Jak dostosować stronę internetową do RODO? Zgodność prawna strony internetowej

Strona internetowa powinna funkcjonować jak w zegarku. Po wejściu w życie przepisów dotyczących ochrony danych osobowych (RODO) zakres wymogów znacznie się powiększył. Jednak nie tylko RODO nakłada szereg wymogów. Wymogi informacyjne również są nakładane przez inne ustawy dlatego też postaram się po krótce przedstawić kilka istotnych wskazówek dotyczących zgodności prawnej strony internetowej prowadzonej przez przedsiębiorcę.

  1. Podanie informacji o administratorze danych:

Artykuł  13 – RODO

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
1.  Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f)  gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.2.  

Poza informacjami, o których mowa w ust.powyżej, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3.  Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.4.  Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Idealnym pełnym tekstem jest Polityka Prywatności, którą powinna mieć każda strona internetowa.

Miejsca gdzie mogą być zbierane dane osobowe na stronie internetowej:

a) formularz kontaktowy
b) sprzedaż produktów
c) formularz zamówienia
d) pliki cookie
e) formularz porady prawnej
f) czat oraz inny komunikator
g) wykorzystywanie wtyczek społecznościowych typu facebook, linkedin, instagram, disqus itd

  • Co ważne przepisy RODO nakazują minimalizacji zbierania danych osobowych, aby zbieranie ich nie było nadmiarowe jeżeli ich nie potrzebujemy. Co oznacza, że przedsiębiorca nie może wychodzić z założenia, że zbierze dane osobowe w szerokim zakresie “na wszelki wypadek” albo “w razie czego” bo będzie to łamaniem przepisów RODO. Każde wykorzystywanie danych musi być racjonalne i rzeczywiste do celu w jakim są one wykorzystywane.
  • Warto pamiętać, że przy wszelkiego rodzaju formularzach kontaktowych, zamówienia, czatach itd. powinno się zamieścić pierwszy zakres klauzuli informacyjnej RODO dla użytkowników.
  • Wymuszanie podawania danych osobowych od konsumenta może być odebrane jako działanie nie tylko niezgodne z RODO i minimalizacją danych ale również sprzeczne z prawem konsumentów. Np. Jeżeli do rezerwacji usługi potrzebujemy imię, nazwisko oraz nr. telefonu a dodamy do tego pesel, wówczas pesel będzie już nadmiarową daną, nawet można byłoby pokusić się o to czy nazwisko będzie również potrzebne, albowiem samo imię i numer telefonu wystarczyłby.
  • Warto wskazać, że klauzula informacyjna RODO powinna być łatwo dostępna dla użytkowników strony internetowej. Link do niej powinien być wstawiony na stronie głównej (homepage) aby użytkownik mógł znaleźć taką informację.

Wycofanie zgody – konieczność takiej samej łatwości

Jest to częsty problem. Strony internetowe są przystosowane tak, że wyrażenie zgody na przetwarzanie danych osobowych użytkownik realizuje np. zaznaczając checkbox. Natomiast aby wycofać zgodę wymaga się już od niego szukania adresu email, albo wysyłania pism co jest niedopuszczalne, albo conajmniej rażące i nieadekwatne. Zgodnie bowiemz Art. 7 ust. 3 RODO Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

Rozliczalność Administratora danych osobowych

Artykuł  7  RODO

Warunki wyrażenia zgody –  Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jest to bardzo istotna kwestia, albowiem przedsiębiorca będzie musiał udowodnić, że posiada zgodę na wszelkie działania i wykorzystywanie danych. W jego interesie będzie zatem odpowiednie udokumentowanie tego, że taką zgodę konsument czy użytkownik strony wyraził.

Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

Wtyczki społecznościowe – jako zagrożenie “współadministrowania danymi”

Mało kto zdaje sobie sprawę, ale umieszczenie na stronie wtyczki społecznościowej wiąże się z faktem współadministrowania danymi.

Wyrok Trybunału Sprawiedliwości  z dnia 29 lipca 2019 r.C-40/17 Operator witryny internetowej jako administrator danych osobowych

Slusznie wskazuje UODO, że

“Podmioty zamieszczające wtyczkę „Lubię to” na swoich witrynach internetowych są wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) administratorami danych osobowych osób korzystających z witryn takich podmiotów. Przy czym odpowiedzialność tych podmiotów ogranicza się do operacji zbierania danych oraz ich transmisji do Facebooka.

Taki wniosek płynie z wyroku, który 29 lipca 2019 r. wydał Trybunał Sprawiedliwości UE. Chodzi o wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17* Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV. Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożył Oberlandesgericht Düsseldorf.

Rozstrzygnięcie to jest istotne z punktu widzenia określenia ról podmiotów biorących udział w procesie przetwarzania danych osobowych.

Obowiązek informacyjny to podstawa

Urząd Ochrony Danych Osobowych przypomina podmiotom korzystającym z wtyczek społecznościowych Facebooka „Lubię to”, aby wypełniać wobec osób korzystających z witryn obowiązek informacyjny (art. 13 ogólnego rozporządzenia o ochronie danych ─ RODO). Osoba odwiedzająca taką witrynę musi wiedzieć, że operator przekazuje jej dane Facebookowi. Dane to informacje o adresie IP i identyfikatorze przeglądarki użytkownika.

Sklepy internetowe czy inne podmioty prowadzące działalność przez Internet powinny uzupełnić klauzule informacyjne na swoich stronach internetowych, jeżeli dotychczas takich informacji nie zamieściły, a korzystają z wtyczki „Lubię to”. Obowiązek informacyjny powinien być spełniony przed gromadzeniem i przekazywaniem danych Facebookowi.

Użytkownik musi wiedzieć, co dzieje się z jego danymi

Kolejna istotna dla operatorów witryn kwestia, to konieczność dysponowania przesłanką do przetwarzania danych osobowych w zakresie przekazywania tych danych portalowi społecznościowemu Facebook (zgoda, prawnie uzasadniony interes).

Zgoda osoby, której dane dotyczą musi być uprzednia, a więc wyrażona przed rozpoczęciem gromadzenia i przekazywania danych.

Co więcej, klauzula zgody na przekazywanie danych Facebookowi powinna być sformułowana odrębnie od klauzul zgód na przetwarzanie danych osobowych w innych celach i powinna spełniać wszystkie przesłanki o których mowa w RODO.

Warto przypomnieć, że zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO).

W myśl zaś motywu 43 RODO zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to właściwe.

Motyw 32 RODO stanowi, że zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Jak orzekł Trybunał Sprawiedliwości w przypadkach, w których przetwarzanie jest konieczne do realizacji uzasadnionych interesów, każdy ze współadministratorów danych, mianowicie operator witryny internetowej i dostawca wtyczki społecznościowej, musi w ramach gromadzenia i przekazywania danych uzasadnić, dlaczego te operację są w jego działalności potrzebne.

Polityki bezpieczeństwa do przeglądu

Kolejna niezbędna czynność, to uwzględnienie przez wspomnianych operatorów w ich politykach bezpieczeństwa kwestii przekazywania danych osobowych Facebookowi w związku z korzystaniem z wtyczki „Lubię to”.

Warto zauważyć także, że podmioty będące współadministratorami powinny w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO (art. 26 ust. 1 RODO). Jest to istotne w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO.

Ponieważ operatorzy witryn internetowych wraz z dostawcą wtyczki społecznościowej (Facebook), w zakresie zbierania i transmisji danych Facebookowi, zostali uznani przez Trybunał Sprawiedliwości UE za współadministratoratorów danych osobowych osób odwiedzających te witryny muszą pamiętać o jeszcze jednej ważnej czynności. Powinni oni zapewnić, aby osoba, której dane dotyczą miała całkowitą pewność, do którego administratora danych się zwrócić, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO).”

  1. Obowiązek informacyjny wiąże się również z ustawą o prawach konsumenta, czy innymi. Konsument, który kupuje towar lub korzysta z usług musi wiedzieć z kim zawiera umowę.
  2. Art 4a Ustawy o prawach konsumenta:

Art.  4a.  [Sposób wykonania przez administratora obowiązku informacyjnego dotyczącego przetwarzania danych osobowych w zakresie umów zawieranych poza lokalem przedsiębiorstwa lub na odległość oraz innych umów]1.  Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2019 r. poz. 1292 i 1495), wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UEL 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej “rozporządzeniem 2016/679”, w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.

Art. 8 Ustawy o prawach konsumenta:

[Obowiązki informacyjne przedsiębiorcy]

Najpóźniej w chwili wyrażenia przez konsumenta woli związania się umową przedsiębiorca ma obowiązek poinformować konsumenta, o ile informacje te nie wynikają już z okoliczności, w sposób jasny i zrozumiały o:
1) głównych cechach świadczenia, z uwzględnieniem przedmiotu świadczenia oraz sposobu porozumiewania się z konsumentem;
2) swoich danych identyfikujących, w szczególności o firmie, organie, który zarejestrował działalność gospodarczą, i numerze, pod którym został zarejestrowany, adresie, pod którym prowadzi przedsiębiorstwo, i numerze telefonu przedsiębiorstwa;
3) łącznej cenie lub wynagrodzeniu za świadczenie wraz z podatkami, a gdy charakter przedmiotu świadczenia nie pozwala, rozsądnie oceniając, na wcześniejsze obliczenie ich wysokości – sposobie, w jaki będą one obliczane, a także opłatach za dostarczenie, usługi pocztowe oraz jakichkolwiek innych kosztach, a gdy nie można ustalić wysokości tych opłat – o obowiązku ich uiszczenia; w razie zawarcia umowy na czas nieoznaczony lub umowy obejmującej prenumeratę przedsiębiorca ma obowiązek podania łącznej ceny lub wynagrodzenia obejmującego wszystkie płatności za okres rozliczeniowy, a także wszystkich kosztów, które konsument jest zobowiązany ponieść;4) sposobie i terminie spełnienia świadczenia przez przedsiębiorcę oraz stosowanej przez przedsiębiorcę procedurze rozpatrywania reklamacji;5) przewidzianej przez prawo odpowiedzialności przedsiębiorcy za jakość świadczenia;6) treści usług posprzedażnych i gwarancji;7) czasie trwania umowy lub – gdy umowa zawarta jest na czas nieoznaczony lub ma ulegać automatycznemu przedłużeniu – o sposobie i przesłankach wypowiedzenia umowy;8) funkcjonalności treści cyfrowych oraz mających zastosowanie technicznych środkach ich ochrony;9) mających znaczenie interoperacyjnościach treści cyfrowych ze sprzętem komputerowym i oprogramowaniem.

Art 12 Ustawy o Prawach Konsumenta

[Obowiązki informacyjne przedsiębiorcy przy umowach zawieranych na odległość lub poza lokalem przedsiębiorstwa]

1.  Najpóźniej w chwili wyrażenia przez konsumenta woli związania się umową na odległość lub poza lokalem przedsiębiorstwa przedsiębiorca ma obowiązek poinformować konsumenta w sposób jasny i zrozumiały o:
1) głównych cechach świadczenia z uwzględnieniem przedmiotu świadczenia oraz sposobu porozumiewania się z konsumentem;
2) swoich danych identyfikujących, w szczególności o firmie, organie, który zarejestrował działalność gospodarczą, a także numerze, pod którym został zarejestrowany;
3) adresie przedsiębiorstwa, adresie poczty elektronicznej oraz numerach telefonu lub faksu jeżeli są dostępne, pod którymi konsument może szybko i efektywnie kontaktować się z przedsiębiorcą;
4) adresie, pod którym konsument może składać reklamacje, jeżeli jest inny niż adres, o którym mowa w pkt 3;
5) łącznej cenie lub wynagrodzeniu za świadczenie wraz z podatkami, a gdy charakter przedmiotu świadczenia nie pozwala, rozsądnie oceniając, na wcześniejsze obliczenie ich wysokości – sposobie, w jaki będą one obliczane, a także opłatach za transport, dostarczenie, usługi pocztowe oraz innych kosztach, a gdy nie można ustalić wysokości tych opłat – o obowiązku ich uiszczenia; w razie zawarcia umowy na czas nieoznaczony lub umowy obejmującej prenumeratę przedsiębiorca ma obowiązek podania łącznej ceny lub wynagrodzenia obejmującego wszystkie płatności za okres rozliczeniowy, a gdy umowa przewiduje stałą stawkę – także łącznych miesięcznych płatności;
6) kosztach korzystania ze środka porozumiewania się na odległość w celu zawarcia umowy, w przypadku gdy są wyższe niż stosowane zwykle za korzystanie z tego środka porozumiewania się;
7) sposobie i terminie zapłaty;
8) sposobie i terminie spełnienia świadczenia przez przedsiębiorcę oraz stosowanej przez przedsiębiorcę procedurze rozpatrywania reklamacji;
9) sposobie i terminie wykonania prawa odstąpienia od umowy na podstawie art. 27, a także wzorze formularza odstąpienia od umowy, zawartym w załączniku nr 2 do ustawy;
10) kosztach zwrotu rzeczy w przypadku odstąpienia od umowy, które ponosi konsument; w odniesieniu do umów zawieranych na odległość – kosztach zwrotu rzeczy, jeżeli ze względu na swój charakter rzeczy te nie mogą zostać w zwykłym trybie odesłane pocztą;
11) obowiązku zapłaty przez konsumenta poniesionych przez przedsiębiorcę uzasadnionych kosztów zgodnie z art. 35, jeżeli konsument odstąpi od umowy po zgłoszeniu żądania zgodnie z art. 15 ust. 3 i art. 21 ust. 2;
12) braku prawa odstąpienia od umowy na podstawie art. 38 lub okolicznościach, w których konsument traci prawo odstąpienia od umowy;
13) obowiązku przedsiębiorcy dostarczenia rzeczy bez wad;
14) istnieniu i treści gwarancji i usług posprzedażnych oraz sposobie ich realizacji;
15) kodeksie dobrych praktyk, o którym mowa w art. 2 pkt 5 ustawy z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym oraz sposobie zapoznania się z nim;
16) czasie trwania umowy lub o sposobie i przesłankach wypowiedzenia umowy – jeżeli umowa jest zawarta na czas nieoznaczony lub jeżeli ma ulegać automatycznemu przedłużeniu;
17) minimalnym czasie trwania zobowiązań konsumenta wynikających z umowy;
18) wysokości i sposobie złożenia kaucji lub udzielenia innych gwarancji finansowych, które konsument jest zobowiązany spełnić na żądanie przedsiębiorcy;
19) funkcjonalności treści cyfrowych oraz technicznych środkach ich ochrony;
20) mających znaczenie interoperacyjnościach treści cyfrowych ze sprzętem komputerowym i oprogramowaniem, o których przedsiębiorca wie lub powinien wiedzieć;
21) możliwości skorzystania z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń oraz zasadach dostępu do tych procedur.2.  Jeżeli umowa jest zawierana w imieniu innego przedsiębiorcy, należy podać dane, o których mowa w ust. 1 pkt 2-4, identyfikujące tego przedsiębiorcę.3.  W przypadku aukcji publicznej informacje, o których mowa w ust. 1 pkt 2-4, mogą być zastąpione informacjami dotyczącymi organizatora aukcji.

Strona internetowa to również sposób jej powstanie czyli wszystko za co w późniejszym etapie odpowiadamy. Dlatego zlecając realizację strony internetowej miejmy na uwadze stworzenie dobrej umowy, która będzie gwarantowała zgodność prawną w zakresie privacy by design, by default oraz reszty przepisów prawnych.