Polityka prywatności. Termin, który jednym wydaje się powszechnie znany i oczywisty, podczas gdy dla innych jest czarną magią. Jeśli jesteś w tej drugiej grupie, to kompletnie się tym nie przejmuj. Nie musisz się przecież znać na wszystkim, a ja chętnie Ci w tym pomogę. Właśnie w tym celu powstał artykuł, który właśnie czytasz. Dowiesz się z niego co to jest polityka prywatności, dlaczego powinnaś o nią zadbać oraz jak ją samodzielnie przygotować.
Nie martw się. Pomogę Ci i przeprowadzę Cię przez kolejne elementy tego dokumentu. Jestem przekonana, że z moją pomocą doskonale sobie z tym poradzisz.
Spis treści
Co to jest polityka prywatności?
Polityka prywatności to dokument, który zamieszcza się na stronie internetowej, aby poinformować swoich czytelników/użytkowników strony o tym kim jesteś oraz w jaki sposób zbierasz i przetwarzasz ich dane osobowe. Pełni ona funkcję informacyjną. Jej treść zależy od tego, co właściwie posiadasz na swojej stronie internetowej i jaki jest zakres Twojej działalności. Znaczenie ma to, czy posiadasz newsletter, panel użytkownika, sklep, reklamy, a może jedynie podpięłaś swoją stronę do Google Analytics. Polityka prywatności powinna być maksymalnie dopasowana do Twojej strony internetowej.
Właśnie dlatego kopiowanie treści polityki prywatności z innych portali nie ma sensu i mija się z celem. Warto o tym pamiętać zanim zastosujesz taką taktykę. Pójście na skróty może okazać się zgubne i nieść za sobą konsekwencje prawne.
Dlaczego muszę posiadać politykę prywatności?
Polityka prywatności, tak jak już wspomniałam, spełnia funkcję informacyjną. Zgodnie z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) bycie poinformowanym to jedno z praw przysługujących osobom, których dane dotyczą. Administrator danych, czyli osoba, która zbiera dane osobowe ma obowiązek poinformowania właściciela danych o tym kim jest, jakie dane i w jaki sposób zbiera, jaki jest cel zbierania tych danych, jak długo będzie je przechowywać i czy zamierza je komukolwiek przekazać, a także jakie prawa przysługują właścicielom danych. Wynika to z art. 13 RODO. Jako administrator danych osobowych jesteś więc prawnie zobowiązana do przestrzegania prawa do informacji.
W tym miejscu chciałabym też wyjaśnić, że chociaż w artkule posługuję się nazwą ‘polityka prywatności’, to nie musisz tak nazywać tego dokumentu. To jedynie jego nazwa. Niezaprzeczalnie najważniejsza jest tutaj treść. RODO nie wskazuje na obowiązek posiadania polityki prywatności, a na obowiązek informacyjny. Zwyczajowo przyjęło się, że taką funkcję może pełnić polityka prywatności i faktycznie w większości przypadków ta informacyjna zakładka na stronach internetowych nazywana jest ‘polityką prywatności’. Nie oznacza to jednak, że musisz zrobić tak samo. Możesz swój dokument nazwać inaczej, nie będzie to miało większego znaczenia. Chociaż, biorąc pod uwagę zasadę przejrzystości, o której również mówi RODO, nazwanie tego dokumentu polityką prywatności w pewnym sensie wypełnia również tę zasadę. Ktoś kto wchodzi na Twoja stronę internetową ze swojego doświadczenia życiowego wie, że właśnie pod taką nazwą należy szukać wszelkich informacji na temat jego danych osobowych i sposobu ich przetwarzania.
Cel? Zrozumiałość i przejrzystość
Kiedy w swoim zawodowym życiu napotykam na jakiś problem formalny, który sprawia mi trudności, często zadaję sobie pytanie ‘Po co w ogóle ktoś to wymyślił?’. Złoszczę się, że to nie ma sensu, że to tylko zawracanie głowy i kolejna kłoda, którą ktoś rzuca pod nogi. Domyślam się, że możesz mieć podobne odczucia w odniesieniu do RODO i innych przepisów, które odnoszą się do działalności online. To zrozumiałe. W końcu to kolejne obowiązki, które musisz wypełnić. Mimo to, łatwiej nam przejść do działania i nie załamywać rąk w momencie, kiedy mamy poczucie, że dana czynność wypełnia jakiś konkretny cel. Realizuje się ją po coś.
Z polityką prywatności jest podobnie. Chciałabym pokazać Ci jaka idea się za nią kryje i jaki jest jej cel. Uważam to również za kluczowe, aby móc ją właściwie opracować.
Zastanów się, czy kiedykolwiek wypełniając jakiś formularz internetowy nie zirytowało Cię to, że znowu musisz przekazać komuś swoje dane osobowe, a tak naprawdę nie wiesz do czego osoba zbierająca dane je wykorzysta. Dokładnie w tej samej sytuacji znajduje się osoba, która idąc za konkretną korzyścią wypełnia Twój formularz zapisu na newsletter, albo zakłada konto w Twoim sklepie internetowym. Polityka prywatności jest jednym z miejsc na stronie internetowej, do którego zaglądając można się przekonać komu właściwie przekazujemy te dane, do czego mogą zostać wykorzystane, ale przede wszystkim możemy sprawdzić, w jaki sposób cofnąć udzieloną przez nas zgodę na ich przetwarzanie. To doskonałe narzędzie, aby przekonać się jak rzetelnie właściciel strony internetowej podchodzi do Waszych danych, albo wręcz przeciwnie, że nie zależy mu na ich bezpieczeństwie. Jeśli taki dokument nie funkcjonuje na danej stronie, to jest to wystarczający sygnał, że strona nie działa legalnie.
Właśnie dlatego RODO stawia bardzo duży nacisk na zasadę przejrzystości.
pkt. 39 preambuły RODO „Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane”.
Chodzi o to, aby wszelkie komunikaty i informacje dotyczące przetwarzania danych osobowych były:
Łatwo dostępne
Zrozumiałe
Sformułowane jasnym i prostym językiem
Taki jest właśnie cel polityki prywatności i tak też powinna zostać opracowana, aby poinformować jasno i zrozumiale o wszystkim, czego właściciel danych może nie wiedzieć. Jest to swego rodzaju bycie fair w stosunku do osób, które nam zaufały i przekazują nam swoje dane osobowe.
Polityka prywatności w praktyce – opracujmy ją razem
Dość już teorii. Czas przejść do działania i wspólnego opracowania polityki prywatności. Przechodząc przez kolejne jej punkty pamiętaj o zasadzie, że jeśli sama nie rozumiesz jej treści, to znaczy, że należy ją uprościć.
Krok pierwszy
Przedstaw się i powiedz kim jesteś
To ta sama zasada, którą stosujesz na co dzień. Jeśli poznasz kogoś nowego, albo właśnie prowadzisz prezentację, to zawsze mówisz otwarcie kim jesteś. Dokładnie tak samo działa to w przypadku polityki prywatności. Na wstępie powinnaś więc podać swoje dane oraz wskazać, że to Ty jesteś administratorem zbieranych na Twojej stronie danych.
Jeśli działasz jako osoba prawna lub jednoosobowa działalność gospodarcza, to powinnaś podać nazwę firmy, adres siedziby oraz inne dane kontaktowe, aby ułatwić użytkownikom Twojej strony szybki kontakt z Tobą.
Jeśli działasz jako osoba fizyczna, to napisz jak się nazywasz oraz podaj kontakt do siebie. Mimo, że nie działasz jako przedsiębiorca, to nie zwalnia Cię to od odpowiedzialności za przestrzeganie przepisów, w tym RODO.
Zobacz też mój artykuł na ten temat: „Ja tylko piszę bloga, czyli czy obowiązuje mnie RODO, jeśli nie prowadzę działalności gospodarczej”.
Krok drugi
Podaj podstawę prawną polityki prywatności
Podstawą prawną polityki prywatności jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej zwanym „RODO”) (Dz. U. UE L z dnia 4 maja 2016 r.), a dokładniej art. 13 RODO, który mówi o obowiązku informacyjnym wobec właściciela danych.
Uzupełnieniem RODO jest ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.)
Podstawę prawną podajemy nie tylko po to, aby udowodnić, że działamy na podstawie prawa. W ten sposób dajemy też możliwość użytkownikom strony odnaleźć te przepisy w pełnym ich brzmieniu.
Krok trzeci
Objaśnij definicje trudnych słów i wyrażeń
Jeśli pisząc swoją politykę prywatności musisz użyć słowa, którego sama wcześniej nie znałaś lub nie rozumiałaś, to jest to wystarczający powód do tego, aby je objaśnić. Stwórz mini słowniczek pojęć, które mogą być niezrozumiałe dla odbiorcy. Kieruj się zasadą przejrzystości. Pamiętasz? Wszystko powinno być zrozumiałe i napisane jasnym oraz prostym językiem. Jeśli taki nie jest, to warto to poprawić.
Krok czwarty
Poinformuj jakie dane zbierasz
Kolejny krok, a zarazem element polityki prywatności, to informacja o tym jakie dane osobowe zbierasz za pomocą swojej strony internetowej. Jakie to mogą być dane?
Związane z zarządzaniem stroną i jej bezpieczeństwem: adres IP, dane o sesji, dane o przeglądarce, typ systemu operacyjnego.
Dane do analizy statystyk. W przypadku Google Analytics są to dane anonimowe, ale mimo to należy o tym fakcie poinformować użytkowników strony.
Cookies
Dane zapisu do newslettera. Zazwyczaj jest to imię oraz adres mailowy. Jeśli zbierasz w tym celu jeszcze jakieś dane, to koniecznie uwzględnij to w swojej polityce prywatności.
Dane niezbędne do założenia konta użytkownika. Należy tu wypisać wszystkie dane, o które w tym celu prosisz.
Dane niezbędne do zrobienia zakupów w Twoim sklepie internetowym. Tutaj podobnie należy wypisać wszystkie dane, o które w tym celu prosisz.
Wynikające ze stosowania narzędzi do profilowania użytkowników. Wypisz jakie to dane konkretnie i określ czy profilowanie wywiera na użytkownika jakiekolwiek skutki prawne (tj. czy niesie za sobą jakieś konsekwencje wynikające z przepisów prawa dla właściciela danych).
Wynikające z obowiązków prawnych nałożonych przez RODO. Są to te dane, które posiadamy np. gdy ktoś zapyta nas o swoje dane lub zażąda ich usunięcia. Mogą to być: imię, nazwisko, adres e-mail, rodzaj żądania, dane dotyczące realizacji tego żądania, opis zdarzenia stanowiącego naruszenie, określenie jego wpływu na prawa i wolności właściciela danych oraz opis podjętych działań w tym zakresie.
Krok piąty
Określ cel zbierania danych oraz jego podstawę prawną
Jeśli ustaliłaś jakie dane zbierasz, to czas aby przypisać im cel ich zbierania. Przy każdym rodzaju danych określ po co właściwie je zbierasz. Np. celem zbierania danych do wysyłki newslettera jest możliwość pozostawania z Twoimi odbiorcami w kontakcie i informowania ich o Twojej działalności lub nowych produktach. Celem zbierania danych związanych z bezpieczeństwem strony jest właściwe zarządzanie stroną i dbanie o jej bezpieczeństwo.
Podstawą prawną do zbierania danych osobowych jest art. 6 ust. 1 RODO. Do legalnego przetwarzania danych musi być spełniony co najmniej jeden z wymienionych tam warunków. Jeśli nie spełniasz żadnego z nich, to powinnaś zaprzestać nielegalnego przetwarzania danych. W innym przypadku narażasz się na poważne konsekwencje prawne.
Krok szósty
Czas przechowywania danych
Obok informacji o danych, które gromadzisz poprzez swoją stronę internetową powinnaś określić jak długo będziesz je przechowywać. Nie może być to dłużej niż do czasu, kiedy cel dla którego zebrałaś dane zostanie osiągnięty lub przestanie być aktualny. Jeśli nie jesteś w stanie tego określić, to możesz zobowiązać się do regularnego przeglądu danych, aby wówczas sprawdzać czy trzymanie tych danych nadal realizuje założony przez Ciebie cel.
Krok siódmy
Poinformuj kto będzie odbiorcą tych danych i czy zamierzasz je komukolwiek przekazać
Zastanów się kto ma dostęp do zbieranych przez Ciebie danych, czy na pewno ma do tego upoważnienie oraz komu będziesz te dane przekazywać. Dostęp do danych mogą mieć upoważnieni przez Ciebie pracownicy lub współpracownicy. Mają go również firmy hostingowe oraz dostawcy usługi newslettera, informatycy, którzy opiekują się stroną, a także firma księgowa w przypadku sklepu oraz dostawcy usługi płatności online. Z tymi podmiotami powinnaś mieć też podpisaną umowę powierzenia danych. Pamiętaj o tym.
Jeśli działasz jedynie jako pośrednik, a dane zbierasz dla innej firmy, to bezwzględnie musisz poinformować o tym użytkowników swojej strony, ujawniając jego dane.
Krok ósmy
Czy dane trafią do państwa trzeciego
Państwo trzecie, czyli państwo które nie należy do Europejskiego Obszaru Gospodarczego. Jeśli zebrane przez Ciebie dane trafią do podmiotu mieszczącego się w takim państwie, jesteś zobowiązana do poinformowania o tym użytkowników Twojej strony. Kiedy to może mieć miejsce? Np. gdy korzystasz z usług firmy obsługującej Twoją stronę lub newsletter, mającej swoją siedzibę w państwie trzecim.
Krok dziewiąty
Poinformuj o prawach jakie przysługują właścicielom danych
Ostatni, ale równie ważny element polityki prywatności to informacja o tym, jakie prawa przysługują właścicielom danych, które zbierasz. Prawa te określa RODO i są to:
• prawo dostępu do danych i kopii danych
• prawo do poprawy (sprostowania danych)
• prawo do usunięcia danych
• prawo do żądania ograniczenia przetwarzania danych
• prawo do wniesienia sprzeciwu
• prawo do przenoszenia danych
• prawo do wniesienia skargi
• prawo do cofnięcia zgody.
Gotowe!
Jeśli opracujesz wszystkie powyższe elementy polityki prywatności, to z czystym sumieniem możesz taki dokument umieścić na stronie. Nie przejmuj się formą i oprawą graficzną. RODO tego nie określa. Najważniejsze, aby w zrozumiały sposób przekazać powyższe informacje odbiorcom Twoich treści i użytkownikom Twojej strony internetowej. Dasz sobie radę. W razie potrzeby odezwij się do mnie. Jeśli będziesz chciała, przygotuję ten dokument za Ciebie.
Trzymam kciuki!
Karo
Cenne i przydatne wskazówki. Myślę, że warto będąc twórcą oraz właścicielem strony internetowej poświęcić trochę czasu oraz przygotować porządną, wyczerpująca wszystkie kwestie z tym związane politykę prywatności. Transparentność oraz uczciwe podejście do użytkowników strony to podstawa, a nie tylko przykry obowiązek. Chyba każdy z nas chciałby być dobrze poinformowany w jaki sposób są przetwarzane dane osobowe. Sam pewien czas temu włożyłem sporo energii, by opracować dobrą politykę prywatności na blogu i wprowadzałem po drodze wiele w niej poprawek to jeszcze widzę, że muszę kilka rzeczy dodać. Dzięki wielkie za ten pomocny wpis 🙂