Tworzenie stron

Dane osobowe na stronie www

Ikona kalendarza3 stycznia 2023
Ikona klepsydryok.   4 min
Kobieta zastanawia się przeglądając stronę www

Często pytacie nas o zagadnienie zgłoszenia zbiorów danych osobowych do GIODO. Przygotowaliśmy ten wpis, aby ułatwić Wam opanowanie podstawowych zagadnień, związanych z legalnym przetwarzaniem danych osobowych przy pomocy aplikacji i stron www.

Czym są dane osobowe?

Danymi osobowymi są wszelkie informacje na temat osoby fizycznej, dzięki którym można ją zidentyfikować bez użycia nadmiernych sił i środków. Zalicza się do nich np. imię, nazwisko i adres, ale również przypisane osobie numery i dane o jej cechach. Bardziej ogólne informacje, np. nr domu czy wartość wynagrodzenia, stają się danymi osobowymi dopiero w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej informacji, stanowiącej daną osobową, jest nr PESEL. Samo imię nie jest z kolei daną osobową, ponieważ nie umożliwia identyfikacji konkretnej osoby – wiele osób nosi przecież to samo imię.

A jak jest w przypadku maila? Jeśli mówimy o adresie o brzmieniu np. kotekczarny99@wp.pl, to taki adres nie stanowi danej osobowej, ponieważ nie umożliwia prostej identyfikacji jego posiadacza. Jednak adres w rodzaju janek.kowalski@cyberfolks.pl jest daną osobową, wynika z niego wprost nazwisko i firma, w której pracuje dana osoba. Zapisując użytkownika np. na newsletter radzimy zatem postępować tak, jakby przetwarzane dane były danymi osobowymi.

Podstawy prawne

Zasady przetwarzania danych osobowych oraz prawa osób, których dane mogą podlegać przetwarzaniu określają Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych oraz wydane na jej podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Aktualną wersję tych aktów prawnych znajdziesz na stronie http://giodo.gov.pl/

Zgoda na przetwarzanie danych osobowych

Jeśli chcesz przetwarzać dane osobowe zgodnie z przepisami, to warunkiem koniecznym jest uzyskanie zgody od osoby, której dane dotyczą.

Nie istnieją szczegółowe zasady formułowania klauzuli zgody, ale z jej treści powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza. Ustawa nie nakazuje pisemnej formy wyrażenie zgody. Wystarczy, że użytkownik rejestrując się zaakceptuje regulamin, ale dobrze, żebyś miał to odpowiednio udokumentowane. Masz też obowiązek poinformować osobę, której dane te dotyczą o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
  • prawie dostępu do treści swoich danych oraz ich poprawiania,
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Przykładowa klauzula przy zapisaniu na newsletter

Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z … . Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.

Administrator danych

Administrator danych w rozumieniu przepisów nie jest tożsamy z administratorem serwera. Administrator danych to niejako „właściciel” zbioru.

Jednym z podstawowych zadań, jakie nakłada na administratora danych Ustawa jest obowiązek zgłoszenia zbioru. Z obowiązku tego jesteś zwolniony w odniesieniu do niektórych rodzajów danych, na przykład danych własnych pracowników, przetwarzanych w związku z ich zatrudnieniem w Twojej Firmie. Drugie istotne wyłączenie, od 2015 roku, dotyczy tych podmiotów, które powołały Administratora Bezpieczeństwa Informacji – takie podmioty nie muszą rejestrować każdego zbioru. Wciąż należy prowadzić odpowiednią dokumentację.

Administrator zobowiązany jest do zapewnienia ochrony danych, przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym.

Procesor danych

Administrator może zlecić część obowiązków w zakresie przetwarzania innemu podmiotowi, zwanemu wówczas Procesorem. Zazwyczaj powierzenie obejmuje tylko techniczne operacje na danych, np. może to być zapewnienie serwera dla danych, wykonanie backupu (zobacz Backup strony i poczty), przywrócenie danych z backupu, albo realizacja konkretnego zadania, np. przygotowanie wysyłki tradycyjnych, zaadresowanych listów (druk danych adresowych na kopertach).

Podmiot wykonujący tego rodzaju prace nie jest administratorem danych. Nie może on z danymi zrobić nic, czego nie zleciłby mu Administrator, nie może z ich korzystać we własnych celach, ale też nie ponosi odpowiedzialności za dopełnienie innych obowiązków, niż wynikałoby to z umowy powierzenia (np. za pozyskanie zgód na przetwarzanie danych).

Dokumentacja

Przetwarzanie danych osobowych wymaga prowadzenia odpowiedniej dokumentacji. Należy do niej polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa jest dokumentem ogólnym, który opisuje zbiory danych i metody ich przetwarzania. Instrukcja na charakter roboczy. Ponadto niezbędne będzie stworzenie odpowiednich upoważnień dla wszystkich, którzy będą przetwarzać dane osobowe.

Instrukcja zarządzania systemem informatycznym z kolei jest dokumentem o charakterze proceduralnym, który reguluje takie kwestie, jak np. odpowiednie ustawienie ekranu komputera, stosowanie wygaszaczy ekran itp.

Umowa powierzenia – zawarta na piśmie z podmiotem, któremu zleca się przetwarzanie danych w pewnym zakresie – np. z firmą hostingową.

Umowa powierzenia

Administrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy zewnętrznej. W tym celu zawiera umowę powierzenia. Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Jeśli na serwerze w firmie hostingowej przetwarzasz dane osobowe – sugerujemy zwarcie takiej właśnie umowy.

Pamiętaj, że prawidłowe powierzenie przetwarzania danych nie zwalnia Cię z obowiązku uzyskiwania odpowiedniej zgody i prowadzenia kompletnej dokumentacji, związanej z przetwarzaniem danych. Powierzenie nie oznacza, że administratorem danych staje się firma udzielająca usługi hostingu www – ona staje się jedynie Procesorem. Jest to konieczne dla legalnego przetwarzania danych, ale nie jest wystarczające – o realizację pozostałych obowiązków administratora musisz zadbać osobno. Dotyczy to takich zagadnień, jak dokumentacja, zgody, bezpieczeństwo danych itp.

Artur Pajkert z kubkiem cyber_Folks
>
Artur Pajkert
Od 18 lat dzieli się wiedzą i poradami w sprawach e-marketingu i hostingu, jako menedżer, autor publikacji, prelegent, bloger, wykładowca akademicki.

Dodaj komentarz

Twój adres e-mail nie będzie opublikowany.

Polecane dla Ciebie

Gdzie i jak założyć bloga?

Wszystkie tajemnice edytora wpisów w WordPressie

Tekst dobrze sformatowany wygląda lepiej, zatrzymując czytającego na dłużej. Czy wiesz, że publikując treści w WordPressie możesz edytować wpisy tak, […]
Pierwsze kroki z PrestaShop

Witryna łatwiejsza w pozycjonowaniu – o czym warto pamiętać

Pozycjonowanie witryny, może przebiegać wielotorowo. W niektórych przypadkach będzie działaniem spontanicznym, nieprzemyślanym i dorywczym. Takie podejście, które nie uwzględnia monitoringu […]
Po co mieć stronę internetową skoro mam social media

Po co mieć stronę internetową skoro mam social media?

Działania w social mediach są potrzebne i przynoszą pozytywne efekty jednak ograniczając się do nich możemy znacząco ograniczać nasz zasięg działania i pozyskiwanie nowych klientów. Potrzeba wielu punktów styku klienta z marką, aby zachęcić go do działania.

Szukasz dalej?

Przeglądaj wg dat
  • Przeglądaj wg dat
  • maj 2025
  • kwiecień 2025
  • marzec 2025
  • luty 2025
  • styczeń 2025
  • grudzień 2024
  • listopad 2024
  • październik 2024
  • wrzesień 2024
  • sierpień 2024
  • lipiec 2024
  • czerwiec 2024
  • maj 2024
  • kwiecień 2024
  • marzec 2024
  • luty 2024
  • styczeń 2024
  • grudzień 2023
  • listopad 2023
  • październik 2023
  • wrzesień 2023
  • sierpień 2023
  • lipiec 2023
  • czerwiec 2023
  • maj 2023
  • kwiecień 2023
  • marzec 2023
  • luty 2023
  • styczeń 2023
  • grudzień 2022
  • listopad 2022
  • październik 2022
  • wrzesień 2022
  • sierpień 2022
  • lipiec 2022
  • czerwiec 2022
  • maj 2022
  • kwiecień 2022
  • marzec 2022
  • luty 2022
  • styczeń 2022
  • grudzień 2021
  • listopad 2021
  • październik 2021
  • wrzesień 2021
  • sierpień 2021
  • lipiec 2021
  • czerwiec 2021
  • maj 2021
  • kwiecień 2021
  • marzec 2021
  • luty 2021
  • styczeń 2021
  • grudzień 2020
  • listopad 2020
  • październik 2020
  • wrzesień 2020
  • sierpień 2020
  • lipiec 2020
  • czerwiec 2020
  • maj 2020
  • kwiecień 2020
  • marzec 2020
  • luty 2020
  • styczeń 2020
  • grudzień 2019
  • listopad 2019
  • październik 2019
  • wrzesień 2019
  • sierpień 2019
  • lipiec 2019
  • czerwiec 2019
  • maj 2019
  • kwiecień 2019
  • marzec 2019
  • styczeń 2019
  • grudzień 2018
  • listopad 2018
  • październik 2018
  • sierpień 2018
  • lipiec 2018
  • maj 2018
  • kwiecień 2018
  • marzec 2018
  • styczeń 2018
  • grudzień 2017
  • październik 2017
  • czerwiec 2017
  • kwiecień 2017
  • marzec 2017
  • luty 2017
  • styczeń 2017
  • grudzień 2016
  • listopad 2016
  • październik 2016
  • wrzesień 2016
  • sierpień 2016
  • lipiec 2016
  • czerwiec 2016
  • maj 2016
  • kwiecień 2016
  • marzec 2016
  • lipiec 2015
  • maj 2015
  • grudzień 2014
  • sierpień 2014
  • lipiec 2014
  • czerwiec 2014
  • kwiecień 2014