Co to jest polityka prywatności, dlaczego każdy przedsiębiorca musi ją stosować na swojej stronie internetowej i co powinien w niej umieścić? – to tylko część pytań, na które za chwilę odpowiemy.
Spis treści
Czym jest polityka prywatności?
Polityka prywatności to informacja właściciela strony internetowej (administratora danych osobowych) dla osób, których dane są przetwarzane.
Zasady tego obowiązku informacyjnego reguluje art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych) popularnie zwanego RODO. Sposobem na realizację tego obowiązku jest właśnie polityka prywatności.
W praktyce każdy przedsiębiorca, który ma stronę www, przetwarza dane osobowe. Wystarczy, że np. zbiera imiona i nazwiska czy e-maile swoich obecnych lub potencjalnych klientów, lub używa ciasteczek (plików cookie). Z tego wynika, że jest administratorem danych osobowych i powinien opracować i umieścić na swojej witrynie politykę prywatności.
Zgodnie z informacją parp.gov.pl, dane osobowe mogą być uzyskane przez np. zapis na newsletter, skorzystanie z formularza kontaktowego, prośbę o przedstawienie oferty, zawarcie i realizację umowy, zapisanie się na listę osób oczekujących na produkt lub usługę, umieszczenie komentarza pod wpisem na blogu.
Co powinna zawierać polityka prywatności na stronie internetowej?
Dobrze skonstruowana polityka prywatności powinna informować:
- jak są zbierane dane o odwiedzających witrynę;
- jakie to dane;
- kto nimi administruje (tożsamość i dane kontaktowe administratora, ew. jego przedstawiciela);
- jak są przechowywane;
- do jakich celów są wykorzystywane (wraz z podstawą prawną przetwarzania danych);
- jaki jest prawnie uzasadniony interes realizowany przez administratora (np. dane są niezbędne do wykonania umowy);
- kto jest odbiorcą danych;
- czy dane są przekazywane do państw trzecich lub organizacji międzynarodowych (np. znajdują się na serwerach poza UE);
- jak długo będą przechowywane, a jeżeli jest to niemożliwe do określenia, to jakie są kryteria ustalania tego okresu;
- jakie prawa przysługują osobie, której dane są przetwarzane, np. o prawo do wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych), prawo do dostępu do swoich danych osobowych czy prawo do usunięcia lub ograniczenia przetwarzania danych osobowych.
Polityka prywatności powinna jasno informować, że jeżeli przetwarzanie danych osobowych odbywa się na podstawie zgody – tak będzie np. przy wysyłce newslettera – to osoba, która jej udzieliła, może też ją wycofać.
Administrator musi też pamiętać, że musi ponownie poinformować osobę, której dane przetwarza jeżeli chce je wykorzystać w inny sposób niż pierwotnie.
W polityce prywatności powinny znaleźć się też dane inspektora ochrony danych osobowych, jeżeli taki został powołany.
Zgodnie z RODO, informacje o zakresie i celu przetwarzanych danych mają być rzetelne i przejrzyste. Polityka prywatności powinna być aktualizowana.
Gdzie umieścić politykę prywatności na stronie?
Polityka prywatności powinna być łatwo dostępna dla użytkowników strony www. Zazwyczaj link, który do niej prowadzi, znajduje się w stopce, czyli na dole witryny.
Często przedsiębiorcy spełniają obowiązek informacyjny, umieszczając na stronie specjalne pole wyboru. Jego wypełnienie potwierdza, że internauta zapoznał się z polityką prywatności i jest warunkiem dokończenia transakcji czy zapisanie się na newsletter.
Polityka prywatności – przepisy
Jak już wspomnieliśmy wyżej, zasady dotyczące przetwarzania danych osobowych i informowania o nich reguluje rozporządzenie Parlamentu Europejskiego i Rady (UE) zwane skrótowo RODO.
Celem RODO jest ochrona danych osobowych, czyli wszelkich informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), szczególnie na podstawie:
- imienia i nazwiska,
- numeru identyfikacyjnego,
- danych o lokalizacji,
- identyfikatora internetowego,
- jednej bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie oznacza natomiast wszelkiego rodzaju operacje wykonywane na danych osobowych, m.in. zbieranie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie. W sklepie online przetwarzaniem danych będzie m.in. zbieranie danych kupujących, w tym imienia i nazwiska oraz adresu dostawy.
Przetwarzanie obejmuje też np. pozyskiwanie danych z ciasteczek i przekazywanie ich do sieci reklamowych, które sprzedają je firmom tworzącym targetowane reklamy, czyli sprofilowane pod kątem konkretnego użytkownika.
Administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem może być zatem np. prowadzący/prowadząca JDG, spółka z o.o. czy też spółka akcyjna, fundacja lub organizacja pozarządowa.
