Niedawno minęły 3 lata od momentu, gdy obowiązkowe stało się stosowanie RODO. Pomimo upływu czasu, przeglądając Internet wciąż można natknąć się na strony internetowe nie spełniające wymogów obowiązujących przepisów o ochronie danych osobowych. Niniejszy wpis ma na celu w przystępny sposób wyjaśnić, jakie podstawowe warunki powinna spełniać witryna internetowa.
Na wstępnie trzeba zaznaczyć, że samo RODO nie wymaga, aby każdy administrator danych osobowych posiadał swoją stronę internetową. Warto ją jednak mieć, ponieważ w znaczącym stopniu ułatwia ona wypełnianie chociażby ciążącego na administratorze obowiązku informacyjnego. Jeżeli zdecydujemy się na własną witrynę w sieci, powinniśmy pamiętać o kilku ważnych kwestiach.
Po pierwsze bezpieczeństwo – Strona powinna być odpowiednio chroniona. Do tego celu konieczne jest w szczególności korzystanie z protokołu sieciowego zapewniającego bezpieczeństwo połączeń internetowych.
Jeżeli administrator wyznaczył Inspektora Ochrony Danych, to zgodnie z art. 11 w zw. z art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, ma obowiązek udostępnia danych inspektora, w postaci imienia, nazwiska i adresu poczty elektronicznej lub numeru telefonu, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Zaznaczyć należy, że zgodnie z zaleceniami Urzędu Ochrony Danych Osobowych w/w dane muszą być łatwo dostępne, tj. w szczególności powinny znaleźć się przykładowo w zakładce „kontakt”, „RODO”, „ochrona danych” itp., chodzi o to, aby możliwość odnalezienia ich była łatwa i nie wiązała się z koniecznością spędzenia kilku minut na ich poszukiwanie.
Strona internetowa administratora powinna zawierać informacje dotyczące przetwarzanych przez niego danych, czyli Politykę Prywatności. Jest to nazwa umowna, równie dobrze dokument ten (lub po prostu zakładka) nosić może nazwę „RODO”, „Informacje o ochronie danych” itd. Dokument ten powinien zawierać w szczególności informacje wskazane w art. 13 RODO. Często bywa tak, że jest tam również zamieszczana informacja o plikach cookies. Obowiązek informowania o plikach cookies wynika z art. 173 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, zgodnie z nim użytkownikom powinien zostać zakomunikowany m.in. cel przechowywania czy możliwości określenia przez nich warunków przechowywania lub uzyskiwania dostępu, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez nich urządzeniach. Jak wspomniane zostało wyżej komunikat ten zamieścić można w Polityce Prywatności lub poza nią.
Zwracamy uwagę, że informacja o przetwarzaniu danych osobowych, zgodnie z RODO powinna zostać udzielona w momencie pozyskiwania danych (jeżeli dane zbierane są bezpośrednio od osoby, której dane dotyczą), w związku z powyższym, jeżeli na stronie internetowej zechcą Państwo umieścić formularz kontaktowy, to pod formularzem również powinna znajdować się informacja o przetwarzaniu danych osobowych. Może zostać to zorganizowane tak, że przed wysłaniem wiadomości przez formularz wymagane będzie odznaczenie checkboxa, o treści typu: „zapoznałem się z obowiązkiem informacyjnym dotyczącym przetwarzania danych osobowych”. Warto pamiętać, że obowiązek informacyjny można spełnić w sposób warstwowy, tzn. w pierwszym etapie umieszczamy wiadomości o tożsamości administratora, celu przetwarzania oraz prawach przysługujących z związku z przetwarzaniem i wskazujemy, gdzie można zapoznać się z pełną treścią obowiązku, najlepiej umieszczając link przekierowujący w to miejsce.
Zgodnie z zasadą minimalizacji danych, administrator nie powinien ich zbierać więcej niż jest to konieczne, należy zatem ostrożnie sformułować treść formularza, tak aby nie żądać obowiązkowego podawania tych danych przez osoby używające formularza, które w rzeczywistości nie są niezbędne.
Przez formularz kontaktowy lub ogólnie przez stronę mogą Państwo również zbierać zgody na przesyłanie informacji handlowych i marketingowych. Należy mieć jednak przy tym na uwadze, że zgody takie nie mogą być zaznaczone domyślnie i zakazane jest ich wymuszanie poprzez np. uzależnianie możliwości wysłania wiadomości do administratora, od ich udzielenia.
Ostatnią ważną kwestią, wartą poruszenia, jest umieszczanie zdjęć na witrynie internetowej, w kontekście utrwalonych na nich wizerunków osób, ponieważ zgodnie z dominującą interpretacją, to również podlega przepisom o ochronie danych osobowych. Ponadto, w wypadku zdjęć wchodzimy również na grunt prawa autorskiego, z czym wiążą się określone obowiązki z ustawy o prawach autorskich. Najogólniej rzecz ujmując zazwyczaj konieczne będzie uzyskanie zgody od osoby przedstawionej na zdjęciu na wykorzystanie wizerunku oraz przetwarzanie jej danych w taki sposób.