Przedsiębiorca, który pobiera dane osobowe od użytkowników internetu wchodzących na stronę jego firmy, ma obowiązek zamieszczenia na niej polityki prywatności. Musi to zrobić najpóźniej w momencie ich zbierania. Celem tego dokumentu jest przekazanie użytkownikom informacji wymaganych przez RODO.
- W praktyce trudno wyobrazić sobie stronę internetową, na której nie dochodzi do przetwarzania danych, choćby w ramach formularzy kontaktowych, obsługi zamówień ze sklepu internetowego lub plików cookies, więc zasadniczo prawie na każdej witrynie powinna znaleźć się polityka prywatności – uważa Jakub Kozioł, adwokat prowadzący własną kancelarię.
Prosto i konkretnie
Od czego zacząć tworzenie tego dokumentu?
- W pierwszej kolejności należy zastanowić się nad tym, jakie funkcjonalności posiada e-sklep. Przykładowo, czy utworzono program lojalnościowy, czy prowadzona jest wysyłka newslettera, który również należy uwzględnić w polityce prywatności. Częstą negatywną praktyką przedsiębiorców jest bezrefleksyjne przeklejanie dokumentów z innych sklepów, co oprócz oczywistych problemów natury prawnej prowadzi również do błędnego informowania na temat funkcji, których dany sklep nie posiada – zwraca uwagę adwokat.
W treści polityki prywatności należy wskazać przede wszystkim dane kontaktowe przedsiębiorcy i informacje na temat inspektora ochrony danych - jeśli taki został wyznaczony. Sprzedający musi powiadomić potencjalnych klientów również o podstawie prawnej, celach i czasie przetwarzania ich danych osobowych oraz o kategoriach odbiorców tych informacji. Co jeszcze e-sklep powinien zamieścić w polityce prywatności? Musi powiadomić użytkowników strony o zamiarze - jeśli ma to w planach - przekazania ich danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Poza tym polityka prywatności powinna zawierać informacje na temat praw przysługujących potencjalnym klientom, np. prawa żądania od administratora dostępu do ich danych osobowych. W dokumencie tym sklep ma obowiązek powiadomienia użytkowników strony o tym, że mogą żądać sprostowania, usunięcia lub ograniczenia przetwarzania ich danych osobowych. O czym jeszcze przedsiębiorca musi poinformować odwiedzających jego sklep? Na przykład o tym, że mogą wnieść sprzeciw wobec przetwarzania ich danych osobowych.
Sprzedający może, ale nie musi zamieszczać w treści tego dokumentu informacje o plikach cookies, czyli tzw. ciasteczkach, w którym powiadamia o stosowanych narzędziach śledzących. Jeśli nie zdecyduje się na taki krok, powinien stworzyć oddzielna politykę cookies.
- Zasadniczo polityka prywatności stanowi odrębny dokument od regulaminu, ale prawo nie zakazuje tego, aby była jego częścią. Należy natomiast zwrócić szczególną uwagę na to, czy przekazywane informacje będą przejrzyste dla osoby, której dotyczą dane. Jest to ważne zwłaszcza w przypadku rozbudowanych kilkudziesięciostronicowych regulaminów. Należy pamiętać o treści art. 12 RODO, zgodnie z którym administrator powinien przekazać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Warto zastosować również tzw. warstwowe obowiązki informacyjne, rekomendowane przez Europejską Radę Ochrony Danych, które mają na celu uniknięcie przeładowania wiadomościami – komentuje Karol Witas, inspektor ochrony danych w firmie Flatte Management.
Poznaj program konferencji "Digital Customer Experience '24", 28 maja 2024, Warszawa >>
Ignoranci słono zapłacą
Przedsiębiorcy nie powinni bagatelizować ciążących na nich obowiązków. Konsekwencje, jakie może ponieść właściciel sklepu, który pomimo pobierania danych użytkowników internetu nie publikuje na swojej stronie polityki prywatności, mogą być dotkliwe. Wśród nich wymienić należy sankcje nakładane przez Prezesa Urzędu Ochrony Danych Osobowych.
- Naruszenie obowiązków wskazanych w art. 13 i 14 RODO potencjalnie może skutkować nałożeniem na przedsiębiorcę kary administracyjnej w wysokości do 20 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Warto podkreślić, że pierwsza kara w Polsce nałożona za naruszenie RODO [w sprawie Bisnode – przyp. red.] dotyczyła właśnie naruszenia obowiązków informacyjnych administratora – informuje Jakub Kozioł.
Poza tym działania przedsiębiorcy naruszające zbiorowe interesy konsumentów mogą zainteresować również Urząd Ochrony Konkurencji i Konsumentów. Warto mieć na uwadze, że jeśli sprzedający będzie przetwarzał dane klientów bez podstawy prawnej, mogą oni wystąpić z powództwem do sądu o odszkodowanie lub zadośćuczynienie.