sensowny. Mimo tego korzystanie z serwisu internetowego nie powinno być uzależnione od akceptacji tychże plików. Wykorzystywanie nowych technologii, takich jak na przykład Google Analytics, daje wiele możliwości, ale zarazem niesie ze sobą liczne zagrożenia. Potrzeba kontroli i prawnej ochrony informacji umożliwiających ustalenie tożsamości konkretnych osób jest zatem uzasadniona.
Polecamy
- Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczejczas czytania6minutyartykuł zawiera załącznik30.11.2022RODO w jednoosobowej działalności gospodarczej – czy należy go przestrzegać? Tak! Dowiedz się więcej.6min
- Dyrektywa Omnibus, czyli obowiązek informowania o cenach. Jak wygląda w praktyce?czas czytania8minuty04.07.2023Zajmujesz się sprzedażą? W takim razie musisz działać zgodnie z nowymi przepisami. Sprawdź, co trzeba o nich wiedzieć!
- Od 2023 r. będziesz mieć tylko 14 dni na rozpatrzenie reklamacji – zmiany w prawach konsumentaczas czytania3minuty28.12.2022Rok 2023 przynosi sporo zmian w prawach konsumenta. Czego możemy się spodziewać?