Polityka Prywatności na stronie internetowej

Rozporządzenie obowiązuje od 25 maja 2018 roku i ma na celu ujednoliceniu prawa dotyczącego ochrony danych osobowych w Europie. Jeśli dana firma lub organizacja rozporządza danymi osobowymi to podlega postanowieniom RODO i musi stosować się ich zasad.

Co to jest RODO?

Jednak, aby lepiej zrozumieć czym jest RODO, należy najpierw zapoznać się z definicją danych osobowych. Co wchodzi w ich skład? Są to przede wszystkim:

• Imię i nazwisko,
• Numer PESEL,
• E‑mail/numer IP,
• Dane o lokalizacji,
• Dane dotyczące zdrowia, poglądów politycznych, orientacji seksualnej,
• Inne dane, które mogą przyczynić się do naszej identyfikacji.

Z punktu widzenia właściciela strony internetowej najczęściej przetwarzane dane osobowe to: imię i nazwisko, numer telefonu, e‑mail oraz numer IP, ale np. w przypadku sklepów internetowych zakres danych jest znacznie szerszy.

Jak mogą zostać wykorzystane dane osobowe?

Śledząc kroki danej osoby w Internecie np. na podstawie adresu IP i mechanizmu plików cookies, można dowiedzieć się jakie produkty chętnie kupuje, czym się interesuje, jaki jest stan jej zdrowia. Dane te mogą zostać wykorzystane do celów sprzedażowych, czy też medycznych. Z pozoru wydaje się to niegroźne jednak w niektórych przypadkach nie jest to takie oczywiste. Serwisy internetowe mogłyby zbierać o nas informacje i tworzyć profil naszej osoby, na podstawie tego w co klikamy. Można sobie wyobrazić że serwisy internetowe mogłaby sprzedawać te dane np. firmom ubezpieczeniowym, bankom itd. Jest to oczywiście tylko jeden z przykładów.

Kogo obowiązuje Rozporządzenie o Ochronie Danych Osobowych?

Co do zasad RODO muszą stosować się firmy i przedsiębiorstwa, które przetwarzają dane osobowe swoich klientów, czy też użytkowników. Ochrona dotyczy wszystkich unijnych obywateli, którzy umyślnie lub nieumyślnie odwiedzają dowolne witryny internetowe.

Jakie obowiązki nałożone są na firmy w związku z RODO?

Rozporządzenie nakłada szereg obowiązków, do których należą m.in:

• Obowiązek informacyjny m.in. co do celu oraz sposobu przetwarzania danych tzw. Polityka Prywatności.
• Uzyskanie zgody na przetwarzanie i wykorzystanie danych osobowych.
• Umożliwienie wglądu, dokonania zmian jak również usunięcia danych osobowych.
• Prawidłowe zabezpieczenie przechowywanych danych osobowych.
• Stosowania zasady, zgodnie z którą można przechowywać tylko dane niezbędne do wykonania danej operacji.
• Obowiązek informacyjny, zgodnie z którym należy w ciągu 72 godzin od zdarzenia, które zagraża ochronie danych osobowych.
• Przedstawienie dokumentacji potwierdzającej przestrzeganie prawa na żądanie organu nadzorczego.
• Składowanie dokumentów potwierdzających wyrażenie zgody na przetwarzanie danych osobowych – kto, kiedy, w jakim zakresie?

Kiedy pozyskujemy i przetwarzamy dane osobowe?

Praktycznie każda strona internetowa posiada formularz kontaktowy lub też umożliwia nawiązanie kontaktu z klientem lub użytkownikiem. Oznacza to, że właściciel strony internetowej przetwarza pozyskane w ten sposób dane, a tym samym właściciel musi stosować się do RODO.

Przykłady pozyskania danych osobowych na stronie internetowej:

• korzystaniem z formularza kontaktowego,
• stosowanie mechanizmu cookies,
• zapisanie się do newslettera,
• prośbą o przedstawienie oferty,
• zawarcie umowy,
• złożenie zamówienia i zakup produktu,
• umieszczenie komentarza pod wpisem na blogu.

Może się też zdarzyć, że właściciel strony internetowej może naruszać rozporządzenie, przekazując w sposób nieświadomy, dane osobowe w postaci adresu IP do firm poza Europejski Obszar Gospodarczy np. wykorzystując czcionki pobierane bezpośrednio z serwerów Google. W europejskich sądach zapadły już wyroki skazujące na karę grzywny właścicieli takich stron internetowych.

Najważniejsze elementy Polityki Prywatności

Właściciel strony internetowej samodzielnie ustala w jakim celu oraz w jaki sposób przetwarza dane osobowe stając się administratorem danych osobowych, a rozporządzenie o RODO nakłada na niego wiele obowiązków w tym obowiązek informacyjny. Umieszczenie Polityki Prywatności w serwisie internetowym jest jednym z wymogów realizacji tego obowiązku.

Lista informacji, która powinna znaleźć się w Polityce Prywatności wynika z art. 13 RODO. Do najważniejszych należą:

• Tożsamość oraz dane kontaktowe administratora danych osobowych.
• Dane inspektora danych osobowych, o ile administrator danych osobowych powołał kogoś na to stanowisko.
• Poinformowanie o prawach przysługujących osobie, której dane osobowe zostały pozyskane.
• Cele przetwarzania danych oraz podstawę prawną ich przetwarzania.
• Informacja o okresie przechowywania danych.
• Informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy.
• Informacja o odbiorcach danych, którym dane mogą być przekazywane.
• Jeżeli przedsiębiorca chce przekazać dane poza Europejski Obszar Gospodarczy, to powinien umieścić również odpowiednią informację o tym fakcie.

Jak spełnić obowiązek informacyjny na stronie internetowej?

Po pierwsze na stronie powinna być dostępna dla użytkowników jasna i przejrzysta Polityka Prywatności. Dodatkowo administrator danych osobowych powinien spełnić obowiązek informacyjny w momencie pozyskania danych osobowych. W przypadku formularza kontaktowego będzie to dodatkowe pole, które należy zaznaczyć w celu potwierdzenia zapoznania się z Polityką Prywatności.

Podsumowanie

Spełnienie obowiązku informacyjnego poprzez umieszczenie Polityki Prywatności na stronie internetowej to tylko jeden z obowiązków jakie nakłada na właścicieli stron internetowych RODO. Administrator zobowiązany jest również do wprowadzenia licznych procedur, które zapewnią bezpieczeństwo przetwarzania danych osobowych.