Korzystanie z Internetu łączy się ze zbieraniem różnego rodzaju danych o użytkownikach. Część z nich stanowi dane osobowe. RODO nakłada na administratorów stron obowiązek związany z informowaniem użytkowników o danych jakie pozyskuje i przetwarza. Polityka prywatności staje się naturalną formą spełnienia tego obowiązku.
Przetwarzanie danych osobowych w ramach stron internetowych
Analizując kwestie przetwarzania danych osobowych w ramach stron internetowych należy odpowiedzieć na pytanie jakie dane osobowe mogą być zbierane przez administratorów portali internetowych. Na pierwszy rzut oka samo wejście na stronę internetową nie jest związane z podawaniem jakichkolwiek danych osobowych. Nie jest to jednak prawda. Z reguły już w momencie wejścia na dany portal spowoduje zapisanie w rejestrach serwera strony adresu IP, z którego połączono się ze stroną.
Stosownie do przepisów RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Tym samym, uznając że adres IP jest identyfikatorem internetowym należy uznać, że sam adres IP stanowi dane osobowe. W związku z tym administrator strony staje się administratorem danych osobowych.
Ponadto wiele portali internetowych zapisuje również inne dane osobowe osób, które dokonują odwiedzin takich portali. Mogą one obejmować np. dane dot. adresu e-mail a nawet dane zawarte w treści wykorzystywanych przez użytkowników portali społecznościowych. Wystarczające jest umieszczenie na stronie internetowej odpowiedniej wtyczki, odsyłającej do portalu społecznościowego.
Co więcej, algorytmy umożliwiające kontrolę ruchu na stronie internetowej, w szczególności liczbę wejść poszczególnych użytkowników zbierają informacje o tym, z jakiego kraju użytkownicy logują się na stronę internetową, urządzenie z jakiego korzystają (telefon czy komputer) oraz przeglądarkę internetową, wykorzystywaną przez użytkownika. Całokształt tych informacji, wraz z danymi dotyczącymi adresu IP czy też adresu poczty elektronicznej, stanowi dane osobowe osoby odwiedzającej stronę. Należy wskazać, że w ramach strony internetowej co do zasady nie będzie dochodziło do przetwarzania danych wrażliwych, takich jak dane o stanie zdrowia, orientacji seksualnej, dane biometryczne czy np. dane o poglądach politycznych lub wyznaniu.
Podstawy do przetwarzania danych osobowych przez administratora danych osobowych
W przypadku stron internetowych, w ramach których przetwarzane są dane osobowe odwiedzających, możemy mówić o kilku podstawach przetwarzania danych osobowych. Jedną z nich będzie konieczność realizacji prawnie uzasadnionego interesu administratora danych osobowych. Dzieje się tak w przypadku gdy administrator zapisuje dane osobowe np. w ramach plików cookies w celu zapewnienia bezpieczeństwa i prawidłowego działania strony. W oparciu o prawnie uzasadniony interes administratora danych można również przetwarzać dane osobowe w celu kontroli ilości ruchu na stronie internetowej.
Inną z przesłanek, umożliwiających przetwarzanie danych osobowych w ramach strony internetowej jest zgoda osoby, której dane dotyczą. Zbierana jest ona zwykle w tych sytuacjach, gdy dane są przetwarzane w celu profilowania osoby i wyświetlania jej dedykowanych reklam, biorących pod uwagę dotychczas wyświetlane strony internetowe, przeglądane produkty czy też zebrane informacje dotyczące zainteresowań czy preferencji zakupowych. W takim wypadku podczas wejścia na stronę internetową osoba, której dane dotyczą ma prawo do wyrażenia stosownej zgody na przetwarzanie danych osobowych. Odmowa jej udzielenia nie powinna skutkować automatyczną niemożnością odwiedzenia danej strony, a jedynie brakiem uprawnienia administratora do wyświetlania odwiedzającemu spersonalizowanych reklam.
Trzecią przesłanką, umożliwiającą przetwarzanie danych osobowych użytkowników stron internetowych będzie konieczność ich przetwarzania w celu wykonania zawartej pomiędzy stronami umowy. Będzie się działo tak w przypadku gdy administrator strony świadczy na rzecz użytkowników usługi drogą elektroniczną, np. umożliwiając im korzystanie ze sklepu internetowego czy też z portalu społecznościowego. W takiej sytuacji przetwarzanie danych osobowych osoby odwiedzającej stronę i korzystającej z usług świadczonych drogą elektroniczną łączy się z zawarciem umowy pomiędzy odwiedzającym a administratorem. Może ona zostać zawarta również np. poprzez akceptację treści regulaminu świadczenia usług drogą elektroniczną. W takiej sytuacji również przetwarzanie danych osobowych związane jest z koniecznością wykonania umowy zawartej pomiędzy stronami.
Treść polityki prywatności
W związku z tym, że w ramach stron internetowych przetwarzane są dane osobowe, konieczne jest spełnienie wobec osób, których dane dotyczą obowiązku informacyjnego wymaganego przez przepisy RODO. W praktyce informacje te z reguły zawarte są w treści polityki prywatności, umieszczonej na stronie. Należy jednak pamiętać, że na stronie internetowej konieczne jest również informowanie o wykorzystywaniu plików cookies. Obowiązek ten wynika bezpośrednio z przepisów ustawy Prawo telekomunikacyjne, która nakłada na administratorów stron m.in. konieczność wskazywania na to, jakie dane zapisywane są na urządzeniu użytkownika w związku z wejściem na stronę internetową. Ponadto, użytkownik powinien wyrazić na to stosowną zgodę – co może odbywać się również przy pomocy wyboru odpowiednich ustawień przeglądarki. Przepisy RODO nie modyfikują tego obowiązku. W związku z tym należy w ramach polityki prywatności informować zarówno o przetwarzaniu danych osobowych jak i o plikach cookies.
Sama informacja o przetwarzaniu danych osobowych powinna przede wszystkim zawierać nazwę (ew. imię i nazwisko w przypadku osób fizycznych) administratora danych, tj. właściciela strony. Konieczne jest także podanie danych kontaktowych, takich jak adres do korespondencji lub adres poczty elektronicznej. Ponadto obowiązek informacyjny powinien zawierać informację o celach i podstawach prawnych przetwarzania danych, opisanych we wcześniejszej części artykułu.
Powierzenie lub udostępnienie danych osobowych a polityka prywatności
Niejednokrotnie zdarza się, że administrator strony internetowej korzysta z usług podmiotów trzecich, np. w celu analizy ruchu na stronie internetowej. W związku z tym niekiedy może nie mieć dostępu do bazy danych osób odwiedzających stronę, a jedynie otrzymywać informacje statystyczne dot. np. ilości wejść na stronę internetową. Nie oznacza to jednak, że przestaje być administratorem danych osobowych. Posiadanie fizycznego dostępu do danych nie jest bowiem kluczowe z punktu widzenia posiadania statusu administratora. Istotne jest decydowanie o celach i sposobach przetwarzania danych osobowych, a w tym zakresie decyzja nadal należy do administratora. To on bowiem dokonuje wyboru usługi umożliwiającej śledzenie ruchu na stronie, a tym samym decyduje o celach i sposobach przetwarzania danych. Usługodawca natomiast będzie podmiotem, który przetwarza dane osobowe w imieniu administratora. Tym samym konieczne jest poinformowanie osób, których dane dotyczą o podmiotach, którym udostępniono takie dane osobowe – w tym podmiotów przetwarzających dane w imieniu administratora.
źródło: LexDigital