RODO

Polityka prywatności na stronach internetowych. Jak właściwie spełnić obowiązek informacyjny?

Udostępnij

Dziś, szczególnie w dobie pandemii koronawirusa, przedsiębiorcy coraz chętniej przenoszą swoje biznesy do internetu.  Przedsiębiorcy inwestują w strony internetowej, żeby pozyskiwać nowych klientów, otwierać sklepy internetowe, budować listę mailingową czy po prostu być widocznym w sieci.

Powyższe jest ściśle związane z przetwarzaniem danych osobowych, a to powoduje, że przedsiębiorca musi zmierzyć się z szeregiem zagadnień związanych z tym obszarem, w tym np. z Polityką prywatności. Ci, którzy dopiero zaczynają działać w sieci, często zastanawiają się, czy na swojej stronie internetowej potrzebują umieścić politykę prywatności i w jakim zakresie dotyczą ich przepisy o ochronie danych osobowych.

Czym jest RODO?

Zacznijmy od wytłumaczenia co kryje się pod powszechnie używanym skrótem RODO. Jest to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych). Nazwa jest długa i skomplikowana – stąd powszechnie używa się dla niego skrótowego określenia RODO.

RODO obowiązuje od 25 maja 2018 roku, czyli już od prawie 3 lat. Jednak do dziś budzi ono sporo wątpliwości, a niektórych przedsiębiorców przyprawia o szybsze bicia serca.

Przede wszystkim rozporządzenie o ochronie danych osobowych stosujemy bezpośrednio. To znaczy, że jeżeli przedsiębiorca chce sprawdzić, jakie obowiązki w zakresie przetwarzania danych osobowych nakłada na niego RODO, to powinien spojrzeć bezpośrednio do tego aktu, a nie polskiej ustawy. Jest to jeden z nielicznych przypadków, gdzie instytucje unijne zdecydowały się na uregulowanie kwestii prawnych w rozporządzeniu, a nie dyrektywie, która wymaga implementacji do polskiego porządku prawnego.

RODO ma zapewnić bezpieczeństwo i spójność przetwarzania danych osobowych. Nakłada ono na administratora danych osobowych szereg obowiązków, w tym właśnie konieczność spełnienia wobec osób, których dane osobowe są przetwarzane, obowiązków informacyjnych, czyli poinformowanie ich, co administrator danych osobowych będzie robił z zebranymi od nich danymi osobowymi.

Ale czy RODO dotyczy także małego przedsiębiorcy, który zakłada sklep internetowy czy stronę – wizytówkę swojego biznesu?

Czy przedsiębiorca na stronie internetowej musi stosować RODO?

Jeszcze przed wejściem w życie RODO można było spotkać przedsiębiorców, którzy pewni siebie mówili, że ich przepisy dotyczące przetwarzania danych osobowych czy ich bezpieczeństwa nie dotyczą. Oni przecież nie zbierają żadnych danych osobowych.

Dziś, po kilku latach obowiązywania RODO, świadomość obowiązków przedsiębiorców wynikających z przetwarzania danych osobowych jest o wiele większa. Jednak mimo wszystko co jakiś czas pada pytanie z ust osób planujących prowadzić działalność nierejestrowaną, czy ich RODO naprawdę dotyczy.

W praktyce trudno jest sobie wyobrazić przedsiębiorcę, który nie przetwarza w ogóle danych osobowych. Bo przecież przedsiębiorca pozyskuje klientów, odpowiada na maile w sprawie ofert, ma pracowników czy chociażby ma listę osób zapisanych na jego newsletter. Do tych wszystkich czynności potrzebne są przecież dane osobowe – adresy e-mail, numery telefonów czy imiona i nazwiska klientów.

RODO nie stosuje się do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Trudno uznać, że prowadzenie działalności nierejestrowanej czy pozyskiwanie danych osobowych na stronie internetowej będzie tym wyjątkiem. Tym bardziej, że wyjątek trzeba interpretować bardzo wąsko. Przedsiębiorca pozyskuje dane osobowe po to, żeby prowadzić działalność gospodarczą – nie jest to osobisty czy domowy charakter.

Przedsiębiorca jako administrator danych osobowych

Przedsiębiorca, który np. prowadzi sklep internetowy staje się administratorem danych osobowych np. swoich klientów. Zgodnie z definicją administratora danych osobowych ujętą w RODO, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Zgodnie z tą definicją administratorem danych osobowych może być np. spółka z ograniczoną odpowiedzialnością czy osoba fizyczna prowadząca jednoosobową działalność gospodarczą. Nie można utożsamiać administratora z np. członkiem zarządu spółki z ograniczoną odpowiedzialnością, pracownikiem spółki czy prokurentem osoby, która prowadzi jednoosobową działalność gospodarczą.

Administrator dodatkowo samodzielnie ustala cele i sposoby przetwarzania danych osobowych. Co to w praktyce oznacza? Jeżeli przedsiębiorca chce prowadzić np. sklep internetowy z zabawkami, to jasne jest, że podczas sprzedaży swoich towarów będzie pozyskiwał dane osobowe klientów. A zatem samodzielnie określa, w jakim celu będzie zbierał dane osobowe – w tym przypadku celem będzie realizacja umowy sprzedaży zabawek. Dodatkowo ten sam sprzedawca będzie decydował, jakie będą sposoby przetwarzania tych danych osobowych – tzn. sam określi, co będzie się działo z danymi osobowymi jego klienta.

W takim właśnie przypadku sprzedawca staje się administratorem danych osobowych swojego klienta, a co za tym idzie – ma wiele obowiązków, które nakłada na niego RODO. To właśnie administrator jest odpowiedzialny za bezpieczeństwo danych osobowych, które posiada.

Dane osobowe, które mogą być pozyskiwane na stronie internetowej

Sposobów pozyskiwania danych osobowych na stronie internetowej może być więcej – nie tylko będzie to realizacja umowy sprzedaży.

Przedsiębiorca może stać się administratorem danych osobowych, pozyskiwanych na stronie internetowej, w związku z następującymi procesami:

  1. zapisem na newsletter;
  2. korzystaniem z formularza kontaktowego;
  3. prośbą o przedstawienie oferty;
  4. zawarciem i realizacją umowy;
  5. zapisaniem się na listę osób oczekujących na produkt;
  6. umieszczeniem komentarza pod wpisem na blogu.

 

Powyższe wyliczenie ma charakter przykładowy. Nie na każdej stronie internetowej administrator będzie pozyskiwał dane osobowe na wszystkie podane wyżej cele. Administrator może pozyskiwać dane osobowe na realizację jeszcze innych celów.

Polityka prywatności a RODO

Polityka prywatności to pojęcie, które jednoznacznie kojarzy się z RODO. Natomiast w samej treści rozporządzenia nie pojawia się jego wytłuczenie. Co więcej – określenie „polityka prywatności” nie zostaje w nim użyte ani razu. Skąd więc taka popularność polityk prywatności?

RODO nakazuje spełniać wobec osób, których dane osobowe przetwarza administrator tzw. obowiązki informacyjne. Na stronie internetowej może być kilka miejsc, w których odwiedzający może przekazać swoje dane osobowe przedsiębiorcy. Administrator dla każdego procesu może stworzyć osobny obowiązek informacyjny i umieścić go w odpowiednim miejscu na stronie internetowej.