Z Prawem Łatwiej Body Wrapper

    Polityka prywatności – czy muszę ją mieć?

    Polityka prywatności – czy muszę ją mieć?

    Polityka prywatności – dokument, o którym każdy słyszał. Każdy go widział, a raczej każdy widział aktywny do niego odnośnik na odwiedzanej przez siebie stronie. Większość jednak zapewne nigdy w niego nie kliknęła. Kto by czytał te przydługawe wywodu na temat danych osobowych? Czy kogoś poza prawnikami powinna ta cała polityka prywatności interesować?

    Każdemu uparcie nasuwa się więc pytanie – A na co to komu?

    Polityka prywatności – co to jest?

    Zacznijmy od podstaw. Polityka prywatności to dokument, w którym powinny znaleźć się wszelkie informacje związane z tym w jaki sposób przetwarzane są dane osobowe gromadzone przez administratora. Mówiąc wprost, jest to zbiór informacji na temat tego jakie dane, na jakiej podstawie, w jaki sposób i przez kogo są pozyskiwane, co z tymi danymi będzie się dalej działo, w jakim celu i jak długo będą one wykorzystywane, jakie prawa przysługują osobom, których dane osobowe są gromadzone, w jaki sposób zbierane dane są chronione.

    W zasadzie jest to więc informacja od administratora danych, udostępniana publicznie, dzięki której każdy użytkownik może dowiedzieć się co dzieje się z jego danymi osobowymi. To zaś ma mu umożliwić podjęcie świadomej decyzji co do udostępnienia tych danych.

    Czy ja też muszę posiadać politykę prywatności?

    Nie pamiętam czy zdarzyło mi się wejść na stronę internetową, na której nie znajdowałby się aktywny link do polityki prywatności. Chyba nie. Skoro zatem każdy tę politykę ma, to czy oznacza to, że Ty również powinieneś?

    Przewrotnie odpowiem, że nie. Twoim zadaniem jest spełnić obowiązek informacyjny wobec wszystkich osób, których dane osobowe posiadasz. To czy zrobisz to w formie polityki prywatności czy dokumentu lub szeregu dokumentów o innej nazwie, nie ma żadnego znaczenia. Teoretycznie w każdym odrębnym medium, czy też  w każdym miejscu na swojej stronie, w którym pozyskujesz dane osobowe, możesz stworzyć osobny plik, informujący o tym co z zebranymi w tym konkretnym miejscu danymi będziesz robić. Możesz jednak, tak jak większość (co zresztą wydaje się łatwiejsze) zebrać to wszystko w jednym dokumencie i w miejscach, w których pozyskujesz dane, dorzucić jedynie link do swojego obszernego, kompleksowego obowiązku informacyjnego.

     Obowiązek informacyjny musisz spełnić praktycznie w każdym przypadku, w którym gromadzisz w sposób bezpośredni lub pośredni dane osobowe. Chodzi tu zarówno o aktywne zbieranie danych (np. przez formularz kontaktowy, okienko zapisu do newslettera) jak również o takie, które nie wymaga żadnej aktywności ze strony użytkownika (pliki cookies). 

    Teoretycznie, są pewne wyjątki, w ramach których jest się zwolnionym ze spełnienia obowiązku informacyjnego np. wtedy, gdy osoba, której dane dotyczą posiada już wszystkie wymagane informacje na temat administratora, jeżeli utrwalenie danych jest przewidziane wprost w przepisach lub jeżeli poinformowanie osoby, której dane dotyczą jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku. W praktyce przypadki te będą albo bardzo trudne do wykazania albo bardzo rzadkie.

    PAMIĘTAJ!
    Nie ma żadnej możliwości abyś prowadził swój biznes online lub promował swoją działalność w internecie i nie posiadał dokumentu spełniającego obowiązek informacyjny. 

    Skoro już wiesz, że od polityki prywatności nie uciekniesz, to sprawdź co musisz w niej zawrzeć.

    Polityka prywatności – co powinna zawierać – Twoja check lista

    Spełniając obowiązek informacyjny wobec osoby, od której pozyskujesz dane osobowe, powinieneś przekazać jej następujące informacje:

    • swoją tożsamość oraz dane kontaktowe (jeżeli masz swojego przedstawiciela, powinieneś podać również jego dane),
    • dane kontaktowe inspektora ochrony danych – jeżeli go powołałeś,
    • cele przetwarzania danych osobowych,
    • podstawę prawną przetwarzania danych osobowych,
    • prawnie uzasadniony interes przetwarzania danych, jeżeli to na jego podstawie przetwarzasz dane,
    • informacje o odbiorcach danych lub o kategoriach odbiorców, jeżeli istnieją,
    • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia – jeżeli ma to zastosowanie,
    • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
    • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
    • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem – jeżeli przetwarzanie odbywało się na podstawie zgody użytkownika,
    • informacje o prawie wniesienia skargi do organu nadzorczego,
    • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
    • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

    Jeżeli dane osobowe zostały pozyskane nie bezpośrednio od osoby, której dotyczą, tylko np. od naszego kontrahenta, to poza ww. informacjami, musisz podać także źródło pozyskania danych oraz kategorię tych danych.

    Polityka prywatności musi być odpowiednia

    Jak widzisz informacji, które musisz przekazać użytkownikowi jest całkiem sporo. Dodając do tego konieczność każdorazowego określenia podstawy przetwarzania przy pozyskaniu danych w konkretny sposób, należy zarezerwować sobie odpowiednią ilość czasu, aby móc opracować prawidłową politykę prywatności.

    PAMIĘTAJ!
    Polityka prywatności (czyli w zasadzie obowiązek informacyjny, który Cię obciąża) musi być wynikiem szczegółowej analizy schematu Twojej działalności. 

    Nie będzie zatem wystarczającym skopiowanie czyjejś polityki prywatności i wykorzystanie jej u siebie. Nawet jeśli na pierwszy rzut oka wydaje nam się, że na danej stronie ktoś działa w taki sam sposób jak my. Pomijam już w tym miejscu oczywistą kwestię łamania czyjegoś prawa do skopiowanego dokumentu.

    Jeżeli, któryś z punktów check listy do polityki prywatności budzi Twoje wątpliwości, to koniecznie daj mi znać w komentarzu. Wspólnymi siłami rozwiejemy te wątpliwości. 😉 

    error
    fb-share-icon
    Tweet
    fb-share-icon
    5 1 vote
    Oceń ten wpis
    Subscribe
    Powiadom o
    2 komentarzy
    najstarszy
    najnowszy oceniany
    Inline Feedbacks
    View all comments

    Co sądzi Pani o dostępnych w internecie formularzach, które po zaznaczeniu opcji wykorzystywanych na stronie i wpisaniu swoich danych generują teść takiego dokumentu? Z braku lepszych opcji skorzystałam z takiej, bo sama nigdy tegorocznej nie napiszę…

    1
    Odpowiedz

    Nie zapoznawałam się z takimi “gotowcami”, więc niestety nie mogę nic przesądzić w tym temacie. Z całą pewnością jakość takich wzorów zależy od tego kto je tworzył. Jeśli był to prawnik zajmujący się tematyką, to myślę że warto z takich dokumentów skorzystać. Nie jest to oczywiście idealne rozwiązanie, ponieważ nie będzie wówczas pewności czy wszystko jest należycie dopasowane do naszej działalności. To możemy uzyskać wyłącznie podczas indywidualnej konsultacji. Nie będzie również pewności co do tego czy spełniamy wszystkie wymogi dla prawidłowego przetwarzania danych osobowych. Będziemy mieć jednak większe przekonanie, że działamy (co najmniej częściowo) zgodnie z RODO, niż w sytuacji pobrania wzorów z anonimowego źródła, gdzie nie wiadomo kto jest autorem dokumentu. Dotychczas miałam jedno zapytanie odnośnie konkretnego generatora tego rodzaju dokumentacji. Koszt polityki w tym generatorze był bardzo niewielki, ale już sama strona, obsługująca ten bank dokumentów wzbudzała zastrzeżenia względem zgodności z RODO. Co więcej, nigdzie nie było podane kto jest autorem wzorów, a dokumenty można było pobrać w praktycznie wszystkich językach świata. Wówczas zdecydowanie odradziłam skorzystanie z takiej opcji.

    0
    Odpowiedz
    error

    Podoba Ci się ten wpis? Będzie mi miło, jeśli się o tym dowiem :)

    2
    0
    Would love your thoughts, please comment.x