RODO i polityka prywatności – dlaczego są niezbędne na każdej stronie?

Każdy, kto kiedykolwiek przeglądał strony w Internecie, z pewnością natknął się przy wchodzeniu na nie na wyskakujące okienko, informujące o korzystaniu z plików cookies i przetwarzaniu danych użytkownika w celu personalizowania treści lub reklam. Pojawienie się takich okienek jest spowodowane koniecznością przestrzegania RODO, czyli rozporządzenia o ochronie danych osobowych. Skąd się wzięło, na czym polega oraz dlaczego musisz mieć klauzulę o przetwarzaniu danych osobowych na swojej stronie?

RODO – skąd wzięło się rozporządzenie?

RODO znane jest globalnie jako GDPR – to skrót od angielskich słów General Data Protection Regulation. Jak informuje o tym choćby Wikipedia: „w założeniu ma pozwolić mieszkańcom Unii Europejskiej na lepszą kontrolę ich danych osobowych oraz stanowić modernizację i ujednolicenie przepisów umożliwiających firmom ograniczanie biurokracji i korzystanie ze zwiększonego zaufania klientów”. Rozporządzenie weszło w życie w dniu 25 maja 2018 roku i od tego czasu stosowanie się do niego jest obowiązkowe dla każdego właściciela strony internetowej niezależnie od jej rodzaju.

Niewywiązanie się z nakładanych przez rozporządzenie obowiązków może spotkać się z dotkliwymi karami, sięgającymi nawet 20 milionów euro! Ponadto każdy użytkownik, który wejdzie na stronę i nie będzie mieć możliwości zadecydowania o zgodzie – lub jej braku – na przetwarzanie danych osobowych, może skierować sprawę do sądu i domagać się odszkodowania. Te dwa fakty same w sobie zachęcają do tego, aby wdrożyć mechanizmy przewidziane przez przepisy.

Rozporządzenie powstało w celu dopasowania przepisów o ochronie danych osobowych do współczesnej sytuacji na rynku technologii, a zwłaszcza Internetu – gdzie mamy mechanizmy śledzące użytkownika (trackery) w celu zaproponowania mu spersonalizowanych reklam oraz ofert handlowych oraz ciasteczka (cookies) zapamiętujące zachowania użytkownika na stronie (to m.in. dzięki nim zapamiętywane są dane logowania). Choć teoretycznie rozporządzenie dotyczy wyłącznie stron działających na terenie Unii Europejskiej, wielu właścicieli witryn z całego świata dostosowało się do RODO, aby nie mieć problemów z powodu użytkowników z Europy. Ponadto rozporządzenie zainspirowało inne kraje do wprowadzenia swoich odpowiedników RODO, które w praktyce mają takie samo znaczenie.

Jedna ważna uwaga – jeżeli na stronie nie są zbierane dane osobowe, nie ma konieczności umieszczenia na niej informacji o polityce prywatności. Jednak wielu właścicieli takich witryn „na wszelki wypadek” umieszcza stosowne okienko pop-up, chcąc zabezpieczyć się przed ewentualnymi karami oraz roszczeniami ze strony internautów.

Co powinno znajdować się w klauzuli RODO?

Rozporządzenie dokładnie określa, jakie informacje i warunki użytkowania powinny znajdować się w klauzuli RODO. Tak więc konieczne jest:

• podanie tożsamości podmiotu odpowiedzialnego za zarządzanie danymi;
• podanie informacji dotyczących celu przetwarzania danych osobowych użytkownika;
• podanie dokładnych danych, jakie pobierane są od użytkownika;
• podanie informacji dotyczących rodzaju przesyłanych danych do firm trzecich;
• informacja o sposobie przekazywania danych partnerom.

Ponadto użytkownik musi wyrazić zgodę na przetwarzanie danych – ta zaś musi być udzielona dobrowolnie na wszystkie lub wybrane opcje (a więc wyrażenie zgody nie może być warunkiem koniecznym dostępu do danych treści), a jej wycofanie musi być możliwe w łatwy sposób i na życzenie użytkownika.

Czym właściwie jest zbieranie danych osobowych?

Masz stronę i nie wiesz, na czym polega gromadzenie danych odwiedzających Cię użytkowników, a co za tym idzie – nie masz pewności, czy musisz wprowadzić okienko informujące o polityce prywatności i RODO? Pamiętaj, że polityka prywatności musi zaistnieć w sytuacji, gdy internauci przekazują Ci jakiekolwiek dane na swój temat – od podania adresu e-mail w celu zapisania się do newslettera po dane związane z adresem zamieszkania przy wysyłce sprzedanego towaru.

Choć w każdym przypadku różni się cel zbierania danych osobowych, we wszystkich informowanie o ich gromadzeniu oraz przetwarzaniu jest niezbędne. Jeśli na stronie korzystasz z ciasteczek, one także zbierają dane dotyczące aktywności użytkownika, o czym nie wolno Ci zapomnieć – tu musisz uprzedzić o tym fakcie internautów już na pierwszej stronie, na którą trafią.

Czy umieszczenie informacji o zbieraniu danych osobowych to konieczność?

Tak – i nie tylko z powodu rozporządzenia obowiązującego na terenie całej Unii Europejskiej, choć jest ono oczywiście czynnikiem, który ma kolosalne znaczenie. Wprowadzenie polityki prywatności i informowania o zbieraniu danych osobowych jest wymogiem największych serwisów internetowych – jak Google oraz Facebook – aby dopuściły one do przekierowania ruchu na stronę. Dlatego musisz liczyć się z tym, że jeśli nie zastosujesz się do przepisów, Twoja strona może praktycznie zniknąć z listy wyników Google.

Należy również pamiętać, że osobą zarządzającą danymi osobowymi jest administrator strony i to on ponosi odpowiedzialność za sposób ich przetwarzania oraz bezpieczeństwo przechowywania – jeśli więc doszłoby do jakiegoś wycieku czy kradzieży, administrator jest osobą odpowiadającą prawnie i oskarżaną o niedopełnienie obowiązków. Zauważmy jednak, że administratorem nie musi być osoba fizyczna – może być nim równie dobrze spółka lub podmiot gospodarczy.

Jak określić cel przetwarzania danych osobowych? To uzależnione jest ściśle od profilu działalności. Na przykład sklep zbiera je po to, aby dokonać wysyłki zamówionego towaru do klienta, a podanie adresu e-mail do newslettera wiąże się z wysyłaniem informacji do zainteresowanego nimi odbiorcy. Należy zatem pamiętać, aby w polityce prywatności było to wyraźnie napisane. Każdy internauta musi dokładnie wiedzieć, na co wyraża zgodę.

Jak stworzyć stronę zgodną z RODO?

Jeśli chcesz spać spokojnie i nie martwić się o ewentualne kary czy roszczenia związane z udostępnianiem pozyskanych danych osobowych, warto odpowiednio przygotować swoją stronę. Potrzebne będą trzy istotne elementy:

• klauzula informująca o wykorzystywaniu na stronie ciasteczek (cookies);
• okienko wyrażenia/odrzucenia zgody na przetwarzanie danych osobowych;
• podstrona z dokładnym opisem polityki prywatności, jaką stosujesz – tu powinny być wymienione wszelkie firmy trzecie, jakim są przekazywane dane osobowe, oraz cel zbierania danych osobowych.

Warto także umieścić odsyłacze do tej podstrony wszędzie tam, gdzie użytkownik przekazuje swoje dane, np. pod formularzem kontaktowym czy pod szablonem zamówienia. Można dodatkowo zabezpieczyć się, wprowadzając checkbox do oznaczenia świadczącego o tym, ze użytkownik zapoznał się z polityką prywatności oraz wie, kto jest ich administratorem. Mówiąc krócej – zadbaj solidnie o to, aby użytkownik miał dostęp do wszystkich danych, do jakich tylko mógłby chcieć mieć dostęp.

Warto dodać, że w Internecie możesz znaleźć już przygotowane szablony i wzory polityki prywatności oraz informacji dotyczących RODO i przetwarzania danych osobowych przez stronę. To znacznie ułatwi Ci przygotowanie własnych treści informacyjnych. Jeśli jednak chcesz stworzyć je samodzielnie od podstaw, pamiętaj, aby zawierały wszystkie elementy, jakie zostały wymienione w akapicie „Co powinno znajdować się w klauzuli RODO?”.

Nie można także zapomnieć, że w przypadku jakichkolwiek zmian w polityce prywatności musisz poinformować o tym swoich użytkowników – najlepiej zrobić to poprzez okienko pop-up pojawiające się po wejściu użytkownika na stronę. Powinien w nim znaleźć się link do podstrony z polityką prywatności oraz chceckbox potwierdzający, że użytkownik zapoznał się ze zmianami. Daje Ci to pewność, że zgadza się on z wprowadzonymi zmianami i jest ich świadom.

Choć na pierwszy rzut oka wdrażanie RODO i polityki prywatności wydaje się złożonym i skomplikowanym procesem, nie taki diabeł straszny, jak go malują. Wystarczy tylko pamiętać o podanych tu zasadach, aby być w zgodzie z prawem i nie obawiać się żadnych kar finansowych.