RODO: Co powinna zawierać polityka prywatności?

Pandemia koronawirusa spowodowała znaczne zahamowanie rozwoju wielu stacjonarnych biznesów, „mobilizując” jednocześnie coraz większą liczbę przedsiębiorców do przeniesienia swojej działalności do Internetu. Każdego dnia kolejne sklepy internetowe rozpoczynają swoją działalność, rozwijają się także nowe technologie. Nie w każdym przypadku wprowadzenie modelu biznesu online jest jednak możliwe. Działalność wielu podmiotów opiera się na bezpośrednim kontakcie z klientem, który obecnie jest zdecydowanie utrudniony, a czasem nawet niemożliwy. Z tego względu coraz większy nacisk kładzie się na rozwój marketingu i  promowanie swojej firmy w sieci.

Podejmując aktywność w Internecie nie można jednak zapomnieć, że rozwój epidemii nie wyłącza stosowania przepisów prawa, w tym przepisów o ochronie danych osobowych.

Czy muszę mieć politykę prywatności?

Oczywistym jest, że korzystanie z Internetu nieodzownie łączy się ze zbieraniem różnych danych o użytkownikach. Aby odpowiedzieć sobie na pytanie, czy przetwarzane przez Ciebie dane stanowią dane osobowe i tym samym powinny być chronione, w pierwszej kolejności należy zastanowić się nad samym pojęciem danych osobowych.

Stosownie do przepisów RODO, dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Co do zasady już w chwili wejścia na daną stronę internetową zapisywany jest adres IP, z którego połączono się ze stroną. Dodatkowo wiele portali gromadzi szerszy zakres danych, jak np. adres e-mail zbierany w celu wysyłki newslettera, czy inne dane zbierane za pomocą formularza umożliwiającego komentowanie wpisów na blogu. Administrator zapisuje także dane osobowe w ramach plików cookies w celu zapewnienia bezpieczeństwa i prawidłowego działania strony. Co więcej, zamieszczenie na stronie internetowej wtyczki umożliwiającej polubienie fanpage tej strony na Facebooku również stanowi przetwarzanie danych osobowych dotyczących osoby wchodzącej na stronę internetową.

Oznacza to, że nawet, kiedy nie zbierasz bezpośrednio od osób fizycznych ich danych, prosząc np. o wypełnienie stosownego formularza, to okazuje się, że i tak przetwarzasz dane osobowe i jako administrator określonej strony jesteś administratorem danych osobowych. Przenosząc biznes do sieci powinieneś pamiętać, by zamieścić na stronie internetowej stosowne informacje na temat tego, w jaki sposób postępujesz z danymi pozyskiwanymi od klientów czy użytkowników strony.

Co powinna zawierać wzorcowa polityka prywatności?

Obowiązujące przepisy nie przewidują konieczności posiadania polityki prywatności, ani nie wskazują, jakie elementy w takiej polityce powinny się znajdować. Niemniej jednak, przepisy RODO nakładają na każdego administratora danych obowiązek podania określonych informacji (tzw. obowiązek informacyjny). Polityka prywatności jest zatem traktowana jako dokument, w którym możesz zamieścić wszystkie niezbędne wiadomości i jednocześnie spełnić wymagania nałożone na Ciebie mocą rozporządzenia RODO.

W polityce prywatności warto przede wszystkim zamieścić takie informacje, jak :

  1. nazwa spółki (imię i nazwisko w przypadku osób fizycznych) - administratora danych, tj. właściciela strony oraz dane kontaktowe (np. adres do korespondencji, adres e-mail);
  2. informacja o celach przetwarzania danych (np. wykonanie umowy sprzedaży zawartej z klientem; wysyłka newslettera; umożliwienie zamieszczenia komentarza na stronie; cele statystyczne itp.);
  3. informacja o podstawach prawnych przetwarzania danych (może to być np. zgoda; wykonanie umowy; obowiązek prawny ciążący na administratorze; prawnie uzasadniony interes realizowany przez administratora);
  4. informacja o odbiorcach danych osobowych, czyli komu ujawniasz dane osobowe (np. pracownicy, wykonawcy, podwykonawcy, firma świadcząca usługi IT, biuro rachunkowe);
  5. informacja o międzynarodowym transferze danych, jeżeli ma zastosowanie;
  6. informacja o okresie , przez który będziesz przechowywał zgromadzone dane;
  7. informacja o prawach przysługujących osobom korzystającym z Twojej strony internetowej, wynikających z przepisów RODO (w tym prawo do żądania dostępu do danych osobowych dotyczących osoby, której dane dotyczą, do sprostowania, usunięcia lub ograniczenia przetwarzania danych; wniesienia sprzeciwu wobec przetwarzania danych; przenoszenia danych; wniesienia skargi do organu nadzorczego);
  8. informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu .

Należy także pamiętać, że poza informacją o przetwarzaniu danych osobowych, na stronie internetowej konieczne jest informowanie o wykorzystywaniu plików cookies, co wynika bezpośrednio z przepisów ustawy Prawo telekomunikacyjne. Ustawa nakłada na administratora strony m.in. obowiązek wskazywania, jakie dane zapisywane są na urządzeniu użytkownika w związku z wejściem na stronę internetową.

Na zakończenie warto podkreślić, że każdorazowo zakres wymaganych informacji będzie musiał być dostosowany do konkretnego administratora danych. Wynika to z różnic np. w zakresie celów przetwarzania danych osobowych czy odbiorów tych danych. Jeżeli masz wątpliwość, czy sporządzona przez Ciebie polityka jest prawidłowa albo jeżeli chcesz, by specjalista przygotował ją dla Ciebie, pozostajemy do dyspozycji.