RODO jest aktem prawnym, który wpłynie na sposób prowadzenia stron internetowych.
Tam, gdzie na stronie www pojawiają się formularze do uzupełnienia danymi osobowymi, dochodzi do pozyskiwania danych. Oznacza to, że powinny być w tych miejscach dostępne stosowne klauzule informacyjne administratora.
Przykładowo, będą to wszystkie miejsca, w których wpisujemy swoje imię i nazwisko oraz numer telefonu albo e-mail, aby konsultant danej firmy się z nami skontaktował. Podobnie będzie w przypadku, kiedy poprzez formularz na stronie internetowej kierujemy konkretne zapytanie do firmy, np. dopytujemy o szczegóły jej oferty, albo składamy reklamację.
Analogicznie będzie w przypadku zapisów na newsletter. Adres e-mail jest uznawany za dane osobowe, dlatego nawet jeżeli ograniczamy się do uzyskiwania tylko tego adresu bez żadnych dodatkowych informacji umożliwiających identyfikację danej osoby, to już przetwarzamy jej dane osobowe. W wielu adresach e-mail znajdują się zresztą inne dane osobowe, jak imię i nazwisko czy nazwa firmy, w której dana osoba pracuje.
Przypomnijmy, że w przypadku pozyskiwania danych bezpośrednio od osoby, które dane dotyczą, istnieje tylko jeden wyjątek od obowiązku zrealizowania przez administratora obowiązku informacyjnego. Administrator nie musi przekazywać wymaganych przez RODO informacji, jeżeli dana osoba już nimi dysponuje. Przemawiają za tym względy celowości. Jeżeli firma raz zrealizowała obowiązek informacyjny, nie musi go ponawiać przy każdej kolejnej komunikacji (jeżeli okoliczności, np. cele przetwarzania, nie uległy zmianie).
Jednocześnie, administratora obowiązuje zasada rozliczalności, zgodnie z którą powinien być on w stanie wykazać, że obowiązek informacyjny faktycznie został zrealizowany.
W działalności firm wyjątek ten będzie dotyczył najczęściej relacji z dotychczasowymi klientami, którym wymagane przez RODO informacje już wcześniej zostały przekazane. Za każdym razem kiedy firma będzie zbierać dane od nowych klientów – osób fizycznych, w tym za pośrednictwem swojej strony internetowej, powinna rzecz jasna realizować w stosunku do nich obowiązek informacyjny.
Jeżeli interesuje Cię, w jaki sposób możesz zrealizować obowiązek informacyjny, aby nie zmęczyć użytkowników Twojej strony internetowej zbyt długimi komunikatami, polecam Ci lekturę wpisu na blogu, który jest dostępny tutaj: https://abcrodo.pl/2018/05/02/obowiazek-informacyjny-z-rodo-wazne-wytyczne
Warto wyjaśnić, że pozyskiwanie danych bezpośrednio od osoby, której dane dotyczą, nie wymaga fizycznej obecności tej osoby. Wystarczy, że przekaże ona swoje dane osobowe za pośrednictwem strony www firmy, telefoniczne lub za pomocą innych środków porozumiewania się na odległość. Patrząc z punktu widzenia firmy, będą to wszystkie sytuacje, w których po drugiej stronie jest człowiek, który ujawnia informacje o sobie. Jeżeli tylko umożliwiają one jego identyfikację, RODO będzie miało zastosowanie.
Czasami zdarza się, że przez formularz kontaktowy mogą być pozyskiwane dane wrażliwe, np. dotyczące zdrowia. Takie dane podlegają szczególnej ochronie. Ich administrator powinien przede wszystkim ustalić, czy istnieje właściwa podstawa prawna przetwarzania określona w przepisie prawa UE lub prawa krajowego. Jeżeli jej nie ma, podstawą przetwarzania może być jeszcze zgoda, ale musi być ona dobrowolna, konkretna, świadoma, jednoznaczna, a także odwoływalna w każdym czasie.
Organizacja, która zbiera tego typu dane, powinna również zastanowić się, przez jak długi okres może je przechowywać. Informację tę należy podać w ramach klauzuli informacyjnej umieszczonej pod formularzem do wpisywania danych.
Dodajmy, że jeżeli poprzez swoją stronę internetową firma będzie zbierać zgody na przetwarzanie danych osobowych, to zgodnie z RODO powinna to robić w taki sposób, aby była później w stanie wykazać, że zgoda faktycznie została udzielona, czyli utrwalić fakt udzielenia zgody.
RODO wymusza także zmiany w dotychczasowych politykach prywatności udostępnianych na stronach internetowych. Treść wcześniejszych dokumentów była oparta na przepisach ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, która lada dzień zostanie uchylona. W ubiegły czwartek Sejm uchwalił bowiem nową ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych. Dotychczasowe polityki lub komunikaty o prywatności dostępne na stronie internetowej powinny zostać zaktualizowane.