Co powinna zawierać polityka prywatności?

Startujesz z własnym biznesem w sieci. Rozbudowujesz stronę, podejmujesz działania zwiększające jej widoczność i inwestujesz w marketing. Jednak zanim zaczniesz gromadzić dane użytkowników – np. poprzez formularze kontaktowe, newsletter czy pliki cookies – musisz spełnić obowiązek informacyjny.

Polityka prywatności to nie tylko narzędzie budujące transparentność, ale także sposób na realizację obowiązku informacyjnego wynikającego m.in. z RODO. Co powinna zawierać polityka prywatności?

Z tego artykułu dowiesz się:

• Co to jest polityka prywatności?
• Czy polityka prywatności jest obowiązkowa?
• Polityka prywatności jako forma realizacji obowiązku informacyjnego
• Czy muszę mieć politykę prywatności na swojej stronie internetowej?
• Co powinna zawierać polityka prywatności?
• Polityka prywatności na stronę internetową – jak napisać?
• Polityka prywatności online

Co to jest polityka prywatności?

Ania przecierała oczy ze zdumienia i z ogromną radością obserwowała rosnącą liczbę zapisów na rozmowę przez dostępny formularz na jej nowej stronie internetowej. Formularze działały, newsletter się rozsyłał, statystyki rosły. Aż pewnego dnia w skrzynce znalazła oficjalne pismo z zapytaniem o zgodność przetwarzania danych z RODO. Nagle ekscytacja zamieniła się w stres. Choć dbała o każdy szczegół swojej strony, zapomniała o jednym. To informacja dla użytkowników o tym, co dzieje się z ich danymi.

Polityka prywatności to dokument, który szczegółowo określa, w jaki sposób przetwarzane, przechowywane i chronione są dane osobowe użytkowników korzystających z Twojej strony internetowej, aplikacji czy usług. Informuje ona o celach i podstawach prawnych przetwarzania danych, prawach użytkowników oraz środkach ochrony stosowanych przez administratora danych.

Jest to element transparentności, który buduje zaufanie użytkowników. To także narzędzie służące spełnieniu obowiązku informacyjnego wynikającego z przepisów prawa. To m.in. obowiązek wynikający z RODO (Ogólnego Rozporządzenia o Ochronie Danych) oraz innych regulacji krajowych i międzynarodowych.

W praktyce polityka prywatności pomaga użytkownikom świadomie zarządzać swoimi danymi. Firmom natomiast pozwala zapewnić zgodność z obowiązującymi przepisami
i uniknąć potencjalnych konsekwencji prawnych.

Czy polityka prywatności jest obowiązkowa?

Wyobraź sobie, że na Twojej stronie internetowej masz prosty formularz, typu:

• „Zapisz się na newsletter, a otrzymasz 20% rabatu na pierwsze zakupy”
• „Zostaw swój numer, a oddzwonimy do Ciebie w ciągu 60 minut”

Wydaje się niewinne, prawda? Ale w momencie, gdy użytkownik podaje swoje dane – imię, adres e-mail, numer telefonu – zaczynasz przetwarzać dane osobowe. To oznacza, że wchodzą w grę przepisy o ochronie danych, w szczególności RODO.

I tu pojawia się obowiązek: musisz poinformować użytkownika o tym, kto zbiera dane, w jakim celu, na jakiej podstawie prawnej. To także informacje jak długo je przechowuje i jakie prawa przysługują osobie, której dane dotyczą.

Polityka prywatności jako dokument sama w sobie nie jest obowiązkowa, ale spełnienie obowiązku informacyjnego wynikającego z RODO (art. 13 i 14) oraz innych przepisów ochrony danych jest konieczne. W praktyce polityka prywatności jest najprostszym i najczęściej stosowanym sposobem na realizację tego obowiązku.

Polityka prywatności jako forma realizacji obowiązku informacyjnego

Wbrew powszechnej opinii, RODO nie nakazuje wprost posiadania dokumentu o nazwie „polityka prywatności”. To, co jest obowiązkowe, to przekazanie użytkownikowi wszystkich wymaganych informacji w przejrzysty, zrozumiały i łatwo dostępny sposób.

W praktyce jednak – zwłaszcza w środowisku online – najprostszym i najskuteczniejszym sposobem realizacji tego obowiązku jest właśnie stworzenie i udostępnienie polityki prywatności.

Czy muszę mieć politykę prywatności na swojej stronie internetowej?

Kamil stworzył prostą stronę wizytówkę – formularz kontaktowy, kilka informacji o ofercie, podstawowe statystyki. Wszystko działało idealnie, dopóki nie zaczął zastanawiać się: czy muszę mieć politykę prywatności?

Nie masz obowiązku posiadać na swojej stronie dokumentu o nazwie Polityka prywatności. Masz natomiast obowiązek poinformowania użytkownika o przetwarzaniu jego danych osobowych – i to zanim zacznie je przekazywać.

Choć pojęcie „polityka prywatności” nie zostało zdefiniowane w rozporządzeniu RODO, to do obowiązków administratora uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie, należy ocena konieczności wdrożenia odpowiednich polityk ochrony danych. Takim środkiem organizacyjnym może być polityka prywatności, która stanowi istotny element transparentności w przetwarzaniu danych osobowych oraz realizuje obowiązek informacyjny wynikający z art. 13 i art. 14 RODO. Polityka prywatności to praktyczne narzędzie do budowania zaufania użytkowników i klientów, pokazujące, że organizacja poważnie traktuje ochronę danych. Przejrzysty i łatwo dostępny dokument nie tylko wspiera zgodność z przepisami, ale również minimalizuje ryzyko sankcji ze strony organu nadzorczego. W dobie rosnącej świadomości konsumentów w zakresie ochrony danych, dobrze przygotowana polityka prywatności jest również narzędziem budowania zaufania i wiarygodności marki. W praktyce, jej brak częściej świadczy o zaniedbaniach niż o przemyślanej decyzji.

Anna Waliś, in-house lawyer w cyberFolks

Najlepszym rozwiązaniem jest sporządzenie jednego, spójnego dokumentu. Takiego, który kompleksowo informuje o tym, kto i w jaki sposób przetwarza dane osobowe. Jakie są cele tego przetwarzania, jakie prawa przysługują użytkownikom oraz jakie środki ochrony są stosowane.

Umieszczenie polityki prywatności na stronie internetowej
i linkowanie do niej przy formularzach, checkboxach, zapisach na newsletter jest najprostszym i najbezpieczniejszym sposobem na spełnienie obowiązku informacyjnego.

Co powinna zawierać polityka prywatności?

Polityka prywatności to przede wszystkim informacja dla użytkownika, o tym, co dzieje się z jego danymi. Zawsze kiedy odwiedza Twoją stronę, zostawia swój e-mail, numer telefonu albo korzysta z Twojej aplikacji.

1. Dane administratora danych
   Na początek użytkownik musi wiedzieć, kto jest odpowiedzialny za przetwarzanie jego danych osobowych. Należy wskazać pełne dane administratora (nazwa firmy, adres, dane kontaktowe, numer NIP itp.).
2. Zbierane dane
   Polityka prywatności musi szczegółowo określać, jakie dane użytkowników są zbierane. Ważne, aby użytkownik wiedział, czy przetwarzasz tylko podstawowe dane (np. imię i e-mail), czy również bardziej szczegółowe informacje, takie jak numer telefonu, adres IP, dane lokalizacyjne lub dane transakcyjne.
3. Cel przetwarzania
   W polityce prywatności powinno być jasno określone, w jakim celu zbierane są dane osobowe. Użytkownik musi wiedzieć, dlaczego są one potrzebne i jak będą wykorzystywane. Przykładowe cele to realizacja zamówienia, wysyłka newslettera, kontakt z użytkownikiem.
4. Podstawa prawna
   Należy wyjaśnić, na jakiej podstawie prawnej przetwarzasz dane osobowe. RODO wymaga, aby przetwarzanie danych miało oparcie w jednej z sześciu podstaw prawnych. To m.in. zgoda użytkownika, wykonanie umowy, obowiązek prawny, uzasadniony interes administratora.
5. Czas przechowywania danych
   Użytkownik musi wiedzieć, jak długo będą przechowywane jego dane osobowe. RODO nakłada obowiązek wskazania okresu przechowywania danych lub kryteriów ustalania tego okresu.
6. Prawa użytkownika
   Polityka prywatności musi wyjaśniać, jakie prawa przysługują użytkownikowi w związku z przetwarzaniem jego danych osobowych. Należy poinformować o prawach dostępu, sprostowania, usunięcia danych, przenoszenia danych, ograniczenia przetwarzania oraz prawie do sprzeciwu.
7. Przekazywanie danych
   Jeśli dane są przekazywane osobom trzecim (np. firmom kurierskim, dostawcom usług płatniczych, zewnętrznym usługodawcom), musisz to ujawnić użytkownikowi. Warto również określić, czy dane są przekazywane poza EOG (jeśli korzystasz z narzędzi z siedzibą poza UE).
8. Bezpieczeństwo
   Polityka prywatności powinna również zawierać informację o tym, jakie metody ochrony danych osobowych są stosowane. Należy wskazać, że stosujesz odpowiednie środki techniczne i organizacyjne, by zabezpieczyć dane przed nieuprawnionym dostępem, utratą lub zniszczeniem.
9. Pliki cookies
   Jeśli Twoja strona używa plików cookies (np. w celu analitycznym, marketingowym lub technicznym), użytkownicy muszą być o tym poinformowani. Polityka prywatności powinna wyjaśniać, jakie cookies są używane, w jakim celu, jak można je wyłączyć i jak długo są przechowywane.
10. Techniki marketingowe
    Jeśli stosujesz profilowanie użytkowników (np. personalizowanie reklam, analizowanie aktywności na stronie, przewidywanie preferencji), powinno to być wyraźnie wskazane w polityce prywatności.

Polityka prywatności na stronę internetową – jak napisać?

Politykę prywatności możesz przygotować na kilka sposobów – wybór zależy przede wszystkim od skali i specyfiki Twojej działalności.

Jeśli prowadzisz rozbudowaną platformę, aplikację z profilowaniem użytkowników czy sklep internetowy działający w wielu krajach, warto skonsultować się z prawnikiem specjalizującym się w ochronie danych osobowych. Dzięki temu zyskasz pewność, że dokument uwzględnia wszystkie obowiązki wynikające z RODO oraz innych przepisów.

Z kolei jeśli masz prostą stronę internetową, bloga czy landing page możesz ułatwić sobie tę pracę. W zupełności wystarczy polityka wygenerowana za pomocą narzędzi online.

Polityka prywatności online

Z taką pomocą przychodzi generator polityki prywatności od cyber_Folks. Wystarczy, że podasz podstawowe informacje, takie jak: nazwa firmy, forma kontaktu z użytkownikiem, wykorzystywane narzędzia, a otrzymasz gotową politykę prywatności. To szybka i wygodna opcja. Pamiętaj tylko, aby odpowiedzieć na pytania zgodnie z rzeczywistym stanem rzeczy. Na koniec nie zapomnij sprawdzić jej pod kątem zgodności z tym, co rzeczywiście robisz na stronie.

Gdzie umieścić politykę prywatności?

Zgodnie z wymogami RODO oraz zasadą przejrzystości, polityka prywatności musi być łatwo dostępna dla użytkownika – jeszcze zanim zacznie on przekazywać jakiekolwiek dane osobowe. Chodzi o to, aby każdy użytkownik miał realną możliwość zapoznania się z tym, jak przetwarzane są jego dane, zanim wyrazi zgodę lub podejmie działania, które tę zgodę implikują.

• stopka serwisu
  To najbardziej uniwersalne i rekomendowane miejsce. Link do polityki prywatności umieszczony w stopce strony jest widoczny na każdej podstronie i daje użytkownikowi stały dostęp do informacji.

• Przy formularzach zbierających dane
  Wszędzie tam, gdzie użytkownik podaje swoje dane – np. w formularzu kontaktowym, zapisie na newsletter, przy składaniu zamówienia – powinien znaleźć się czytelny checkbox z informacją o akceptacji polityki prywatności.

• Przy rejestracji konta lub zakupie
  Jeśli umożliwiasz rejestrację konta lub składanie zamówień, użytkownik powinien mieć możliwość zapoznania się z polityką jeszcze przed finalizacją działania. Warto zastosować mechanizm potwierdzenia (np. checkbox) i umożliwić dostęp do dokumentu bez konieczności opuszczania formularza.

Polityka prywatności nie jest dokumentem wymaganym wprost przez przepisy prawa. Odpowiada ona jednak na spełnienie obowiązku informacyjnego wobec osób, których dane przetwarzasz. Zamiast przekazywać te informacje w rozproszony sposób, najprostszym i najbardziej przejrzystym rozwiązaniem jest przygotowanie jednego, spójnego dokumentu. Polityka prywatności zbiera wszystkie wymagane elementy wynikające m.in. z RODO.

Jeśli Twoja strona działa w oparciu o proste mechanizmy – np. formularz kontaktowy, newsletter czy podstawowe narzędzia analityczne – nie musisz pisać dokumentu od zera. Możesz skorzystać z dostępnych generatorów polityki prywatności, takich jak narzędzie od cyberFolks.