RODO wprowadziło wiele zmian w firmach, szczególnie jeśli chodzi o dokumentację. Zgodne z nowymi przepisami powinny być również ich strony internetowy. Jakie wymogi muszą one spełniać?
Odwiedziny strony internetowej wiążą się z przekazaniem informacji o użytkowniku – nie tylko numeru IP, ale także szeregu innych danych. Zbierając takie dane należy poinformować o tym odwiedzających stronę, ale także uzyskać ich zgodę i wskazać cel przetwarzania tych danych.
Wiele firm korzysta z dodatkowych narzędzi, takich jak wtyczki do mediów społecznościowych, Disqus pozwalający na pozostawianie komentarzy czy formularze kontaktowe. Warto pamiętać, że zadaniem administratora jest wybrać takie narzędzia i taki sposób ich konfiguracji, aby maksymalnie szanować prywatność użytkowników. Co więcej, w wielu przypadkach konieczne jest uzyskanie zgody użytkownika na pobieranie jego danych, a jeszcze częściej – przynajmniej poinformowanie go, że takie dane w ogóle są przetwarzane.
Na początek warto więc zastanowić się, jakie zewnętrzne narzędzia są lub mają być wykorzystywane na stronie, a potem odpowiedzieć sobie na pytanie – czy w ogóle są potrzebne.
Polityka prywatności to w przypadku większości stron internetowych element obowiązkowy. Za pośrednictwem strony zbierane są bowiem dane osobowe. Adresatami polityki prywatności są więc zwykle nie tylko klienci, ale także wszystkie inne osoby, których dane mogą być przetwarzane. A kto należy do tego grona? Chociażby osoba, która zadała pytanie w formularzu kontaktowym albo skomentowała wpis.
Polityka prywatności brzmi jak skomplikowany dokument, a tymczasem łatwo przygotować ją samodzielnie. Jej głównym zadaniem jest poinformowanie odwiedzającego stronę o:
1) administratorze danych osobowych,
2) sposobach na skontaktowanie się z administratorem danych,
3) zakresie i celu zbierania danych,
4) czasie przechowywania danych,
5) prawach użytkownika w związku z przetwarzaniem danych,
6) ewentualnym przekazywaniu danych do innych podmiotów,
7) wykorzystywaniu plików cookies.
Wygodnym sposobem na skontaktowanie się z daną firmą jest wysłanie maila bezpośrednio za pomocą formularza kontaktowego. A już sam mail użytkownika to dane osobowe. Zwykle w takich formularzach prosi się jednak także o inne dane, takie jak imię, nazwisko czy numer telefonu.
W takim wypadku konieczne jest dopełnienie obowiązku informacyjnego. Sam fakt zamieszczenia w polityce prywatności kwestii związanych z przetwarzaniem danych nie wystarczy, aby uznać, że strona internetowa jest zgodna z RODO. I to zarówno, jeśli chodzi o prosty formularz kontaktowy, jak i na przykład formularz do wysyłania CV.
Aby spełnić wymagania RODO w kontekście obowiązku informacyjnego, informacja o przetwarzaniu danych musi:
Jedną z najbardziej zauważalnych zmian związanych z wejściem w życie RODO są wyskakujące na każdej stronie powiadomienia o plikach cookies. Większość stron posiada ciasteczka, ale nie każda musi prosić o zgodę na ich stosowanie. Wszystko zależy od zakresu zbieranych informacji i celu ich pozyskiwania. Jednak nawet jeśli cookies na danej stronie nie wymagają uzyskania zgody, wciąż trzeba poinformować odwiedzających o fakcie ich stosowania.
Jednym z częstych elementów na stronie internetowej jest także miejsce do pozostawiania komentarzy. Zwykle znajduje się na podstronie będącej blogiem firmowym i służącej do pozycjonowania, czy budowania wizerunku firmy.
Wiele stron korzysta z aplikacji typu Disqus. Wówczas zbieranie danych leży po stronie aplikacji, a użytkownik zostawiający komentarz musi zaakceptować regulamin. Inaczej jest w przypadku komentarzy dodawanych bez pomocy zewnętrznej aplikacji. Wówczas właściciel strony przechowuje i przetwarza dane, dlatego konieczne jest uzyskanie od użytkownika zgody. Tutaj znów konieczne jest więc poinformowanie o sposobie przetwarzania i wykorzystywania danych, aby strona internetowa była zgodna z RODO.
Wiele firm prowadzi także zapisy na newsletter. Wykorzystywanie danych osobowych, a więc w tym przypadku maila, do wysyłania informacji marketingowych również wymaga uzyskania zgody. Przy zapisie do newslettera zwykle umieszczany jest tak zwany checkbox. Dana osoba, zaznaczając okienko, oświadcza, że wyraża zgodę na przetwarzanie danych osobowych w celu realizacji usługi opisanej w polityce prywatności.
W wielu przypadkach zapisy na newsletter odbywają się dwustopniowo – na podany adres wysyłany jest link aktywacyjny, w który należy kliknąć, aby potwierdzić zapisy. Nie jest to jednak wymóg prawny, a zabezpieczenie przed spamem czy przypadkowym podaniem maila. Osoba zapisana na newsletter musi mieć także możliwość zrezygnowania w dowolnym momencie z otrzymywania kolejnych wiadomości.