Jak przygotować stronę internetową, aby była zgodna z RODO?

Nasi klienci bardzo często pytają o kwestie związane z ochroną danych osobowych (RODO) oraz zastanawiają się co powinna posiadać strona internetowa, żeby spełniała wymagania stawiane przez przepisy prawa związane z ochroną danych osobowych. 


Aby odpowiedzieć na zapotrzebowanie naszych klientów, a także w celu przybliżenia tematyki RODO dla osób prowadzących strony internetowe, przygotowaliśmy cykl krótkich artykułów. W nich zostaną omówione najistotniejsze kwestie, z którymi powinien zapoznać się każdy, kto chce aby jego strona internetowa spełniała wymagania określone w RODO, a także w innych przepisach i dokumentach dotyczących ochrony danych osobowych. 


Czy za pośrednictwem każdej strony internetowej przetwarzamy dane osobowe?


Jeżeli prowadzimy stronę internetową, która:

  • nie wykorzystuje kodu Google Analitycs i plików cookie,
  • nie posiada formularza kontaktowego,
  • jak również nie umożliwia pozostawienia jakichkolwiek danych osobowych przez osoby odwiedzające stronę,
    - wówczas możemy powiedzieć, że za pomocą naszej strony internetowej nie gromadzimy danych osobowych.


Jednakże trudno sobie wyobrazić funkcjonalną stronę internetową, która nie posiada wymienionych wyżej elementów. Strony internetowe, które nie są wykorzystywane do przetwarzania danych osobowych mają charakter wyłącznie informacyjny, co nie zapewnia ich właścicielom odpowiednich narzędzi służących do interakcji z użytkownikami. 


Jak zatem przygotować stronę, przy pomocy której gromadzimy dane osobowe?


Przygotowując naszą stronę internetową pod kątem zgodności z przepisami o ochronie danych osobowych, musimy pamiętać o kilku podstawowych elementach, które muszą znaleźć się na stronie www:


  • przejrzysta i rzetelna informacja o sposobie gromadzenia i przetwarzania danych osobowych – najczęściej tworzona w formie polityki prywatności,
  • informacja o plikach cookie - tu podkreślę, że uznane za standardowe wzory informacji o plikach cookie dostępne w Internecie są niewystarczające, 
  • klauzule informacyjne, które wykorzystuje się przed podaniem danych osobowych przez użytkownika,
  • prawidłowo zbierane zgody na przetwarzanie danych osobowych – przy tym gdzie jest to właściwa podstawa prawna do przetwarzania danych osobowych,
  • umożliwienie łatwego wycofania udzielonych zgód,
  • informacja o wtyczkach zewnętrznych dostawców takich jak np.: Facebook, LinkedIn, Instagram.


Powyższe elementy występują w różnych wariantach i przy różnych okazjach – wszystko zależy od funkcjonalności danej strony internetowej oraz metod wykorzystywanych przez stronę do gromadzenia i przetwarzania danych osobowych.


W takim razie, czy jest jakiś element, który występuje zawsze na stronach internetowych?


Przyjmując, że prawie każda strona gromadzi dane osobowe takim elementem, który powinien znaleźć się na każdej stronie internetowej jest tzw. polityka prywatności. W tym miejscu jednak należy poczynić uwagę – w polskim systemie prawnym nie znajdziemy przepisu prawa, który nakazywałby nam posiadanie takiego rodzaju dokumentu, również w samym RODO nie odnajdziemy takiego obowiązku.


Dlaczego zatem praktycznie każda strona internetowa posiada politykę prywatności? Ponieważ polityka prywatności jest najwygodniejszym sposobem informowania użytkowników o sposobie gromadzenia i przetwarzania ich danych osobowych. Jednocześnie w łatwy sposób, możemy spełnić dodatkowe wymagania stawiane przez RODO administratorom danych osobowych w zakresie informowania użytkowników o przetwarzaniu danych osobowych. Informacje o przetwarzaniu danych osobowych powinny być bowiem: 


  • zwięzłe, przejrzyste i zrozumiałe,
  • dostępne w łatwej do przyswojenia formie,
  • zapisane jasnym i prostym językiem (szczególnie dotyczy to informacji kierowanych do dzieci),
  • dostępne w formie elektronicznej,
  • wolne od opłat,
  • dostępne w języku właściwym dla użytkownika.


W celu spełnienia powyższych wymagań, najwygodniej posłużyć się dokumentem, który jest czytelny i łatwo edytowalny. Takie cechy możemy przypisać polityce prywatności. Dokument ten może przybrać formę pliku do ściągnięcia, bądź dedykowanej podstrony. Wszystko zależy od tego, jak najlepiej będzie wkomponować tego rodzaju element w naszą stronę www.


Czy możemy wykorzystać gotowe polityki prywatności dostępne w Internecie?


Jeżeli czujemy się na siłach, aby dostosować darmowe wzory do specyfiki naszej strony internetowej, sposobu gromadzenia, przesyłania, udostępniania oraz retencji danych osobowych, a także posiadamy odpowiednią wiedzę z zakresu prawa ochrony danych, to odpowiedź brzmi - tak. Jednakże odradzałbym takiego podejścia do sprawy, ponieważ polityka ochrony danych osobowych jest dokumentem, który odzwierciedla sposób gromadzenia i przetwarzania danych osobowych przez administratora – czyli właściciela strony internetowej. W przypadku ewentualnej kontroli, będzie to podstawowy dokument, który zostanie zweryfikowany przez Urząd Ochrony Danych Osobowych. Co więcej, ten dokument dostępny jest dla każdego i warto poświęcić trochę energii, aby został on przygotowany w sposób profesjonalny. W końcu jest to rodzaj wizytówki strony, a przede wszystkim dokument, który jasno pokazuje, że traktujemy ochronę danych osobowych w sposób poważny.


O czym musimy pamiętać, tworząc politykę prywatności?


Najwięcej szczegółowych informacji dotyczących polityki prywatności odnajdziemy w dokumentach – tzw. wytycznych Grupy Roboczej Art. 29, która jest podmiotem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych oraz wykładni przepisów RODO.


Grupa Robocza Art. 29 wydała wytyczne w sprawie przejrzystości, w których odnajdziemy bardzo szczegółowe wskazówki odnośnie tego, jak prezentować informacje dotyczące ochrony danych osobowych. Grupa w swoich wytycznych podkreśliła także konieczność posiadania polityki prywatności przez każdą stronę internetową: Każda organizacja, która prowadzi stronę internetową, powinna opublikować na niej oświadczenie o ochronie prywatności / informację o polityce prywatności. Na każdej podstronie tej strony należy umieścić bezpośredni link do oświadczenia o ochronie prywatności / informacji o polityce prywatności, używając powszechnie stosowanego hasła.


We wspomnianych wytycznych znajdziemy także przykłady złych i dobrych praktyk, a także wyjaśnienie poszczególnych wymogów stawianych polityce prywatności. Przykładowo, możemy przytoczyć fragment dotyczący wymogu „łatwej dostępności”: 


Element „łatwej dostępności” oznacza, że osoba, której dane dotyczą, nie powinna być zmuszona do wyszukiwania informacji; miejsce i sposób dostępu do informacji powinien od razu być dla niej oczywisty, co można zapewnić np. dzięki bezpośredniemu udzieleniu jej informacji, podaniu linków, wyraźnemu oznakowaniu takich informacji lub podaniu ich w formie odpowiedzi na pytanie sformułowanej w przystępny sposób (np. w internetowym warstwowym oświadczeniu o ochronie prywatności / warstwowej informacji o polityce prywatności, w FAQ, za pośrednictwem kontekstowych wyskakujących okien, które uruchamiają się podczas wypełniania internetowego formularza przez osobę, której dane dotyczą, lub – w interaktywnym kontekście cyfrowym – za pośrednictwem interfejsu chatbota itd. 

 

Jak podsumować kwestię polityki prywatności?


Uważam, że dobre przygotowanie polityki prywatności nie jest łatwym zadaniem, jednakże gdy włożymy odpowiednio dużo pracy w jej sporządzenie, będziemy pewni, że użytkownicy naszej strony zostali dobrze poinformowani o ochronie ich danych osobowych. Dobra polityka prywatności zapewni administratorowi spełnienie obowiązków nałożonych przez RODO, a także może odciążyć pozostałe miejsce na stronie internetowej, od nadmiaru niepotrzebnej treści - tam gdzie musimy poinformować użytkownika o sposobie przetwarzania danych osobowych – np.: klauzula informacyjna pod formularzem kontaktowym. Polityka może bowiem posłużyć nam do przeniesienia części informacji z klauzuli informacyjnej znajdującej się pod formularzem kontaktowym, właśnie do tego dokumentu. Taki zabieg może przyczynić się do lepszej przejrzystości naszej strony.


Pod poniższym linkiem można znaleźć Wytyczne Grupy Roboczej Art. 29 w sprawie przejrzystości w polskiej wersji językowej, które będą niezwykle pomocne przy tworzeniu polityki prywatności.


https://www.uodo.gov.pl/pl/file/2609


Natomiast w kolejnym artykule omówimy kwestię klauzul informacyjnych oraz sposobu zbierania zgód na przetwarzanie danych osobowych.

Maciej Puchalski
Radca prawny