Strona internetowa pełni obecnie rolę wizytówki firmy i ma bardzo istotne znaczenie marketingowe. Niejednokrotnie zbierane są przez nią dane osobowe, nie zawsze jednak administrator, który je gromadzi, jest do tego odpowiednio przygotowany. Przepisy RODO wskazują na podstawowe wytyczne, do jakich należy się stosować, aby przetwarzanie danych odbywało się zgodnie z prawem.
Administrator danych osobowych ma za zadanie spełnić obowiązek informacyjny wobec wszystkich osób, których dane przetwarza. W jaki sposób odbywa się to najczęściej? Głównie poprzez Politykę prywatności lub też Klauzulę informacyjną, które zawierają podstawowe informacje wymienione w treści art. 13 RODO. Dokumenty te powinny mieścić w sobie: dane kontaktowe administratora, cel oraz podstawę prawną przetwarzania, informacje o odbiorcach danych, okresie ich przetwarzania, a także informacje o przysługujących prawach. Jeśli ma to zastosowanie – przekazujemy również informację o zautomatyzowanym podejmowaniu decyzji czy też przekazywaniu danych do państwa trzeciego w rozumieniu RODO.
Dokumenty te powinny zostać umieszczone na każdej podstronie witryny internetowej, a także w każdym miejscu, w którym zbierane są dane osobowe, w tym między innymi przy formularzu kontaktowym. Jeżeli strona oferuje jej użytkownikom skorzystanie z usług administratora, które związane są z gromadzeniem danych osobowych (np. złożenie zamówienia), wtedy klauzula musi zawierać szczegółowe informacje na temat przetwarzanych danych. Tworząc formularze warto pamiętać o zasadzie minimalizacji danych, która wiąże się ze zbieraniem wyłącznie niezbędnych danych, które są wymagane z uwagi na realizowany cel – najczęściej wystarczające będzie podanie imienia i nazwiska oraz adresu e-mail. Nie bez znaczenia pozostaje także kwestia checkboxów, a więc okienek pozwalających na wyrażenie zgody na przetwarzanie danych – które ściśle powiązać należy z zasadą rozliczalności.
Administratorzy danych, którzy przetwarzają dane w zakresie szerszym niż wskazano powyżej, np. poprzez wysyłanie newsletterów, wiadomości i ofert promocyjnych, muszą liczyć się z koniecznością spełnienia obowiązku informacyjnego w większym stopniu. Ponadto, jeżeli przetwarzanie danych odbywa się na podstawie zgody, należy poinformować osobę, której dane dotyczą, o możliwości jej wycofania, które musi być równie łatwe, co jej udzielenie.
W odniesieniu do plików cookies (pl. „ciasteczka”), wskazuje się, że stanowią one niewielkie pliki, zawierające informacje o stronie internetowej, które są następnie przesyłane i zapisywane w pamięci przeglądarki/urządzenia, z którego korzysta użytkownik. Identyfikacja cech przeglądarki oraz urządzenia może okazać się niezbędna, aby strona internetowa otwierała się oraz funkcjonowała w sposób prawidłowy.
W centrum zainteresowania RODO pozostaje ochrona danych osobowych, a więc danych, za pomocą których można zidentyfikować oznaczoną osobę. Pliki cookies, z uwagi na ich funkcję analityczną lub statystyczną, nie gromadzą danych osobowych pozwalających na identyfikację osoby, uzyskując jedynie informacje na temat jej preferencji związanych z dostarczaną usługą. Warto jednakże rozważyć wprowadzenie Polityki cookies, zwłaszcza jeżeli gromadzimy „ciasteczka” w zakresie przekraczającym te, które są wymagane do prawidłowego funkcjonowania strony.
Analiza zgodności strony internetowej z przepisami o ochronie danych jest ściśle powiązana z zadaniami jakie ma spełniać. Inne obowiązki ma administrator prostej witryny, inne zaś właściciel sklepu internetowego. Z uwagi na prestiż, a także bezpieczeństwo danych, nie można pozwolić na ich wyciek lub utratę, stąd też wszelkie środki organizacyjno-techniczne powinny odpowiadać najnowszym wymaganiom i wiedzy z zakresu IT. Odpowiednie podejście do zagadnień ochrony danych wzbudza również zaufanie klientów oraz potencjalnych kontrahentów, potwierdzając profesjonalizm usług świadczonych przez administratora danych.
Autor artykułu jest Inspektorem Ochrony Danych.
