Polityka prywatności na stronach internetowych. Jak właściwie spełnić obowiązek informacyjny?

Dziś, szczególnie w dobie pandemii koronawirusa, przedsiębiorcy coraz chętniej przenoszą swoje biznesy do internetu.  Przedsiębiorcy inwestują w strony internetowej, żeby pozyskiwać nowych klientów, otwierać sklepy internetowe, budować listę mailingową czy po prostu być widocznym w sieci.

Powyższe jest ściśle związane z przetwarzaniem danych osobowych, a to powoduje, że przedsiębiorca musi zmierzyć się z szeregiem zagadnień związanych z tym obszarem, w tym np. z Polityką prywatności. Ci, którzy dopiero zaczynają działać w sieci, często zastanawiają się, czy na swojej stronie internetowej potrzebują umieścić politykę prywatności i w jakim zakresie dotyczą ich przepisy o ochronie danych osobowych.

Czym jest RODO?

Zacznijmy od wytłumaczenia co kryje się pod powszechnie używanym skrótem RODO. Jest to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych). Nazwa jest długa i skomplikowana – stąd powszechnie używa się dla niego skrótowego określenia RODO.

RODO obowiązuje od 25 maja 2018 roku, czyli już od prawie 3 lat. Jednak do dziś budzi ono sporo wątpliwości, a niektórych przedsiębiorców przyprawia o szybsze bicia serca.

Przede wszystkim rozporządzenie o ochronie danych osobowych stosujemy bezpośrednio. To znaczy, że jeżeli przedsiębiorca chce sprawdzić, jakie obowiązki w zakresie przetwarzania danych osobowych nakłada na niego RODO, to powinien spojrzeć bezpośrednio do tego aktu, a nie polskiej ustawy. Jest to jeden z nielicznych przypadków, gdzie instytucje unijne zdecydowały się na uregulowanie kwestii prawnych w rozporządzeniu, a nie dyrektywie, która wymaga implementacji do polskiego porządku prawnego.

RODO ma zapewnić bezpieczeństwo i spójność przetwarzania danych osobowych. Nakłada ono na administratora danych osobowych szereg obowiązków, w tym właśnie konieczność spełnienia wobec osób, których dane osobowe są przetwarzane, obowiązków informacyjnych, czyli poinformowanie ich, co administrator danych osobowych będzie robił z zebranymi od nich danymi osobowymi.

Ale czy RODO dotyczy także małego przedsiębiorcy, który zakłada sklep internetowy czy stronę – wizytówkę swojego biznesu?

Czy przedsiębiorca na stronie internetowej musi stosować RODO?

Jeszcze przed wejściem w życie RODO można było spotkać przedsiębiorców, którzy pewni siebie mówili, że ich przepisy dotyczące przetwarzania danych osobowych czy ich bezpieczeństwa nie dotyczą. Oni przecież nie zbierają żadnych danych osobowych.

Dziś, po kilku latach obowiązywania RODO, świadomość obowiązków przedsiębiorców wynikających z przetwarzania danych osobowych jest o wiele większa. Jednak mimo wszystko co jakiś czas pada pytanie z ust osób planujących prowadzić działalność nierejestrowaną, czy ich RODO naprawdę dotyczy.

W praktyce trudno jest sobie wyobrazić przedsiębiorcę, który nie przetwarza w ogóle danych osobowych. Bo przecież przedsiębiorca pozyskuje klientów, odpowiada na maile w sprawie ofert, ma pracowników czy chociażby ma listę osób zapisanych na jego newsletter. Do tych wszystkich czynności potrzebne są przecież dane osobowe – adresy e-mail, numery telefonów czy imiona i nazwiska klientów.

RODO nie stosuje się do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Trudno uznać, że prowadzenie działalności nierejestrowanej czy pozyskiwanie danych osobowych na stronie internetowej będzie tym wyjątkiem. Tym bardziej, że wyjątek trzeba interpretować bardzo wąsko. Przedsiębiorca pozyskuje dane osobowe po to, żeby prowadzić działalność gospodarczą – nie jest to osobisty czy domowy charakter.

Przedsiębiorca jako administrator danych osobowych

Przedsiębiorca, który np. prowadzi sklep internetowy staje się administratorem danych osobowych np. swoich klientów. Zgodnie z definicją administratora danych osobowych ujętą w RODO, administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Zgodnie z tą definicją administratorem danych osobowych może być np. spółka z ograniczoną odpowiedzialnością czy osoba fizyczna prowadząca jednoosobową działalność gospodarczą. Nie można utożsamiać administratora z np. członkiem zarządu spółki z ograniczoną odpowiedzialnością, pracownikiem spółki czy prokurentem osoby, która prowadzi jednoosobową działalność gospodarczą.

Administrator dodatkowo samodzielnie ustala cele i sposoby przetwarzania danych osobowych. Co to w praktyce oznacza? Jeżeli przedsiębiorca chce prowadzić np. sklep internetowy z zabawkami, to jasne jest, że podczas sprzedaży swoich towarów będzie pozyskiwał dane osobowe klientów. A zatem samodzielnie określa, w jakim celu będzie zbierał dane osobowe – w tym przypadku celem będzie realizacja umowy sprzedaży zabawek. Dodatkowo ten sam sprzedawca będzie decydował, jakie będą sposoby przetwarzania tych danych osobowych – tzn. sam określi, co będzie się działo z danymi osobowymi jego klienta.

W takim właśnie przypadku sprzedawca staje się administratorem danych osobowych swojego klienta, a co za tym idzie – ma wiele obowiązków, które nakłada na niego RODO. To właśnie administrator jest odpowiedzialny za bezpieczeństwo danych osobowych, które posiada.

Dane osobowe, które mogą być pozyskiwane na stronie internetowej

Sposobów pozyskiwania danych osobowych na stronie internetowej może być więcej – nie tylko będzie to realizacja umowy sprzedaży.

Przedsiębiorca może stać się administratorem danych osobowych, pozyskiwanych na stronie internetowej, w związku z następującymi procesami:

1. zapisem na newsletter;
2. korzystaniem z formularza kontaktowego;
3. prośbą o przedstawienie oferty;
4. zawarciem i realizacją umowy;
5. zapisaniem się na listę osób oczekujących na produkt;
6. umieszczeniem komentarza pod wpisem na blogu.

Powyższe wyliczenie ma charakter przykładowy. Nie na każdej stronie internetowej administrator będzie pozyskiwał dane osobowe na wszystkie podane wyżej cele. Administrator może pozyskiwać dane osobowe na realizację jeszcze innych celów.

Polityka prywatności a RODO

Polityka prywatności to pojęcie, które jednoznacznie kojarzy się z RODO. Natomiast w samej treści rozporządzenia nie pojawia się jego wytłuczenie. Co więcej – określenie „polityka prywatności” nie zostaje w nim użyte ani razu. Skąd więc taka popularność polityk prywatności?

RODO nakazuje spełniać wobec osób, których dane osobowe przetwarza administrator tzw. obowiązki informacyjne. Na stronie internetowej może być kilka miejsc, w których odwiedzający może przekazać swoje dane osobowe przedsiębiorcy. Administrator dla każdego procesu może stworzyć osobny obowiązek informacyjny i umieścić go w odpowiednim miejscu na stronie internetowej.

Na przykład osoba, która odwiedza stronę internetową, chce zapisać się na newsletter, zostawić komentarz na blogu czy poprosić o przedstawienie oferty. Każdy z tych celów przetwarzania jest inny, a co za tym idzie, inne będą również obowiązki informacyjne. Różnić się mogą one np. podstawą prawną przetwarzania czy celem przetwarzania. Bez wątpienia przedsiębiorcy łatwiej będzie zebrać wszystkie obowiązki w jednym dokumencie, który będzie dotyczył zarówno zapisu na newsletter, jak i komentarza na blogu czy żądania przedstawienia oferty niż opracować kilka odrębnych obowiązków informacyjnych i rozmieszczać je w różnych miejscach na stronie internetowej.

Łatwiej jest też administratorowi opanować proces spełniania obowiązków informacyjnych, jeżeli wszystko znajduje się w jednym miejscu. I to z tych powodów polityka prywatności będąca jednym dokumentem, który zawiera w sobie wszystkie informacje o przetwarzaniu danych osobowych, jest tak popularna.

Treść obowiązku informacyjnego

Lista informacji, która powinna znaleźć się w obowiązku informacyjnym wynika z art. 13 RODO. Niestety lista jest długa, a administrator jest obowiązany do podania wszystkich informacji, które znajdują się na tej liście.

Jednak jest też dobra wiadomość. Część z informacji, które administrator powinien przekazać swojemu klientowi, jest stałych. To znaczy taka sama treść znajdzie się zarówno w obowiązku informacyjnym dla osób, które chcą się zapisać na newsletter, jak i tych, które proszą o przedstawienie oferty czy korzystają z usług przedsiębiorcy.

Zacznijmy od tych informacji, które będą takie same w każdym obowiązku informacyjnym.

Po pierwsze, administrator powinien podać swoją tożsamość oraz dane kontaktowe. Osoby, które dopiero zaczynają prowadzić jednoosobową działalność gospodarczą, często mają problem z podaniem swojego imienia i nazwiska oraz adresu prowadzenia działalności. Chcą ograniczyć się do podania marki, pod którą działają. Jest to niestety błąd. Osoba, która powierza administratorowi swoje dane osobowe, powinna znać imię i nazwisko administratora.

Po drugie, administrator powinien wskazać dane inspektora ochrony danych osobowych, ale tylko wtedy, gdy powołał on kogoś na to stanowisko. W praktyce obowiązek powołania inspektora rzadko dotyka drobnych czy początkujących przedsiębiorców.

Po trzecie, administrator powinien również poinformować osobę, której dane pozyskuje, o prawach jej przysługujących, czyli o prawie do:

1. żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą;
2. sprostowania danych osobowych;
3. usunięcia lub ograniczenia przetwarzania danych osobowych;
4. wniesienia sprzeciwu wobec przetwarzania;
5. przenoszenia danych;
6. wniesienia skargi do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych.

Wskazane powyżej trzy elementy w każdym obowiązku informacyjnym będą takie same. Natomiast kolejna grupa informacji, którą należy podać w obowiązkach informacyjnych, powinna być dostosowana do konkretnego celu przetwarzania danych osobowych.

Po pierwsze, administrator powinien wskazać cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania.

Gdy przedsiębiorca przetwarza dane klienta, który kupił w jego sklepie internetowym zabawki, to celem przetwarzania danych osobowych będzie realizacja umowy sprzedaży, a podstawą prawną przetwarzania będzie umowa sprzedaży zawarta między administratorem danych osobowych, a klientem. W przypadku zapisu na newsletter celem przetwarzania danych osobowych może być właśnie wysyłka newslettera, a podstawą do przetwarzania danych osobowych może być zgoda osoby, której dane dotyczą.

Dodatkowo jeżeli administrator wskazuje, że podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora lub osoby trzeciej, to również powinien jasno wskazać, na czym polega ten uzasadniony interes.

Gdy podstawą prawną przetwarzania danych osobowych jest zgoda, to również w obowiązku informacyjnym powinna znaleźć się informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Po drugie, administrator powinien wskazać informacje o odbiorcach danych lub o kategoriach odbiorców, którym dane mogą być przekazywane. I tu również w przypadku każdej z grup katalog podmiotów może być różny. Np. dane osób, które zrobiły zakupy w sklepie internetowym, administrator może przekazać do firmy księgowej w celu wykonania rozliczeń. Natomiast adresy e-mail osób zapisanych na listę newsletterową mogą być przetwarzane na polecenie administratora przez firmę świadczącą usługi wysyłki i zarządzenia newsletterem.

Po trzecie, jeżeli przedsiębiorca chce przekazać dane do państw poza Europejskim Obszarem Gospodarczym (EOG) lub do organizacji międzynarodowej, to powinien umieścić również odpowiednią informację o tym procesie. W szczególności przedsiębiorca powinien zwrócić uwagę czy np. serwery, na których przechowuje swoje dane osobowe, nie znajdują się poza EOG.

Po czwarte, administrator powinien również poinformować osobę, której dane osobowe zamierza przetwarzać, jak długo dane osobowe będą przechowywane. Jeżeli ustalenie konkretnej daty jest niemożliwe, to administrator powinien poinformować, jakie są kryteria ustalania tego okresu. Tu również przez inny okres przedsiębiorca musi przechowywać dane związane ze sprzedażą jego usług w przez inny okres może przechowywać dane osób zapisanych na newsletter. 

Po piąte, w obowiązku informacyjnym powinna znaleźć się również informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy. Ponadto administrator powinien poinformować czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych. Te informacje także będą inaczej się kształtować w zależności od tego, w jakim celu dane osobowe będą przetwarzane.

Po szóste, w obowiązku informacyjnym powinny się również znaleźć informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – oczywiście o ile administrator będzie prowadził takie działania na danych osobowych.

Sposób spełnienia obowiązku informacyjnego

W przypadku pozyskania danych osobowych na stronie internetowej administrator danych osobowych powinien spełnić obowiązek informacyjny w momencie pozyskania danych osobowych. W praktyce przedsiębiorcy w formularzach, gdzie pozyskują dane osobowe, umieszczają dodatkowy check box z oświadczeniem, że osoba zapoznała się z treścią polityki prywatności. Bez zaznaczenia tej informacji nie można sfinalizować zakupu czy skutecznie zapisać się na newsletter.

Ponadto przedsiębiorca powinien pamiętać, żeby treść polityki była jasna i przejrzysta dla odbiorców. Nie chodzi tu tylko o kwestię słownictwa użytego w polityce, ale również wizualną treść polityki. Trudno będzie klientom zapoznać się z treścią obowiązków informacyjnych, gdy będą one umieszczone małą czcionką na mało odróżniającym się tle. Dla wygody czytelnika można również wprowadzić śródtytuły. Dobrą praktyką jest również tworzenie polityki prywatności w formie pytań i odpowiedzi.

Jeżeli przedsiębiorca komunikuje się ze swoimi odbiorcami również w innym języku niż polski, to warto, żeby treść polityki była dostępna również w innym języku. Dla przykładu tłumacz przysięgły języka angielskiego świadczy usługi zarówno dla osób, które posługują się językiem polskim jak i angielskim. Strona internetowa ma dwie wersje językowe – polską i angielską. Stąd tłumacz powinien umieścić na swojej stronie również politykę prywatności w języku polskim, jak i angielskim.

Aktualizacja polityki prywatności

Jeżeli przedsiębiorca umieścił na stronie internetowej politykę prywatności, to nie oznacza, że może spocząć na laurach i całkowicie zapomnieć o procesie przetwarzania danych osobowych.

Treść obowiązków informacyjnych zawartych w polityce prywatności przedsiębiorca powinien dostosować do swojego procesu przetwarzania danych osobowych. Stąd jeżeli zmienią się jakieś informacje zawarte w obowiązku informacyjnym, to należy zaktualizować treść polityki. Na przykład mogą zmienić się dane przedsiębiorcy, czyli jego adres czy numer telefonu albo zakres podmiotów, którym dane osobowe będą przekazywane.

Drugą kwestią, na którą przedsiębiorca powinien zwrócić uwagę, jest to, czy na skutek np. wprowadzenia zmian na stronie internetowej czy aktualizacji zainstalowanych wtyczek osoby, które korzystają ze strony internetowej, mogą bez problemów zapoznać się z treścią polityki prywatności. Kilkakrotnie spotkałam się z sytuacją, że link do polityki prywatności odsyłał mnie do nieistniejącej strony internetowej.

Czy polityka prywatności to koniec obowiązków nałożonych na przedsiębiorcę w związku z przetwarzaniem danych osobowych?

Niestety często przedsiębiorcy myślą, że spełnienie obowiązku informacyjnego czy umieszczenie polityki prywatności na stronie internetowej to koniec obowiązków jakie nakłada na nich RODO. A jest to tylko szczyt góry lodowej.

Spełnienie obowiązku informacyjnego to ten obowiązek, który klienci przedsiębiorcy mogą samodzielnie dostrzec. Jeżeli klient zapisuje się na newsletter, a nie ma możliwości przeczytać, co się będzie działo z jego danymi osobowymi, to od razu dostrzeże, że przedsiębiorca nie realizuje obowiązków wynikających z RODO.

Natomiast ta sama osoba, która zapisuje się do newsletter, na pierwszy rzut oka nie jest w stanie zweryfikować czy przedsiębiorca realizuje uprawnienia osób zapisanych do newslettera, czy i z kim ma zawarte umowy powierzenia przetwarzania danych osobowych, czy przetwarzane przez niego dane osobowe są bezpieczne itd. RODO to nie tylko polityka prywatności i obowiązki informacyjne – to cały proces zapewnienia przez administratora bezpieczeństwa przetwarzania danych osobowych i wprowadzenie licznych procedur, które mają za zadanie zrealizować ten cel.

Joanna Legun

adwokat, specjalizuje się w sporach sądowych oraz ochronie danych osobowych. Prowadzi stronę internetową pod adresem www.jakzrozumiecprawnika.pl, gdzie publikuje artykuły wyjaśniające zagadnienia prawne istotne dla przedsiębiorców

Artykuł pochodzi z Biuletynu Euro Info 2/2021

Przeczytaj więcej takich artykułów w strefie wiedzy PARP