Polityka prywatności – czy muszę ją mieć?
Polityka prywatności – dokument, o którym każdy słyszał. Każdy go widział, a raczej każdy widział aktywny do niego odnośnik na odwiedzanej przez siebie stronie. Większość jednak zapewne nigdy w niego nie kliknęła. Kto by czytał te przydługawe wywodu na temat danych osobowych? Czy kogoś poza prawnikami powinna ta cała polityka prywatności interesować?
Każdemu uparcie nasuwa się więc pytanie – A na co to komu?
Polityka prywatności – co to jest?
Zacznijmy od podstaw. Polityka prywatności to dokument, w którym powinny znaleźć się wszelkie informacje związane z tym w jaki sposób przetwarzane są dane osobowe gromadzone przez administratora. Mówiąc wprost, jest to zbiór informacji na temat tego jakie dane, na jakiej podstawie, w jaki sposób i przez kogo są pozyskiwane, co z tymi danymi będzie się dalej działo, w jakim celu i jak długo będą one wykorzystywane, jakie prawa przysługują osobom, których dane osobowe są gromadzone, w jaki sposób zbierane dane są chronione.
W zasadzie jest to więc informacja od administratora danych, udostępniana publicznie, dzięki której każdy użytkownik może dowiedzieć się co dzieje się z jego danymi osobowymi. To zaś ma mu umożliwić podjęcie świadomej decyzji co do udostępnienia tych danych.
Czy ja też muszę posiadać politykę prywatności?
Nie pamiętam czy zdarzyło mi się wejść na stronę internetową, na której nie znajdowałby się aktywny link do polityki prywatności. Chyba nie. Skoro zatem każdy tę politykę ma, to czy oznacza to, że Ty również powinieneś?
Przewrotnie odpowiem, że nie. Twoim zadaniem jest spełnić obowiązek informacyjny wobec wszystkich osób, których dane osobowe posiadasz. To czy zrobisz to w formie polityki prywatności czy dokumentu lub szeregu dokumentów o innej nazwie, nie ma żadnego znaczenia. Teoretycznie w każdym odrębnym medium, czy też w każdym miejscu na swojej stronie, w którym pozyskujesz dane osobowe, możesz stworzyć osobny plik, informujący o tym co z zebranymi w tym konkretnym miejscu danymi będziesz robić. Możesz jednak, tak jak większość (co zresztą wydaje się łatwiejsze) zebrać to wszystko w jednym dokumencie i w miejscach, w których pozyskujesz dane, dorzucić jedynie link do swojego obszernego, kompleksowego obowiązku informacyjnego.
Obowiązek informacyjny musisz spełnić praktycznie w każdym przypadku, w którym gromadzisz w sposób bezpośredni lub pośredni dane osobowe. Chodzi tu zarówno o aktywne zbieranie danych (np. przez formularz kontaktowy, okienko zapisu do newslettera) jak również o takie, które nie wymaga żadnej aktywności ze strony użytkownika (pliki cookies).
Teoretycznie, są pewne wyjątki, w ramach których jest się zwolnionym ze spełnienia obowiązku informacyjnego – np. wtedy, gdy osoba, której dane dotyczą posiada już wszystkie wymagane informacje na temat administratora, jeżeli utrwalenie danych jest przewidziane wprost w przepisach lub jeżeli poinformowanie osoby, której dane dotyczą jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku. W praktyce przypadki te będą albo bardzo trudne do wykazania albo bardzo rzadkie.
Skoro już wiesz, że od polityki prywatności nie uciekniesz, to sprawdź co musisz w niej zawrzeć.
Polityka prywatności – co powinna zawierać – Twoja check lista
Spełniając obowiązek informacyjny wobec osoby, od której pozyskujesz dane osobowe, powinieneś przekazać jej następujące informacje:
- swoją tożsamość oraz dane kontaktowe (jeżeli masz swojego przedstawiciela, powinieneś podać również jego dane),
- dane kontaktowe inspektora ochrony danych – jeżeli go powołałeś,
- cele przetwarzania danych osobowych,
- podstawę prawną przetwarzania danych osobowych,
- prawnie uzasadniony interes przetwarzania danych, jeżeli to na jego podstawie przetwarzasz dane,
- informacje o odbiorcach danych lub o kategoriach odbiorców, jeżeli istnieją,
- informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia – jeżeli ma to zastosowanie,
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – jeżeli przetwarzanie odbywało się na podstawie zgody użytkownika,
- informacje o prawie wniesienia skargi do organu nadzorczego,
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Jeżeli dane osobowe zostały pozyskane nie bezpośrednio od osoby, której dotyczą, tylko np. od naszego kontrahenta, to poza ww. informacjami, musisz podać także źródło pozyskania danych oraz kategorię tych danych.
Polityka prywatności musi być odpowiednia
Jak widzisz informacji, które musisz przekazać użytkownikowi jest całkiem sporo. Dodając do tego konieczność każdorazowego określenia podstawy przetwarzania przy pozyskaniu danych w konkretny sposób, należy zarezerwować sobie odpowiednią ilość czasu, aby móc opracować prawidłową politykę prywatności.
Nie będzie zatem wystarczającym skopiowanie czyjejś polityki prywatności i wykorzystanie jej u siebie. Nawet jeśli na pierwszy rzut oka wydaje nam się, że na danej stronie ktoś działa w taki sam sposób jak my. Pomijam już w tym miejscu oczywistą kwestię łamania czyjegoś prawa do skopiowanego dokumentu.
Jeżeli, któryś z punktów check listy do polityki prywatności budzi Twoje wątpliwości, to koniecznie daj mi znać w komentarzu. Wspólnymi siłami rozwiejemy te wątpliwości. 😉