Porady eksperta

Ochrona danych osobowych użytkowników serwisu internetowego

Pytanie z dnia 27 marca 2017

Przedstawiony problem: Ochrona danych osobowych użytkowników serwisu internetowego.

Odpowiedź na problem prawny:

Prowadząc serwis internetowy, przetwarza się dane osobowe użytkowników tego serwisu, jak również przedsiębiorca staje się administratorem tych danych, w związku z tym należy m.in. wprowadzić politykę prywatności.

Polityka prywatności jest, z jednej strony dokumentem o charakterze informacyjnym, który określa zasady gromadzenia, przetwarzania i wykorzystywania informacji, w tym danych osobowych przez administratora tych danych, ale też może przyznawać określone uprawnienie użytkowników lub regulować tryb powoduje komunikowanie się z Administratorem, przedsiębiorcą w zakresie danych użytkownika. W zakresie w jakim udostępniane są dane osobowe (w tym przypadku użytkowników serwisu internetowego) takie, jak: imię, nazwisko, adres zamieszkania itp., należy zapewnić ochronę tych danych na odpowiednim przepisanym prawem poziomie.

Zgodnie z ustawą o ochronie danych osobowych polityka prywatności w szczególności powinna, co najmniej zawierać:

  • informacje jakie dane są zbierane, przede wszystkim jakie dane osobowe będą gromadzone lub przetwarzane w inny sposób, jak również przez jaki czas to przetwarzanie będzie trwało. We wzorze polityki prywatności dla przejrzystości jest zaproponowany podział na dane zbierane aktywnie i biernie. Dane zbierane aktywnie są to informacje, które użytkownik, w tym przypadku serwisu informacyjnego, podaje dobrowolnie przy dokonaniu świadomej czynności (np. podając imię i nazwisko w trakcie zakładania konta). Dane zbierane biernie to dane niewymagające dla ich pobrania świadomych reakcji użytkownika (np. adres IP, typ przeglądarki, którą posługuje się użytkownik).
  • cel i sposób wykorzystywania danych. Ważne jest, aby dokładnie określić cel i wskazać wszystkie obszary wykorzystywania danych osobowych. Należy też wyjaśnić użytkownikom, czy, a jeśli tak, to w jakim celu ich dane będą przekazywane innym podmiotom (np. podmiotowi obsługującemu transakcje płatnicze w serwisie).

Zasady wykorzystywania danych osobowych określa przede wszystkim Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. We wstępie wzoru polityki prywatności zostały przywołane pozostałe, odpowiednie akty prawne.

Jeżeli na stronie serwisu nie będzie prowadzona sprzedaż, to należy nie zamieszczać postanowień z tym związanych. Można korzystać z wzoru polityki prywatności, który znajduje się na stronie mikroporady.pl tutaj.

W sytuacji ewentualnego, przeprowadzania konkursów z nagrodami rzeczowymi, zalecamy zmodyfikowanie pierwszego zdania w punkcie 2.1.1 wzoru i zastąpienie go przykładowo (o ile tak chce się rozstrzygnąć) zdaniem następującym: W celu otrzymania nagrody Użytkownik może jednorazowo, bez konieczności uprzedniej rejestracji i logowania, uzupełnić formularz z danymi podając dane: imię, adres mailowy/telefon.

Jeżeli w przyszłości na stronie serwisu będzie prowadzona sprzedaż produktów, wtedy należy do polityki prywatności dodać pkt 2.1.1 ze wzoru.

Zgodnie z art. 7 pkt 2 u.o.d.o. przetwarzaniem danych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 u.o.p.d.o.: przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zgoda na przetwarzanie danych osobowych może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.

Każdemu użytkownikowi serwisu przysługuje prawo do kontroli przetwarzania jego danych, które zostaną zawarte w zbiorach danych (prawa użytkownika zostały szczegółowo opisane w uwadze nr 5 we wzorze polityki prywatności – patrz wyżej).

Przetwarzając dane osobowe użytkowników, właściciel serwisu stanie się administratorem danych, jednakże nie musi wykonywać tej funkcji osobiście. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przepis art. 40 u.o.d.o. nakłada na osobę, która przetwarza dane obowiązek zgłoszenia tego faktu i zarejestrowania zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: GIODO). Można to zrobić wypełniając odpowiedni wniosek online lub składając jego papierową wersję. Rejestracja zbiorów danych osobowych w GIODO krok po kroku, dostępna jest pod adresem: http://www.giodo.gov.pl/148/

Jeżeli do obsługi serwisu zostaną zatrudnieni pracownicy, to właściciel serwisu jest zobowiązany do wewnętrznej ochrony danych osobowych użytkowników tego serwisu. W tym celu zalecamy przygotowanie regulamin w zakresie bezpieczeństwa i ochrony informacji, który znajduje się na stronie mikroporady.pl tutaj.

Przedstawiony na stronie wzór jest bardzo rozbudowany, który w zależności od potrzeb należy odpowiednio zmodyfikować, z pominięciem niektórych zapisów, czy zmianą (dostosowaniem) innych. W tym przypadku dotyczy to m.in. pkt II 2.1. i II 2.2., pkt III, pkt VI, czy pkt VII odnośnie zakresu i rodzaju tajemnicy przedsiębiorcy, podziału obowiązków w zakresie nadzoru i kontroli.

Więcej informacji dotyczących zasad przetwarzania i udostępniania danych osobowych znajduje się na stronie mikroporady.pl tutaj.

Ważne:

W związku ze zmianami przepisów, wejściem w życie rozporządzenia UE z dnia 27 kwietnia 2016 r., zmieniły się również obowiązki przedsiębiorcy (patrz bliżej tutaj).

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, jako: u.o.d.o (tj. Dz. U. 2016, poz. 922),
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT