Polityka Prywatności na stronie internetowej
Rozporządzenie obowiązuje od 25 maja 2018 roku i ma na celu ujednoliceniu prawa dotyczącego ochrony danych osobowych w Europie. Jeśli dana firma lub organizacja rozporządza danymi osobowymi to podlega postanowieniom RODO i musi stosować się ich zasad.
Co to jest RODO?
Jednak, aby lepiej zrozumieć czym jest RODO, należy najpierw zapoznać się z definicją danych osobowych. Co wchodzi w ich skład? Są to przede wszystkim:
- Imię i nazwisko,
- Numer PESEL,
- E‑mail/numer IP,
- Dane o lokalizacji,
- Dane dotyczące zdrowia, poglądów politycznych, orientacji seksualnej,
- Inne dane, które mogą przyczynić się do naszej identyfikacji.
Z punktu widzenia właściciela strony internetowej najczęściej przetwarzane dane osobowe to: imię i nazwisko, numer telefonu, e‑mail oraz numer IP, ale np. w przypadku sklepów internetowych zakres danych jest znacznie szerszy.
Jak mogą zostać wykorzystane dane osobowe?
Śledząc kroki danej osoby w Internecie np. na podstawie adresu IP i mechanizmu plików cookies, można dowiedzieć się jakie produkty chętnie kupuje, czym się interesuje, jaki jest stan jej zdrowia. Dane te mogą zostać wykorzystane do celów sprzedażowych, czy też medycznych. Z pozoru wydaje się to niegroźne jednak w niektórych przypadkach nie jest to takie oczywiste. Serwisy internetowe mogłyby zbierać o nas informacje i tworzyć profil naszej osoby, na podstawie tego w co klikamy. Można sobie wyobrazić że serwisy internetowe mogłaby sprzedawać te dane np. firmom ubezpieczeniowym, bankom itd. Jest to oczywiście tylko jeden z przykładów.
Kogo obowiązuje Rozporządzenie o Ochronie Danych Osobowych?
Co do zasad RODO muszą stosować się firmy i przedsiębiorstwa, które przetwarzają dane osobowe swoich klientów, czy też użytkowników. Ochrona dotyczy wszystkich unijnych obywateli, którzy umyślnie lub nieumyślnie odwiedzają dowolne witryny internetowe.
Jakie obowiązki nałożone są na firmy w związku z RODO?
Rozporządzenie nakłada szereg obowiązków, do których należą m.in:
- Obowiązek informacyjny m.in. co do celu oraz sposobu przetwarzania danych tzw. Polityka Prywatności.
- Uzyskanie zgody na przetwarzanie i wykorzystanie danych osobowych.
- Umożliwienie wglądu, dokonania zmian jak również usunięcia danych osobowych.
- Prawidłowe zabezpieczenie przechowywanych danych osobowych.
- Stosowania zasady, zgodnie z którą można przechowywać tylko dane niezbędne do wykonania danej operacji.
- Obowiązek informacyjny, zgodnie z którym należy w ciągu 72 godzin od zdarzenia, które zagraża ochronie danych osobowych.
- Przedstawienie dokumentacji potwierdzającej przestrzeganie prawa na żądanie organu nadzorczego.
- Składowanie dokumentów potwierdzających wyrażenie zgody na przetwarzanie danych osobowych – kto, kiedy, w jakim zakresie?
Kiedy pozyskujemy i przetwarzamy dane osobowe?
Praktycznie każda strona internetowa posiada formularz kontaktowy lub też umożliwia nawiązanie kontaktu z klientem lub użytkownikiem. Oznacza to, że właściciel strony internetowej przetwarza pozyskane w ten sposób dane, a tym samym właściciel musi stosować się do RODO.
Przykłady pozyskania danych osobowych na stronie internetowej:
- korzystaniem z formularza kontaktowego,
- stosowanie mechanizmu cookies,
- zapisanie się do newslettera,
- prośbą o przedstawienie oferty,
- zawarcie umowy,
- złożenie zamówienia i zakup produktu,
- umieszczenie komentarza pod wpisem na blogu.
Może się też zdarzyć, że właściciel strony internetowej może naruszać rozporządzenie, przekazując w sposób nieświadomy, dane osobowe w postaci adresu IP do firm poza Europejski Obszar Gospodarczy np. wykorzystując czcionki pobierane bezpośrednio z serwerów Google. W europejskich sądach zapadły już wyroki skazujące na karę grzywny właścicieli takich stron internetowych.
Najważniejsze elementy Polityki Prywatności
Właściciel strony internetowej samodzielnie ustala w jakim celu oraz w jaki sposób przetwarza dane osobowe stając się administratorem danych osobowych, a rozporządzenie o RODO nakłada na niego wiele obowiązków w tym obowiązek informacyjny. Umieszczenie Polityki Prywatności w serwisie internetowym jest jednym z wymogów realizacji tego obowiązku.
Lista informacji, która powinna znaleźć się w Polityce Prywatności wynika z art. 13 RODO. Do najważniejszych należą:
- Tożsamość oraz dane kontaktowe administratora danych osobowych.
- Dane inspektora danych osobowych, o ile administrator danych osobowych powołał kogoś na to stanowisko.
- Poinformowanie o prawach przysługujących osobie, której dane osobowe zostały pozyskane.
- Cele przetwarzania danych oraz podstawę prawną ich przetwarzania.
- Informacja o okresie przechowywania danych.
- Informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy.
- Informacja o odbiorcach danych, którym dane mogą być przekazywane.
- Jeżeli przedsiębiorca chce przekazać dane poza Europejski Obszar Gospodarczy, to powinien umieścić również odpowiednią informację o tym fakcie.
Jak spełnić obowiązek informacyjny na stronie internetowej?
Po pierwsze na stronie powinna być dostępna dla użytkowników jasna i przejrzysta Polityka Prywatności. Dodatkowo administrator danych osobowych powinien spełnić obowiązek informacyjny w momencie pozyskania danych osobowych. W przypadku formularza kontaktowego będzie to dodatkowe pole, które należy zaznaczyć w celu potwierdzenia zapoznania się z Polityką Prywatności.
Podsumowanie
Spełnienie obowiązku informacyjnego poprzez umieszczenie Polityki Prywatności na stronie internetowej to tylko jeden z obowiązków jakie nakłada na właścicieli stron internetowych RODO. Administrator zobowiązany jest również do wprowadzenia licznych procedur, które zapewnią bezpieczeństwo przetwarzania danych osobowych.