Czy Twoja strona www spełnia wymagania RODO? Checklista 2025

Kiedy właściciel strony internetowej staje się administratorem danych?

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych to unijny akt, który wszedł w życie 25 maja 2018 roku. Dla właścicieli stron internetowych RODO oznacza szereg wymogów, które dotyczą ochrony danych osobowych użytkowników witryny. Strona www, która jest zazwyczaj wizytówką firmy, musi spełniać określone w rozporządzeniu wymogi, co oznacza, że należy określić m.in. przejrzystą politykę prywatności, odpowiedni zabezpieczenia techniczne oraz właściwe pozyskiwanie wszystkich zgód.

Kiedy właściciel strony internetowej staje się administratorem danych?

W Internecie administratorem danych osobowych jest każdy podmiot, który ustala, jakie dane o użytkownikach będą zabierane, a następnie wykorzystywane. W praktyce oznacza to, że administratorem danych osobowych stają się właściciele:

• firmowych stron www;

• sklepów internetowych;

• blogów, na których zbierane są dane subskrybentów;

• portali społecznościowych;

• aplikacji mobilnych, które są powiązane ze stronami www;

• platform e-learningowych.

Należy tutaj podkreślić, że poza administratorem danych istnieje ktoś taki, jak podmiot przetwarzający dane osobowe. Mowa tutaj o organizacji, która przetwarza dane osobowe w imieniu administratora, czyli no. dostawca systemu newsletterowego, firma hostingowa, czy zewnętrzna agencja analityczna.

Jakie dane osobowe zbiera typowa strona www?

Strony internetowe mogą zbierać różne dane użytkowników. Do najprostszych należy adres IP komputera, z którego korzystają użytkownicy strony. Do bardziej szczegółowych, jakie może uzyskać administrator strony www, należą:

• imię i nazwisko;

• adres e-mail;

• preferencje zakupowe.

Ze strony internetowej można również pozyskać dane wrażliwe, dlatego zrozumienie, jakie dane zbiera strona oraz w jaki sposób będą wykorzystywane jest kluczowe, jeśli administratorowi zależy na zapewnieniu zgodności strony www, której jest właścicielem z przepisami o ochronie danych osobowych.

Polityka prywatności – co powinna zawierać?

Prawidłowo skonstruowana polityka prywatności RODO na stronie www powinna być napisana zrozumiałym, prostym językiem. Musi zawierać informacje o administratorze danych:

• pełną nazwę firmy;

• adres siedziby;

• NIP;

• dane kontaktowe;

• informacje o inspektorze ochrony danych osobowych (jeśli został wcześniej powołany)

Dodatkowo musi informować o:

• celach oraz podstawach prawnych przetwarzania danych osobowych — w tym miejscu należy szczegółowo wyjaśnić. dlaczego administrator zbiera dane i na jakiej podstawie to robi (np. umowa, zgoda, prawnie uzasadniony interes);

• zakresie zbierania danych osobowych — należy wyszczególnić, jakie dokładnie dane osobowe będą zbierane bezpośrednio i automatycznie;

• okresie przechowywania danych osobowych — zawsze trzeba podać informacje o czasie, w jakim będą przetwarzane i przechowywane dane osobowe oraz kiedy zostaną usunięte;

• ewentualnych odbiorcach danych osobowych — tutaj należy przygotować listę kategorii podmiotów, którym administrator może udostępnić przekazane dane osobowe;

• prawach, jakie przysługują osobom, których dane dotyczą — mowa tutaj o dostępie do przekazanych danych, ich sprostowania, usunięcia itp.;

• transferze danych poza EOG — administrator danych musi informować o ewentualnym przekazywaniu danych do krajów trzecich i zabezpieczeniach, jakie są stosowane w związku z tym faktem;

• polityce cookies — należy podzielić pliki cookies na określone kategorie, dokładnie je opisać i przekazać informacje o zarządzaniu nimi;

• automatycznym podejmowaniu decyzji i profilowaniu — tutaj ważna jest informacja, czy dany mechanizm występuje i w jakim zakresie jest stosowany;

• procedurze zgłaszania żądań — tutaj należy podać jasne instrukcje, w jaki sposób użytkownik strony www może zrealizować swoje prawa (formularz kontaktowy, adres e-mail);

• możliwości wniesienia skargi — każdy użytkownik strony www ma prawo do wniesienia skargi do organu nadzorczego (UODO) i należy go o tym poinformować;

• zmianach występujących w polityce prywatności — jeśli dokument będzie aktualizowany, użytkownicy muszą wiedzieć, w jaki sposób zostaną o tym poinformowani.

Należy pamiętać, że klauzula informacyjna RODO powinna być łatwo dostępna. Najlepiej umieścić ją w stopce strony albo w specjalnej sekcji, która poświęcona jest ochronie prywatności. Dobrą praktyką, którą warto stosować, jest umieszczanie odpowiednich klauzul także w newsletterach, przy formularzach kontaktowych, czy w procesie rejestracji, czyli w każdym miejscu, w którym użytkownik strony przekazuje swoje dane. Jak widać — kompleksowe wdrożenie RODO jest nie tylko kwestią zgodności z prawem, ale również elementem, który buduje zaufanie użytkowników. Należy podkreślić, że coraz więcej osób zwraca uwagę na to, w jaki sposób firmy zabezpieczają i dbają o przekazane dane osobowe. Dodatkowo polityka prywatności powinna być regularnie aktualizowana pod kątem zmian zachodzących w procesach przetwarzania danych, a administrator danych powinien o tym informować wszystkich użytkowników.

Formularze kontaktowe a zgoda na przetwarzanie danych

Formularze kontaktowe, które umieszcza się na stronach www to praktyczne i powszechne rozwiązanie. Dzięki niemu użytkownik może przesłać zapytanie o dowolnej treści, podając dane, które pozwolą na udzielenie mu odpowiedzi. Projektując formularz kontaktowy, zwróć uwagę na rodzaj i ilość danych, które będziesz zbierał za jego pośrednictwem. Jeżeli ma on służyć jedynie do kontaktu, nie powinien prosić o podanie danych, które w żaden sposób nie będą wiązać się z celem jego wypełnienia. Często twórcy formularzy kontaktowych proszą o wskazanie różnych kanałów komunikacyjnych, np. nr telefonu czy adresu e-mail. Nie jest to dużym błędem, jednak w świetle przepisów RODO, jeśli od ich podania uzależniona będzie możliwość zadania pytania, dojdzie do nadużycia.

Chcąc wykorzystać formularze kontaktowe na stronie internetowej, należy pamiętać, że muszą być zaopatrzone w klauzulę informacyjną albo zawierać skróconą informację o przetwarzaniu danych osobowych z podpiętym linkiem, który będzie przekierowywał do Polityki Prywatności.

Okienko zgody — kiedy należy zastosować je na stronie i czy checkbox wystarczy?

Chcąc zarządzać zgodami użytkowników zgodnie z RODO, należy pamiętać, aby były one konkretne, dobrowolne, świadome i jednoznaczne. Użytkownik strony musi wyrazić zgodę aktywnie, np. zaznaczając okienka checkboxa. Należy pamiętać, że zgody pozyskiwane na różne cele (np. profilowanie, statystyki czy marketing), należy uzyskać oddzielnie. Dodatkowo użytkownik powinien mieć możliwość prostego wycofania zgody w każdym momencie.

Mówiąc o praktycznym aspekcie formularzy i pozyskiwania zgód, te pierwsze powinny być zaprojektowane w taki sposób, aby:

• nie miały domyślnie zaznaczonych checkboxów;

• zawierały jasną informację o możliwości cofnięcia wyrażonych zgód;

• zawierały oddzielne pola wyboru dla różnych celów przetwarzania pozyskanych danych;

• były sformułowane zrozumiałym, prostym językiem.

Ważnym elementem zarządzania zgodami, o którym nie może zapomnieć administrator, jest dokumentowanie ich udzielenia. Jeżeli dojdzie do sytuacji, że będzie on musiał wykazać kto, kiedy i na co wyraził zgodę, musi on podać:

• datę i godzinę wyrażenia zgody;

• treść zgody, jaka w danym momencie została udzielona;

• metodę, która pozwoliła na weryfikację tożsamości, np. identyfikator użytkownika lub adres IP komputera.

Kolejną rzeczą, o której należy pamiętać to prosty system, który będzie umożliwiał wycofanie zgody. Można to osiągnąć za pomocą linku w stopce e-maila, specjalnej strony z panelem lub dedykowanego formularza.

Pliki cookies – baner, zgoda i ustawienia

Rozporządzenie o przetwarzaniu danych osobowych RODO oraz dyrektywa ePrivacy jasno określają, że używanie pików cookie wymaga uzyskania wyraźnej zgody użytkownika (opt-in), za wyjątkiem ciasteczek, które są niezbędne do prawidłowego funkcjonowania strony. Tworząc banner informujący o wykorzystaniu plików cookie, należy stworzyć go w taki sposób, aby zgoda użytkownika była świadoma i konkretna. Powinien on zostać poinformowany o celach oraz dostawcach plików cookies przed ich umieszczeniem. Ważne, aby wycofanie udzielonej wcześniej zgody było równie proste, jak jej pozyskanie. Istotne jest to, że administrator danych musi przechowywać dowody uzyskania zgód.

Przepisy, jakie obowiązują względem stosowania plików cookies wynikają z połączenia RODO oraz dyrektywy ePrivacy (w Polsce została ona zaimplementowana jako Prawo Telekomunikacyjne). Kombinacja tych dwóch dokumentów pozwoliła stworzyć kompleksowe ramy prawne dla wykorzystania omawianych technologii na stronach internetowych.

• Model opt-in – użytkownik musi aktywnie wyrazić zgodę na stosowanie plików cookies. Dawniej stosowano model opt-out, czyli domyślną zgodę z możliwością jej odrzucenia, jednak nie jest on już zgodny z przepisami.

• Informacyjny charakter zgody — zanim użytkownik zgodzi się na zastosowanie plików cookie, musi otrzymać informacje o typach używanych plików cookie oraz celach, w jakich będą wykorzystane, okresie, w jakim będą przechowywane oraz ewentualnych dostawcach zewnętrznych.

• Granularność pozyskanych zgód — użytkownik musi mieć możliwość wyrażenia zgody na poszczególne pliki cookies, a nie tylko akceptacji albo odrzucenia wszystkich zgód.

• Równoważność opcji — każdy z przycisków, zarówno „akceptuj”, jak i „odrzuć” powinny być tak samo widoczne oraz dostępne. Nie można faworyzować opcji akceptacji.

Newsletter, e-booki i zapisy – co z RODO?

Pozyskiwanie zgód marketingowych na przesyłanie informacji handlowych to jeden z pierwszych kroków, który przybliży Cię do realizacji legalnego mailingu. Decydując się na specjalne oprogramowanie, możesz dopełnić obowiązku informacyjnego (RODO). Zgody możesz pozyskać poprzez swoją stronę internetową już na etapie zapisu do newslettera lub poprzez wysłanie wiadomości e-mail z linkiem, dzięki któremu użytkownik będzie mógł potwierdzić zgodę na przesłanie informacji handlowej.

Jeżeli chcesz działać zgodnie z obowiązującymi przepisami prawa, musisz pozyskać następujące zgody:

• na przetwarzanie danych osobowych w celach marketingowych;

• na przesyłanie informacji handlowej drogą elektroniczną;

• na wykorzystanie urządzeń telekomunikacyjnych końcowych oraz systemów automatycznych.

Jak wspomnieliśmy wyżej — pozyskana zgoda powinna być dobrowolna, świadoma, jawna i potwierdzona.

Double opt-in – obowiązkowy czy nie?

Zanim przejdziemy do odpowiedzi na pytanie, czy double opt-in jest obowiązkowe czy nie, wyjaśnimy czym tak naprawdę jest. Decydując się na double opt-in przy newsletterze, musisz wiedzieć, że użytkownik, który się na niego zapisze, nie od razu dostaje się na listę mailingową. Najpierw musi otworzyć otrzymaną od Ciebie wiadomość i klinknąć w przesłany link lub przycisk, który potwierdzi zapisanie go do newslettera. Mowa zatem o dwustopniowym procesie zapisu.

A teraz do sedna — rozporządzenie nr 2016/670 (RODO) nie nakłada obowiązku stosowania podwójnej weryfikacji adresów mailowych. Nie zapewnia również gotowych schematów pozwalających na ochronę danych osobowych. Określa jedynie zasady i reguły, jakich należy przestrzegać, aby działać zgodnie z prawem. Dlaczego zatem uważa się, że zapis do newslettera powinien być dwuetapowy? Wynika to z konieczności spełnienia jednego z warunków z art. 6 RODO, a mianowicie, jeśli chodzi o zapis na listę odbiorców newslettera — art. 6 ust. 1 lit. a, który mówi o wyrażeniu zgody na przetwarzanie danych osobowych na stronie. Dlaczego warto zastosować double opt-in? Otóż będziesz mieć pewność, że osoba, która faktycznie potwierdziła zapis w procesie dwuetapowym wyraziła zgodę na to, abyś wysyłał do niej newsletter. Pamiętaj, że to Twoim obowiązkiem jest wykazanie, że dana osoba udzieliła zgody. Kiedy subskrybent zostanie zapisany do bazy, w każdej chwili będziesz mógł sprawdzić, kiedy i jakie zgody zaznaczył.

RODO checklista dla strony internetowej – 10 punktów do weryfikacji

Jeżeli zależy Ci na tym, aby Twoja strona internetowa zawsze była zgodna z RODO, zapisz sobie poniższą listę kontrolną, która pozwoli Ci zweryfikować, czy faktycznie tak jest. Checklista RODO dla strony internetowej powinna obejmować poniższe zagadnienia:

1. Polityka prywatności zaktualizowana na rok (tutaj wstaw kolejny rok)

2. Poprawny baner cookies

3. Zgody przy formularzach

4. Rejestr czynności przetwarzania

5. Zabezpieczenia techniczne (SSL, hosting)

6. Przejrzyste cele zbierania danych

7. Prawo do cofnięcia zgody

8. Kontakt do administratora danych

9. Brak automatycznego profilowania bez zgody

10. Archiwizacja zgód

Powyższa lista kontrolna powinna być weryfikowana regularnie, przynajmniej raz na kwartał, a także przy każdej istotnej zmianie, jaka została wprowadzona na stronę lub w procesie przetwarzania danych osobowych.

Pytania i odpowiedzi

Zaufali nam