Czym jest polityka prywatności i dlaczego nie trzeba jej posiadać?

Zawartość

Bardzo często, zwłaszcza od kiedy uruchomiliśmy Kreator Regulaminów, pytacie Legal Geeka o politykę prywatności. Wielu przedsiębiorców jest przekonanych, że prawo nakłada na nich obowiązek posiadania takiego dokumentu. Dlatego też Legal Geek czuje się w obowiązku wyjaśnić Wam jak to jest z polityką prywatności.
Czym jest polityka prywatności?

Na próżno szukać jej w ustawach. Ani ustawa o ochronie danych osobowych, ani też prawo telekomunikacyjne – a do tych dokumentów najczęściej odsyłają serwisy internetowe w swych politykach prywatności – nie znają takiego dokumentu. Polityka prywatności jest więc dokumentem „zwyczajowym”, który „przypłynął” do Europy z USA, a dzięki zmianom w prawie dotyczącym cookies zyskał niebywałą popularność.


UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna. 

RODO wymaga przekazania użytkownikowi szeregu informacji, a te najprościej przekazać właśnie za pośrednictwem polityki prywatności.

Zgodną z RODO politykę prywatności i cookies możesz wykreować w naszym serwisie Dokrates.pl

Czy trzeba posiadać politykę prywatności?

Nie! Nie ma takiego obowiązku prawnego. Choć podobno Google swojego czasu „banował” w ramach AdWords serwisy, które takiej polityki nie posiadały – to nie jest to obowiązek ustawowy i żaden przepis nie zmusza Was do posiadania takiej polityki.

Z żadnej z polskich ustaw taki obowiązek jednak nie wynika. Co nie oznacza, że taka polityka nie jest przydatna – bardzo ułatwia ona bowiem spełnienie kilku ustawowych obowiązków informacyjnych. Nie oznacza to jednak, że to jedyny sposób ich wypełnienia – informować można na kilka sposobów. Przy czym brak przepisu nakazującego posiadanie takiej polityki nie oznacza, że nie warto jej mieć.

WAŻNE: Od polityki prywatności należy odróżnić „Politykę Bezpieczeństwa”. „Polityka Bezpieczeństwa” to wewnętrzny dokument, który musi posiadać administrator danych osobowych – nie publikuje się go jednak na stronie www.

Dlaczego warto mieć politykę prywatności?

Ponieważ ułatwia ona spełnienie obowiązków informacyjnych wynikających z ustawy o ochronie danych osobowych, a dla plików cookies – z prawa telekomunikacyjnego. Oczywiście, jeśli w danym przypadku któryś z tych obowiązków istnieje.

Nawet jeśli np. w regulaminie sklepu internetowego znajdują się informacje dotyczące danych osobowych – to nie jest to najlepsze miejsce dla cookies. Co więcej polityka prywatności zapewnia, że te informacje znajdą się w jednym miejscu a dotarcie do nich będzie w miarę intuicyjne.

Co powinno znaleźć się w polityce prywatności?

Tutaj wiele zależy od serwisu i tego jak on funkcjonuje. Najczęściej będą tam informacje o plikach cookies – bo dziś większość serwisów z nich korzysta. Czasem będą to dane osobowe – jeśli takie dane w ramach danej usługi są przetwarzane i istnieje obowiązek informowania o tym. Poniżej krótka ściągawka.

Jakie informacje o cookies trzeba przekazywać?

Jeśli macie politykę prywatności, to warto aby znalazły się tam informacje o:

  1. celu w jakim korzystacie z cookies i uzyskujecie do nich dostęp – np. dla przechowywania sesji lub zbierania danych statystycznych
  2. możliwości określania warunków przechowywania cookies i uzyskiwania dostępu do cookies za pomocą oprogramowania, z którego korzysta użytkownik (przeglądarki).

Dodatkowo warto poinformować o zewnętrznych usługach, z których korzysta Wasz serwis, a które „instalują” swoje cookies.

Jakie informacje o danych osobowych trzeba przekazywać?

Jeśli jesteście administratorem danych osobowych i w ramach Waszego serwisu przetwarzacie dane osobowe (większość blogerów może spać spokojnie, najczęściej ustawa nie będzie miała do nich zastosowania) – macie pewne obowiązki informacyjne. Najczęściej dane osobowe będą zbierane bezpośrednio od użytkownika. Dlatego też takiego użytkownika należy poinformować o:

  1. danych administratora danych osobowych;
  2. celu zbierania danych;
  3. odbiorcach tych danych – ale uwaga, nie informujecie o podmiotach, którym dane powierzacie do przetwarzania, czyli w praktyce, o tych, które tych którym zleciliście realizację jakiejś usługi w Waszym imieniu. Nie będziecie więc informować o poczcie, firmie kurierskiej czy operatorze bramki płatniczej, którzy świadczą dla Was usługi;
  4. prawie dostępu do danych i możliwości ich poprawienia;
  5. czy podanie danych jest dobrowolne czy też istnieje obowiązek ich podania (w tej sytuacji musicie wskazać podstawę prawną) – przy czym podanie może być „dobrowolne, ale konieczne” (podchwytliwa sprawa).

Czy w polityce prywatności ma znaleźć się coś jeszcze?

Aby polityka prywatności spełniała swoją funkcję informacyjną dobrze jest tam opisać sposób w jaki chronicie prywatność swoich użytkowników, ale najważniejsze aby były w niej informacje, o których mowa powyżej. Warto jednak te informacje rozbudować – np. informując użytkownika jak dokładnie może zmienić swoje dane osobowe (np. wskazać konkretną funkcję serwisu lub adres e-mail, na który należy wysłać wiadomość w tej sprawie).

Jakie kary grożą za brak polityki prywatności?

Żadne – ponieważ nie ma obowiązku posiadania polityki prywatności, o czym już wiecie. Istnieją jednak obowiązki informacyjne związane z plikami cookies i danymi osobowymi. W praktyce niedopełnienie tych obowiązków może narażać Was przede wszystkim na sankcje pieniężne (np. grzywnę czy karę nakładaną przez Prezesa UKE).

Podsumowując – polityka prywatności jest najpopularniejszą formą wypełnienia obowiązków ustawowych. Natomiast nie ma znaczenia czy obowiązki te wypełnicie przy użyciu regulaminu, podstrony „informacje o cookies” czy choćby wypiszecie je w stopce. Naszym zdaniem – ze względu właśnie na wspomnianą popularność – warto udostępnić użytkownikom politykę prywatności.

DORA, AI Act, NIS2, i PSR: Jak nowe regulacje zmienią branże FinTech i IT?

Chcesz wiedzieć, co te zmiany oznaczają dla Ciebie i Twojej firmy? Dołącz do naszego bezpłatnego webinaru.

Tomasz Klecor

Partner zarządzający
w kancelarii Legal Geek