Chcesz uruchomić stronę internetową. Masz już gotowy szablon, oprawę graficzną, opracowany UI, przygotowaną ofertę. I w pewnym momencie zdajesz sobie sprawę z tego, że będziesz operować danymi osobowymi i musisz te dane chronić. Czyli mówiąc krótko, musisz zadbać o politykę prywatności. Jak się za to zabrać? Przedstawiamy 6 najważniejszych punktów.
1. Ochrona danych osobowych a RODO
W rozporządzeniu o ochronie danych osobowych, nie ma wymogu posiadania takiego dokumentu, jak polityka prywatności. W momencie pozyskania danych osobowych, administrator powinien przekazać właścicielowi informację o rodzaju i zakresie przetwarzania jego danych osobowych – i o tym mówi RODO. Natomiast sama informacja o przetwarzaniu danych osobowych to jeszcze nie polityka prywatności. Tą nazywamy dokument, mówiący o sposobie gromadzenia i wykorzystywania danych osobowych w celu ich ochrony – nie tylko o ich przetwarzaniu.
2. Nie każda strona internetowa musi mieć politykę prywatności!
Ta informacja może być ulgą dla tych właścicieli stron, którzy posiadają strony www w formie wizytówki swojej firmy. Użytkownik, poruszając się po niej, nie przekazuje swoich danych osobowych (brak na przykład formularzy kontaktowych, funkcji typowych dla e-commerce, czy stron www posiadających moduł zapisu do newslettera). W takim przypadku, strony internetowe mają obowiązek informowania tylko i wyłącznie o przechowywaniu plików cookies.
3. Zbieranie danych osobowych
Poniżej znajduje się pięć najczęstszych przykładów, gdy strony internetowe przetwarzają dane osobowe:
sprzedaż produktu (kupujący, aby otrzymać towar, musi przekazać swoje dane, w tym teleadresowe),
komentowanie treści (blog lub strona, gdzie zakładamy konto i logujemy się jako uczestnik dyskusji),
zapis na newsletter (musimy podać wówczas co najmniej adres e-mail),
formularze kontaktowe (gdy na przykład chcemy skontaktować się w sprawie oferty na stronie),
zbieranie leadów (poprzez wypełnienie formularza w celu pobrania np. ebooka, zapisu na webinar czy zostawienie danych w celu wysłania oferty).
W każdym z tych przypadków, informacja o przetwarzaniu będzie miała albo charakter informacyjny, albo inną podstawę prawną – w zależności od tego, w jakim zakresie przekazujemy swoje dane. Strony www oparte o branżę e-commerce mają przeważnie swój regulamin sklepu, regulujący te kwestie. Bardzo ważne jest, aby informacje o przetwarzaniu danych znajdowały się w widocznym miejscu, a najlepiej, w kilku miejscach jednocześnie. Te dane powinny być tuż pod formularzem i zawierać zgodę na przetwarzanie danych, aby można było kontynuować działania na stronie.
4. Czy warto, gdy nie ma takiego obowiązku?
Naszym zdaniem, polityka prywatności jest przydatna nawet wówczas, gdy nie jest obowiązkowa. Dlaczego? Ponieważ zbiera ona w jednym miejscu wszystkie informacje o danych osobowych, które pozyskujemy. To czytelne dla użytkowników, a nas zabezpiecza na wypadek ewentualnych roszczeń. Oczywiście, samo napisanie polityki prywatności to za mało – musimy się jej jeszcze trzymać.
5. Co powinna zawierać polityka prywatności?
Przede wszystkim, musi w czytelny sposób określać, czego dotyczy, jaki zakres i kogo obejmuje, ale też kto zarządza danymi osobowymi (jest administratorem). Wszystko powinno być wypunktowane, z przytoczeniem odpowiedniego przepisu prawnego (jeżeli dotyczy).
Przykład: strona www zawiera zakładkę „Oferty Pracy”. Po kliknięciu w nią, znajdujemy się na stronie z ofertami pracy, jeżeli ktoś jest zainteresowany, wypełnia formularz (pozostawiając swoje dane, najczęściej też CV), tym samym wyrażając zgodę na przetwarzanie danych, a my pozyskujemy drogą mailową informacje osobowe na temat kandydata. Jaki zapis powinien się wówczas znaleźć w polityce prywatności? W poniższym przykładzie, administrator informuje, jaki będzie zakres danych podlegający przetworzeniu, w jakim celu będą one przetwarzane oraz wnioskuje o nie podawanie innych danych, niż niezbędne w procesie rekrutacji. Właściciel danych ma zatem pełną, niezbędną informację o całym procesie – wszystko zgodnie z prawem.
„Chcąc zainicjować rozpoczęcie procesu Państwa ewentualnej rekrutacji do naszego zespołu proszeni są Państwo o wysłanie swojego zgłoszenia APLIKACYJNEGO na adres: rekrutacja@liveage.pl lub praca@liveage.pl. W zgłoszeniu prosimy o podanie danych uwarunkowanych stanowiskiem na jakie Państwo aplikujecie oraz podstawą prawną ewentualnej współpracy. Przesyłając aplikację na wskazany adres e-mail pozyskujemy przesłane przez Państwa dane zawarte w dokumentach aplikacyjnych oraz adres e-mail umożliwiający kontakt zwrotny. Prosimy o nie udostępnianie nam innych danych osobowych niż wymaganych przepisami prawa lub uzasadnionych ofertą współpracy”.
W polityce prywatności należy również zamieścić klauzulę, jakie prawa należą się osobie udostępniającej swoje dane. Każda osoba, której dane są przetwarzane przez administratora, ma prawo żądania dostępu do swoich danych osobowych, a także ich sprostowania (poprawiania). Właścicielowi danych przysługuje także prawo do żądania usunięcia lub ograniczenia przetwarzania jego danych. W takim przypadku, należy skontaktować się z administratorem lub wyznaczonym w tym celu Inspektorem Ochrony Danych Osobowych, w skrócie IOD (wyznaczenie IOD w organizacji nie jest obowiązkowe).
6. Jak napisać politykę prywatności?
Najlepiej zlecić to zadanie osobie biegłej w prawie cywilnym. Jeżeli napiszemy ją samodzielnie, na pewno warto zadbać, aby gotowy zapis został zweryfikowany i zatwierdzony przez prawnika pod kątem zgodności z prawem cywilnym m.in. polityką przetwarzania danych (RODO). Unikniemy w ten sposób niepożądanych konsekwencji prawnych, jeśli nasze metody zarządzania danymi byłyby niezgodne z przepisami.
Niezależnie od tego, czy jesteśmy zmuszeni zamieszczać pełną politykę prywatności czy nie, warto podchodzić do tego tematu poważnie, samemu rozumieć jej zapisy i konstruować je tak, aby wynikały ze specyfiki danego biznesu. Nie warto robić tego na zasadzie „kopiuj-wklej”. Polityka prywatności ma odzwierciedlać stan faktyczny, w jasny i klarowny sposób komunikować użytkownikowi, co się dzieje z jego danymi i w jakich celach będą przetwarzane.
