RODO na stronie internetowej – co należy wiedzieć o obowiązku informacyjnym?

5 min

dwie osoby siedzą przed laptopem i rozmawiają na temat strony www

RODO, czyli Ogólne rozporządzenie o ochronie danych, to wiążący akt ustawodawstwa Unii Europejskiej stosowany na jej terytorium. Przepisy weszły w życie 24 maja 2016 roku, a ich celem było ujednolicenie ochrony danych osobowych we wszystkich państwach wspólnoty. Ustawa z 10 maja 2018 roku o ochronie danych osobowych dostosowuje do wymogów polski system prawny. Jak wygląda kwestia RODO w internecie i co administrator strony musi na ten temat wiedzieć?

RODO i polityka prywatności a obowiązek informacyjny

Obowiązki związane z wprowadzeniem RODO dotyczą nie tylko podmiotów publicznych, ale także przedsiębiorców, którzy gromadzą informacje umożliwiające ustalenie tożsamości ich klientów. Pozyskiwane oraz przetwarzane przez pracodawców dane pracowników, materiały zbierane i przechowywane przez placówki medyczne czy szkoły nie są jedynymi, które podlegają szczególnej ochronie. Obowiązek informowania o przetwarzaniu danych spoczywa również na administratorze strony internetowej. Obowiązujące przepisy związane z RODO w internecie mają swoje zastosowanie, kiedy dochodzi do zawarcia umowy sprzedaży w sklepie internetowym, przeglądamy bloga, zwracamy się z prośbą o przedstawienie interesującej oferty czy wypełniamy formularz kontaktowy. Jak zatem klauzula informacyjna zgodna z RODO powinna być przekazana na stronie internetowej? Czym jest polityka prywatności? Czy jest obowiązkowa? Ustalmy, na czym polega obowiązek informacyjny i jakie są rozwiązania w odniesieniu do pozyskiwania danych osobowych odbiorców i ich ochrony.

Administrator danych osobowych informuje użytkowników konkretnej strony internetowej o przetwarzaniu informacji, umożliwiających ustalenie ich tożsamości, za pośrednictwem klauzuli informacyjnej albo poprzez zamieszczenie na stronie polityki prywatności.

Polityka prywatności zawiera informację o tym, kto jest administratorem danych osobowych, w jaki sposób można skontaktować się z właścicielem witryny, a także czy platforma zbiera i wykorzystuje pliki cookies. Poza tym zamieszczone są w niej uwagi dotyczące: pobrania, a następnie przetwarzania danych, tego, w jaki sposób się to odbywa i na podstawie jakich przepisów. W polityce prywatności muszą znaleźć się też adnotacje o tym, jaki jest cel podejmowanych działań, do czego wykorzystywane są dane i czy następuje przekazywanie ich kolejnym podmiotom.

Ponadto administrator powinien zamieścić informacje o prawach odbiorców wynikających z RODO, a więc o możliwości sprostowania bądź usunięcia zgromadzonych danych czy ich modyfikacji. Warto wspomnieć także o rozszerzonym uprawnieniu do sprzeciwu wobec przetwarzania danych. Kolejną kwestią jest udzielenie informacji o tym, jak wygląda polityka bezpieczeństwa oraz podanie, jakie zabezpieczenia są stosowane celem ochrony danych, również tych poufnych.

Obowiązki właścicieli stron internetowych związane z informowaniem zgodnie z RODO

Obowiązek podania informacji, o tym, jakie dane są pobierane, po co i w jaki sposób będą przetwarzane, ciąży na administratorze witryny internetowej, a w praktyce – na przedsiębiorcy. Zazwyczaj przedsiębiorca pełni jednocześnie funkcję właściciela strony WWW. Musi on wówczas skutecznie poinformować swoich klientów o tym, jakie informacje są przez niego przetwarzane.

Niewywiązanie się z obowiązku informacyjnego przez przedsiębiorcę – podobnie jak nieodpowiednie zabezpieczenie chronionych danych – wiąże się z wysokimi karami finansowymi, które na administratorów nakłada Prezes Urzędu Ochrony Danych Osobowych. Ponadto administratorzy są również zobowiązani do niezwłocznego zgłoszenia odpowiednim organom naruszeń w związku z ochroną przetwarzanych danych, najpóźniej jednak w ciągu 72 godzin od momentu ich wykrycia.

Osoba, której dane zostały naruszone, ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Po przeprowadzeniu postępowania w sprawie właściwy organ nakazuje przywrócenie stanu zgodnego z prawem. Osoba poszkodowana, niezależnie od toczącego się postępowania, ma także możliwość żądania odszkodowania przed sądem cywilnym.

Czy wszystkie strony i sklepy internetowe muszą przestrzegać polityki prywatności?

Nie wszystkie strony i platformy internetowe są zobowiązane do stosowania polityki prywatności. Po pierwsze, obowiązek informacyjny, którego jedną z form realizacji jest polityka prywatności, dotyczy tylko tych podmiotów, które gromadzą i przetwarzają dane osobowe.

Po drugie, w obowiązującym prawie nie ma formalnego nakazu stosowania polityki prywatności – ułatwia ona jedynie odnalezienie w jednym miejscu wszystkich informacji dotyczących ochrony danych osobowych. Dzięki niej zawartość strony internetowej i przekazywane na niej informacje są bardziej przejrzyste, co przekłada się również na lepszą komunikację przedsiębiorcy z klientami.

Polityka prywatności nie jest obowiązkowym elementem witryny internetowej, a raczej popularnym standardem, za pomocą którego realizujemy obowiązek informacyjny – praktycznym rozwiązaniem zarówno dla administratora strony, jak i jej użytkowników. Warto podkreślić, iż jej treść nie musi zostać zamieszczona bezpośrednio na stronie internetowej. Może być opublikowana w innym miejscu, na przykład w formie osobnego pliku, do którego przekierowuje nas umieszczony w witrynie odsyłacz. Często stosowanym zabiegiem jest umieszczanie jej w regulaminie lub w oddzielnej zakładce.

Jakie dane osobowe mogą być pozyskiwane przez stronę?

Zakres pozyskiwanych danych różni się w zależności od tego, czy są pobierane bezpośrednio od osób, których dotyczą, czy też za pośrednictwem innych podmiotów. W obu przypadkach osoba, której dane są przetwarzane, powinna zostać poinformowana o prawach, jakie przysługują jej w związku z ochroną danych osobowych. Osoby, których dane zostały pozyskane pośrednio, powinny zostać poinformowane przez administratora danych osobowych o źródle pochodzenia informacji.

Najlepiej natychmiast informować o fakcie gromadzenia i przetwarzania danych. W sytuacji, kiedy podmiot pozyskał informacje w sposób pośredni, administrator jest zobowiązany do wypełnienia tego obowiązku w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od zebrania danych.

Danymi, na podstawie których możliwe jest jednoznaczne zidentyfikowanie konkretnej osoby, są nie tylko: imię i nazwisko, PESEL, adres e-mail i adres zamieszkania, ale także identyfikator internetowy. Najlepiej, aby zbierane były tylko informacje niezbędne do osiągnięcia konkretnego celu, dzięki czemu można ograniczyć ich ilość do minimum.

RODO na stronie internetowej – niezbędne klauzule

Polityka prywatności i klauzula informacyjna, chociaż obie dotyczą danych, różnią się od siebie. Klauzula informacyjna RODO na stronie internetowej może mieć zróżnicowaną formę, ponieważ nie istnieje określony wzór – RODO określa jedynie zawartość. Podobnie jak polityka prywatności, klauzula to dokument, który w przypadku stron internetowych ma postać elektroniczną. 

Zarówno jedna, jak i druga jest formą udokumentowania wypełnienia obowiązku informacyjnego. Polityka prywatności zawiera wszystkie informacje związane z ochroną danych osobowych na danej stronie. To  odróżnienia ją od klauzuli, która dotyczy konkretnego zagadnienia (oznaczony cel – oznaczona klauzula). Wyróżniamy zatem klauzulę plików cookies czy klauzulę, w której za pośrednictwem formularza możliwe jest wyrażenie zgody na zapisanie się do newslettera.

Klauzula musi być zrozumiała dla odbiorcy, napisana w sposób przejrzysty i zwięzły i powinna ułatwiać użytkownikom podjęcie właściwej decyzji w związku udostępnianiem danych. Wyrażone przez nich zgody powinny być świadome i dobrowolne. Język, którym posługuje się administrator, nie może być zatem zawiły. Zapoznaj się z tabelą poniżej, w której znajdziesz podsumowanie, co powinna zawierać polityka prywatności mająca realizować obowiązek informacyjny. Potraktuj ją jako checklistę:

Polityka prywatności realizująca obowiązek informacyjny powinna zawierać
  • Informacje ogólne (tożsamość Administratora Danych Osobowych, danych kontaktowych oraz Inspektora Ochrony Danych)
  • Kategorie osób, których dane osobowe są przetwarzane
  • Cele i podstawy przetwarzania danych osobowych
  • Informacje dotyczące profilowania danych osobowych
  • Okres przechowywania danych osobowych
  • Informacje o tym, komu dane osobowe mogą być przekazywane
  • Przekazywanie danych osobowych poza Europejski Obszar Gospodarczy (EOG)
  • Informacje, jak chronione są dane osobowe
  • Informacje o obowiązku podania danych osobowych do realizacji określonych celów
  • Prawa związane z przetwarzaniem danych osobowych
  • Informacja o możliwości wycofania udzielonej zgody (jeśli dane przetwarzane są na podstawie zgody)
  • Informacje o stosowanych technologiach

Aktualizowanie polityki prywatności na stronie internetowej

Polityka prywatności musi być aktualizowana za każdym razem, kiedy dochodzi do zmian w zakresie gromadzenia i przetwarzania danych na stronie internetowej. Pozostawienie w witrynie informacji nieaktualnych powoduje, iż administrator zaniedbuje kwestię rzetelnego wypełnienia obowiązku informacyjnego, co wiąże się z karami finansowymi.

Ponadto administratorzy danych osobowych aktualizują swoje polityki prywatności także w związku z nowelizacjami w prawie ochrony danych osobowych. Zgodność postanowień polityki prywatności z aktualnie obowiązującymi przepisami jest niezbędna do tego, aby uznać taki dokument za istotny.

RODO a pliki cookies – czy zgoda jest obowiązkowa w każdym wypadku?

Pliki cookies to pliki tekstowe umieszczane na urządzeniu podczas przeglądania witryn internetowych. Chociaż wydają się nieszkodliwe, mogą wykorzystywać dane osobowe użytkowników, które z kolei podlegają ochronie. 

Pliki cookies dzielimy na:

  • tymczasowe (wygasają po zamknięciu przeglądarki), 
  • trwałe
  • własne (pochodzące z odwiedzanej strony) i stron trzecich. 

Ponadto wyróżniamy ciasteczka obowiązkowe, na które zgoda nie jest wymagana, ponieważ administrator strony instaluje je na urządzeniu użytkownika w ramach swojego uzasadnionego interesu (np. są to ciasteczka niezbędne do prawidłowego wyświetlania elementów strony). Pozostałe cookies, jak marketingowe, analityczne, statystyczne, funkcjonalne itd. wymagają zgody użytkownika.

W dobie szeroko rozpowszechnionego profilowania i śledzenia ruchów w sieci wymóg posiadania świadomie wyrażonej zgody na ciasteczka wydaje się sensowny. Mimo tego korzystanie z serwisu internetowego nie powinno być uzależnione od akceptacji tychże plików. Wykorzystywanie nowych technologii, takich jak na przykład Google Analytics, daje wiele możliwości, ale zarazem niesie ze sobą liczne zagrożenia. Potrzeba kontroli i prawnej ochrony informacji umożliwiających ustalenie tożsamości konkretnych osób jest zatem uzasadniona.

Czy ten artykuł był przydatny?
średnia: 0 | 0 ocen

Przeglądaj tematy

  • #na startwięcej artykułów z tagiem:#na start
  • #bizneswięcej artykułów z tagiem:#biznes
  • #podatkiwięcej artykułów z tagiem:#podatki
  • #marketingwięcej artykułów z tagiem:#marketing
  • #prawowięcej artykułów z tagiem:#prawo
  • #strategiawięcej artykułów z tagiem:#strategia
  • #pracownicywięcej artykułów z tagiem:#pracownicy
  • #księgowośćwięcej artykułów z tagiem:#księgowość
  • #wideowięcej artykułów z tagiem:#wideo
  • #finansowaniewięcej artykułów z tagiem:#finansowanie
  • #sprzedażwięcej artykułów z tagiem:#sprzedaż
  • #ekowięcej artykułów z tagiem:#eko
  • #markawięcej artykułów z tagiem:#marka
  • #ESGwięcej artykułów z tagiem:#ESG
  • #pomysł na bizneswięcej artykułów z tagiem:#pomysł na biznes
  • #e-commercewięcej artykułów z tagiem:#e-commerce
  • #zmiany w prawiewięcej artykułów z tagiem:#zmiany w prawie
  • #wsparcie dla firmwięcej artykułów z tagiem:#wsparcie dla firm
  • #internetwięcej artykułów z tagiem:#internet
  • #automatyzacjawięcej artykułów z tagiem:#automatyzacja
  • #przewodnikwięcej artykułów z tagiem:#przewodnik
  • #AIwięcej artykułów z tagiem:#AI
  • #samodzielna księgowośćwięcej artykułów z tagiem:#samodzielna księgowość
  • #SEOwięcej artykułów z tagiem:#SEO
  • #ZUSwięcej artykułów z tagiem:#ZUS
  • #leasingwięcej artykułów z tagiem:#leasing
  • #service designwięcej artykułów z tagiem:#service design
  • #instrukcjawięcej artykułów z tagiem:#instrukcja
  • #dokumentywięcej artykułów z tagiem:#dokumenty
  • #oszczędnościwięcej artykułów z tagiem:#oszczędności
  • #kredytwięcej artykułów z tagiem:#kredyt
  • #RODOwięcej artykułów z tagiem:#RODO
  • #fakturywięcej artykułów z tagiem:#faktury
  • #bankowośćwięcej artykułów z tagiem:#bankowość
  • #dotacjewięcej artykułów z tagiem:#dotacje
  • #technologiewięcej artykułów z tagiem:#technologie
  • #ITwięcej artykułów z tagiem:#IT
  • #google analyticswięcej artykułów z tagiem:#google analytics
  • #kontrahentwięcej artykułów z tagiem:#kontrahent
  • #media społecznościowewięcej artykułów z tagiem:#media społecznościowe
  • #ochrona środowiskawięcej artykułów z tagiem:#ochrona środowiska
  • #podcastwięcej artykułów z tagiem:#podcast
  • #Polski Ładwięcej artykułów z tagiem:#Polski Ład
  • #umowywięcej artykułów z tagiem:#umowy
  • #analizawięcej artykułów z tagiem:#analiza
  • #ubezpieczeniewięcej artykułów z tagiem:#ubezpieczenie
  • #faktoringwięcej artykułów z tagiem:#faktoring
  • #badaniewięcej artykułów z tagiem:#badanie
  • #długiwięcej artykułów z tagiem:#długi
  • #USwięcej artykułów z tagiem:#US
  • #konkurencjawięcej artykułów z tagiem:#konkurencja
  • #wynagrodzeniawięcej artykułów z tagiem:#wynagrodzenia
  • #CEIDGwięcej artykułów z tagiem:#CEIDG
  • #inwestycjewięcej artykułów z tagiem:#inwestycje
  • #urlopywięcej artykułów z tagiem:#urlopy
  • #płynność finansowawięcej artykułów z tagiem:#płynność finansowa
  • #webinarwięcej artykułów z tagiem:#webinar
  • #zdolność kredytowawięcej artykułów z tagiem:#zdolność kredytowa
  • #zakupywięcej artykułów z tagiem:#zakupy
  • #REGONwięcej artykułów z tagiem:#REGON
  • #kosztywięcej artykułów z tagiem:#koszty
  • #współpracawięcej artykułów z tagiem:#współpraca
  • #SEMwięcej artykułów z tagiem:#SEM
  • #gwarancjawięcej artykułów z tagiem:#gwarancja