Wejście w dniu 28 maja 2018 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) wymusza dodanie RODO do strony internetowej i przeredagowanie treści polityk prywatności na bardziej szczegółowe. Nie mamy w Polsce przepisów prawnych wprowadzających RODO więc należy skupić się na podstawie prawnej wprost z prawa UE.

Aktualizacja 13.05.2021: RODO a strona www

Rozwój technologii internetowych od wprowadzenia RODO (2018) znacząco przyśpieszył. Dziś właściciele stron internetowych i sklepów www mają możliwości wdrożenia systemu RODO w profesjonalny sposób i atrakcyjnej cenie. Zaletą zlecenia wdrożenia RODO na stronę internetową czy sklep internetowy firmie zewnętrznej – jest możliwość przeniesienia odpowiedzialności za działanie systemu. 

Poprawnie wdrożony system RODO na stronie internetowej pozwala na wybór odwiedzającym stronę internetową – jakie treści jako właściciel strony pozwalamy przetwarzać. Poniżej przykład prawidłowo wdrożonego systemu do zarządzania polityką prywatności RODO na stronie internetowej:

Jeśli są Państwo zainteresowani wdrożeniem systemu RODO na swojej stronie internetowej – zapraszamy do kontaktu! 

Podstawa prawna RODO dla stron www

Na wstępie należy przytoczyć podstawę prawną, przykładową poniżej:
“Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), informujemy”

Administrator Danych Osobowych

Nałożony jest obowiązek podania danych adresowych firmy która jest właścicielem strony internetowej.  Formuła prawna może wyglądać tak:
“Administratorem Pani/Pana danych osobowych jest firma ……………………………….. z siedzibą w ……………….., ul. …………………, kod pocztowy ……………, adres e-mail: ……………………, tel. ……………………… “

Inspektor Ochrony Danych

W sytuacji, gdy trzeba powołać inspektora ochrony danych, dotyczy to głównie sytuacji, gdy przetwarzamy dane osobowe wrażliwe. W większości przypadków inspektorem ochrony danych jest właściciel firmy. W instytucjach i w dużych firmach najlepiej jest przekierować te obowiązki na konkretną osobę. Wtedy wystarczy następująca formuła: “Inspektorem danych osobowych w firmie……………….. jest Pani/Pan ……………….., ul. ……………….., ……………….., adres e-mail: ……………………., tel. ……………………… “

Cel i interes

W większości przypadków na stronach internetowych jest prowadzony marketing bezpośredni. To niesie ze sobą konieczność poinformowania w klauzuli informacyjnej w odniesieniu do podstawy prawnej na temat celu w jakim przetwarzane są dane osobowe. W tym momencie trzeba zwrócić uwagę, że wizyty na stronach internetowych powodują, iż klienci mogą być profilowani bądź poddani remarketingowi. Należy poinformować o tym w klauzuli. Przykładowa formuła może wyglądać tak:
“Przetwarzanie Pani/Pana danych osobowych będzie się odbywać na podstawie art. 6 RODO i w celu marketingowym Administrator powołuje się na prawnie uzasadniony interes, którym jest zbieranie danych statystycznych i analizowanie ruchu na stronie internetowej.”

Dobrowolne wyrażenie zgody poprzez ustawienia przeglądarki

Natomiast gdy na stronie internetowej wdrażamy narzędzia analityczne, to istnieje obowiązek prawny podania nazwy dostawcy i technologii jaka jest używana. W praktyce warto pisać prostym językiem do czego dana technologia jest używana na stronie. Przykładem może być:
“Podanie danych osobowych na stronie internetowej ……….. jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Mam wpływ na przeglądarkę internetową i jej ustawienia. Odbiorcami danych osobowych mogą być Google, Facebook, Call Page, Tawk. Mam prawo wycofania zgody w dowolnym momencie poprzez zmianę ustawień w przeglądarce. Dane osobowe będą przetwarzane i przechowywane w zależności od okresu używania technologii. Mam prawo zażądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania tych danych, a także prawo wniesienia skargi do organu nadzorczego. Profilowanie używane jest w Google Analytics, Google AdWords, Facebook Pixel. W sytuacji wniesienia sprzeciwu wobec profilowania, prosimy zoptymalizować odpowiednio przeglądarkę.„

Jest obowiązek napisania wprost do kogo należy się zwrócić w sprawie przetwarzania danych osobowych.
„W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych. Sposoby kontaktu z inspektorem ochrony danych w firmie ……………….. z siedzibą w ……………….., to: adres korespondencyjny ……………….., adres e-mail: ……………….., tel. ……………….., formularz kontaktowy dostępny na stronie ……………….., infolinia ………………..”

Czas przetwarzania danych osobowych

Istnieje też obowiązek podania przez jaki czas dane osobowe będą przetwarzane. Tutaj wystarczy klauzula ogólna.
“Pani/Pana dane osobowe będą przechowywane przez okres od 30 dni do 5 lat do czasu wykorzystywania możliwości marketingowych i analizy danych potrzebnych do prowadzenia działalności gospodarczej”.

Prawa użytkownika strony internetowej

Następnym ważnym elementem jest podanie praw użytkownika strony internetowej
“Posiada Pani/Pan prawo dostępu do treści swoich danych osobowych, prawo do ich sprostowania, usunięcia, jak i również prawo do ograniczenia ich przetwarzania/ prawo do cofnięcia zgody, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych osobowych. Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego, jeśli Pani/Pana zdaniem, przetwarzanie danych osobowych Pani/Pana – narusza przepisy unijnego rozporządzenia RODO. “

Wnioski

Klauzule informacyjne to tylko spełnienie obowiązku informacyjnego na stronie internetowej. Do tej pory w stopkach stron internetowych były linki do polityki cookies, albo do polityki prywatności. RODO łączy politykę cookies z polityką prywatności. I wymaga jawnej deklaracji zgody na stronie internetowej, w przypadku gdy na stronie internetowej dochodzi do profilowania czy remarketingu.  Natomiast kwestie bezpieczeństwa strony internetowej musi opracować właściciel strony internetowej, w oparciu o współpracę z agencją interaktywną lub software house. Jest to wewnętrzny dokument tzw. oceny ryzyka który opisuje procesy które realizuje strona internetowa i podaje przykłady co robić w razie zagrożenia.