Dane osobowe to temat wiążący się  z niemal każdym przedsięwzięciem internetowym i nie tylko. Bez względu, czy będzie to sklep internetowy, serwis internetowy, blog, forum, czy nawet zwykły newsletter zawsze będzie wiązał się z tematyką danych osobowych i ich  ochroną. W związku z dosyć głośnym w ostatnich latach Rozporządzeniem UE – tzw. RODO, tematyka ochrony danych osobowych stała się jeszcze istotniejsza dla osób prowadzących jakąkolwiek formę działalności w Internecie. Wyrazem stosowania takiej ochrony ze strony usługodawcy jest m.in. przygotowanie i opublikowanie na stronie internetowej polityki prywatności.

 

Czym jest polityka prywatności i co powinna zawierać

 

Polityka prywatności to dokument informacyjny przedstawiający zasady przetwarzania i ochrony danych osobowych w danym np. serwisie, czy też sklepie internetowym. Zazwyczaj polityka prywatności stanowi odrębny od regulaminu dokument, a niekiedy jest częścią regulaminu. Oba rozwiązania zdają się być prawidłowe, aczkolwiek z naszej strony zalecamy zawsze wydzielenie tej części do osobnego dokumentu, gdyż jest to nie tylko bardziej czytelne, ale też związane z charakterem, jaki niosą za sobą te dwa dokumenty.

Podstawową różnicą między regulaminem, a polityką prywatności jest to, że regulamin stanowi wzorzec umowy, a polityka prywatności jedynie dokument informacyjny, tj. zbiór informacji i oświadczeń administratora wskazujących sposób i zasady przetwarzania danych osobowych. Konsekwencją tego jest np. to, że regulamin może podlegać kontroli pod kątem klauzul niedozwolonych, a polityka prywatności co do zasady nie. Piszemy co do zasady, gdyż samo nadanie nazwy „polityki prywatności” dokumentowi nie powoduje że nie będzie to wzorzec umowy a zawarte w nim postanowienia nie będą mogły stanowić klauzule niedozwolone – świadczy o tym chociażby jeden z wpisów w rejestrze klauzule niedozwolonych prowadzonym przez Prezesa UOKiK zamieszczony pod numerem 5482:

„Zastrzegamy sobie prawo do zmian w naszej polityce prywatności. Osoby odwiedzające nasz sklep obowiązuje zawsze aktualnie obowiązująca jej wersja, dostępna na tej stronie”

Ze względu na fakt, iż Polska jest częścią Unii Europejskiej, wspomniane RODO ma zastosowanie w Polsce wprost. Znaczy to tyle, że do jego stosowania nie są potrzebne żadne dodatkowe, polskie ustawy.

W związku z powyższym, Rozporządzenie to nakłada na osoby przetwarzające dane osobowe (tzw. administratorów danych osobowych) liczne obowiązki informacyjne w sposób bezpośredni, których spełnienie jest obowiązkowe i obwarowane bardzo wysokimi karami (więcej informacji w o samym RODO – tutaj). Dokumentem, który spełnia nakładane na administratorów danych osobowych obowiązki jest właśnie polityka prywatności

Administrator danych osobowych powinien informować w polityce prywatności przede wszystkim o:

  1. Danych identyfikujących administratora danych osobowych (nazwa firmy bądź nazwa, pod którą osoba prowadząca jednoosobową działalność ją prowadzi, adres, NIP, dane kontaktowe itp.)
  2. Informacje o inspektorze ochrony danych osobowych (o ile powołano taką osobę)
  3. Identyfikacja procesów przetwarzania danych osobowych oraz podstaw prawnych i wynikających z tych podstaw obowiązków administratora (w skrócie jakie dane, w jakich celach, na jakich podstawach. przez jak długo przetwarzamy)
  4. Określenie odbiorców danych osobowych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia)
  5. Informacje o profilowaniu (o ile występuję)
  6. Prawa osób, których dane dotyczą (zapewniamy możliwość korzystania np. z tzw. „prawa do bycia zapomnianym”)
  7. Pliki cookies (tzw. „ciasteczka”), czyli pliki umożliwiające analitykę zachowań użytkownika np. serwisu czy strony oraz umożliwiające dostosowanie jej treści do konkretnego odbiorcy (cele, okres przechowywania czy ich dostawca)

Powyższe elementy to często kręgosłup polityki prywatności, która jest już później dopasowywana do danego serwisu, w szczególności w zakresie celów zbierania danych oraz odbiorcach i kategoriach odbiorców danych osobowych.

Pliki cookies zdają się być dla osoby niezaznajomionej z technicznymi aspektami prawa nowych technologii czymś enigmatycznym Jest to jednak bardzo proste i przydatne narzędzie, które umożliwia dostawcom takich usług jak portale społecznościowe, strony fora, serwisy czy blogi, dostosowanie swojej treści do konkretnego odbiorcy, a co za tym idzie, umożliwienie obu stronom znalezienia tego czego szukają – użytkownikowi treści, a usługodawcy zysku.

Pliki cookies, ze względu na swoją specyfikę, zostały w sposób szczególny uregulowane na poziomie krajowym i unijnym. Poniżej przedstawimy kilka prawnych aspektów dot. Plików cookies i ich miejsca w polityce prywatności

 

Czym jest polityka plików Cookies i co powinna zawierać

 

Obowiązki w zakresie plików Cookies wynikają z art. 173 Prawa Telekomunikacyjnego z dnia 16 lipca 2004 r. (Dz.U. Nr 171, poz. 1800 ze zm.). W zasadzie każdy serwis internetowy, czy sklep internetowy stosuje pliki Cookies, część z nich jest niezbędna do funkcjonowania serwisu/sklepu, część natomiast wspomaga usługodawcę przy np. kierowaniu do użytkowników odpowiednio dopasowanej treści, o czym była mowa powyżej.

W związku z tym usługodawca powinien zidentyfikować pliki Cookies używane w swoim serwisu lub sklepie internetowym, zamieścić informację dot. używanych plików Cookies w formie np. polityki Cookies oraz prawidłowo poinformować użytkowników swojej strony o  o stosowanych plikach Cookies.

Informacja w powyższym zakresie może być zamieszczone np. w polityce prywatności albo jako odrębny dokument informacyjny. Pod kątem prawnym polityka Cookies ma te same cechy co polityka prywatności, różni się jedynie celem i zakresem zawartych w niej informacji. Na podstawie lat praktyki i specjalizacji w zakresie tworzenia polityk prywatności jak i regulaminów, przyjęliśmy koncepcje umieszczenia tych informacji w polityce prywatności. Dla każdego użytkownika, który już „na wejściu” na stronę internetową „bombardowany” jest licznymi komunikatami i dokumentami, taka praktyka jest naszym zdaniem najbardziej czytelna dla każdego, przeciętnego użytkownika.

Co istotne, sam fakt zamieszczenia informacji o stosowanych plikach cookies nie zwalnia nas z dodatkowego obowiązku informacyjnego, wynikającego bezpośrednio z art. 173 ust 1 wspomnianego już aktu prawnego jakim jest Prawo Telekomunikacyjne. Zgodnie z tym przepisem, każda strona wykorzystująca „ciasteczka” ma obowiązek w sposób jasny i widoczny poinformować użytkownika o stosowaniu tego mechanizmu oraz możliwości blokady jego stosowania poprzez użycie właściwej funkcji w swojej przeglądarce internetowej. Stąd też, na wielu stronach pojawia się niekiedy dosyć obszerny i nie znikający, do momentu kliknięcia odpowiedniego pola akcji, komunikat „cookies”.

 

Jakie są zagrożenia związane z brakiem polityki prywatności albo Cookies

 

Prawidłowe informowanie o sposobie, zasadach, celach przetwarzania danych osobowych oraz o plikach Cookies to przede wszystkim wyraz dbałości usługodawcy o bezpieczeństwo i prywatność użytkowników odwiedzających sklep internetowy.

Niemniej jednak zarówno przepisy RODO, jak i przepisy Prawa telekomunikacyjnego nakładają określone sankcje za niespełnienie obowiązków w tym zakresie. W przypadku RODO, nie spełnienie wynikających z tego aktu obowiązków bądź też niedopełnienie obowiązków „bezpieczeństwa” przetwarzanych danych może skutkować karą do aż 20 mln EURO lub do 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego.

W przypadku plików Cookies jest to ryzyko poniesienia kary pieniężnej w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.

Braki informacyjne w tym zakresie mogą być również podstawą do uznania przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów takiego postępowania za naruszenie zbiorowych interesów konsumentów, z czym wiążę się z kolei ryzyko nałożenie kary pieniężnej w wysokości do 10% przychodów za poprzedni rok rozliczeniowy.