Jakie informacje muszą się znaleźć w polityce prywatności na stronie www?

Polityka prywatności to dokument, który powinien znaleźć się na każdej stronie internetowej zbierającej i przetwarzającej dane osobowe użytkowników. Polityka pozwala spełnić przepisy rozporządzenia RODO, które weszło w życie w maju 2018. Równie ważne, jak samo istnienie polityki prywatności jest to, czy treść dokumentu odpowiada wymaganiom narzuconym przez rozporządzenie. W tym poradniku wymieniamy najważniejsze informacje, jakie muszą się znaleźć w polityce prywatności.

Informacje na temat Administratora Danych Osobowych

ADO to najczęściej po prostu właściciel witryny. Użytkownik, który wchodzi na stronę, musi wiedzieć, kto właściwie uzyska wgląd w jego dane. Stąd najważniejszym zapisem w polityce prywatności jest szczegółowe określenie Administratora Danych Osobowych. Mowa tutaj o pełnej nazwie i adresie siedziby ADO lub – w przypadku, gdy administratorem jest osoba fizyczna – imieniu i nazwisku oraz adresie zamieszkania ADO.

Jeśli właściciel strony ma podpisane umowy z dostawcami usług zewnętrznych, które także zbierają i przetwarzają dane użytkowników, to w polityce prywatności musi wymienić je pod pojęciem Procesora Danych Osobowych (PDO).

Cel zbierania danych

Bardzo ważne jest, aby w polityce prywatności wyjaśnić użytkownikom, czemu właściwie ma służyć gromadzenie i przetwarzanie ich danych osobowych. Warto zadbać o możliwie jak najprostszy opis i nie bawić się w zawiłe formułki.

Przykładowo: jeśli blog zbiera dane w celu umożliwienia użytkownikom komentowania artykułów, to tak właśnie należy to opisać. Jeśli dane są zbierane przy pomocy plików cookies po to, by móc profilować użytkowników w celach analitycznych czy marketingowych, to również tłumaczymy, co to właściwie oznacza dla osoby odwiedzającej serwis.

Nie ma oczywiście konieczności bardzo dokładnego opisywania celu zbierania i przetwarzania danych – zwłaszcza jeśli mogłoby to ujawniać tajemnice przedsiębiorstwa. Można się zatem ograniczyć do suchego zapisu, np.: Pani/Pana dane osobowe są przetwarzane na podstawie artykułu 6 RODO w celach marketingowych.

Prawo dostępu do swoich danych osobowych

To kluczowy, absolutnie niezbędny zapis w polityce prywatności. Użytkownik strony musi zostać poinformowany o tym, że ma prawo uzyskać wgląd w swoje dane osobowe zebrane i przetwarzane przez ADO, a także zażądać wprowadzenia w nich zmian. Należy oczywiście wyjaśnić, jak wygląda procedura zgłoszeniowa – wystarczy podanie np. adresu e-mail lub korespondencyjnego, na który użytkownik powinien wysłać roszczenia w tym zakresie.

Poinformowanie o korzystaniu z narzędzi analityki internetowej

Obecnie jest to standard, dlatego w niemal każdej polityce prywatności znajdzie się zapis mówiący o tym, że witryna korzysta z plików cookies zbierających informacje na potrzeby działania oprogramowania np. Google Analytics czy Google Ads.

Informacja o prawie do cofnięcia zgody na przetwarzanie danych

W polityce prywatności nie może zabraknąć zapisu uświadamiającego użytkowników, że mają pełne prawo do cofnięcia zgody na przetwarzanie ich danych osobowych. Należy przy tym zaznaczyć, że czasami użytkownik wcale nie musi takiej zgody wyrażać, ponieważ robi to obligatoryjnie np. składając zamówienie w sklepie internetowym (podaje wówczas swoje dane do wysyłki towaru). W takiej sytuacji należy przytoczyć podstawę prawną, za którą stoi obowiązek podania swoich danych na stronie.

Informacja na temat organu, do którego można zgłosić swój sprzeciw

W Polsce taką funkcję pełni Urząd Ochrony Danych Osobowych (dawne GIODO). W polityce prywatności należy podać jego dane teleadresowe.

Czas przetwarzania danych osobowych

W polityce prywatności warto poświęcić kilka zdań na poruszenie kwestii czasu przetwarzania i przechowywania danych użytkowników. Właściciel strony powinien to ocenić we własnym zakresie. Jeśli np. dane służą analizie ruchu na stronie, to wiadomo, że będą one zbierane ciągle, aż do zrealizowania opisanego wcześniej celu. Użytkownik musi się więc dowiedzieć, że np. jego dane będą przetwarzane i przechowywane przez 2 lata, bo tyle zajmą zaplanowane działania marketingowe.

Na koniec podkreślmy, że polityka prywatności nie powinna być sztywnym, niezrozumiałym dokumentem napisanym językiem prawniczym. Ma na pełnić funkcję informacyjną, dlatego warto zadbać, by była zrozumiała dla każdego przeciętnego użytkownika Internetu.