Polityka prywatności – najważniejsze informacje i największe błędy

Polityka prywatności – najważniejsze informacje i największe błędy

Polityka prywatności jest jednym z tych dokumentów, które niemal każdy mieć powinien, z których każdy z nas korzysta, a którego nikt nie czyta. Czy to dobrze czy źle – nie wiem, ale nieśmiało przypuszczam, że i tak nikogo nie przekonam, że warto czasami zerknąć i poczytać co też właściciele witryn internetowych robią z naszymi danymi. Dlatego zamiast tego skupimy się dziś na dużo ważniejszym temacie.

Polityka prywatności to dokument, w którym właściciel strony internetowej informuje jej użytkowników o tym, jak przetwarza ich dane osobowe. Jest to jeden z dokumentów, który jest tworzony w ramach wdrożenia RODO. Wystarczy więc rozpisać…

… i tutaj koniecznie musimy się zatrzymać, wstać i krzyknąć, niczym w amerykańskich dramatach prawniczych, OBJECTION YOUR HONOR!

Mroczna atmosfera maja 2018 roku wbiła polskim przedsiębiorcom do głów pojęcie wdrożenia RODO jako prostej, formalistycznej czynności polegającej na sporządzeniu kilku dokumentów i włożeniu ich do specjalnego segregatora w biurze prezesa.

I to podejście jest błędne.

Bo istota problemu wcale nie polega na tym, że „,masz albo nie masz” polityki prywatności, podobnie jak nie polega na tym, czy masz pozostałą dokumentację RODO. Tak naprawdę to to jest zagadnienie wtórne. Najważniejsze jest to, jak przetwarzasz dane osobowe gromadzone za pośrednictwem swojej witryny.

Polityka prywatności ma tylko przedstawić Twojemu użytkownikowi informacje o tym, jak przetwarzasz jego dane.

Jeśli przyjdzie do Ciebie kontrola z ramienia Prezesa Urzędu Ochrony Danych Osobowych (PUODO) to nie wystarczy, że pokażesz dokument, w którym będzie napisane jak powinieneś przetwarzać dane osobowe. Jego zawsze będzie interesował proces, w którym to przetwarzanie ma miejsce. Możesz mieć w polityce napisane same cudowności związane z przetwarzaniem danych osobowych, ale jeśli nie będziesz trzymać się tych zasad, to prztyczek w nos Cię nie ominie.

A prztyczek w nos od PUODO naprawdę może zaboleć.

Zatem myśl przewodnia, która powinna Ci przyświecać przy tworzeniu polityki prywatności to nie co muszę w niej napisać, tylko jak mam przetwarzać dane osobowe, żeby móc to opisać i opublikować. Potraktuj politykę prywatności jako sprawozdanie z tego, co robisz, a nie jako instrukcję przetwarzania danych.

Pytanie więc brzmi – jak przeciętny właściciel przeciętnej witryny powinien przetwarzać przeciętne dane przeciętnego użytkownika?

Przyjrzyjmy się najważniejszym obowiązkom (bo na wszystkie nie ma tu miejsca).

1. Przetwarzanie danych musi mieć swój cel i podstawę prawną.

Cele przetwarzania danych osobowych to opis tego, co robisz, lub zamierzasz robić, z danymi osobowymi. Po co je zbierasz? Do czego wykorzystujesz?

Celem przetwarzania będzie więc np. złożenie oferty, zawarcie umowy, zbieranie danych analitycznych, odpowiedź na pytanie zadane za pośrednictwem formularza kontaktowego itd. Prosta sprawa.

Dalej – podstawy prawne przetwarzania danych osobowych znajdziesz w art. 6 RODO.

Absolutnie każda czynność przetwarzania danych osobowych musi znajdować oparcie w jednej z sześciu wymienionych tam podstaw. KAŻDA! Jeśli takiej podstawy nie ma, to danych przetwarzać nie możesz.

Na marginesie wspomnę tylko, że najpierw rekomenduję Ci rozpoznać przesłanki z podpunktów od b do f, a jeśli tam takiej podstawy nie odnajdziesz – to wtedy próbować pozyskać zgodę na przetwarzanie danych osobowych.

Ten wpis to nie jest miejsce na szczegółowe opisywanie poszczególnych rodzajów podstaw prawnych przetwarzania danych osobowych. Tyle musi Ci na razie wystarczyć, ale będziemy do tego wracać. Obiecuję.

Jeśli więc każda z podejmowanych przez Ciebie czynności posiada zidentyfikowaną podstawę prawną, to wystarczy tylko wpisać ją w polityce prywatności.

2. Musisz poinformować komu przekazujesz dane

Kolejnym z ważnych kroków jest przekazanie użytkownikom witryny informacji o tym, komu są przekazywane ich dane osobowe.

Ten punkt powinien automatycznie naprowadzić Cię na pytanie – a komu mogę?

Otóż odpowiedź na to pytanie jest całkiem prosta – każdemu, pod warunkiem, że spełnicie wszystkie poniższe warunki.

Po pierwsze – podmiot ten powinien zostać przez Ciebie upoważniony do przetwarzania danych – czy to z tytułu umowy powierzenia przetwarzania danych czy to pisemnym upoważnieniem.

Po drugie – przekazanie danych temu podmiotowi musi mieścić się w celu przetwarzania (jak np. przekazanie danych procesorowi płatności przy sprzedaży w sklepie internetowym jak najbardziej mieści się w celu przetwarzania – czyli realizacji transakcji sprzedaży).

Po trzecie – musisz posiadać podstawę prawną do przetwarzania danych osobowych.

Po czwarte – podmiot, któremu przekazujesz dane osobowe musi gwarantować przetwarzanie danych osobowych zgodnie z przepisami RODO.

Tych warunków jest więc całkiem sporo, ale musisz pamiętać, że wszystkie one są Twoją odpowiedzialnością jako administratora danych osobowych. Musisz tak dobierać dostawców swoich usług, żeby gwarantowali spełnienie wszystkich wymagań o których mowa powyżej.

Dopiero na koniec powinieneś zebrać te dane i wskazać je w polityce prywatności. A ponieważ z tymi informacjami związany jest jeden z bardzo powszechnych błędów w tworzeniu polityki prywatności, to chwilowo zmienimy temat i przejdziemy do retencji.

Do czego?

3. Musisz poinformować kiedy usuniesz dane

Tak tak. Już kiedy zbierasz dane osobowe powinieneś mieć przygotowaną tzw. politykę retencji, która wskazuje no to, jak długo będziesz dane przetwarzał i kiedy je usuniesz.

Takie podejście wymaga pewnej wiedzy i wizji na temat tego, jak wyglądają kwestie prawne wykorzystywania danych osobowych. Niektóre dane po prostu musisz przechowywać (np. dane na dokumentach księgowych musisz przechowywać przez okres przewidziany prawem), inne powinieneś (np. dane dotyczące umów które zawarłeś powinieneś przechowywać aż do przedawnienia wszelkich roszczeń) a innych po prostu nie możesz (np. jeśli osoba, której dane dotyczą cofnęła zgodę na ich przetwarzanie).

Okres przechowywania danych osobowych będzie więc zawsze połączony z celem ich przetwarzania. Z tego powodu w polityce prywatności w jednym miejscu powinieneś zebrać cel, podstawę prawną przetwarzania oraz informację, kiedy te konkretne dane usuniesz..

Powyższe informacje to nie wszystko.

Niestety, jeśli zebrane powyżej informacje wydają Ci się obszerne i skomplikowane, to mam złe wieści.

RODO niestety nie zna litości i wymaga podania znacznie większej ilości informacji. Powyżej zebrałem tylko to, co powinieneś szczególnie wziąć pod uwagę, ale jeśli chcesz sporządzić dobrą politykę prywatności, to musisz przedstawić wszystkie informacje, o których mowa w art. 13 RODO.

Pamiętaj przy tym o najważniejszym. Tworzenie polityki prywatności, tak jak i reszty dokumentacji RODO, jest ostatnim etapem wdrożenia i ma opisywać to, co rzeczywiście z danymi robisz. Dlatego najpierw zadbaj o to jak przetwarzasz dane osobowe, a dopiero później martw się o to, jak to w polityce prywatności opisać.

A teraz truskawka na torcie, czyli jakie są…

Trzy najczęstsze błędy w politykach prywatności

  1. Traktowanie polityki jako idealnego scenariusza

Jest to błąd który opisywałem już na wstępie, ale jest tak bardzo powszechny, że po prostu musiał się znaleźć na tej liście.

Polityka prywatności nie ma opisywać idealnego scenariusza albo tego, jak chciałbyś przetwarzać dane.

Polityka prywatności, jako dokument informacyjny przedstawia to, jak rzeczywiście przetwarzasz dane osobowe. Jeśli więc chcesz mieć zgodną z RODO politykę prywatności, to zacznij od przetwarzania danych zgodnie z prawem.

  1. Zbyt krótka perspektywa

Za tym błędem kryje się przeświadczenie, że polityka prywatności dotyczy zbierania danych za pośrednictwem strony internetowej – a to jest oczywiście nieprawda. Dotyczy przetwarzania danych osobowych w ten sposób zebranych.

Dlatego jeżeli pozyskasz dane za pośrednictwem swojej strony internetowej, a później przetwarzasz je dalej, to powinieneś to w polityce prywatności uwzględnić. Nawet jeśli dalsze przetwarzanie danych nie ma już nic wspólnego z Twoją stroną internetową.

To może się wydawać niejasne, ale w praktyce jest całkiem intuicyjne. Posłużmy się moim, skromnym przykładem.

W swojej zakładce oferta udostępniam formularz kontaktowy, przy pomocy którego potencjalny klient może się ze mną skontaktować jeżeli potrzebuje mojej pomocy prawnej. W polityce prywatności mam więc część dotyczącą „uzyskania i utrzymania kontaktu”.

Potencjalny klient w odpowiedzi otrzyma ode mnie ofertę, którą może przyjąć (ale nie musi). Jeśli się na to zdecyduje, to zawrzemy umowę o świadczenie usług pomocy prawnej.

Całe pertraktacje będą się toczyły już poza poza stroną internetową, ale przecież wykorzystywać będę danę pozyskane przez stronę. Dlatego w polityce prywatności mam również część dotyczącą „zawarcia i wykonania umowy”.

Polityka prywatności powinna więc opisywać cały proces przetwarzania danych osobowych pozyskanych za pośrednictwem strony internetowej. Osoba, której dane dotyczą powierzając Ci swoje dane osobowe ma prawo dowiedzieć się o tym, jak wygląda cały proces przetwarzania jej danych, a nie tylko wycinek Twoich działań związany ze stroną internetową.

A Ty masz obowiązek jej te dane dostarczyć.

  1. Nieopisywanie podmiotów, którym przekazujesz dane

Trzeci z błędów dotyczy tego, jak niektórzy właściciele witryn internetowych opisują osoby, którym powierzają przetwarzanie danych osobowych.

Przepis art. 13 ust. 1 pkt e RODO wskazuje, że masz obowiązek podać informację o odbiorcach danych lub ich kategoriach jeżeli istnieją. Z tego powodu większość osób wskazuje, jedynie kategorie odbiorców danych uznając, że tyle wystarczy.

I tak sobie twórcy polityk piszą, że przekazują dane „pośrednikom płatności”, „dostawcy usług newslettera”, „dostawcy usług hostingu” i tym podobne.

A to duży błąd i wystawianie sie na niepotrzebne ryzyko.

PUODO stoi na stanowisku (Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 3 kwietnia 2019 r. ZSPU.421.8.2018), że jeśli tylko jest to możliwe, należy wskazać osobie której dane dotyczą precyzyjne dane dotyczące podmiotów, którym powierza się dane osobowe.

Ich nazwy oraz adresy siedziby.

Innymi słowy, jeśli dostawcą moich usług hostingu jest absolutnie nieoceniony i wspaniały dostawca MadVentures Patryk Kozio, to w mojej polityce prywatności znaduje się informacja, że dane osobowe przekazuję temu właśnie podmiotowi. Podobnie z biurem księgowym – skoro obsługuje mnie najlepsza prawnicza księgowość Web.lex Bookkeeping sp. z o.o., to wskazuję precyzyjnie ten właśnie podmiot.

Zdaniem PUODO wskazywanie kategorii odbiorców danych jest dopuszczalne tylko wtedy, gdy odbiorców pochodzących z jednej kategorii, jest wielu. Tak będzie więc np. z Twoimi pracownikami (których nie trzeba wymieniać z imienia i nazwiska – ba, moim zdaniem nawet nie można!) albo z dostawcami usług dostarczania towarów jeśli w swoim sklepie udostępniasz uslugi kilku firm (np. Poczty Polskiej, InPostu i kilku przedsiębiorstw kurierskich).

Ale nigdy w przypadku, gdy w jednej kategorii masz jeden czy dwa podmioty. W takim przypadku zawsze podawaj nazwę oraz adres siedziby.

Podsumowanie

Uf, znów zrobiło nam się sporo treści.

Mam jednak nadzieję, że to spojrzenie na politykę prywatności z nieco innego punktu widzenia pozwoli Ci poszerzyć Twoje horyzonty i zastanowić się nad tym, czy Twoja polityka jest sformułowana prawidłowo – albo stworzyć ją od podstaw tak, jak ustawodawca przykazał.

Pamiętaj – to Twoja i tylko Twoja odpowiedzialność, a przecież polityka prywatności to dokument jawny i publiczny. Każdy użytkownik Twojej strony musi mieć do niej dostęp. A skoro tak, to polityka prywatności musi stać na odpowiednim poziomie.

To nie tylko Twoje bezpieczeństwo, ale też miara Twojego profesjonalizmu.

A jeśli nie chcesz samodzielnie sprawdzać lub tworzyć swojej polityki prywatności wraz z pozostałą dokumentacją swojej strony czy sklepu, to zachęcam Cię do sprawdzenia mojej oferty – zwłaszcza do zakładek Audyt oraz Umowy i inna dokumentacja.