Być może Cię zaskoczę, ale RODO nic nie mówi o takim dokumencie jak Polityka prywatności. Dlaczego? Bo Polityka prywatności to nazwa, która przyjęła się po prostu w praktyce, ale w rzeczywistości stanowi ona klauzulę informacyjną. Tak, taką samą jak chociażby klauzule, które otrzymujesz “w papierze”, gdy na przykład zawierasz jaką umowę lub pierwszy raz jesteś u lekarza.

Po co są w ogóle te klauzule?

Tam, gdzie mamy do czynienia z danymi osobowymi wchodzą nam obowiązki informacyjne, które nakłada na nas (sprzedawców, przedsiębiorców) RODO. O jakie informacje chodzi? 

• tożsamość i dane kontaktowe
• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
• cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
• jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
• jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) RODO- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
• informacje o prawie wniesienia skargi do organu nadzorczego;
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

UFF.

Dlaczego musisz wszędzie linkować Politykę prywatności?

Znaczy, nic nie musisz, ale uwierz mi, że chcesz. Już tłumaczę. Stosowanie polityki prywatności pomoże nam realizować obowiązek informacyjny warstwowo. Jeśli nie będziesz linkować Polityki prywatności (razem z tzw. pierwszą warstwą informacyjną) tam, gdzie użytkownik lub klient podaje Ci dane – powinnaś od razu np. przy formularzu zamówienia wkleić całą klauzulę informacyjną zawierającą elementy, o których mówiłam powyżej.

To jednak nie jest rozwiązanie nie tylko dlatego, że fizycznie pewnie nie zmieściłoby Ci się to, ale sprawiłoby to ponadto, że użytkownik ma problem ze skorzystaniem z usługi, której żąda a informacja jest nieczytelna. To powoduje niezgodność z RODO takiej informacji = bardzo niedobrze. Ok. Czyli właściwie wracamy do punktu wyjścia, bez Polityki prywatności ani rusz.

Ustaliliśmy już, że linkowanie tej Polityki wszędzie tam, gdzie zbierane są dane po prostu ułatwia nam realizację obowiązków informacyjnych z RODO.

Jakie częste błędy zawierają Polityki prywatności?

1. ogólne wskazanie, że dane będą przetwarzane w celu realizacji umowy (niewiadomo jakiej)
2. ogólne wskazanie, że dane będą przetwarzane w celu marketingowym (czyli nadal niewiadomo jak, użytkownik nie wie czy to oznacza, że zostanie do niego wysłana ulotka pocztą, czy jakim kanałem ten marketing miałby do niego trafić)
3. ogólne wskazanie, że administrator posiada prawnie uzasadniony interes do przetwarzania danych – bez wskazania o jaki interes chodzi
4. ogólne wskazanie, że dane będą przetwarzane w celu realizacji obowiązku prawnego – bez wskazania o jaki obowiązek chodzi i jaka jest jego podstawa prawna
5. wskazywanie, że odbiorcą danych mogą być np. sądy
6. brak wskazania podstawy prawnej przekazania danych poza EOG (np. korzystasz z Manychat)
7. brak podania informacji o uzgodnieniach współadministratorów (np. profil na Instagramie, fanpage na Facebook)
8. informowanie o nieistotnych elementach (np. opisywanie z nazwy wszystkich podprocesorów  Manychat) 
9. opisywanie, że informacje nie podlegają zautomatyzowanemu podejmowaniu decyzji wraz z szerokim opisem “w razie czego”, że dane mogą podlegać profilowaniu, ale innym niż mowa w art. 22 RODO (nie spełnia przesłanki przejrzystości)