icon

Strona internetowa zgodna z RODO

25 maja

Od 25 maja 2018 roku w całej Unii Europejskiej obowiązuje ogólne rozporządzenie o ochronie danych osobowych (RODO), którego nadrzędnym zadaniem jest ochrona przed jakimikolwiek nadużyciami w tej kwestii, np. przed wykorzystywaniem danych do celów, na które nie została wyrażona zgoda. W związku z tym wszystkie podmioty gospodarcze, które przetwarzają dane osobowe osób fizycznych, zmuszone są do wprowadzenia określonych modyfikacji. Polegają one m.in. na uszczegółowieniu punktów dotyczących polityki prywatności oraz uzyskaniu odpowiednich zgód na przetwarzanie danych osobowych. Brak zastosowania się do wchodzących w życie przepisów podlega surowej karze finansowej.

Co RODO uznaje za dane osobowe?

W myśl RODO, terminem „dane osobowe” określa się wszelkie informacje,  które w jakikolwiek sposób – pośredni lub bezpośredni – przyczyniają się lub mogą się przyczynić do zidentyfikowania konkretnej osoby fizycznej. Chodzi tu zatem o dostęp do:

imienia, nazwiska,

numerów identyfikacyjnych,

identyfikatorów internetowych (np. numerów IP, plików cookies, etykiet RFID),

informacji o lokalizacji użytkownika,

czynników mówiących o tożsamości genetycznej, fizycznej, psychicznej, fizjologicznej, społecznej, materialnej lub kulturowej.

Stwierdzenie, czy zidentyfikowanie danej osoby jest na ich podstawie możliwe, wymaga wzięcia pod uwagę obiektywnych czynników m.in. kosztu i czasu takiego przedsięwzięcia, a także dostępnej aktualnie technologii i postępu technologicznego.

Czego RODO wymaga od właścicieli stron www i e-sklepów?

Wszystkie strony i sklepy internetowe każdego dnia otrzymują dane osobowe osób fizycznych, np. odbiorców newslettera, użytkowników, którzy zarejestrowali się w serwisie czy wypełnili formularz kontaktowy, lub klientów, którzy dokonali zakupu lub zwrotu towaru w sklepie internetowym. Wszyscy administratorzy, którzy przetwarzają jakiekolwiek dane osobowe (a więc np. właściciele sklepów internetowych lub stron www), muszą – począwszy od 25 maja 2018 roku – zagwarantować swoim użytkownikom/klientom postępowanie zgodne z prawem w kwestii gromadzenia i wykorzystywania ich danych osobowych. Konieczne będzie więc zmodyfikowanie regulaminów i polityki prywatności poprzez umieszczenie w nich odpowiednich klauzul – jest to spełnienie wymaganego przez RODO obowiązku informacyjnego. Warto zatem wyszczególnić, jakie konkretnie informacje powinien zawierać komunikat, aby strona internetowa/sklep www działały w zgodzie z najnowszym rozporządzeniem o ochronie danych osobowych:

1. PODSTAWA PRAWNA – na początek należy umieścić podstawę prawną RODO, np.:
„Działając zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, w skrócie RODO) informujemy, że nasza strona/nasz sklep internetowy…”.

2. INFORMACJE O WŁAŚCICIELU – kolejna kwestia to poinformowanie użytkownika/klienta, kto jest administratorem przetwarzającym dane osobowe, a więc – innymi słowy – kto jest prawnym właścicielem strony internetowej/sklepu internetowego. Można zamieścić tego rodzaju tekst:
Informujemy, iż Administratorem Pani/Pana danych osobowych jest firma [nazwa firmy] z siedzibą [dokładny adres siedziby firmy], e-mail [adres e-mail], telefon [numer telefonu firmy]”.

3. INFORMACJE O CELU PRZETWARZANIA DANYCH OSOBOWYCH – każdy użytkownik/klient strony internetowej/sklepu internetowego ma według RODO prawo do informacji, w jakim celu przetwarzane będą jego dane osobowe, dlatego należy umieścić odpowiednią wzmiankę, np.:
w przypadku strony www: „Przetwarzanie Pani/Pana danych osobowych odbywa się na podstawie art. 6 RODO i w celach marketingowych Administrator Danych Osobowych powołuje się na prawnie uzasadniony interes, którym jest …. [np. analityka internetowa, prowadzenie statystyk dotyczących strony, analiza ruchu na stronie www itp.]”.
w przypadku sklepu www: „Przetwarzanie Pani/Pana danych osobowych odbywa się na podstawie art. 6 RODO i w celach marketingowych Administrator Danych Osobowych powołuje się na prawnie uzasadniony interes, którym jest …. [np. realizacja zamówienia, rozpatrywanie reklamacji, analiza odwiedzin sklepu internetowego  itp.]”.

4. ZGODA NA NARZĘDZIA ANALITYCZNE – jeśli strona internetowa/sklep internetowy wykorzystuje narzędzia analityczne, jak np. Facebook Pixel czy Google Analytics, obowiązkiem administratora jest poinformowanie o tym fakcie użytkowników/klientów:
Zgadzam się na przetwarzanie moich danych osobowych przez firmę [nazwa firmy] z siedzibą [adres firmy] w celach marketingowych. Podanie moich danych osobowych jest dobrowolne, a podstawą ich przetwarzania jest moja zgoda. Odbiorcami danych są [nazwy serwisów, np. Facebook, Google itd.]”.
5. INFORMACJA O CZASIE PRZETWARZANIA DANYCH – administrator strony internetowej/sklepu internetowego musi poinformować użytkownika/klienta, przez jaki czas będą przetwarzane jego dane osobowe. Można użyć tego typu ogólnej formuły:
„Informujemy, że Pani/Pana dane osobowe będą przechowywane przez okres [czas przetwarzania danych] do momentu osiągnięcia celów, w jakich zostały zgromadzone lub do odwołania zgody na ich przetwarzanie.”.

6. INFORMACJA O PRAWACH UŻYTKOWNIKA/KLIENTA – bardzo ważną kwestią jest poinformowanie użytkownika/klienta o tym, jakie przysługują mu prawa:
„Informujemy, że posiada Pani/Pan prawo zażądać od Administratora dostępu do swoich danych osobowych, a także ich usunięcia, sprostowania, ograniczenia ich przetwarzania, odwołania zgody na ich przetwarzanie oraz do wniesienia skargi, jeśli dane osobowe są wykorzystywane niezgodnie z unijnym rozporządzeniem o ochronie danych osobowych (RODO). W przypadku jakichkolwiek pytań lub wątpliwości prosimy o kontakt z Administratorem lub Inspektorem Ochrony Danych [adres, numer telefonu, e-mail].

Formularze zgodne z RODO

Powszechną praktyką stosowaną na stronach www i w sklepach internetowych jest umieszczenie formularza kontaktowego, zakupowego, rezerwacyjnego czy w celu zapisu do newslettera. Oczywistym jest, że użytkownik/klient pozostawia w nim swoje dane osobowe. Tego typu formularz powinien być więc wyposażony w checkbox, umożliwiający otrzymywanie od użytkowników/klientów wymaganych zgód:

1. Jeśli dane osobowe zbierane są jedynie w celu realizacji podstawowej obsługi (np. przesłania oferty czy cennika firmy), wówczas konieczne jest uzyskanie od użytkownika/klienta zgody:
Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w formularzu w związku z [cel]. Podanie danych jest dobrowolne, ale niezbędne do przetworzenia zapytania. Zostałem poinformowany, że przysługuje mi prawo dostępu do moich danych, możliwości ich poprawiania i żądania zaprzestania ich przetwarzania. Administratorem danych osobowych jest [nazwa firmy] z siedzibą [adres firmy]”.          

2.  Jeśli dane osobowe zbierane są w celach marketingowych, wówczas konieczne jest uzyskanie od użytkownika/klienta następującej zgody, np.:
Wyrażam zgodę na przetwarzanie moich danych osobowych podanych w formularzu w celach handlowych i marketingowych przez firmę [nazwa, adres]. Podanie danych osobowych jest dobrowolne. Zostałem poinformowany, że przysługuje mi prawo dostępu do moich danych, możliwości ich poprawiani i  żądania zaprzestania ich przetwarzania”.           

3. Wykorzystanie podanych w formularzu danych do wysyłania np. newslettera, biuletynów informacyjnych, gazetek reklamowych czy repertuarów kin i teatrów również wymaga zgody użytkownika strony/klienta sklepu:
Wyrażam zgodę na otrzymywanie newslettera i informacji handlowych za pomocą środków komunikacji elektronicznej od [nazwa firmy, adres] zgodnie z Ustawą o Świadczeniu Usług Drogą Elektroniczną z dnia 18 lipca 2002 r. (Dz.U. 2002 nr 144 poz. 1204). Zgoda jest dobrowolna”.

4. W przypadku, gdy dane osobowe będą przekazane innym podmiotom, wówczas również niezbędne jest uzyskanie od użytkownika/klienta zgody, np.:
Wyrażam zgodę na przekazanie moich danych osobowych w postaci [np. adres e-mail, numer telefonu] do [dane podmiotu –  nazwa firmy i adres] oraz przetwarzanie przez powyższy podmiot moich danych w celu [cel, np. zbadanie opinii o poziomie zadowolenia z przeprowadzonego zakupu]”.

Przy formularzu kontaktowym należy również umieścić widoczne odniesienie do klauzuli informacyjnej, zawartej szerzej w regulaminie czy polityce prywatności (która została omówiona wcześniej), np.: „Informujemy, że Administratorem danych osobowych jest [nazwa firmy]. Dane, które zostały wpisane w formularzu kontaktowym będą przetwarzane w celu [cel przetwarzania danych] zgodnie z regulaminem i polityką prywatności [link].”

Checkbox ze zgodą na przetwarzanie danych osobowych NIE jest konieczny w sytuacji, gdy dane te są niezbędne do zrealizowania umowy zawartej z osobą, której te dane dotyczą. Przykładem tego jest zakup produktu w sklepie internetowym w ramach umowy sprzedaży, która została wcześniej zawarta. W takiej sytuacji, jeśli klient podaje dobrowolnie dane konieczne do wysyłki towaru, właściciel sklepu nie potrzebuje zgody na ich przetwarzanie. Z kolei informacje takie jak np. data urodzenia czy numer PESEL, które nie są do wysyłki towaru niezbędne, będą już wymagać uzyskania odpowiedniej zgody klienta.

WAŻNE:

Zgody nie mogą być połączone! Jeśli użytkownik/klient wyrazi zgodę na przetwarzanie danych osobowych w celu realizacji zgłoszenia, nie może oznaczać to równoczesnej konieczności wyrażenia zgody na otrzymywanie reklam czy newslettera. Każdy cel przetwarzania danych wymaga osobnej zgody w oddzielnym checkboksie.

Treść w checkboksie powinna być napisana widoczną czcionką, prostym i zrozumiałym językiem, bez zbędnego używania skomplikowanych form prawnych.

Użytkownik/klient musi wyrazić zgodę dobrowolnie, a jednocześnie mieć zagwarantowaną możliwość łatwego wycofania jej.

Żadna zgoda nie może być odgórnie zaznaczona w checkboksie – użytkownik strony/klient sklepu musi samodzielnie i w pełni świadomie podjąć każdą decyzję.

Uzyskanie zgody na przetwarzanie danych osobowych – bez względu na to, czy będzie ona w formie elektronicznej, pisemnej czy ustnej –  musi być przez Administratora możliwe do udowodnienia.

Hosting a RODO

Bardzo częstym rozwiązaniem wielu przedsiębiorców jest nawiązanie współpracy z firmą, która zapewnia hosting www i skrzynki e-mail, a tym samym przetwarza dane pozyskane od administratora tychże danych, czyli właściciela np. strony internetowej czy e-sklepu. RODO wymaga, by w takim przypadku zawierana była umowa powierzania przetwarzania danych, zawierająca szczegółowe informacje dotyczące przedmiotu, czasu trwania, charakteru i celu przetwarzania danych, rodzaju danych osobowych, kategorii osób, których dotyczą te dane oraz praw i obowiązków obu stron, czyli administratora danych i podmiotu przetwarzającego. Za bezpieczeństwo danych odpowiedzialność ponosi administrator, jednak nie znaczy to, że podmiot, z którym zawarł on umowę, jest zwolniony z przestrzegania przepisów i zasad. Na nim również spoczywa odpowiedzialność – dotyczy ona przede wszystkim zastosowania odpowiednich środków w celu prawidłowego zabezpieczenia danych, przetwarzania ich tylko i wyłącznie w sposób zgodny z umową i udokumentowanymi zaleceniami administratora oraz wypełniania obowiązków w taki sposób, by nie dopuścić do powstania jakichkolwiek szkód. Firma hostingowa nie odpowiada natomiast za to, czy administrator przetwarza dane zgodnie z prawem lub czy dopełnił wszelkich formalności wynikających z obowiązku informacyjnego wobec osób, których dane posiada. Jeśli jednak usługodawca (procesor) otrzyma informacje o bezprawnym charakterze przechowywanych danych lub działalności z nimi związanej, wówczas ma obowiązek odpowiednio zareagować, np. poprzez uniemożliwienie dostępu do tych danych.

Podsumowując – obowiązujące od maja br. RODO wprowadza cały szereg zmian, które dotyczą wszelkich podmiotów gromadzących i wykorzystujących dane osobowe. Poza instytucjami publicznymi bardzo ważną grupą, która z pewnością może być poddawana szczególnej kontroli, są
e-sklepy i strony internetowe. RODO nakłada na ich właścicieli obowiązek zapewnienia ochrony danych osobowych użytkowników/klientów, udostępnienia pełnej informacji o celu i czasie ich wykorzystywania, a także możliwości wyrażenia przez użytkownika/klienta dobrowolnej, samodzielnej i świadomej zgody na przetwarzanie danych osobowych. RODO wymaga także zagwarantowania użytkownikom/klientom możliwości do wglądu, zmiany lub całkowitego usunięcia danych osobowych oraz do odwołania zgody na ich wykorzystywanie. Jednocześnie wszelkie formularze zgód muszą być sformułowane w sposób przejrzysty, klarowny i jednoznaczny dla użytkownika/klienta. Niedozwolone jest łączenie zgód, ukrywanie ich w regulaminie, domyślne zaznaczanie ich w checkboxach i stosowanie do ich zapisu nieczytelnego druku. Samo rozporządzenie nie wyznacza przedsiębiorcom konkretnych metod zabezpieczania danych osobowych, jednak brak zastosowania kroków mających na celu wdrożenie regulacji grozi poważną karą finansową.

Informujemy, że powyższy tekst stanowi jedynie zestawienie przykładowych propozycji, jak przygotować stronę www do wymogów RODO. Zaznaczamy, że nie ponosimy odpowiedzialności prawnej w związku z ich zastosowaniem.          
W razie wątpliwości związanych z RODO sugerujemy kontakt z prawnikiem.

Cykliczne porady o tworzeniu stron internetowych

Będziesz otrzymywać 1 email na tydzień z informacjami na temat projektowania stron internetowych.