Bardzo często, zwłaszcza od kiedy uruchomiliśmy Kreator Regulaminów, pytacie Legal Geeka o politykę prywatności. Wielu przedsiębiorców jest przekonanych, że prawo nakłada na nich obowiązek posiadania takiego dokumentu. Dlatego też Legal Geek czuje się w obowiązku wyjaśnić Wam jak to jest z polityką prywatności.
Czym jest polityka prywatności?
Na próżno szukać jej w ustawach. Ani ustawa o ochronie danych osobowych, ani też prawo telekomunikacyjne – a do tych dokumentów najczęściej odsyłają serwisy internetowe w swych politykach prywatności – nie znają takiego dokumentu. Polityka prywatności jest więc dokumentem „zwyczajowym”, który „przypłynął” do Europy z USA, a dzięki zmianom w prawie dotyczącym cookies zyskał niebywałą popularność.
UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna.
RODO wymaga przekazania użytkownikowi szeregu informacji, a te najprościej przekazać właśnie za pośrednictwem polityki prywatności.
Zgodną z RODO politykę prywatności i cookies możesz wykreować w naszym serwisie Dokrates.pl
Czy trzeba posiadać politykę prywatności?
Nie! Nie ma takiego obowiązku prawnego. Choć podobno Google swojego czasu „banował” w ramach AdWords serwisy, które takiej polityki nie posiadały – to nie jest to obowiązek ustawowy i żaden przepis nie zmusza Was do posiadania takiej polityki.
Z żadnej z polskich ustaw taki obowiązek jednak nie wynika. Co nie oznacza, że taka polityka nie jest przydatna – bardzo ułatwia ona bowiem spełnienie kilku ustawowych obowiązków informacyjnych. Nie oznacza to jednak, że to jedyny sposób ich wypełnienia – informować można na kilka sposobów. Przy czym brak przepisu nakazującego posiadanie takiej polityki nie oznacza, że nie warto jej mieć.
WAŻNE: Od polityki prywatności należy odróżnić „Politykę Bezpieczeństwa”. „Polityka Bezpieczeństwa” to wewnętrzny dokument, który musi posiadać administrator danych osobowych – nie publikuje się go jednak na stronie www.
Dlaczego warto mieć politykę prywatności?
Ponieważ ułatwia ona spełnienie obowiązków informacyjnych wynikających z ustawy o ochronie danych osobowych, a dla plików cookies – z prawa telekomunikacyjnego. Oczywiście, jeśli w danym przypadku któryś z tych obowiązków istnieje.
Nawet jeśli np. w regulaminie sklepu internetowego znajdują się informacje dotyczące danych osobowych – to nie jest to najlepsze miejsce dla cookies. Co więcej polityka prywatności zapewnia, że te informacje znajdą się w jednym miejscu a dotarcie do nich będzie w miarę intuicyjne.
Co powinno znaleźć się w polityce prywatności?
Tutaj wiele zależy od serwisu i tego jak on funkcjonuje. Najczęściej będą tam informacje o plikach cookies – bo dziś większość serwisów z nich korzysta. Czasem będą to dane osobowe – jeśli takie dane w ramach danej usługi są przetwarzane i istnieje obowiązek informowania o tym. Poniżej krótka ściągawka.
Jakie informacje o cookies trzeba przekazywać?
Jeśli macie politykę prywatności, to warto aby znalazły się tam informacje o:
- celu w jakim korzystacie z cookies i uzyskujecie do nich dostęp – np. dla przechowywania sesji lub zbierania danych statystycznych
- możliwości określania warunków przechowywania cookies i uzyskiwania dostępu do cookies za pomocą oprogramowania, z którego korzysta użytkownik (przeglądarki).
Dodatkowo warto poinformować o zewnętrznych usługach, z których korzysta Wasz serwis, a które „instalują” swoje cookies.
Jakie informacje o danych osobowych trzeba przekazywać?
Jeśli jesteście administratorem danych osobowych i w ramach Waszego serwisu przetwarzacie dane osobowe (większość blogerów może spać spokojnie, najczęściej ustawa nie będzie miała do nich zastosowania) – macie pewne obowiązki informacyjne. Najczęściej dane osobowe będą zbierane bezpośrednio od użytkownika. Dlatego też takiego użytkownika należy poinformować o:
- danych administratora danych osobowych;
- celu zbierania danych;
- odbiorcach tych danych – ale uwaga, nie informujecie o podmiotach, którym dane powierzacie do przetwarzania, czyli w praktyce, o tych, które tych którym zleciliście realizację jakiejś usługi w Waszym imieniu. Nie będziecie więc informować o poczcie, firmie kurierskiej czy operatorze bramki płatniczej, którzy świadczą dla Was usługi;
- prawie dostępu do danych i możliwości ich poprawienia;
- czy podanie danych jest dobrowolne czy też istnieje obowiązek ich podania (w tej sytuacji musicie wskazać podstawę prawną) – przy czym podanie może być „dobrowolne, ale konieczne” (podchwytliwa sprawa).
Czy w polityce prywatności ma znaleźć się coś jeszcze?
Aby polityka prywatności spełniała swoją funkcję informacyjną dobrze jest tam opisać sposób w jaki chronicie prywatność swoich użytkowników, ale najważniejsze aby były w niej informacje, o których mowa powyżej. Warto jednak te informacje rozbudować – np. informując użytkownika jak dokładnie może zmienić swoje dane osobowe (np. wskazać konkretną funkcję serwisu lub adres e-mail, na który należy wysłać wiadomość w tej sprawie).
Jakie kary grożą za brak polityki prywatności?
Żadne – ponieważ nie ma obowiązku posiadania polityki prywatności, o czym już wiecie. Istnieją jednak obowiązki informacyjne związane z plikami cookies i danymi osobowymi. W praktyce niedopełnienie tych obowiązków może narażać Was przede wszystkim na sankcje pieniężne (np. grzywnę czy karę nakładaną przez Prezesa UKE).
Podsumowując – polityka prywatności jest najpopularniejszą formą wypełnienia obowiązków ustawowych. Natomiast nie ma znaczenia czy obowiązki te wypełnicie przy użyciu regulaminu, podstrony „informacje o cookies” czy choćby wypiszecie je w stopce. Naszym zdaniem – ze względu właśnie na wspomnianą popularność – warto udostępnić użytkownikom politykę prywatności.
