Strona internetowa zgodna z RODO | Co do zasady

Przejdź do treści
Zamów newsletter
Formularz zapisu na newsletter Co do zasady

Strona internetowa zgodna z RODO

Kluczowe z punktu widzenia RODO jest zadbanie o transparentność strony. Osoba, która wchodzi na stronę internetową, musi wiedzieć, w jakim celu i w jaki sposób przetwarzane są jej dane osobowe.

Zgodnie z wytycznymi Grupy Roboczej Art. 29 w sprawie przejrzystości Każda organizacja, która prowadzi stronę internetową, powinna opublikować na niej oświadczenie o ochronie prywatności / informację o polityce prywatności. Na każdej podstronie tej strony należy umieścić bezpośredni link do oświadczenia o ochronie prywatności / informacji o polityce prywatności, używając powszechnie stosowanego hasła.

Zamieszczenie polityki prywatności to jednak tylko jedna z kilku kwestii, o które powinien zadbać przedsiębiorca.

Należy pamiętać, że zgodnie z art. 13 RODO administrator zobowiązany jest do wykonania obowiązku informacyjnego wobec podmiotu danych podczas pozyskiwania jego danych. W praktyce oznacza to, że administrator, np. podmiot prowadzący sklep internetowy, powinien zamieścić stosowną klauzulę informacyjną w tych miejscach na stronie internetowej, w których pozyskiwane są dane osobowe (np. pod formularzem kontaktowym lub pod formularzem rejestracyjnym). Oczywiście może tam zostać zamieszczona tzw. pierwsza warstwa klauzuli informacyjnej, zawierająca dane identyfikacyjne administratora danych, informację na temat praw podmiotów danych i celów przetwarzania oraz odesłanie do pełnej klauzuli informacyjnej (czyli np. do Polityki Prywatności).

Klasycznym przykładem miejsca, w którym zbierane są dane osobowe podmiotu danych na stronie internetowej, jest formularz, za pośrednictwem którego użytkownik zakłada konto na danym portalu. W tym kontekście warto pamiętać o następujących kwestiach:

  • należy zbierać jedynie takie dane osobowe, które są niezbędne w celu utworzenia profilu, w innym przypadku może dojść do naruszenia wynikającej z RODO zasady minimalizacji,
  • na przetwarzanie danych osobowych nie zawsze potrzebna jest zgoda – przy rejestracji konta podstawą przetwarzania będzie w większości przypadków umowa,
  • przy formularzu rejestracyjnym powinna zostać zamieszczona pierwsza warstwa klauzuli informacyjnej,
  • nie należy wymuszać tworzenia konta, jeśli transakcja może zostać przeprowadzona bez tego – w przeciwnym wypadku możemy działać sprzecznie z zasadą minimalizacji danych,
  • informacje o przetwarzaniu danych osobowych powinny być łatwo dostępne z poziomu użytkownika, np. po zalogowaniu się na konto.

Mechanizm wycofania zgody

Zgodnie z art. 7 ust. 3 RODO osoba, której dane osobowe przetwarzane są na podstawie jej zgody, powinna zostać poinformowania o prawie do wycofania tej zgody, zanim jeszcze ją wyrazi. Co istotne, wycofanie zgody musi być równie łatwe jak jej wyrażenie. Niedawno odniósł się do tego Prezes Urzędu Ochrony Danych Osobowych w decyzji z 16 października 2019 r.  Dotyczyła ona sytuacji, w której ktoś po kliknięciu w link odwołania zgody jest pytany o przyczyny jej odwołania (nieudzielenie odpowiedzi na pytanie nie pozwala na kontynuację procesu odwołania zgody), a następnie proszony jest dodatkowo o przesłanie swojego żądania na adres e-mail. Prezes UODO uznał, że zastosowanie tego modelu nie spełnia kryteriów prostego i szybkiego odwołania zgody. Przedsiębiorcy powinni więc z uwagą pochylić się nad mechanizmem wycofywania zgody, który został zaimplementowany na ich stronie.

Zgoda a rozliczalność

Art. 7 ust. 1 RODO stanowi, że jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Stąd kluczowe z perspektywy wykazania przestrzegania przepisów RODO jest wdrożenie odpowiednich mechanizmów technicznych rejestrujących kto, kiedy i jakiej zgody udzielił.

Język

Jeśli administrator kieruje informacje do osób, których dane dotyczą (np. prowadzi stronę internetową oferującą usługi dla poszczególnych państw) i które posługują się innym językiem, administrator powinien zapewnić tłumaczenie na ten język informacji dotyczących przetwarzania danych.

Wtyczki mediów społecznościowych

Samo wyświetlanie wtyczek serwisów społecznościowych może wiązać się z przekazywaniem określonych informacji dostawcom serwisów. TSUE orzekł, że podmiot, który zamieszcza na swojej stronie wtyczki portali społecznościowych, jest współadministratorem danych osobowych razem z dostawcą serwisu. Stanowisko to budzi jednak kontrowersje, gdyż oznaczałoby konieczność dokonywania uzgodnień dotyczących współadministrowania z portalem społecznościowym. Niemniej jednak podmiot zamieszczający na swojej stronie internetowej wtyczki mediów społecznościowych powinien zamieścić w Polityce Prywatności stosowną informację na temat tego, jakie dane osobowe są w związku z tym przetwarzane i przekazywane do dostawcy portalu. TSUE uznał także, że administrator fanpage’a na Facebooku jest administratorem danych osobowych użytkowników danego fanpage’a. Oznacza to, że administratorzy fanpage’a powinni zamieścić na swojej stronie na Facebooku klauzulę informacyjną dotyczącą przetwarzania danych osobowych.

Karolina Romanowska, adwokat, praktyka prawa pracy kancelarii Wardyński i Wspólnicy