W dzisiejszych czasach strona internetowa to podstawowe narzędzie wykorzystywane do komunikacji z klientami czy budowania własnej marki w sieci. Inwestując w nią, robimy to w konkretnym celu, najczęściej aby wypromować naszą firmę i pozyskać nowe zlecenia czy kontrakty. Czy jednak tworząc bądź posiadając już swoją stronę zastanawiamy się nad takim dokumentem jak polityka prywatności? Czy jesteśmy w ogóle zobowiązani do jego posiadania?
O polityce prywatności zrobiło się głośno z momentem, kiedy zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (dalej: RODO), czyli po 25 maja 2018 roku. Dopiero wtedy właściwie masowo na stronach internetowych zaczęły pojawiać się podstrony z tym dokumentem. Pewnie niektórzy będą teraz zaskoczeni, jednak informacji o konieczności posiadania polityki prywatności nie znajdziemy w RODO. Co więcej, nie ma też żadnych innych przepisów, które nakładałyby obowiązek zamieszczania na stronie takiego dokumentu.
Odpowiadając zatem na nasze pytanie – polityka prywatności nie jest obowiązkowym dokumentem. Należy jednak w tym miejscu wskazać, iż jej posiadanie znacznie ułatwi Ci spełnienie obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO, powstającego w momencie gdy dochodzi do zbierania/przetwarzania danych osobowych. Powstaje zatem kolejne pytanie – kiedy dochodzi do gromadzenia/przetwarzania danych osobowych na stronie internetowej? Jeśli prowadzimy np. sklep internetowy, bloga, portal informacyjny, czy fanpage to zapewne dochodzi do gromadzenia przez nas danych osobowych innych osób. Do ich zbierania i przetwarzania może dochodzić na bardzo wiele sposobów, m.in. poprzez sprzedaż produktów, formularze kontaktowe, zapisy na newsletter czy komentowanie artykułów bądź wpisów na blogu. W każdym z tych przypadków obowiązek informacyjny będzie inny, jak też różne będą podstawy prawne przetwarzania danych osobowych. Raz będzie to umowa, innym zgoda bądź uzasadniony interes administratora. Zakres informacji, jaki jesteśmy zobowiązani przekazać osobom, których dane przetwarzamy jest obszerny i nie sposób przedstawić ich wszystkich bez posiadania odpowiedniego dokumentu. Dlatego też właśnie zawarcie tych wszystkich informacji w jednym dokumencie znacząco ułatwi nam sprawę. Szczególnie w sytuacji jeśli będzie konieczność dokonania aktualizacji – wówczas, jeśli będziemy posiadać politykę prywatności to zmienimy tylko jej treść, zamiast zmieniać wszystkie informacji na stronie. Co więcej, w polityce prywatności możemy spełnić również obowiązki nałożone przez przepisy prawa telekomunikacyjnego, tj. możemy poinformować w niej o plikach cookies, jakie są wykorzystywane na naszej stronie.
Wiedząc już zatem kiedy powinniśmy zadbać o posiadanie polityki prywatności, odpowiedzmy sobie jeszcze na pytanie czym tak naprawdę jest ten dokument i co powinien w sobie zawierać? Jest to dokument, który zawiera wszystkie informacje o sposobie zbierania i przetwarzania danych osobowych gromadzonych za pośrednictwem strony internetowej. Zamiast konieczności posiadania kilku pojedynczych dokumentów, realizujących obowiązki informacyjne, rozsianych po całej stronie internetowej, wystarczy posiadanie jednego, jakim jest właśnie polityka prywatności.
Tworząc własną politykę prywatności, musimy zwrócić szczególną uwagę, aby zawierała następujące informacje:
- dane administratora;
- dane kontaktowe inspektora ochrony danych, jeśli taki został powołany;
- cele przetwarzania danych osobowych;
- podstawy prawne ich przetwarzania, określone w art. 6 RODO;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- informacje, czy dane będą przekazywane do państw trzecich lub organizacji międzynarodowych;
- uprawnienia osób, których dane są zbierane – o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych i wniesienia skargi do organu nadzorczego:
- informacja o dobrowolności podania swoich danych;
- jeśli dane są przetwarzane na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- okres przetwarzania danych osobowych;
- czy podanie danych osobowych jest wymogiem ustawowym/umownym lub warunkiem zawarcia umowy oraz czy osoba jest zobowiązana do ich podania oraz jakie są ewentualne konsekwencje niepodania danych;
- Informacje dot. zautomatyzowanego podejmowania decyzji, w tym o profilowaniu.