Jeżeli serwis internetowy przetwarza dane osobowe swoich użytkowników, ma ustawowy obowiązek poinformować ich o tym, jednocześnie podając dane wskazane w ustawie. Jak wskazuje praktyka, z tym zadaniem najlepiej rodzi sobie polityka prywatności strony internetowej. Czym jest polityka prywatności i co powinna zawierać po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (GDPR)?
Polityka prywatności jest dokumentem umieszczanym na serwisie internetowym, będącym administratorem danych osobowych, w celu poinformowania użytkowników serwisu o zakresie przetwarzaniu danych osobowych, czyli zadośćuczynienia obowiązkowi informacyjnemu.
Obowiązek informacyjny jest konsekwencją prawa osoby fizycznej, której dane dotyczą, do informacji i wynika z przepisów art. 13 i art. 14 RODO. Przytoczone przepisy ustanawiają zakres informacji, który administrator danych musi przekazać osobie fizycznej, jeżeli przetwarza jej dane osobowe. RODO wprowadza rozróżnienia pomiędzy dwoma sytuacjami: zbieraniem danych bezpośrednio od osoby, której dane dotyczą, uregulowanym w art. 13 RODO oraz w sposób inny niż od osoby, której dane dotyczą z przepisu art. 14 RODO.
Informacje które administrator danych powinien podać w polityce prywatności, zwane także wymaganymi informacjami, w obu wspomnianych przypadkach są podobne, nie są zaś takie same. Administrator danych powinien przekazać je osobie, której dane dotyczą w momencie przekazania danych, a w przypadku wskazanym w przepisie art. 14 RODO, w ciągu 30 od pozyskania danych lub też przy pierwszym kontakcie z osobą, jeżeli wystąpi to wcześniej.
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Zgodnie z przepisem art. 13 RODO, w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator podczas pozyskiwania danych obowiązany jest do podania następujących informacji:
- tożsamość i dane kontaktowe administratora – Administrator musi podać pełną nazwę prawną wraz z danymi kontaktowymi do siebie.
- dane kontaktowe inspektora danych osobowych- musi zawierać tylko ogólne dane kontaktowe inspektora, nie zaś jego tożsamość.
- cele i podstawę prawną przetwarzania – wszystkie cele muszą być podane w sposób szczegółowy zgodnie z zasadą konkretności, podanie konkretnej podstawy prawnej z art. 6 RODO również jest niezbędne;
- jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora, powinny one być wskazane w polityce prywatności;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców;
- informacje o zamiarze przekazania danych do państwa trzeciego – przypadku zamiaru przekazywania danych osobowych do państwa spoza obszaru EOG – muszą być podane informacje o takim zamiarze.
- okres przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – wytyczne do jego ustalenia;
- informacje o prawach osoby, której dane dotyczą oraz o sposobie ich realizacji – w polityce prywatności muszą znaleźć się informacje o prawie do żądania od administratora dostępu do danych osobowych, dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia, prawie do ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, jak również o prawie do cofnięcia zgody, jeżeli przetwarzanie odbywa się na podstawie tej zgody. Podmiot danych musi być również poinformowany o prawie wniesienia skargi do organu nadzorczego.
- informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy; czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podjęciu decyzji lub profilowaniu – jaki sposób są stosowane środki automatycznego podjęcia decyzji lub profilowania i jakie są tego konsekwencje, jak również informacje dotyczące możliwości ograniczenia profilowania.
Pozostałe informacje w polityce prywatności
Jeżeli portal internetowy zbiera dane również w sposób inny, niż od osób, których dane dotyczą, w polityce prywatności także muszą również znaleźć się następujące informacje:
- kategorie określonych danych osobowych – Administrator powinien wykazać, jakie kategorie danych otrzymał od osoby trzeciej.
- źródło danych osobowych – osoba, której dane dotyczą, jest uprawniona do powzięcia informacji o podmiocie, który przekazał jej dane.
Powyższe dane powinny być przekazane osobie, której dane dotyczą w terminie 30 dni od dnia przekazania danych albo przy pierwszym kontakcie z tą osobą, jeżeli nastąpi on wcześniej.
Ogólne zalecenia
Polityka prywatności powinna być sporządzona prostym językiem w sposób jasny i zrozumiały. Powinna służyć użytkownikowi pomocą, zapobiegać naruszeniu jego praw i zapewniać ich realizację. Zawarcie polityki prywatności na stronie już jest odpowiednią realizacją prawa do informacji podmiotu danych osobowych. Stworzenia z uwzględnieniem wszystkich powyższych zasad polityka prywatności serwisu internetowego będzie odpowiadać wymogom ogólnego rozporządzenia o ochronie danych osób fizycznych.
