Pierwsze kroki ze start-upem, czyli co z tą polityką prywatności

Czym jest polityka prywatności?

Polityka prywatności jest dokumentem, który określa jakie dane osobowe użytkowników odwiedzających dany serwis są gromadzone oraz przetwarzane przez operatorów witryny. Jest to więc nic innego jak element (często zasadniczy) realizacji obowiązków informacyjnych wynikających z RODO*, ciążących na administratorze danych osobowych.

Administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych.

Wszystkie te informacje zebrane są w jednym, łatwo dostępnym dla odwiedzających miejscu.

Czy zawsze trzeba zamieszczać politykę prywatności?

Nie każda strona internetowa wymaga umieszczenia polityki prywatności. Decyzja o tym, czy taki dokument powinien się znaleźć na stronie, zależy m.in. od tego, czy witryna przetwarza dane osobowe użytkowników. Jeśli serwis zawiera formularze kontaktowe, umożliwia zapisanie się do newslettera lub wykorzystuje narzędzia analityczne – wówczas sporządzenie takiego dokumentu staje się niezbędne. Należy pamiętać, że RODO wymaga m.in. jasnego określenia podstawy prawnej przetwarzania – w przypadku newslettera zazwyczaj zgody użytkownika (art. 6 ust. 1 lit. a RODO) lub uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Polityka prywatności pomaga bowiem wyjaśnić użytkownikom m.in. jakie ich dane są zbierane, w jakim celu oraz kto jest ich administratorem.

Fundamenty dobrej polityki prywatności

• Polityka prywatności może wydawać się prostym dokumentem, jednak jej opracowanie wymaga staranności. Zanim powstanie, warto dokładnie przeanalizować m.in.:
• funkcjonowanie strony;
• wykorzystywane na witrynie narzędzia;
• rodzaje gromadzonych danych osobowych; oraz
• cele ich przetwarzania (np. obsługa zgłoszeń i prowadzenie korespondencji).

To kluczowe, ponieważ rzetelna polityka prywatności powinna odzwierciedlać rzeczywiste praktyki administratora i spełniać wszystkie wymogi prawne.

Zasady tworzenia polityki prywatności

Polityka prywatności opiera się przede wszystkim na realizacji obowiązku informacyjnego ciążącego na administratorze. Jest on zrealizowany, gdy polityka prywatności zawiera wszystkie informacje wymagane przez art. 13 lub 14 RODO.

Polityka prywatności powinna więc zawierać m.in:

• informację o administratorze danych, w tym dane kontaktowe;
• wskazanie danych kontaktowych inspektora ochrony danych (IOD) – jeżeli został powołany;
• cele oraz podstawy przetwarzania danych;
• informację o odbiorcach danych – czyli podmiotach trzecich, którym dane są przekazywane, lub o ich kategoriach;
• wskazanie, czy dane są przekazywane poza Europejski Obszar Gospodarczy (EOG);
• informację o okresach przechowywania danych osobowych lub kryteriach ustalania tych okresów (co często stanowi wyzwanie dla start-upów);informację o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – jeżeli ma miejsce (art. 13 ust. 2 lit. f RODO);
• opis praw przysługujących osobie, której dane dotyczą, w tym prawa do wniesienia skargi oraz sposobu jej złożenia.

Przejrzystość i prostota jako główne wyznaczniki

Przy tworzeniu polityki właściciel strony internetowej powinien zadbać o to, aby dokument był czytelny i zrozumiały dla użytkownika (art. 12 RODO). Znaczenie ma zarówno sposób formułowania treści, jak i jej prezentacja graficzna. Trudno oczekiwać, że odbiorcy zapoznają się z dokumentem, jeśli będzie zapisany drobnymi literami, pozbawiony podziału na sekcje lub przedstawiony jako jednolity blok tekstu. Dobrym rozwiązaniem jest stosowanie wyraźnego kontrastu między czcionką a tłem oraz wprowadzanie śródtytułów, które ułatwiają odnalezienie poszczególnych informacji.

Jeżeli strona internetowa kierowana jest także do osób posługujących się innym językiem niż polski, warto udostępnić politykę prywatności również w tej wersji językowej. Dzięki temu dokument pozostanie zrozumiały i dostępny dla wszystkich użytkowników strony.

Dlaczego nie warto korzystać z AI do tworzenia polityki?

Choć narzędzia AI niezaprzeczalnie mogą być pomocne przy tworzeniu wstępnych koncepcji, nie powinny być wykorzystywane do przygotowywania dokumentu, który ma spełniać obowiązki informacyjne wynikające z RODO. Duże modele językowe bowiem:

• mogą opierać się na nieaktualnych informacjach prawnych, w tym nie uwzględniać ich szerszego kontekstu;
• często generują treści ogólne, niespójne albo zawierające elementy nieadekwatne do danej działalności (np. klauzule dotyczące automatycznego podejmowania decyzji, choć przedsiębiorstwo takich czynności nie stosuje);
• nierzadko komplikują dokument nadmiernie, co stoi w sprzeczności z wymogiem przejrzystości (art. 12 RODO);
• nie mają dostępu do informacji o gromadzonych przez przedsiębiorców danych osobowych i celach ich przetwarzania – a informacje te, jak zostało to już wyżej wspomniane, stanowią podstawę każdej polityki.

Dlaczego nie warto inspirować się dokumentami innych jednostek?

Każdy administrator przetwarza inne dane, w innych celach, na innych podstawach prawnych i w innym zakresie. Polityka prywatności nie posiada jednej uniwersalnej treści. Dokumenty skopiowane z innych stron:

• często opisują procesy, które w danym przedsiębiorstwie w ogóle nie mają miejsca, bądź pomijają te, które rzeczywiście zachodzą;
• nierzadko zawierają błędne podstawy prawne (są tworzone przez narzędzia AI lub osoby niekompetentne);
• nie realizują tak naprawdę obowiązku informacyjnego w sposób prawidłowy tj. nie zawierają informacji wymaganych przez art. 13 i 14 RODO;
• są chaotyczne lub zbyt obszerne (brak zgodności z art. 12 RODO).

W efekcie zamiast szybko „odhaczyć” obowiązek informacyjny przedsiębiorca naraża się na ryzyko istotnych naruszeń przepisów RODO. Naruszenia te mogą skutkować karami administracyjnymi do 20 mln EUR lub 4% globalnego rocznego obrotu przedsiębiorstwa, zgodnie z art. 83 RODO.

Polityka prywatności a polityka cookies

Warto pamiętać, że polityka prywatności często łączy się z polityką cookies. Zgodnie z art. 173 ust. 1 Prawa telekomunikacyjnego, wykorzystanie cookies analitycznych i marketingowych wymaga zgody użytkownika. Start-upy często mylą te dwa odrębne obowiązki informacyjne – wynikający z RODO oraz z przepisów o telekomunikacji. Dobrą praktyką jest wyjaśnienie użytkownikom zarówno kwestii przetwarzania danych osobowych, jak i wykorzystywania plików cookies.

Podsumowanie

Polityka prywatności wyjaśnia użytkownikom, jakie dane zbiera strona i w jakim celu, a jej zakres wynika przede wszystkim z przepisów RODO. Aby była rzetelna, musi opierać się na realnych danych i procesach ich przetwarzania, dlatego wymaga analizy działania witryny i stosowanych narzędzi.

Dokument powinien być prosty, przejrzysty i zawierać wszystkie obowiązkowe informacje. Tworzenie go przy pomocy AI lub inspirowanie się cudzymi politykami zwykle prowadzi do błędów i nie odzwierciedlenia rzeczywistych praktyk przedsiębiorstwa, co stwarza ryzyko naruszeń.

Stworzenie właściwej polityki prywatności bywa znacznie bardziej złożone, niż może się wydawać founderom, dlatego, dla gwarancji poprawności i bezpieczeństwa, dobrze jest powierzyć jej przygotowanie specjaliście.

* rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej jako: RODO.