Pracujesz w dziale marketingu albo dziale prawnym dewelopera. Twoim zadaniem jest przygotować treści na stronę www, w tym politykę prywatności. Brzmi znajomo?
Może korci Cię, żeby skopiować jakiś przykład z innej strony, ale uwaga – możesz wtedy naruszyć prawa autorskie kogoś, do kogo ta inna polityka należy lub zostawić w niej na swojej stronie treści, które kompletnie nie odpowiadają Twojej firmie.
Nie stresuj się – podpowiem Ci, na jakie kluczowe rzeczy trzeba zwrócić uwagę.
Dlaczego i do kogo piszesz?
Po pierwsze i najważniejsze – zastanów się, po co Ci ta polityka prywatności (PP)? Może Cię zaskoczę, ale samo RODO nie narzuca obowiązku posiadania polityki prywatności na stronie www. Jeżeli jednak zbierasz dane osobowe, to każdą z osób musisz poinformować m.in. o tym, kto te dane będzie przetwarzać jako administrator danych, w jakich celach, na jakich podstawach prawnych, jak długo, komu będą udostępniane, jakie osobom przysługują uprawnienia itp. Przekazanie tych informacji (tzw. obowiązek informacyjny) już wynika wprost z RODO, a polityka prywatności to wygodny sposób, żeby je przekazać.
Siadając do napisania polityki prywatności zastanów się więc, do kogo zamierzasz z nią dotrzeć. Innymi słowy – wobec kogo chcesz spełnić obowiązek informacyjny za pośrednictwem PP? Może być tak, że polityka świetnie się sprawdzi jako nośnik informacji do kilku grup osób: np. klientów pytających o ofertę, osób zapisujących się na newsletter, osób wypełniających formularz kontaktowy, czy nawet kandydatów do pracy (jeżeli masz np. zakładkę typu „Aplikuj do nas” na swojej stronie www”. Jeżeli nie masz osobnej polityki cookies, PP może być też dokumentem, w których poinformujesz użytkowników o tym, jak działają cookies na Twojej stronie.
Taka dobra baza jest punktem wyjścia do przygotowania już właściwej treści.
Jak piszesz?
To jest niezwykle ważne! Pisz tak, żeby to było zrozumiałe dla „przeciętnego” odbiorcy. Nie zakładaj, że każdy, kto czyta Twoją PP zna się na RODO i terminach prawniczych (to bardzo duży błąd). RODO wymaga, żeby przekazywane informacje były jasne i zrozumiałe, przekazane w sposób przejrzysty. Nie sil się zatem na prawniczy język – im prościej, tym lepiej. Jeżeli Twoja polityka będzie rozbudowana, długa, warto podzielić ją na sekcje, wyróżnić, ponumerować, wprowadzić odesłanie (linkowanie) do innych powiązanych sekcji. Wyobraź sobie, w jaki sposób chciałbyś, żeby na przykład sklep internetowy albo bank przekazywał Ci informacje, kiedy robisz zakupy on-line albo zawierasz umowę kredytową? Im prościej i przejrzyściej, tym lepiej, prawda? Cóż, w przypadku danych osobowych i naszej PP to nie tylko mile widziane, ale wręcz obowiązkowe.
Zalecane elementy
Nie bez powodu napisałam wyżej o dwóch rzeczach: o tym, że z RODO wynika obowiązek informacyjny, jeżeli zbierasz dane osobowe i o tym, że za pośrednictwem PP możesz spełnić taki obowiązek względem różnych grup osób. Jeżeli zbierasz dane osobowe bezpośrednio od tych ludzi, których te dane dotyczą, RODO jasno określa, jakie informacje musisz podać. Ich treść może być jednak inna, w zależności od tego, do kogo się zwracamy.
Dla ułatwienia możesz wyobrazić sobie, że każda z Twoich grup osób, to osobny rozdział w PP, a każdy z tych rozdziałów ma spis treści odpowiadający np. 13 RODO (czyli zawiera te wszystkie obligatoryjne informacje, które musisz podać). Podam Ci przykłady do takich spisów treści:
- kto jest administratorem danych? Musisz podać nazwę i dane kontaktowe. Uwaga: jeżeli działasz w grupie kapitałowej, to możecie mieć różnych administratorów danych przetwarzających je w różnych celach, np. jedna spółka będzie zatrudniać. Inna spółka (celowa) będzie sprzedawać, a jeszcze inna może budować bazę marketingową. W tym miejscu bardzo ważne jest wskazanie właściwego administratora dla danej grupy osób;
- jeżeli powołaliście Inspektora Ochrony Danych (IOD), trzeba podać jego dane kontaktowe;
- następnie przekaż informację o celach i podstawach prawnych przetwarzania danych osobowych – i tu znowu w zależności od grup osób, których dane zbieracie, w naszych przykładowych rozdziałach PP te cele i podstawy będą różne. Na przykład: podstawą prawną przetwarzania danych w celu wysyłki ofert mailowo może być zgoda, a podstawą prawną realizacji umowy z klientem – sama umowa, przepis prawny (np. rękojmia dewelopera za wady), bądź prawnie uzasadniony interes (np. dochodzenie roszczeń za części wspólne we wspólnocie);
- jeżeli tak jak w przykładzie ostatnim istnieją u Was jakieś prawnie uzasadnione interesy, to trzeba je wyraźnie wskazać;
- musisz podać także odbiorców danych lub kategorie takich odbiorców, jeżeli istnieją. I tu ponownie – w różnych rozdziałach, dla różnych grup tacy odbiorcy mogą być inni – dla klientów zapisujących się na otrzymywanie ofert mailem mogą to być dostawcy systemów do wysyłki mailingu lub dostawca CRM, dla osób kontaktowych – zewnętrzna firma informatyczna administrująca serwerem poczty, na który trafiają maile z formularza kontaktowego, dla kandydatów do pracy – zewnętrzna firma utrzymująca ATS do rekrutacji;
- jeżeli w Waszym przypadku ma dochodzić do przekazania danych osobowych poza EOG, to dla każdej grupy trzeba wskazać warunki, na jakich do takiego przekazywania ma dochodzić (w tym np. określić, czy takie państwo zostało uznane przez Komisję Europejską za bezpieczne, czy nie ma takiej decyzji);
- jak długo będziecie przechowywać dane? Jak wyżej – skup się na wskazaniu okresów lub kryteriów ich ustalenia osobno dla każdej z grup;
- poinformuj o uprawnieniach, jakie przysługują osobom, które zostawiają Wam swoje dane: o prawie do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, o prawie do wniesienia sprzeciwu wobec przetwarzania, o prawie do przenoszenia danych, o prawie do odwołania zgody, o prawie złożenia skargi do Urzędu Ochrony Danych Osobowych;
- poza tym powinieneś podać informację, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy. Czy osoba, która podaje Ci dane ma obowiązek ich podania? Jakie są ewentualne konsekwencje niepodania danych? Np. podanie danych do umowy jest niezbędnym warunkiem zawarcia umowy, bo bez określenia strony nie da się zidentyfikować/ustalić tożsamości klienta, z którym macie podpisać umowę;
- czy podejmujecie wobec którejkolwiek z grup osób „zautomatyzowane decyzje”, w tym np. profilowanie, które wywołuje skutki prawne albo w inny podobny sposób istotnie na nią wpływa? Np. automatycznie podejmowane decyzje w wyniku profilowania kandydatów do pracy? Automatycznie podejmowane decyzje w oparciu o scoring klienta? Jeżeli spełniacie takie warunki, to musicie poinformować o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Nice to have
Moim zdaniem powyższa lista to minimum, która być powinna, jeżeli Wasza polityka prywatności ma służyć spełnieniu obowiązku informacyjnego z RODO wobec osób, których dane zbieracie bezpośrednio od nich. Jak wspomniałam powyżej, możecie rozbudować PP o część dotyczącą cookies: wskazać w szczególności rodzaje i cele wykorzystywania cookies, czy i komu dane z cookies będą dalej udostępniane? Czy stosujecie wyłącznie cookies własne czy również stron trzecich?
Jeżeli macie na swojej stronie www inne dokumenty, które dotyczą – choćby pośrednio – danych klientów, to warto się do nich odnieść. Może chodzić np. o regulamin świadczenia usług drogę elektroniczną, regulamin portalu klienta, regulamin newslettera. Niezwykle istotne jest, aby PP i tego typu regulaminy nie zawierały treści sprzecznych ze sobą – na przykład nie informowały o sprzecznych celach czy okresach przetwarzania danych! Wybierz najlepiej jedno miejsce, które będzie zawierało szczegóły opisujące przetwarzanie danych – a tym samym informacje wymagane przez RODO tak, aby w razie aktualizacji zmienić tylko jedne miejsce.
Nikt nie urodził się z umiejętnością pisania polityki prywatności 🙂 Jeżeli w trakcie pracy będziesz mieć wątpliwości, napisz do mnie: https://www.isecure.pl/kontakt/, chętnie Ci pomogę albo wyręczę Cię z tego zadania.
