fbpx
Zaznacz stronę

Będąc przedsiębiorcą, codziennie musimy dbać o poszanowanie praw osób, których dane przetwarzamy. Brzmi to bardzo poważnie, zwłaszcza, że nie zawsze zdajemy sobie sprawę z tego, czym właściwie jest owo “przetwarzanie”. Dziś skupimy się na jednej z jego form – na polityce prywatności. Poniższe informacje przydadzą się mikro i małym biznesom, a na końcu znajdziesz wzór do pobrania, dostępny dla subskrybentów mojego newslettera!

Dane osobowe to pojęcie bardzo szerokie. Każda informacja, która nawet w pośredni sposób przyczyni się do ujawnienia tożsamości osoby fizycznej, jest daną osobową. Imię, nazwisko, adres, telefon czy PESEL to podstawowe informacje, które najczęściej podajemy i nie mamy wątpliwości, że są danymi osobowymi.

Na początek kilka słów wyjaśnienia. Bez obaw, postaram się nie zanudzać. Jednak, by wszystko było jasne, muszę określić kiedy mamy do czynienia z danymi osobowymi, a także zdefiniować ich przetwarzanie. W swojej pracy spotykam się z wieloma mitami na temat ochrony danych i, niestety, często prowadzą one do błędnego przekonania, że ochrona danych nas nie dotyczy.

Dane osobowe to pojęcie bardzo szerokie. Każda informacja, która nawet w pośredni sposób przyczyni się do ujawnienia tożsamości osoby fizycznej, jest daną osobową. Imię, nazwisko, adres, telefon czy PESEL to podstawowe informacje, które najczęściej podajemy i nie mamy wątpliwości, że są danymi osobowymi. Co jednak z adresem e-mail? Adres poczty elektronicznej również może zostać uznany za dane osobowe, jeśli będzie zawierał imię i nazwisko jego właściciela. Czy w takim razie adresy bezosobowe można swobodnie pobierać, nie dbając o przepisy? Nie. Musisz “rozciągnąć” swoją opiekę na wszystkie adresy w Twojej bazie, bo przecież nie masz wpływu na to, jaki adres do niej zostanie dopisany! Adres e-mail może być potencjalnie jedną z danych osobowych i tak musisz go potraktować.

Przetwarzanie. Często kojarzone jest z jakąś bardzo skomplikowaną i techniczną operacją. Tymczasem, przetwarzanie to zbieranie, modyfikowanie, archiwizowanie, a nawet usuwanie danych. Jak widzisz, przetwarzamy dane praktycznie non – stop. Pracownicy, klienci, newsletter. Na każdym kroku – dane osobowe.

Czy polityka prywatności jest obowiązkowa?

Dokument, jakim jest polityka prywatności, zyskał ostatnio na popularności. Stało się tak po zmianie przepisów prawa telekomunikacyjnego, które zobowiązuje nas do informowania o plikach cookies. W związku z tym, coraz częściej informacje o przetwarzaniu danych osobowych znajdują się teraz razem z polityką cookies. W tym wpisie nie skupiam się jednak na ciasteczkach, a na danych osobowych, które przetwarzamy w biznesie, a także, jak wypełnić obowiązek informacyjny, wynikający z ustawy o ochronie danych. Często jesteśmy tak bardzo skupieni na cookies, że zapominamy, że ustawa o ochronie danych osobowych nakłada na nas także obowiązek przekazania osobie, której dane zbieramy, określonego zestawu informacji. Wszystkie te, kierowane do użytkownika Twojego serwisu, sklepu, czy newslettera informacje, możesz podać w przystępnej formie – polityce prywatności. Nie ma jednak żadnego przepisu, który wprost tego wymaga. Możesz zatem dodać te informacje do polityki cookies. Możesz też utworzyć dwa odrębne dokumenty lub informować wprost na formularzu, który służy do pobierania danych. To od Ciebie zależy, jak to zrobisz.

Polityka prywatności jest dobrą praktyką, zwyczajowo przyjętym sposobem wypełnienia obowiązków informacyjnych i nawet jeśli wybierzesz inną formę, zasady opisane poniżej z pewnością się przydadzą.

 

Co powinna zawierać polityka prywatności w kontekście danych osobowych?

O czym konkretnie poinformować użytkowników serwisu, klientów sklepu, czytelników newslettera? Informacja o tym, kto jest administratorem danych jest Twoim obowiązkiem, wynikającym z ustawy o ochronie danych osobowych. Tak, jak pozostałe kwestie, o których przeczytasz poniżej. Poprzez dobrą politykę prywatności możesz zrealizować wszystkie obowiązki informacyjne, do których jesteś zobowiązany. 

Podstawowa zasada informowania mówi o tym, że informacje należy przekazać bezpośrednio osobie, której dane dotyczą. Nie powinno się umieszczać tych informacji w regulaminie, jeśli osoba ta nie będzie miała realnej szansy zapoznać się z zasadami przed przekazaniem nam danych. Mimo, że nie ma obowiązku udzielania tych informacji na piśmie, musisz mieć świadomość, że w razie wątpliwości, będzie trzeba udowodnić, że obowiązek informacyjny został spełniony.

Politykę prywatności możesz przygotować samodzielnie.

Politykę prywatności możesz przygotować samodzielnie. Możesz też sprawdzić wcześniej przygotowaną politykę, czy na pewno masz w niej wszystkie niezbędne elementy.

Poniżej znajdziesz opcję pobrania wzoru polityki prywatności, która jest dostępna dla subskrybentów newslettera.

Od czego zacząć?

Krok 1. Napisz dokładnie, kto jest administratorem danych osobowych użytkowników serwisu, czytelników Twojego newslettera lub klientów e-sklepu.

Chyba nie masz wątpliwości, że jesteś nim Ty, prawda? Wydaje się to oczywiste, ale warto powiedzieć wprost, że administrator danych to osoba lub firma, instytucja, fundacja albo stowarzyszenie, które decydują o tym, jakie dane, w jakim celu i w jaki sposób są gromadzone. Formalnie, nie musisz nawet mieć zarejestrowanej działalności gospodarczej, by być administratorem danych osobowych. Wystarczy, że np. wysyłasz newsletter i robisz to w celach zarobkowych. Przecież, prędzej czy póżniej zaczniesz sprzedawać swoje idee, usługi czy produkty. Roli administratora danych nie można się zrzec, ani przenieść tej odpowiedzialności na inną osobę. Od teraz, zawsze będziesz administratorem danych, jeśli tylko zaczniesz te dane zbierać. Rzecz jasna, możesz prowadzić biznes i nie gromadzić danych osobowych, ale jest to bardzo mało prawdopodobne. Dane dotyczące administratora muszą być kompletne, tzn. podaj pełną nazwę firmy oraz jej siedzibę, a gdy nie masz działalności – musisz podać imię i nazwisko oraz adres zamieszkania.

Krok 2. Przekaż osobom, które mogą korzystać z Twojego serwisu, newslettera lub e-sklepu, w jakim zakresie gromadzisz ich dane osobowe.

Wymień przy każdej świadczonej usłudze konkretnie, jakie dane pobierasz, np. imię w celu personalizacji newslettera oraz adres e-mail, aby ten newsletter wysłać. Jeśli osoba może złożyć zamówienie w Twoim sklepie, opisz dokładnie, jakie dane są w tym celu wymagane. Zapewnij osoby, których dane gromadzisz, że ograniczasz się wyłącznie do niezbędnych informacji o nich, aby jak najlepiej realizować swoje usługi. Nie zbieraj nic na tzw. zapas. Ustawa o ochronie danych osobowych zabrania przetwarzania danych, które nie będą adekwatne do celu, jaki zamierzasz osiągnąć.

Krok 3. Dokładnie opisz cel, w jaki dane osobowe są zbierane.

Osoba, której dane przetwarzamy musi mieć świadomość, w jakim celu je podaje, np. w celu złożenia i obsługi zamówienia, w celu podpisania umowy, czy otrzymywania newslettera. Nie stosuj ogólników, tylko pisz konkretnie do czego będą wykorzystywane.

Krok 4. Podaj przewidywanych i znanych Ci odbiorców danych na chwilę udzielania tej informacji.

Brzmi niejasno, prawda? Rzeczywiściei, to dość mgliste pojęcie, ale w skrócie chodzi o to, że trzeba w tym miejscu podać wszystkie organizacje, którym dane się przekazuje. Choć, z pewnymi wyjątkami. Nie wymieniasz tu ani Twoich ewentualnych pracowników, ani firm, którym przekazałeś dane w celu wykonania Twojego zlecenia (np. hosting, newsletter, księgowa itp.). Nie podajesz też policji, sądu, czy prokuratory jako odbiorcy danych. Im przekazujesz dane na mocy innych przepisów. Podajesz więc wszystko poza tym, co wymieniłam. W praktyce, dość często zdarza się, zwłaszcza w mniejszym biznesie, że nie ma odbiorców danych i można zapisać, że dane nie będą udostępnianie odbiorcom danych w rozumieniu ustawy o ochronie danych osobowych. 

Krok 5. Podaj, czy jest obowiązek, czy dobrowolność podania danych.

Podawanie danych może być dobrowolne, lecz niezbędne do realizacji usługi. Taką sytuacją jest newsletter, gdzie podaje się swoje dane dobrowolnie, a specyfiką newslettera jest to, że trzeba go wysłać elektronicznie, więc bez e-maila ta usługa nie może być zrealizowana. Jednak w sytuacji, gdy obowiązek podania danych wynika z innego przepisu, wtedy musimy poinformować dokładnie jaka jest tego podstawa prawna. 

Krok 6 – bonus*. Nie zapomnij poinformować o prawie dostępu do treści danych oraz ich poprawiania. Każdej osobie przysługuje prawo żądania uzupełnienia, uaktualnienia i sprostowania danych osobowych, czasowego lub stałego wstrzymania przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem ustawy albo, gdy są już zbędne do realizacji celu, dla którego zostały zebrane. Uff! Dużo tego, nieprawdaż? A to, w zasadzie tylko podstawowe prawa każdej osoby, której dane przetwarzamy.

Warto wiedzieć, że w związku ze zmianą przepisów od 25 maja 2018r., wymagane będzie respektowanie jeszcze kilku innych praw, np. prawa do przenoszenia danych, czy prawa do bycia zapomnianym. Rozszerzone zostaną także informacje, które będziemy zobowiązani podawać przed gromadzeniem danych. Najpierw jednak, dobrze jest się skupić na obecnych przepisach, a potem tylko lekko modyfikować politykę prywatności, by się do zmian szybko dostosować.

Jak informować?

Umieść odnośnik do polityki prywatności na stronie w łatwo dostępnym miejscu. Kieruj do niej osoby, których dane zamierzasz zbierać. Umieść pod formularzem zbierania danych, np. na landing page.

Umieść odnośnik do polityki prywatności na stronie w łatwo dostępnym miejscu. Kieruj do niej osoby, których dane zamierzasz zbierać.

Oczywiście wtedy nie całą treść dokumentu tylko najważniejsze informacje, jak przykład poniżej:

Administratorem Twoich danych będzie (nazwa Firmy) z siedzibą w (dokładny adres). Twoje dane osobowe (imię, adres e-mail) są zbierane w celu wysyłki newslettera. Podanie danych osobowych jest dobrowolne, lecz niezbędne do realizacji usługi. Masz prawo dostępu do treści swoich danych oraz ich poprawiania. Dane nie będą udostępnianie odbiorcom danych w rozumieniu ustawy o ochronie danych osobowych. 

Wiem, że czasem nie jest to takie proste. Początkowo, sama nie mogłam umieścić linka na prostym formularzu zapisu, dlatego szybko przygotowałam osobny landing page na newsletter, na którym już cały obowiązek informacyjny i link do polityki się znalazły Niestety, czasami trzeba trochę pokombinować, ale na pewno techniczny brak wypełniania tego obowiązku nas nie zwalnia z odpowiedzialności. Forma jest dowolna. Ważne, aby przekazać wymagane informacje jeszcze przed pobraniem danych, np. w wiadomości z prośbą o potwierdzenie subskrypcji. Tam przynajmniej umieście te podstawowe informacje. Nikt z nas przecież nie lubi przekazywać danych do nieznanych miejsc.

Kiedy nie ma obowiązku informacyjnego?

W ustawie o ochronie danych są dwie sytuacje, w których przewidziano możliwość odstąpienia od informowania. Moim zdaniem, żadna z nich nie jest możliwa do zastosowania w biznesie. Przede wszystkim nie mają obowiązku informować organizacje, którym przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania celu zbierania. To nas nie dotyczy. Druga sytuacja, bardziej liberalna, mówi o tym, że nie trzeba informować, jeśli osoba posiada już te informacje. Tu jednak nie możemy się opierać na naszych przypuszczeniach, że osoba ta świetnie zdaje sobie sprawę kto będzie administratorem jej danych, jaki jest cel i jakie przysługują jej prawa. W razie kontroli GIODO, to my będziemy musieli wykazać, że obowiązek informacyjny został spełniony.

Jeśli ten wpis jest dla Ciebie przydatny, będzie mi miło, jeśli podzielisz się nim z innymi.

Na głównej stronie bloga możesz się zapisać do mojego newslettera, by otrzymać wzór polityki prywatności do pobrania. Link do strony głównej bloga jest TUTAJ.

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!