Polityka prywatności nie może być „jakaś”. Jej nieprawidłowe skonstruowanie to w istocie tak, jakby nie istniała. Bo ewentualne kary nie są za jej brak, a za nieodpowiednie informowanie o bardzo kluczowych kwestiach. W tym artykule przedstawię kilka najważniejszych kwestii, o których trzeba pamiętać.
Na wstępie muszę zaznaczyć, że w skomplikowanych przypadkach pomoc profesjonalisty jest niezbędna. Nawet w prostszych wypadkach nie zaszkodzi, by dokumentom, które mogą mieć wpływ na sytuację prawną przedsiębiorcy, przyjrzał się ekspert.
Jak stworzyć politykę prywatności dla sklepu internetowego?
Polityka prywatności znajduje się co do zasady na każdej stronie internetowej, na której można zawrzeć jakąś umowę, czy też – chociażby – znajduje się formularz kontaktowy. Samo pojęcie nie występuje w przepisach prawa. Jest to zwyczajowe określenie, więc spróbujmy je zdefiniować. Na pewno – intuicyjnie rzecz biorąc – polityka prywatności kojarzy się z RODO i ogólnie z ochroną danych osobowych. I jest to skojarzenie jak najbardziej słuszne.
Polityka prywatności jest więc dokumentem, w którym przedsiębiorca przedstawia wszystkim osobom, których dane osobowe może przetwarzać, pewne informacje określone przepisami prawa. W jej treści znajdują się m.in. informacje co do uprawnień przysługujących osobom, których dane są przetwarzane. Specyfika prowadzenia serwisów internetowych wymusza dodatkowe obowiązki, które czasem zawierane są w polityce prywatności, ale z reguły występują osobno. Mowa jest tutaj o tzw. cookies.
Prawidłowe skonstruowanie polityki prywatności trzeba więc uzależnić od tego, co – i jako kto – w zasadzie robimy. Bo stwierdzenie, że RODO obowiązuje zawsze i ściana informacji musi znaleźć się na każdej stronie, jest nieprawdą. Samo unijne rozporządzenie określa np. że nie stosuje się go do sytuacji, gdy dane przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej.
O czym trzeba poinformować internautę?
Obowiązki informacyjne z zakresu RODO kształtują się następująco, z czego nie jest to pełny katalog, a najważniejsze kwestie:
- tożsamość i dane kontaktowe (na stronie firmowej pełna nazwa z CEIDG, adres korespondencyjny, adres e-mail)
- dane inspektora danych, o ile jego powołanie jest konieczne (o czym za chwilę)
- cel przetwarzania danych oraz podstawa prawna
- okres przechowywania danych, względnie kryteria określenia tego okresu, gdy nie można tego zrobić precyzyjnie
- informacja o prawie żądania dostępu po danych, ich sprostowania, usunięcia (ograniczenia przetwarzania), prawie wniesienia sprzeciwu oraz o prawie do przenoszenia danych
- informacja o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych
- komunikat o skutkach niewyrażenia zgody na przetwarzanie danych osobowych
Warto pamiętać, że RODO jest rozporządzeniem unijnym, a zatem wiąże w całości i wprost. Nie można jego treści w drodze umowy wyłączyć.
Co do inspektora danych osobowych, to wyznaczają go podmioty publiczne, a także niektórzy przedsiębiorcy. Co do zasady ci, którzy zajmują się stałym monitorowaniem w oparciu o dane osobowe (profilowanie), a także osoby przetwarzające dane szczególnie wrażliwe.
O co chodzi z ciasteczkami?
Informacje o cookies w pewnym momencie zaczęły nas uderzać na każdej odwiedzanej stronie internetowej. Choć wynika to z prawa unijnego, to nie należy łączyć tzw. ciasteczek z ochroną danych osobowych. Do tego stopnia, że w sytuacjach, w których RODO nie znajduje zastosowania, obowiązek informowania o stosowaniu cookies nie wygasa. Choć istnieje pogląd przeciwny, zgodnie z którym RODO ma się także do ciasteczek odnosić, a przepis polskiej ustawy, który reguluje ten obowiązek w sposób odrębny, nie obowiązuje, gdy RODO nie obowiązuje – wynikać to ma z hierarchii aktów prawnych.
Ja bym jednak – jak wspomniałem – zalecał te dwie sfery rozdzielać. Samo informowanie o cookies wynika z ustawy prawo telekomunikacyjne (art. 173-174). To przepisy, które regulują obowiązek uzyskania zgody w wypadku chęci skorzystania z danych zgromadzonych na urządzeniu, a tak właśnie działają wspomniane ciasteczka. Obowiązek informacyjny przedstawia się tak, że internauta musi dostać informację o:
- celu przechowywania i uzyskiwania dostępu do tej informacji,
- możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi
Dodam też, że powszechnie dostępne generatory treści klauzuli cookies są co do zasady w pełni wystarczające.
Na co trzeba uważać?
Kary, które przewidują przepisy o ochronie danych osobowych (m.in. za brak polityki prywatności), to m.in. kara pieniężna od 10 do 20 mln euro albo w kwocie 2 do 4% zeszłorocznego obrotu. Samo narażenie na utratę przetwarzanych danych osobowych jest ponadto przestępstwem zagrożonym do 2 lat pozbawienia wolności. Dlatego ta materia jest szczególnie ważna, a w wypadku jednoosobowych firm, odpowiedzialność przedsiębiorcy jest bardzo prawdopodobna w przypadku wpadki.
Nie można też pominąć tego, że powierzenie przetwarzania danych (np. w drodze umowy zawartej z administratorem zewnętrznego oprogramowania, z którego korzystamy) nie zwalnia z odpowiedzialności. To na podmiocie, który przyjmuje dane do przetwarzania, ciąży obowiązek, by obchodził się z nimi należycie. Również w kontekście odpowiedniego wyboru podmiotu, któremu powierzy przetwarzanie danych.
Podsumowując:
- Nie korzystaj z generatora polityki prywatności, jeżeli nie jesteś pewny, jaki jest zakres twoich obowiązków (także informacyjnych) i co powinno się w niej znaleźć
- Pamiętaj, że informowanie o plikach cookies jest kwestią odrębną
- Powierzenie przetwarzania danych innemu podmiotowi nie zwalnia cię z odpowiedzialności za te dane
- Nie próbuj ukrywać swojej tożsamości jako przedsiębiorca i prawidłowo określ podmiot, jaki reprezentujesz
- Nie wszystkie dane musisz usuwać na żądanie: niektóre możesz przechowywać przez określony czas, np. na wypadek ewentualnego sporu – ale nie może to być wieczność
- W wypadku jakichkolwiek wątpliwości, skontaktuj się z prawnikiem
Problematyka RODO została sprowadzona do absurdu, co poskutkowało wychyleniem się swego rodzaju wahadła w drugą stronę. Mało który mniejszy przedsiębiorca poważnie podchodzi do tematu ochrony danych osobowych. Częściej pojawia się przekonanie, że skopiowana z sieci ściana tekstu zatytułowana jako „polityka prywatności” wystarczy. Tak jednak nie jest.
