fbpx

Będąc przedsiębiorcą, codziennie musimy dbać o poszanowanie praw osób, których dane przetwarzamy. Pracownicy, klienci, newsletter. Na każdym kroku – dane osobowe. Jednym z obowiązków na gruncie RODO jest przekazanie osobie, której dane zbieramy określonego prawem zestawu informacji. Jak wykonać ten obowiązek na swojej stronie www?

Czy polityka prywatności jest obowiązkowa?

Imię, nazwisko, adres, telefon, adres e-mial to podstawowe informacje, o które najczęściej prosi się klientów, subskrybentów, czy osoby kontaktujące się z przedsiębiorcą przez stronę www. Jak widzisz, przetwarzanie danych odbywa się praktycznie non – stop.

Dokument, jakim jest polityka prywatności, zyskał na popularności po zmianie przepisów prawa telekomunikacyjnego, które zobowiązuje do informowania o plikach cookies. Natomiast art. 13 RODO zobowiązuje administratora danych do przekazania osobom, od których dane osobowe są bezpośrednio zbierane, np. poprzez stronę www (formularze zapisu na newsletter, kontaktowe, czy formularz zakupu w sklepie online) określonego zestawu informacji. Jednym z elementów tej informacji jest tożsamość administratora danych, cel zbierania danych, czy prawa osób, których dane pobieramy. 

Wszystkie te informacje, kierowane do użytkownika Twojego serwisu, sklepu, czy newslettera, należy podać w przystępnej i zrozumiałej dla niego formie. Coraz częściej informacje o przetwarzaniu danych osobowych znajdują się teraz razem z polityką cookies. Nie ma jednak żadnego przepisu, który wprost tego wymaga w takim kształcie. Możesz zatem dodać informacje o RODO do polityki cookies, utworzyć dwa odrębne dokumenty (polityka cookies i polityka prywatności) lub informować o RODO wprost na formularzu, który służy do pobierania danych. To od Ciebie zależy, jak to zrobisz. Istotne za to jest to, aby osoba, której dane zbierasz miała możliwość zapoznania się z tymi informacjami jeszcze zanim przekaże Ci swoje dane. Najrozsądniejszym rozwiązaniem jest więc umieszczenie odnośnika do polityki prywatności w stopce danej strony.

Polityka prywatności jest dobrą praktyką, zwyczajowo przyjętym sposobem wypełnienia obowiązków informacyjnych z art. 13 RODO i nawet jeśli wybierzesz inną formę, zasady opisane poniżej z pewnością się przydadzą.

Co powinna zawierać polityka prywatności w kontekście danych osobowych?

Politykę prywatności możesz przygotować samodzielnie, o ile masz odpowiednią wiedzę i czas.

Poprzez dobrą politykę prywatności możesz zrealizować wszystkie obowiązki informacyjne, do których jesteś zobowiązany na podstawie art. 13 RODO.

Politykę prywatności możesz przygotować samodzielnie, o ile masz odpowiednią wiedzę i czas. Warto mieć na uwadze, że ostateczny kształt polityki prywatności zależy od tego jakie na swojej stronie masz dostępne formularze zbierania danych, jakie cele realizujesz i na jakiej podstawie prawa. Mocno się zastanów przed kopiowaniem polityk prywatności z innych sklepów czy serwisów, bo to nie zawsze będzie odpowiadało temu, jakie Ty musisz umieścić informacje u siebie, a poza tym skąd pewność, że te skopiowane informacje są aktualne i spełniają wszystkie wymogi RODO? 

Jeśli chcesz pisać samodzielnie politykę prywatności danych, poniżej znajdziesz kilka niezbędnych wskazówek ode mnie. Ale, jeśli chcesz mieć prawidłową politykę na swojej stronie w ciągu 15 minut, to koniecznie zerknij na jeden z produktów w moim sklepie – Polityka prywatności na Twoją stronę www. Wzór do pobrania. Dzięki temu wg moich wskazówek możesz przygotować w szybki i łatwy sposób własną polityki prywatności danych i politykę cookies na swoją stronę www lub do sklepu online.

Od czego zacząć?

O czym konkretnie poinformować użytkowników serwisu, klientów sklepu, czytelników newslettera?

Krok 1. Napisz dokładnie, kto jest administratorem danych osobowych użytkowników serwisu, czytelników Twojego newslettera lub klientów e-sklepu.

Formalnie, nie musisz nawet mieć zarejestrowanej działalności gospodarczej, by być administratorem danych osobowych.


Chyba nie masz wątpliwości, że jesteś nim Ty, prawda? Wydaje się to oczywiste, ale warto powiedzieć wprost, że administrator danych to osoba lub firma, instytucja, fundacja albo stowarzyszenie, które decydują o tym, jakie dane, w jakim celu i w jaki sposób są gromadzone. Formalnie, nie musisz nawet mieć zarejestrowanej działalności gospodarczej, by być administratorem danych osobowych. Wystarczy, że np. wysyłasz newsletter i robisz to w celach zawodowych lub zarobkowych. Roli administratora danych nie można się zrzec, ani przenieść tej odpowiedzialności na inną osobę. Od teraz, zawsze będziesz administratorem danych, jeśli tylko zaczniesz te dane zbierać. Rzecz jasna, możesz prowadzić biznes i nie gromadzić danych osobowych, ale jest to bardzo mało prawdopodobne. Dane dotyczące administratora muszą być kompletne, tzn. podaj pełną nazwę firmy oraz jej siedzibę, a gdy nie masz działalności – musisz podać imię i nazwisko oraz adres zamieszkania.

Krok 2. Przekaż osobom, które mogą korzystać z Twojego serwisu, newslettera lub e-sklepu, w jakim zakresie gromadzisz ich dane osobowe.

Wymień przy każdej świadczonej usłudze konkretnie, jakie dane pobierasz, np. imię w celu personalizacji newslettera oraz adres e-mail, aby ten newsletter wysłać. Jeśli osoba może złożyć zamówienie w Twoim sklepie, opisz dokładnie, jakie dane są w tym celu wymagane. Zapewnij osoby, których dane gromadzisz, że ograniczasz się wyłącznie do niezbędnych informacji o nich, aby jak najlepiej realizować swoje usługi. Nie zbieraj nic na tzw. zapas. RODO wprost zabrania przetwarzania danych, które nie będą adekwatne do celu, jaki zamierzasz osiągnąć.

Krok 3. Dokładnie opisz cel, w jaki dane osobowe są zbierane.

Osoba, której dane przetwarzamy musi mieć świadomość, w jakim celu je podaje, np. w celu złożenia i obsługi zamówienia, w celu podpisania umowy, czy otrzymywania newslettera. Nie stosuj ogólników, tylko pisz konkretnie do czego będą wykorzystywane.

Krok 4. Podaj przewidywanych i znanych Ci odbiorców danych na chwilę udzielania tej informacji.

Brzmi niejasno, prawda? Rzeczywiście, to dość mgliste pojęcie, ale w skrócie chodzi o to, że trzeba w tym miejscu podać wszystkie organizacje, którym dane się przekazuje lub którym mogą zostać udostępnione. Jeśli odbiorcy danych znajdują się w państwach trzecich, czyli poza Europejskim Obszarem Gospodarczym, to należy także podać nazwę państwa i informację, czy dane te będą odpowiednio chronione.

Krok 5. Podaj czy jest obowiązek, czy dobrowolność podania danych.

Podawanie danych może być dobrowolne, lecz niezbędne do realizacji usługi. Taką sytuacją jest newsletter, gdzie podaje się swoje dane dobrowolnie, a specyfiką newslettera jest to, że trzeba go wysłać elektronicznie, więc bez e-maila ta usługa nie może być zrealizowana.

Krok 6. Podaj informacje o tym jak długo dane będą przetwarzane.

Dane mogą być przetwarzane tak długo, jak jest to niezbędne do realizacji celu dla którego zostały zebrane. Inna więc będzie długość przetwarzania danych w celu wysyłki newslettera, a inna w celu realizacji zamówienia złożonego w Twoim sklepie online. 

Każda osoba ma prawo dostępu do treści danych oraz ich poprawiania.

Krok 7. Poinformuj o prawach osoby, której dane przetwarzasz.

Co do zasady każda osoba ma prawo dostępu do treści danych oraz ich poprawiania, a także do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). W zależności od podstawy prawnej przetwarzania danych mogą osobie przysługiwać także inne prawa, jak prawo do odwołania zgody, prawo ograniczenia przetwarzania danych, usunięcia danych, przenoszenia danych, czy wniesienia sprzeciwu na przetwarzanie danych w celach marketingowych. Uff! Dużo tego, nieprawdaż? A to, w zasadzie tylko podstawowe prawa każdej osoby, której dane przetwarzamy.

Jak informować?

Umieść odnośnik do polityki prywatności na stronie w łatwo dostępnym miejscu. Kieruj do niej osoby, których dane zamierzasz zbierać. Umieść link pod formularzem zbierania danych, np. na landing page, pod formularzem kontaktowym czy w zapisie na newsletter.

Umieść odnośnik do polityki prywatności na stronie w łatwo dostępnym miejscu. Kieruj do niej osoby, których dane zamierzasz zbierać.

Kiedy nie ma obowiązku informacyjnego?

Teoretycznie nie musisz informować, jeśli osoba posiada już wszystkie te informacje, a cel przetwarzania danych nie uległ zmianie. Tu jednak nie możemy się opierać na naszych przypuszczeniach, że osoba ta świetnie zdaje sobie sprawę kto będzie administratorem jej danych, jaki jest cel i jakie przysługują jej prawa. W razie kontroli PUODO, to administrator danych będzie miał obowiązek wykazać, że obowiązek informacyjny został spełniony.

W ramach krótkiego podsumowania: Pamiętaj, że informacje o przetwarzaniu danych muszą zostać spełnione zanim dane osobowe zostaną Ci przekazane. Forma jest dowolna, ale to Ty jako administrator danych ponosisz odpowiedzialność za to, aby osoba otrzymała wszystkie wymagane prawem informacje.

Jeśli ten wpis jest dla Ciebie przydatny, będzie mi miło, jeśli podzielisz się nim z innymi.

Jeżeli potrzebujesz gotowego wzoru polityki prywatności dla swojej strony www, zapraszam do swojego sklepu:

RODO w Twojej firmie

Sprawdź mój kurs online "RODO w Twojej firmie".
8 modułów, 30 lekcji (4h nagrań, 25 wzorów dokumentów).