Czym są dane osobowe?
Dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z przepisami Rozporządzenia o Ochronie Danych Osobowych (RODO), dane osobowe definiowane są jako wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Obejmują one takie dane jak imię i nazwisko, adres e-mail, numer telefonu, adres IP, dane lokalizacyjne, identyfikator internetowy czy jedno lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby.
Strony internetowe mogą gromadzić i przetwarzać różne rodzaje danych osobowych swoich użytkowników, dlatego istotne jest, aby administratorzy tych serwisów byli świadomi obowiązujących przepisów i przestrzegali ich.
Podstawy prawne przetwarzania danych osobowych
Aby legalnie przetwarzać dane osobowe, administrator strony internetowej musi mieć ku temu odpowiednią podstawę prawną. RODO przewiduje sześć możliwych podstaw prawnych:
- Zgoda – Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych w określonym celu lub celach.
- Umowa – Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy.
- Obowiązek prawny – Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
- Żywotne interesy – Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
- Zadanie realizowane w interesie publicznym – Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
- Prawnie uzasadniony interes – Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych.
Najczęściej spotykaną podstawą prawną na stronach internetowych jest zgoda lub prawnie uzasadniony interes administratora. Należy jednak pamiętać, że wybór odpowiedniej podstawy prawnej powinien być dokonywany indywidualnie dla każdego celu przetwarzania danych.
Obowiązki administratora danych
Zgodnie z RODO, administrator danych osobowych ma szereg obowiązków, które musi wypełnić, aby zapewnić zgodność przetwarzania danych z przepisami prawa. Do głównych obowiązków należą:
- Zasada legalności, rzetelności i przejrzystości – Administrator musi przetwarzać dane osobowe w sposób legalny, rzetelny i przejrzysty dla osób, których dane dotyczą.
- Ograniczenie celu – Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.
- Minimalizacja danych – Przetwarzane dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
- Prawidłowość danych – Administrator musi podejmować wszelkie rozsądne działania, aby dane osobowe, które przetwarza, były prawidłowe i w razie potrzeby aktualizowane.
- Ograniczenie przechowywania – Dane osobowe mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, nie dłużej niż jest to niezbędne do celów, w których dane te są przetwarzane.
- Integralność i poufność – Administrator musi przetwarzać dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
- Obowiązek informacyjny – Administrator musi poinformować osoby, których dane przetwarza, o szczegółach tego przetwarzania, w tym o jego celach, podstawach prawnych, okresie przechowywania danych oraz prawach przysługujących tym osobom.
- Prawa osób, których dane dotyczą – Administrator musi umożliwić osobom, których dane przetwarza, realizację ich praw wynikających z RODO, takich jak prawo dostępu do danych, prawo do sprostowania, usunięcia lub ograniczenia przetwarzania danych, prawo do przenoszenia danych oraz prawo do sprzeciwu.
- Obowiązek zgłoszenia naruszenia – W przypadku naruszenia ochrony danych osobowych, administrator ma obowiązek zgłoszenia tego faktu organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia.
- Ocena skutków dla ochrony danych – Jeżeli dany rodzaj przetwarzania danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi przed rozpoczęciem przetwarzania przeprowadzić ocenę skutków planowanych operacji dla ochrony danych osobowych.
Przestrzeganie tych obowiązków jest kluczowe dla zapewnienia zgodności przetwarzania danych osobowych z przepisami RODO.
Prawa osób, których dane dotyczą
RODO przyznaje osobom fizycznym, których dane osobowe są przetwarzane, szereg praw, które muszą być respektowane przez administratorów danych. Oto najważniejsze z nich:
- Prawo dostępu do danych – Osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy przetwarzane są jej dane osobowe, a jeśli tak, to ma prawo dostępu do tych danych oraz informacji na temat szczegółów przetwarzania.
- Prawo do sprostowania danych – Osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.
- Prawo do usunięcia danych (prawo do bycia zapomnianym) – W określonych sytuacjach, np. gdy dane nie są już niezbędne do celów, w których były przetwarzane, osoba, której dane dotyczą, ma prawo żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych.
- Prawo do ograniczenia przetwarzania – W pewnych okolicznościach, np. gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, ma ona prawo żądać od administratora ograniczenia przetwarzania jej danych osobowych.
- Prawo do przenoszenia danych – Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.
- Prawo do sprzeciwu – W sytuacjach, gdy podstawą przetwarzania danych jest prawnie uzasadniony interes administratora lub przetwarzanie odbywa się na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jej danych osobowych.
- Prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu – Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Administratorzy danych osobowych muszą zapewnić osobom, których dane przetwarzają, możliwość skutecznego wykonywania tych praw.
Zgoda na przetwarzanie danych osobowych
Jedną z najczęściej stosowanych podstaw prawnych przetwarzania danych osobowych na stronach internetowych jest zgoda. Aby była ona ważna, musi spełniać określone wymagania:
- Dobrowolność – Zgoda musi być dobrowolna, co oznacza, że osoba, której dane dotyczą, ma rzeczywistą możliwość wyboru i nie może być w żaden sposób zmuszona lub wywierana jest na nią presja.
- Świadomość – Osoba wyrażająca zgodę musi być świadoma, na co wyrażą zgodę, tzn. musi zostać poinformowana o celu przetwarzania danych, zakresie przetwarzanych danych oraz administratorze danych.
- Jednoznaczność – Zgoda musi być jednoznaczna, co oznacza, że musi być wyraźnym, świadomym działaniem potwierdzającym wolę osoby, której dane dotyczą, np. zaznaczeniem okienka wyboru lub inną wyraźną czynność potwierdzającą.
- Możliwość wycofania – Osoba, która wyraziła zgodę, musi mieć możliwość jej wycofania w dowolnym momencie, a wycofanie zgody musi być równie łatwe jak jej wyrażenie.
- Oddzielność – Zgoda musi być oddzielona od innych kwestii, tzn. nie może być “ukryta” w innych informacjach lub postanowieniach umownych.
- Udokumentowanie – Administrator danych musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
Należy pamiętać, że zgoda nie jest wymagana w każdej sytuacji przetwarzania danych osobowych. Jeśli jednak administrator strony internetowej decyduje się na taką podstawę prawną, musi spełnić powyższe wymogi.
Polityka prywatności i pliki cookies
Jednym z obowiązków administratora danych osobowych jest poinformowanie osób, których dane przetwarza, o szczegółach tego przetwarzania. Na stronach internetowych najczęściej realizuje się ten obowiązek poprzez politykę prywatności oraz informację o plikach cookies.
Polityka prywatności
Polityka prywatności to dokument, w którym administrator strony internetowej informuje użytkowników o tym, jakie dane osobowe są zbierane, w jakich celach i na jakiej podstawie prawnej są one przetwarzane, jak długo będą przechowywane, komu mogą być udostępniane oraz o prawach przysługujących osobom, których dane dotyczą.
Dobrze przygotowana polityka prywatności powinna zawierać następujące informacje:
- Dane identyfikujące administratora danych oraz, w stosownych przypadkach, jego przedstawiciela
- Cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania
- Informacje o odbiorcach danych lub kategoriach odbiorców, jeżeli dane są udostępniane
- Informacje o zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej
- Okres przechowywania danych osobowych lub kryteria służące określeniu tego okresu
- Informacje o prawach przysługujących osobie, której dane dotyczą (prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, cofnięcia zgody)
- Informacje o źródle pochodzenia danych, jeżeli nie zostały one zebrane od osoby, której dotyczą
- Informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu
Polityka prywatności powinna być sporządzona przejrzystym, jasnym i zrozumiałym językiem, łatwym do zrozumienia dla przeciętnego użytkownika strony. Najlepiej umieścić ją w łatwo dostępnym miejscu na stronie, np. w stopce lub w osobnej zakładce menu.
Pliki cookies
Pliki cookies to małe pliki tekstowe wysyłane przez serwer www i zapisywane na komputerze lub urządzeniu mobilnym użytkownika. Mogą one zawierać dane osobowe, dlatego ich wykorzystywanie na stronie internetowej również wymaga odpowiedniej informacji dla użytkowników.
Zgodnie z przepisami, administrator strony musi poinformować użytkowników o:
- Celu wykorzystywania plików cookies
- Możliwości określenia warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies
- Informacjach o wykorzystywaniu plików cookies przez współpracujących podmiotów trzecich (np. dostawców usług analitycznych, reklamowych itp.)
Informacja ta powinna być prezentowana w przejrzysty i łatwy do zrozumienia sposób. Najbardziej popularne rozwiązanie to wyświetlanie przy pierwszej wizycie na stronie specjalnego komunikatu z możliwością zaakceptowania lub odrzucenia plików cookies.
Zabezpieczenie danych osobowych
Jednym z kluczowych obowiązków administratora danych osobowych jest zapewnienie bezpieczeństwa przetwarzanych danych i ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu należy wdrożyć odpowiednie środki techniczne i organizacyjne.
Środki techniczne
Do najważniejszych środków technicznych zabezpieczających dane osobowe na stronach internetowych należą:
- Szyfrowanie transmisji danych – Wykorzystanie protokołu HTTPS do szyfrowania komunikacji między przeglądarką a serwerem, co uniemożliwia przechwycenie przesyłanych danych przez osoby trzecie.
- **Silne uw