9 czerwca 2023

Czy na stronie internetowej trzeba publikować dane Inspektora Ochrony Danych?

Inspektor Danych Osobowych (IOD) to osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych. Do zadań inspektora należy m.in. informowanie administratora o spoczywających na nim obowiązkach, monitorowanie przestrzegania przez niego RODO [1] oraz współpraca z organem nadzorczym.

Czy IOD może jednak działać w ukryciu? A może prawo wymaga aby firma, która wyznaczyła IOD, ogłosiła ten fakt publicznie i udostępniła jego dane kontaktowe? Czy za brak publikacji danych IOD na firmowej stronie internetowej mogą grozić jakieś sankcje?

Dostępność danych kontaktowych IOD

RODO przewiduje, że jednym z zadań Inspektora Ochrony Danych jest pełnienie roli punktu kontaktowego, czyli pośrednika między administratorem lub podmiotem przetwarzającym a osobami, których dane dotyczą. Istotne jest, aby zainteresowane osoby miały zapewniony realny dostęp do danych kontaktowych inspektora, szczególnie w przypadku wystąpienia naruszeń.

Artykuł 37 ust. 7 RODO nakłada na administratora lub przetwarzającego obowiązek publikowania danych kontaktowych IOD. Jak wynika z wytycznych Grupy Roboczej celem tego artykułu jest zapewnienie, aby osoby, których dane dotyczą (zarówno wewnątrz jak i spoza organizacji) i organy nadzorcze mogły mieć łatwy i bezpośredni kontakt z inspektorem, bez konieczności kontaktowania się z innymi jednostkami podmiotu (np. działem obsługi klienta).

Publikacja danych kontaktowych IOD na firmowej stronie www

Czy firma, w której został wyznaczony IOD ma obowiązek opublikowania danych kontaktowych na swojej stronie internetowej? Odpowiedź brzmi: tak. Obowiązek ten wynika wprost z przepisów prawa. Zgodnie z art. 37 ust. 7 RODO, administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych.

Sposób realizacji tego obowiązku został doprecyzowany w art. 11 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. W przepisie tym jasno wskazano, że podmiot który wyznaczył IOD, udostępnia dane inspektora niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej.

Co z firmami, które nie posiadają strony internetowej? Jeśli administrator lub podmiot przetwarzający nie prowadzą własnej strony internetowej, udostępnienie danych IOD powinno zostać wykonane w sposób ogólnie dostępny w miejscu prowadzenia działalności, na przykład poprzez wywieszenie na tablicy ogłoszeń.

Jakie dane IOD trzeba podać na stronie internetowej?

Również w tej kwestii przepisy są jednoznaczne. Zgodnie z art. 11 ustawy o ochronie danych osobowych podmiot, który wyznaczył IOD, powinien udostępnić następujące dane inspektora: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu.

W którym miejscu na stronie internetowej należy umieścić dane IOD?

Dane kontaktowe IOD muszą być łatwo dostępne, dlatego miejsce ich opublikowania na stronie internetowej firmy ma duże znaczenie. Analizując przepisy i wypracowaną praktykę, należy stwierdzić, że dane kontaktow IOD powinny być opublikowane tak, aby można było bez większych trudności do nich dotrzeć.

Informacje o wyznaczonym IOD powinny znaleźć się w łatwo dostępnym miejscu strony - np. w zakładce „Kontakt”, „Inspektor ochrony danych”, „RODO” czy „Ochrona danych osobowych”. Na stronie UODO znajdziemy informację, że za niewłaściwe należy uznać publikowanie tych danych w miejscach wymagających długiego przeszukiwania, takich jak „Aktualności” czy „Polityka prywatności”.

Warto jednak zauważyć, że stosunkowo często można spotkać się z sytuacją w której firmy umieszczają informacje poświęcone ochronie danych osobowych właśnie w ramach podstrony „Polityka prywatności”, w formie osobnej sekcji. Czy w związku z tym, należy uznać, że tym samym nieprawidłowo wypełniają nałożony na nich obowiązek. Tu zdania są podzielone. Część prawników uważa, że w tym przypadku również powinno się mówić o poprawnym udostępnieniu danych IOD.

W jaki sposób umieścić na stronie internetowej dane IOD?

Wiemy już na jakiej podstronie (podstronach) powinniśmy umieścić informacje o danych kontaktowych IOD. Ale w jaki sposób to zrobić? Co do zasady, osoby których dane dotyczą, powinny mieć zagwarantowany łatwy i bezpośredni kontakt z inspektorem. Umieszczenie informacji na stronie internetowej w sposób nieczytelny dla przeciętnego odbiorcy może zostać uznane za nieprawidłowe wypełnienie obowiązku.

Warto zadbać m.in. o prawidłowy dobór stylu czcionki, jej rozmiaru i koloru a także kontrast między kolorem czcionki a tłem. Ponadto powinno się również zadbać o to, by tekst był jak najbardziej czytelny również na wersjach mobilnych strony. Ciekawostka: czcionkami o dobrej czytelności dla dyslektyków są to m.in. Arial, Verdana czy Tahoma.

Przykład: ciemnoszary tekst na jasnoszarym tle, powoduje że kontrast między pismem a tłem jest niewystarczający a informacja mało widoczna. Innym przykładem może być sytuacja, gdy po włączeniu trybu ciemnego strony www czcionka wyświetla się w ciemnym kolorze, przez co nie da się odczytać informacji o IOD. W obu przypadkach osoba, której dane dotyczą ma utrudniony kontakt z IOD, bo informacja jest dla niej nieczytelna.

Sankcje za brak publikacji danych IOD

Zgodnie z art. 83 ust. 4 RODO naruszenie obowiązków w zakresie udostępnienia danych IOD podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Kary pieniężne są określane przez właściwy organ nadzorczy indywidualnie dla każdego przypadku z uwzględnieniem wszystkich stosownych okoliczności danej sytuacji. W praktyce oznacza to, że organ wymierzając karę bierze pod uwagę takie czynniki jak charakter, waga, czas trwania naruszenia i jego konsekwencje, a także środki podjęte przez administratora w celu zastosowania się do obowiązków oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji.

Podsumowanie

Wprowadzenie RODO spowodowało ogromną zmianę w świadomości ludzi i podejściu do ochrony danych. Obecnie, czyli po 5 latach od wprowadzenia tych przepisów, można śmiało powiedzieć, że ochrona danych osobowych jest coraz częściej uwzględniona już na samym początku procesu przetwarzania danych (zasada privacy by design oraz zasada privacy by default). Są jednak obszary, w których świadomość obowiązków z zakresu ochrony danych jest niedostateczna. Chodzi m.in. o obowiązki przedsiębiorców, którzy wyznaczyli Inspektora Ochrony Danych, w zakresie udostępnienia jego danych kontaktowych.

Firmy, które wyznaczyły IOD mają obowiązek podania na swojej stronie internetowej jego danych kontaktowych, takich jak: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu. W przypadku braku strony internetowej, należy udostępnić dane inspektora w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Niedopełnienie tego obowiązku, może wiązać się z nałożeniem wysokiej kary pieniężnej. Przedsiębiorcy powinni zatem upewnić się, czy prawidłowo zadbali o to, by informacja o danych kontaktowych IOD była łatwo dostępna dla wszystkich tych, których dane dotyczą.

-

[1] RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, General Data Protection Regulation, GDPR)


Ania

Marketing Expert

Zobacz także

Skontaktuj się z nami już dziś!

lub

Zostaw nam swój numer,

a my oddzwonimy ;)