Polityka prywatności – dlaczego jest potrzebna? 

BySylwia Ostrowska

polityka prywatnościWiększość stron internetowych, które odwiedzamy, posiada politykę prywatności. Jednak nie każdy wie, kiedy taki dokument należy utworzyć. Zależy to przede wszystkim od tego, czy na danej stronie zbiera się dane osobowe. Jeżeli zbieramy dane, to wtedy powinniśmy ją posiadać. Zastosowanie takiego dokumentu wynika m.in. z przepisów RODO, a dokładnie z artykułu 12. Zgodnie z nim administratorzy mają obowiązek udzielić wszelkich wymaganych informacji dotyczących przetwarzania danych osobowych osobom, których dane są przetwarzane. Przy pisaniu polityki prywatności należy pamiętać, że powinna ona być napisana w zwięzłej, przejrzystej i zrozumiałej dla przeciętnego odbiorcy formie. Taka polityka powinna być łatwo dostępna oraz darmowa do otrzymania. 

Wymagane informacje – to znaczy jakie? 

Przepisy wprost informują nas jakie informacje administrator powinien przekazać podmiotom danych przy spełnianiu obowiązku informacyjnego. Działa to w obie strony. Zarówno administrator może sprawdzić jak poprawnie spełnić taki obowiązek w oparciu o przepisy RODO, ale także osoba będąca odbiorcą informacji ma możliwość dowiedzenia się, w jaki sposób jej dane są przetwarzane przez administratora. Na co w takim razie należy zwrócić uwagę? 

Według art. 12 RODO administrator musi „udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 (…)”, czyli spełnić obowiązek informacyjny. Jako że polityka prywatności jest kierowana do użytkowników strony, od których bezpośrednio pozyskujemy dane osobowe, to zastosowanie mają wymogi wskazane w art. 13 RODO. Zgodnie z ustępem 1 administrator musi udzielić osobie, od której pozyskuje dane osobowe, informacji o: 

  • swojej tożsamości oraz danych kontaktowych (np. nazwa firmy, adres, KRS), a gdy ma to zastosowanie – również o danych swojego przedstawiciela; 
  • danych kontaktowych inspektora ochrony danych, jeżeli takiego posiada; 
  • celach oraz podstawach prawnych przetwarzania zebranych danych osobowych; 
  • prawnie uzasadnionym interesie (administratora lub strony trzeciej), jeżeli stanowi on podstawę prawną przetwarzania; 
  • obiorcach danych lub ich kategoriach; 
  • zamiarze przekazania zebranych danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeżeli planuje on takie przekazanie. 

Dodatkowo, aby zapewnić rzetelność i przejrzystość przetwarzania, administrator musi podać także informacje o: 

  • okresach przechowywania danych osobowych; 
  • prawach, jakie przysługują osobom, których dane dotyczą i których są przetwarzane; 
  • niezbędności podania danych osobowych oraz możliwych konsekwencjach ich niepodania; 
  • podejmowaniu decyzji opartych na zautomatyzowanym przetwarzaniu, w tym profilowaniu. 
Jaka forma obowiązku informacyjnego?

Przepisy prawa nie określają bezpośrednio, w jakiej formie administrator musi spełnić obowiązek informacyjny. Administrator może zdecydować się np. na zamieszczenie oddzielnych obowiązków informacyjnych dla każdej sytuacji, w której zbiera on dane osobowe. Zastosowanie polityki prywatności stanowi jednak ułatwienie, zarówno dla administratora jak i podmiotu danych. Dzięki któremu wszystkie informacje związane z przetwarzaniem danych osobowych są zawarte w jednym miejscu. Niezależnie jednak od tego, jaką opcję wybierze administrator, musi on udostępnić wskazane wyżej informacje podczas pozyskiwania danych osobowych od osoby, której te dane dotyczą. 

Co, jeśli administrator nie udostępni takich informacji? 

Jeśli jednak administrator uznałby, pomimo pozyskiwania danych osobowych za pośrednictwem swojej strony internetowej, że nie będzie on udostępniał tych informacji swoim podmiotom danych– będzie to stanowiło naruszenie przepisów o ochronie danych osobowych. Tak samo będzie w przypadku, kiedy osoba, której dane dotyczą, musiałaby wnosić opłatę w zamian za dostęp do polityki prywatności lub innego dokumentu zawierającego wskazane w artykule informacje dotyczące przetwarzania jej danych osobowych. 

W takiej sytuacji przysługuje nam prawo do wniesienia skargi do PUODO. Co może skutkować wszczęciem postępowania wyjaśniającego lub kontroli względem administratora. W przypadku stwierdzenia naruszenia Prezes UODO może zastosować środki naprawcze, np. udzielić administratorowi danych upomnienia lub też nałożyć administracyjną karę pieniężną za naruszenie przepisów o ochronie danych osobowych. Wysokość kary może sięgać do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa za poprzedni rok, przy czym zastosowanie ma kwota wyższa. 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *