Jeżeli serwis internetowy przetwarza dane osobowe swoich użytkowników, ma ustawowy obowiązek poinformować ich o tym, jednocześnie podając dane wskazane w ustawie. Jak wskazuje praktyka, z tym zadaniem najlepiej rodzi sobie polityka prywatności strony internetowej. Czym jest polityka prywatności i co powinna zawierać po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (GDPR)?
Polityka prywatności jest dokumentem umieszczanym na serwisie internetowym, będącym administratorem danych osobowych, w celu poinformowania użytkowników serwisu o zakresie przetwarzaniu danych osobowych, czyli zadośćuczynienia obowiązkowi informacyjnemu.
Obowiązek informacyjny jest konsekwencją prawa osoby fizycznej, której dane dotyczą, do informacji i wynika z przepisów art. 13 i art. 14 RODO. Przytoczone przepisy ustanawiają zakres informacji, który administrator danych musi przekazać osobie fizycznej, jeżeli przetwarza jej dane osobowe. RODO wprowadza rozróżnienia pomiędzy dwoma sytuacjami: zbieraniem danych bezpośrednio od osoby, której dane dotyczą, uregulowanym w art. 13 RODO oraz w sposób inny niż od osoby, której dane dotyczą z przepisu art. 14 RODO.
Informacje które administrator danych powinien podać w polityce prywatności, zwane także wymaganymi informacjami, w obu wspomnianych przypadkach są podobne, nie są zaś takie same. Administrator danych powinien przekazać je osobie, której dane dotyczą w momencie przekazania danych, a w przypadku wskazanym w przepisie art. 14 RODO, w ciągu 30 od pozyskania danych lub też przy pierwszym kontakcie z osobą, jeżeli wystąpi to wcześniej.
Zgodnie z przepisem art. 13 RODO, w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator podczas pozyskiwania danych obowiązany jest do podania następujących informacji:
Jeżeli portal internetowy zbiera dane również w sposób inny, niż od osób, których dane dotyczą, w polityce prywatności także muszą również znaleźć się następujące informacje:
Powyższe dane powinny być przekazane osobie, której dane dotyczą w terminie 30 dni od dnia przekazania danych albo przy pierwszym kontakcie z tą osobą, jeżeli nastąpi on wcześniej.
Polityka prywatności powinna być sporządzona prostym językiem w sposób jasny i zrozumiały. Powinna służyć użytkownikowi pomocą, zapobiegać naruszeniu jego praw i zapewniać ich realizację. Zawarcie polityki prywatności na stronie już jest odpowiednią realizacją prawa do informacji podmiotu danych osobowych. Stworzenia z uwzględnieniem wszystkich powyższych zasad polityka prywatności serwisu internetowego będzie odpowiadać wymogom ogólnego rozporządzenia o ochronie danych osób fizycznych.