Polityka prywatności to jeden z tych dokumentów który większość firm ma — ale który rzadko spełnia swoje funkcje. Najczęściej wygląda tak: właściciel strony skopiował szablon z internetu, zmienił nazwę firmy i opublikował. Dokument opisuje przetwarzanie danych które w firmie nie istnieje, pomija przetwarzanie które rzeczywiście ma miejsce, i jest napisany językiem który rozumie wyłącznie prawnik.
UODO coraz częściej weryfikuje polityki prywatności podczas kontroli — i coraz częściej stwierdza że nie spełniają wymagań art. 13 i 14 RODO. Problem nie leży w braku dokumentu. Leży w braku treści.
Czym jest polityka prywatności i kto jej potrzebuje
Polityka prywatności to praktyczna realizacja obowiązku informacyjnego wynikającego z art. 13 RODO — czyli obowiązku poinformowania osoby fizycznej o tym jak jej dane są przetwarzane, w momencie ich zbierania.
Każda strona internetowa która zbiera dane osobowe — poprzez formularz kontaktowy, zapis na newsletter, sklep, rejestrację konta, analitykę — ma obowiązek realizacji tego obowiązku. Polityka prywatności jest najwygodniejszym sposobem jego realizacji, ale nie jedynym — obowiązek informacyjny można realizować również bezpośrednio przy każdym formularzu.
Co musi zawierać polityka prywatności — elementy obowiązkowe
Art. 13 RODO wskazuje zakres informacji które administrator musi przekazać osobie fizycznej przy zbieraniu danych:
1. Tożsamość i dane kontaktowe administratora — pełna nazwa firmy, adres siedziby, dane kontaktowe. Jeżeli wyznaczono IOD — jego dane kontaktowe.
2. Cele przetwarzania i podstawy prawne — dla każdego celu przetwarzania osobno. Nie wystarczy ogólne stwierdzenie „przetwarzamy dane w celach marketingowych” — trzeba wskazać konkretny cel i konkretną podstawę prawną (zgoda, wykonanie umowy, obowiązek prawny, uzasadniony interes).
3. Prawnie uzasadnione interesy — jeżeli podstawą przetwarzania jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), należy wskazać jakie to interesy.
4. Odbiorcy danych — komu dane są przekazywane lub kto ma do nich dostęp. Nie trzeba wymieniać każdego z imienia i nazwiska — wystarczy kategorie odbiorców (np. dostawcy usług IT, biuro rachunkowe, firma kurierska).
5. Transfery poza EOG — jeżeli dane są przekazywane do państw trzecich (np. przez korzystanie z Google Analytics, Facebook Pixel, narzędzi SaaS z serwerami poza UE) — należy to wskazać wraz z mechanizmem transferu.
6. Okres przechowywania — jak długo dane będą przechowywane, lub kryteria ustalania tego okresu.
7. Prawa osób fizycznych — prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, a w przypadku zgody — prawo do jej wycofania w każdym czasie.
8. Prawo do skargi do UODO — informacja o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
9. Dobrowolność podania danych — czy podanie danych jest wymogiem umownym lub ustawowym, czy jest dobrowolne, i jakie są konsekwencje ich niepodania.
10. Zautomatyzowane podejmowanie decyzji i profilowanie — jeżeli administrator stosuje profilowanie lub zautomatyzowane podejmowanie decyzji wywołujące skutki prawne — musi o tym poinformować.
Najczęstsze błędy w politykach prywatności
Szablon który nie opisuje rzeczywistości. Polityka prywatności musi opisywać faktyczne procesy przetwarzania w konkretnej organizacji — nie generyczny opis tego co mogłoby się dziać. Jeżeli firma korzysta z Mailchimp, Google Analytics i systemu CRM — polityka powinna to odzwierciedlać.
Brak konkretnych podstaw prawnych. Napisanie że „dane są przetwarzane zgodnie z RODO” nie jest realizacją obowiązku informacyjnego. Dla każdego celu musi być wskazana konkretna podstawa z art. 6 RODO.
Brak informacji o transferach poza EOG. Większość stron korzysta z narzędzi których serwery są poza Unią Europejską — Google, Meta, HubSpot, Mailchimp, Stripe. Każdy taki transfer musi być opisany w polityce prywatności.
Nierealne okresy przechowywania. Napisanie że „dane przechowujemy przez okres niezbędny do realizacji celów” bez żadnej konkretyzacji nie spełnia wymogu art. 13. Należy wskazać konkretny okres lub kryteria jego ustalenia.
Język prawniczy niezrozumiały dla przeciętnego użytkownika. RODO wymaga by informacje były przekazywane w zwięzłej, przejrzystej i zrozumiałej formie — prostym i jasnym językiem. Polityka napisana hermetycznym żargonem prawniczym nie realizuje tego obowiązku.
Brak aktualizacji. Polityka prywatności to dokument który musi być na bieżąco aktualizowany — gdy zmienia się zakres przetwarzania, pojawia się nowy dostawca, zmienia się cel lub podstawa prawna.
Jak napisać dobrą politykę prywatności — praktyczne wskazówki
Zacznij od mapowania rzeczywistości. Przed pisaniem polityki odpowiedz na pytania: jakie dane zbierasz i przez jakie formularze? Jakich narzędzi zewnętrznych używasz? Komu przekazujesz dane? Jak długo je przechowujesz? Polityka powinna opisywać rzeczywistość — nie szablon.
Pisz dla użytkownika, nie dla prawnika. Zamiast „przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679″ napisz „przetwarzamy Twoje dane żeby zrealizować zamówienie które złożyłeś”. Obie wersje mogą być poprawne prawnie — ale tylko jedna jest zrozumiała.
Podziel na sekcje według celu przetwarzania. Zamiast jednej długiej listy elementów obowiązkowych — opisz każdy cel przetwarzania osobno: co zbierasz, po co, na jakiej podstawie, jak długo, komu przekazujesz. To znacznie łatwiejsze do zrozumienia i weryfikacji.
Osobno opisz cookies. Polityka prywatności i polityka cookies to dwa odrębne dokumenty — lub przynajmniej dwie odrębne sekcje. Cookies mają własną specyfikę i własne wymagania prawne.
Aktualizuj regularnie. Ustal kto w organizacji jest odpowiedzialny za aktualizację polityki i kiedy powinna być przeglądana — np. przy każdej zmianie narzędzi, raz w roku jako przegląd standardowy.
Gdzie umieścić politykę prywatności
Polityka prywatności powinna być łatwo dostępna — link w stopce strony to minimum. Przy każdym formularzu zbierającym dane powinno być odniesienie do polityki prywatności lub bezpośrednia klauzula informacyjna.
Zgodnie z wymaganiami RODO informacje muszą być przekazane przed zebraniem danych lub najpóźniej w momencie ich zebrania — nie po.
Podsumowanie
Polityka prywatności to realizacja obowiązku informacyjnego z art. 13 RODO — nie dokument do odhaczenia. Musi opisywać rzeczywiste przetwarzanie danych w konkretnej organizacji, być napisana zrozumiałym językiem i być aktualizowana gdy zmienia się zakres przetwarzania. Kluczowe elementy: tożsamość administratora, cele i podstawy prawne dla każdego celu osobno, odbiorcy, transfery poza EOG, okresy przechowywania, prawa osób fizycznych.
FAQ
Nie ma przepisu który nakazuje posiadanie dokumentu o nazwie „polityka prywatności” — ale art. 13 RODO nakłada obowiązek informacyjny który trzeba zrealizować. Polityka prywatności jest najpraktyczniejszą formą realizacji tego obowiązku na stronie internetowej.
Technicznie możliwe — ale w praktyce polityka skopiowana z innej strony opisuje przetwarzanie innej organizacji, nie Twojej. Taka polityka nie spełnia obowiązku informacyjnego i naraża na zarzut wprowadzania użytkowników w błąd.
Przy każdej zmianie która wpływa na zakres przetwarzania — nowe narzędzie, nowy cel, nowy podmiot przetwarzający. Jako minimum — przegląd raz w roku.
Jeżeli strona jest kierowana do użytkowników z innych krajów UE — tak, obowiązek informacyjny powinien być realizowany w języku zrozumiałym dla osoby której dane dotyczą.
Polityka prywatności realizuje obowiązek informacyjny z art. 13 RODO dotyczący wszystkich danych osobowych. Polityka cookies opisuje szczegółowo jakie pliki cookies są stosowane, w jakim celu i przez kogo. W praktyce często są połączone w jednym dokumencie.
Klauzule informacyjne dla każdej czynności przetwarzania — w jednym systemie
iGDPR generuje klauzule informacyjne na podstawie danych z rejestru czynności przetwarzania. Zmieniasz proces — aktualizujesz klauzulę. Bez kopiowania szablonów. Sprawdź jak to działa.
Testuj teraz — 21 dni bezpłatnie
