Wejście w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) w maju 2018 roku miało ogromny wpływ na sposób zarządzania danymi osobowymi. RODO ustanowiło nowe standardy dotyczące ochrony danych osobowych, wymagając szczególnej dbałości o prywatność użytkowników Internetu. Polityki prywatności zaczęły wówczas powszechnie pojawiać na stronach internetowych. Dokument ten stał się nie tylko kluczowym narzędziem w zapewnieniu zgodności z regulacjami RODO, ale również narzędziem budowania zaufania klientów poprzez transparentność i jasne informowanie o sposobie przetwarzania danych osobowych.

 

Czym jest Polityka Prywatności?

Polityka prywatności to dokument, który wyjaśnia, w jaki sposób dane osobowe odwiedzających witrynę klientów lub użytkowników są przetwarzane, czyli m.in. zbierane i przechowywane przez operatorów tych serwisów. Z polityką prywatności ściśle powiązany jest wynikający z RODO obowiązek informacyjny. W praktyce to właśnie w polityce prywatności zawarte są informacje, które pozwalają ten obowiązek spełnić.

Umieszczona na stronie internetowej polityka prywatności, ma za zadanie poinformować jej adresatów w jaki sposób, przez kogo oraz jak długo przetwarzane są ich dane, a także do jakiego celu i na jakiej podstawie są wykorzystywane. Treść dokumentu powinna także uwzględniać informacje o możliwości modyfikacji, sprostowania lub usunięcia przekazanych danych osobowych, a także o szeregu innych praw przysługujących osobie, której dane są przetwarzane wraz z informacją jak z tych praw skorzystać. Administrator danych osobowych powinien jasno określić, jakie narzędzia i metody są stosowane do komunikacji z odwiedzającymi stronę oraz w przypadku obowiązku, powinien poinformować o powołaniu inspektora ochrony danych.

Co ciekawe przepisy RODO ani polska ustawa o ochronie danych osobowych nie zawierają bezpośrednich wymogów dotyczących obowiązkowego posiadania polityki prywatności na stronach internetowych. Rozporządzenie wskazuje jedynie, że w momencie pozyskiwania danych osobowych administrator danych musi przekazać osobie, której dane osobowe są pozyskiwane szczegółowe informacje dotyczące ich przetwarzania np. w formie odpowiedniej klauzuli informacyjnej. To czy realizacja obowiązku informacyjnego zostanie dokonana w formie polityki prywatności, czy też w innym dokumencie, zależy wyłącznie od administratora danych osobowych.

Kto powinien posiadać politykę prywatności?

Każdy przedsiębiorca przetwarzający dane osobowe powinien posiadać politykę prywatności lub inny dokument regulujący proces przetwarzania danych. Obowiązek ten dotyczy zarówno małych firm, jak i dużych korporacji, niezależnie od branży, zwłaszcza jeśli prowadzą działalność online. Przedsiębiorcy działający internetowo powinni szczególnie dokładnie sprawdzić, czy przetwarzają dane osobowe użytkowników, co może wymagać publikacji odpowiedniego dokumentu na ich stronie internetowej.

Zarówno blog, jak i sklep internetowy, korzystając z narzędzi takich jak formularze kontaktowe, możliwość zapisu na newsletter, opcja komentowania czy stosowanie plików cookies oraz innych technologii śledzenia, przetwarzają dane osobowe użytkowników. W takich przypadkach konieczne jest zamieszczenie na stronie internetowej polityki prywatności lub innego dokumentu określającego sposób przetwarzania danych. W przypadku sklepów internetowych i platform e-commerce należy pamiętać, że sam proces sprzedaży przez Internet wiąże się z przetwarzaniem danych osobowych niezbędnych do realizacji zamówień składanych przez użytkowników.

Czy polityka prywatności a polityka cookies jest tym samym?

Polityka prywatności i polityka plików cookies są dwoma odrębnymi dokumentami, wynikającymi z różnych regulacji prawnych, choć często umieszczane są na stronie internetowej razem lub jako część jednego większego dokumentu regulującego ochronę danych osobowych i prywatność użytkowników.

Polityka prywatności dotyczy ogólnie ochrony danych osobowych, natomiast polityka cookies koncentruje się na technologiach śledzenia, takich jak pliki cookies, stosowanych na stronie internetowej. Polityka cookies powinna opisywać jakie pliki cookies i inne technologie śledzenia są używane przez stronę internetową, do jakich celów są wykorzystywane oraz w jaki sposób użytkownicy mogą nimi zarządzać. Obowiązek informowania użytkowników o stosowaniu plików cookies wynika z ustawy Prawo telekomunikacyjne, implementującej do polskiego porządku prawnego postanowienia tzw. dyrektywy ePrivacy, dotyczącej ochrony prywatności w elektronicznym przekazie danych, nie zaś bezpośrednio z RODO, choć oczywiście często pliki cookies zapisują informacje o użytkowniku, które w określonych przypadkach mogą stanowić dane osobowe.

Gdzie zamieścić politykę prywatności?

Zamieszczając politykę prywatności na stronie internetowej kluczowe jest, aby użytkownicy mogli szybko i bez problemu odnaleźć ją na stronie internetowej oraz aby dokument był czytelny i zrozumiały. W szczególności, jeśli strona zbiera dane osobowe poprzez formularze rejestracyjne (np. formularz kontaktowy, rejestracja użytkowników), zaleca się umieszczenie linku do polityki prywatności bezpośrednio przy tych formularzach. Ponadto, link do polityki prywatności powinien być umieszczony przy formularzu zgody na przetwarzanie danych (obok pola wyrażającego zgodę), jeśli przetwarzanie danych użytkownika odbywa się na podstawie jego zgody (np. do otrzymywania newslettera, choć ten często nie wymaga zgody wynikającej z RODO).

Należy również pamiętać, że jeśli strona internetowa używa plików cookies, a polityka prywatności zawiera wymagane prawem informacje o plikach cookies, link do polityki prywatności powinien być umieszczony obok banera informacyjnego o cookies lub w sekcji dotyczącej plików cookies.

Podsumowanie

Polityka prywatności stanowi integralny element funkcjonowania współczesnej firmy, szczególnie w dobie cyfryzacji. Zapewnienie jasnych i przejrzystych informacji dotyczących przetwarzania danych osobowych jest kluczowe dla budowania zaufania użytkowników oraz zgodności z obowiązującymi przepisami prawnymi. Opracowanie polityki prywatności wymaga szczegółowej analizy działalności danego serwisu internetowego, stosowanych narzędzi oraz metod gromadzenia danych osobowych. Proces ten niekiedy może okazać się złożony, dlatego zalecanym jest skorzystanie z usług specjalistów w tym zakresie.

 
radca prawny Sylwia Stala-Rymarczuk