Polityka prywatności to dokument, który warto, aby każdy przedsiębiorca miał na stronie ofertowej/stronie usługi/serwisu etc. Celowo jednak piszę, że warto dlatego, że nie ma prawnego obowiązku, aby go umieszczać w charakterze odrębnego dokumentu. Jest to jednak dobra praktyka, aby pomiędzy zakładką „Regulamin”, a zakładką „Kontakt” pojawiła się Polityka Prywatności. Świadczy to bowiem o transparentności serwisu i Twojej przyjazności dla Użytkowników.
Polityka Prywatności to nie Regulamin
Polityka Prywatności jest pewnym rozwinięciem pkt. Ochrona danych osobowych/ Dane osobowe etc. zapisanego w Regulaminie. Dlatego fakt, że posiadamy Politykę Prywatności nie zwalnia nas z obowiązku umieszczenia w Regulaminie odpowiednich adnotacji związanych z zasadami przetwarzania danych osobowych przez Administratora Danych (czyli przez Twoją organizację – np. spółkę) m.in. co do zakresu i celu przetwarzania danych osobowych, prawie dostępu, poprawienia danych i ich usunięcia. Warto wskazać, że w Polityce Prywatności piszemy nie tylko o przetwarzaniu danych osobowych, ale także o przetwarzaniu innych danych.
Jakich?
Z pomocą przychodzi art. 173 ust.1 ustawy z dnia 16 lipca 2004r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 z późn. zm., dalej jako ustawa), który już za 6 dni wchodzi w życie:
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego […]
Informacjami tymi najczęściej będą oczywiście cookies – wszystkie ich rodzaje, czyli nie tylko te śledzące aktywność Użytkownika (na gruncie znowelizowanych przepisów prawa telekomunikacyjnego tzw. cookies techniczne nie są przedmiotem zainteresowań).
Mechanizm ciasteczek (czyli niewielkich wiadomości tekstowych wysyłanych przez serwer WWW i zapisywanych po stronie Użytkownika) jest wykorzystywany przez wiele aplikacji i systemów CMS (CMS – System do Zarządzania Treścią jak np. WordPress, Joomla czy dedykowane rozwiązanie). Zasadniczo sprzyja on spersonalizowaniu wyświetlanej strony lub/i budowania jej statystyk, ale także pozwala na szybsze ładowanie się stron internetowych. Właściwie ciężko wyobrazić sobie dzisiaj stronę jakiegokolwiek serwisu internetowego/strony firmowej etc. gdzie brak byłoby aplikacji wykorzystujących ciasteczka.
Cookies zawierają różne informacje, a najbardziej interesujące to te, które pozwalają na przeanalizowanie historii przeglądania na stronie czy aktywności Użytkownika w Internecie. Przy czym warto w tym miejscu zwrócić uwagę, że cookies nie będą dla Ciebie, co do zasady, zawierały danych osobowych (inaczej sytuacja będzie się przedstawiać np. z punktu widzenia operatora, dostawcy sieci czy dostawcy usługi, który po danym adresie IP identyfikuje klienta detalicznego). Cookies dotyczą zatem znacznie szerszego problemu jakim jest ochrona prywatności. I właśnie po to mamy Politykę Prywatności, aby uregulować w tym dokumencie wszystkie istotne z punktu widzenia Użytkownika informacje związane z ochroną jego prywatności. *Obowiązek informacyjny dotyczący cookie wprowadzony nowelizacją prawa telekomunikacyjnego i obowiązujący od 22 marca 2013r. może być realizowany właśnie poprzez posiadanie dokumentu jakim jest “Polityka Prywatności i Cookies” albo o innej właściwej nazwie.
Polityka Prywatności – filary
Budowa Polityki Prywatności może być różna. Osobiście lubię stosować wyróżnienia w tekście oraz przyjazne dla Użytkownika grafiki. Dokument ten powinien być przyjazny, czytelny i zrozumiały. Jeśli strona jest szyfrowana to uważam, że warto wskazać to Użytkownikowi we wstępie oraz np. dołączyć logotyp (tzw. pieczęć) certyfikatu zabezpieczającego.
Gdybym miała wyróżnić bazę wyjściową przy sporządzaniu Polityki Prywatności to wskazałabym na pięć podstawowych filarów:
Większość danych o naszym Użytkowniku jest zbierana automatycznie, czyli z chwilą jego wejścia na stronę. Oczywiście należy wyraźnie opisać mechanizmy przetwarzania danych w Polityce Prywatności, w tym automatyczny sposób przetwarzania niektórych informacji i rodzaje cookies. Najwięcej problemów przysparzać może interpretacja art. 5 (3) dyrektywy 2002/58/WE e-privacy, która zakłada uzyskanie zgody od Użytkownika w przypadku zbierania danych. Akurat na gruncie polskiego prawa, w art. 173 ust. 2 ustawy zgoda przybrała formę systemu opt-out czyli przyjęcia, że abonent lub użytkownik końcowy może ją wyrazić za pomocą ustawień w przeglądarce. Oczywiście o możliwości konfiguracji ustawień należy poinformować w Polityce Prywatności. Dobrze jest też wskazać czy serwis będzie działał, gdy obsługa plików cookie będzie wyłączona.
Więcej o tym kompromisowym rozwiązaniu udzielanej zgody z poziomu przeglądarki (dzięki, któremu nie musisz się martwić wyskakującymi okienkami) możesz przeczytać w rozmowie z Generalnym Inspektorem Ochrony Danych Osobowych – dr Wojciechem Wiewiórowskim.
Autor grafiki promującej wpis: Artua