fbpx

Masz już politykę prywatności na swojej stronie internetowej lub zabierasz się za jej napisanie? Sprawdź, jakie są najczęstsze błędy w polityce prywatności i jak je poprawić. Zebrałam dziewięć przypadków, które najczęściej widzę u swoich klientów w trakcie wdrożenia RODO lub podczas przeglądania stron internetowych. Wymienione poniżej błędy w polityce prywatności pozwolą Ci nie tylko poprawić swój dokument, ale także lepiej zrozumieć cel jego posiadania.

Polityka prywatności zyskała na popularności i znaczeniu po 25 maja 2018 roku. Co ciekawe, żaden przepis prawa nie wymaga wprost jej posiadania. Polityka prywatności jest po prostu formą wypełnienia obowiązku informacyjnego, o którym mowa w art. 13 RODO. Taki obowiązek powstaje, gdy przetwarzasz dane osobowe na cele zawodowe, statutowe lub zarobkowe. Dotyczy on zarówno przedsiębiorców, instytucji, jak i osób prowadzących tzw. działalność nierejestrowaną. Pobierając dane osobowe potencjalnego klienta, np. poprzez formularze umieszczone na stronie internetowej, fanpage’u na Facebooku lub przez telefon musisz przekazać mu kilkanaście ważnych informacji, wymaganych prawem. Nie jest to jednak nowy wynalazek, nie tylko RODO wymagało przekazania odpowiedniego zestawu informacji o ochronie danych swoim klientom czy subskrybentom. Jednak wcześniej, prawdopodobnie ze względu na małe kary finansowe, nie przykładano to tego takiej wagi jak teraz. W tym artykule skupiam się przede wszystkim na tym, jakie błędy w polityce prywatności spotykam najczęściej i jak możesz ich uniknąć.

Natomiast, jeśli Ty dopiero szukasz informacji o tym, co powinna zawierać polityka prywatności, to polecam Ci inny mój artykuł pt. Jak napisać politykę prywatności? Tam znajdziesz informacje, które pozwolą Ci uporządkować swoją wiedzę na temat treści wymaganych przepisami art. 13 RODO. Wracając jednak do naszego głównego tematu – oto 9 najczęściej popełnianych błędów RODO na stronach internetowych.

Najczęstsze błędy w polityce prywatności.

Niektóre błędy, o których będę pisała poniżej, możesz bardzo łatwo wychwycić i skorygować. Po prostu rzucają się od razu w oczy. Oczywiście pod warunkiem, że wiesz czego szukać.

Błąd nr 1. Mimo że RODO obowiązuje już prawie 3 lata, to nadal w wielu politykach prywatności na blogach, czy w sklepach internetowych można spotkać zapisy, które albo już nie obowiązują, albo nie mają nic do rzeczy. Najbardziej popularny to taki, w którym na wstępie właściciel strony z wielką radością informuje nas, że przetwarza dane osobowe zgodnie z ustawą z 1997 roku o ochronie danych osobowych. A ta ustawa już nie obowiązuje. Z jednej strony można by powiedzieć – no i co z tego? Po prostu trzeba zamiast ustawy z 1997 roku wpisać RODO i po problemie. Niestety, to wcale nie o nazewnictwo chodzi i ja się tego na siłę nie czepiam, o ile taka polityka wypełnia wymagane przez RODO informacje. Najczęściej jednak wygląda to zupełnie inaczej. Jeśli wchodzę na stronę internetową, na której widzę zapis o ustawie sprzed ponad dwudziestu lat, to jestem pewna, że znajdę także inne błędy. Dlaczego?

Ustawa z 1997 r. zobowiązywała do podawania informacji o ochronie danych osobowych, ale ilość tych informacji była o wiele mniejsza. RODO wprowadziło także nowe prawa osób, których dane przetwarzamy, jak np. prawo do przenoszenia danych. Zaczęło także m.in. wymagać informowania o prawie do złożenia skargi do Urzędu Ochrony Danych Osobowych. Prawo zaskarżenia administratora danych w związku z nieprawidłowym przetwarzanem danych obowiązywało również wcześniej, jednak dopiero teraz trzeba o nim oficjalnie informować. RODO wychodzi bowiem z założenia, i to całkiem słusznie, że można o tym nie wiedzieć. Dlatego bardzo prawdopodobne jest, że w polityce prywatności, w której znajdziemy zapis o ustawie z 1997 r. będą także takie braki. I to jest właśnie błąd nr 2.

Wyrażam zgodę zgodnie z RODO, czyli błąd nr 3.

Błąd nr 3. “Wyrażam zgodę zgodnie z RODO”. Kto z nas nie widział takiego zapisu w polityce prywatności czy regulaminie? Nikogo już taki zapis nie dziwi, a powinien. Często o dopisanie takiej lakonicznej klauzuli proszą także pracodawcy na CV. Czy to ma jednak jakikolwiek sens? Pytam oczywiście nie o fakt samego wyrażenia zgody, ale jej sformułowania. Kolejne warianty tej zgody, która jest po prostu masłem maślanym i na dobrą sprawę nic nie wnosi do przetwarzania danych to:

Wyrażam zgodę na przetwarzanie danych zgodnie z ustawą z 1997 roku o ochronie danych. 

albo

Wyrażam zgodę zgodnie z ustawą z 10 maja 2018 roku o ochronie danych.

Pomijam już fakt, że ustawa z 1997 roku już dawno nie obowiązuje, a ustawa z 10 maja 2018 roku nic nie mówi o wyrażaniu zgody. To sam fakt żądania zgody zgodnie z jakąś ustawą to rodzaj zapisu, który nie spełnia wymogu świadomego wyrażenia zgody. Osoba musi przede wszystkim wiedzieć na co i komu wyraża zgodę. Samo dodanie do niej „zgodnie z RODO”, „zgodnie z ustawą”, czy czymkolwiek innym nie sprawi, że ta zgoda będzie jakaś lepsza albo ważniejsza. Prawidłowa zgoda powinna być sformułowana na zasadzie:

Wyrażam zgodę na [NA CO konkretnie?] przez [KOGO?]“. Kropka. 

Chyba nic mnie tak nie wkurza jak zgoda zgodnie z RODO i wszelkie jej odmiany. No, może oprócz zgody „zgodnie z ustawą RODO”. Bo to już całkowite pomieszanie z poplątaniem. RODO to rozporządzenie o ochronie danych osobowych i stąd też się zresztą bierze ten skrót, który jest popularny od 2018 roku. Ustawą to to na pewno nie jest i nigdy nie będzie. I, o ile nie specjalizujemy się w RODO, to możemy sobie takie gafy popełniać. Ale widzę to także na niektórych stronach z ofertami wdrożenia „ustawy RODO”. Serio? Przecież to dwa różne akty prawne!

Brak informacji o administratorze danych.

Kolejnym bardzo często spotykanym błędem w polityce prywatności jest brak pełnych danych administratora danych. Tymczasem osoba, której dane zamierzamy przetwarzać, czy to klient, subskrybent czy kandydat do pracy, ma prawo znać pełną tożsamość administratora. W przypadku działalności gospodarczej czy spółki jest to raczej jasne. Wątpliwości i próby ukrycia tożsamości pojawiają się zwykle u osób, które prowadzą tzw. działalność nierejestrowaną. Nie wszyscy się chcą ukrywać pod samym mailem albo adresem skrytki pocztowej, jednak dość często dostaję takie zapytania, czy można jakoś obejść ten przepis. Jeśli także się nad tym zastanawiasz, to muszę Cię rozczarować.

Jeżeli nie masz nazwy firmy czy adresu swojej siedziby to musisz jako osoba fizyczna podać: imię i nazwisko oraz adres zamieszkania. Dlaczego akurat takiego dane i co się dzieje, kiedy próbujesz się wymigać z tego obowiązku, piszę szerzej w artykule poświęconemu RODO w działalności nierejestrowanej. To jest błąd nr 4.

Błąd nr 5. Pisz do IOD, którego nie mam.

Ten błąd jest dla mnie jak Yeti albo potwór z Loch Ness. Wszyscy o nich piszą, ale nikt ich nigdy nie widział. Tylko, że tym razem chodzi o Inspektora Ochrony Danych, którego muszą powoływać instytucje publiczne i niektóre firmy prywatne. Bardzo ważna funkcja. Jednak spore grono firm, a już na pewno większość jednoosobowych działalności gospodarczych i małych sklepów internetowych, wcale nie jest zobowiązanym do posiadania takiego Inspektora od RODO. Dlatego dziwi mnie fakt, że niektórzy podają dane kontaktowe do Inspektora Ochrony Danych, którego nie mają w swoich strukturach. Sugerują tym samym, że „lepiej chronią dane osobowe” niż konkurencja. 

Pewnie się zastanawiasz, skąd wiem, że nie mają. A może sobie zatrudnili i mogą sobie podawać, co chcą. Jasne, ale sęk w tym, że większość podaje tylko adres podobny do tego, jaki używają inspektorzy, np. iod@jakasdomena.pl. Nie podają jego pełnych danych. W rzeczywistości sami odbierają tę korespondencję. Druga sytuacja, która też jest alarmująca, to podanie danych kontaktowych do Inspektora Ochrony Danych, który jest jednocześnie członkiem zarządu lub właścicielem strony, czyli administratorem danych. A to jest niezgodne z RODO, ponieważ IOD to niezależna osoba fizyczna, która nie może być jednocześnie swoim szefem. Będąc IOD, sama siebie musiałaby sprawdzać na zgodność z RODO. To byłby absurd.

Podsumowując, jeśli nie jesteś zobowiązany do powołania Inspektora Ochrony Danych to nie twórz złudzenia, że go posiadasz, bo wprowadzasz swoich odbiorców w błąd. Jeśli nie musisz go powoływać, ale bardzo chcesz to zrób to. Plus dla Ciebie. Tylko podaj wtedy jego imię i nazwisko, bo zgodnie z art. 11 ustawy z 10 maja 2018 roku o ochronie danych osobowych, należy zrobić do niezwłocznie po jego wyznaczeniu. Wtedy będziesz w 100% zgodny z przepisami.

Klient zgadza się na…

Czasami w politykach prywatności lub regulaminach sklepów internetowych spotykam zapisy, w których klient zostaje postawiony przed faktem dokonanym. W dodatku, to wszystko odbywa się z powołaniem na zgodność z RODO. Podam Ci przykład. Klient składa zamówienie w sklepie internetowym. Jego dane są niezbędne do realizacji zamówienia, często także wysyłki produktu. To jest logiczne i nikt raczej nie protestuje. Natomiast sytuacja komplikuje się, jeśli te same dane chciałbyś wykorzystać na inne cele. Część osób decyduje się wtedy, świadomie lub nie, na ukrycie dodatkowych zgód w regulaminach. Takie działanie nie tylko jest niezgodne z RODO, to jest jeszcze tzw. klauzulą niedozwoloną. Więcej o klauzulach niedozwolonych w sklepach internetowych piszemy w osobnym artykule, pt.  Jak unikać błędów w regulaminie sklepu internetowego, do którego lektury Cię zachęcam. Natomiast w tym miejscu podam Ci kilka przykładów takich ukrytych zgód na przetwarzanie danych. Jeśli masz je u siebie, powinieneś je jak najszybciej usunąć.

Błędne zapisy to, np:

Klient dokonując zamówienia w sklepie online, zgadza się na wysyłanie informacji handlowych drogą elektroniczną.

lub

Składając zamówienie w sklepie internetowym zgadzasz się na przetwarzanie danych w celu wysłania opinii przez [tu wstaw dowolny serwis badania opinii]

 

Wysłanie newslettera czy opinii przez specjalne serwisy do badania satysfakcji klienta nie jest zabronione. Jednak musi to być świadoma i wyraźna zgoda kupującego. A zgoda ukryta w regulaminie, jakkolwiek by jej nie sformułować, nie posiada takich cech. Tego rodzaju błędy w polityce prywatności można spotkać w sklepach internetowych. Część z nich wprowadza takie zapisy, np. poprzez kopiowanie regulaminów od innych sklepów internetowych. I ten łańcuszek błędów później się niestety nie tylko powiela, ale jeszcze utrwala. Coraz więcej osób zaczyna sądzić, że tak powinno być. A skoro mają to inne sklepy, to to przecież nie może być błąd. Warto jednak to przemyśleć i skorygować, bo to poważny błąd. Błąd nr 6.

 

polityka prywatności wzór do pobrania

Sprawdź pakiet RODO na stronę www.

Kolejne błędy w polityce prywatności.

Trzy kolejne błędy w polityce prywatności to przede wszystkim nieadekwatne informacje w polityce prywatności oraz wszelkiego rodzaju braki treści, które są wymagane przez RODO. W pierwszej kolejności sprawdź, czy informacje w polityce prywatności są zgodne z celami i formularzami, które umieszczasz na stronie internetowej. Wbrew pozorom, nie ma jednej stałej informacji RODO, którą wystarczy tylko przekleić na stronę internetową i sprawa polityki prywatności będzie załatwiona. Każda polityka prywatności powinna być dostosowana do tego, co znajduje się na stronie oraz w jakim celu dane będą przetwarzane. To właśnie niedostosowanie do rzeczywistości jest najczęściej spotykanym błądem. I widoczny jest już na pierwszy rzut oka. Bo jak inaczej można wytłumaczyć to, że wchodząc na stronę sklepu internetowego ani w polityce prywatności, ani w regulaminie nie dowiemy się niczego o przetwarzaniu danych klientów? Ktoś, kto to pisał (albo, co gorsza, kopiował), nie przewidział głównego celu istnienia tego sklepu – pozyskiwania danych klientów! 

Kolejne błędy, czyli błąd nr 8 i 9 to brak informacji w polityce prywatności o:

  • odbiorcy danych lub kategoriach odbiorców danych, np. o biurze księgowym, firmach kurierskich, czy operatorach płatności,
  • okresach przetwarzania danych, które powinny być zawsze adekwatne do celu przetwarzania.

To były już ostatnie błędy w polityce prywatności, które najczęściej spotykam. Nie są to jedyne gafy i potknięcia.  Można jednak śmiało powiedzieć, że jest to większość nieprawidłowości, które można łatwo wyeliminować, jeśli znajdziesz je u siebie.

Błędy z powodu lenistwa.

Osobną grupa błędów, których nie wliczam do TOP 9 błędów w polityce prywatności, są te wynikające z lenistwa. O ile powyższe błędy nie jest tak łatwo wychwycić, jeśli nie masz odpowiedniej wiedzy i wskazówek, to te, które część osób robi z lenistwa, można spostrzec od razu. Nie są to co prawda często spotykane sytuacje, ale raz na jakiś czas udaje mi się je znaleźć. Zastanawiam się wtedy, co poszło nie tak?

O jakich brakach i błędach mowa? Na przykład takich, jak:

  • puste, wykropkowane miejsca, które powinny zostać uzupełnione danymi sprzedawcy, czy innymi indywidualnymi danymi. Komuś się chyba nie chciało i zostawił puste. Przecież nawet wtedy, kiedy mamy wzorzec to musimy go wypełnić danymi, które nas dotyczą, np. sposobami płatności, sposobami dostawy, etc. Jak można tego nie uzupełnić, mimo że sklep już sprzedawał? Tego, naprawdę, nie wiem.
  • „lorem ipsum, lorem ipsum” na stronie z regulaminem sklepu internetowego zamiast, tegoż regulaminu. Znalazłam to ostatnio na stronie sklepu działającego od ponad roku! I co ciekawe, ten sklep normalnie funkcjonował. Ciekawe, ilu klientów to zniechęciło do zakupów? A może nawet tego nie zauważyli?
  • dane innego sklepu, innego sprzedawcy w treści polityki lub regulaminu – to już w ogóle hard core, ale od czasu do czasu i taka perełka się trafi.

Sądzę, że tylko jakiś niewielki promil (nawet nie procent) stron i sklepów internetowych ma takie braki wynikające z lenistwa. Z drugiej jednak strony, wypada o tym wspomnieć, bo skoro ktoś nie miał czasu, a może nawet ochoty, tego sprawdzić i uzupełnić, to może teraz sobie to uświadomi i poprawi. A może też będzie to ostrzeżeniem dla innych, żeby więcej uwagi przykładali do tego, co publikują na swoich stronach? Kto wie. Tak, czy inaczej, mam nadzieję, że te najczęstsze błędy w polityce prywatności były dla Ciebie ciekawą i przydatną lekturą.

 

Bezpieczni w biznesie
error: Treść strony jest chroniona!