MWP Misja Wizja Plan

Polityka prywatności to kluczowy dokument informacyjny określający zasady gromadzenia, przetwarzania i ochrony danych osobowych użytkowników witryny. Realizuje ona obowiązek informacyjny wynikający z RODO, jasno wskazując: jakie dane są zbierane, w jakim celu i na jakiej podstawie prawnej, komu mogą być ujawniane, jak długo są przechowywane oraz jakie prawa przysługują osobom, których dane dotyczą.

Przeczytasz tutaj: [pokaż spis treści]

Choć formalnie nie każdy serwis musi posiadać dokument o tej nazwie, w praktyce jest on niezbędny wszędzie tam, gdzie przetwarzane są jakiekolwiek dane osobowe użytkowników, klientów lub osób zainteresowanych.

Pojęcie i istota polityki prywatności

Polityka prywatności to dokument publikowany na stronie internetowej, który wyjaśnia użytkownikom, jakie dane osobowe są zbierane oraz w jaki sposób i w jakich celach są wykorzystywane. To przejrzysty zestaw informacji, które administrator danych ma obowiązek przekazać osobom, których dane dotyczą.

W polskim systemie prawnym rozróżnia się politykę prywatności (dokument zewnętrzny) od polityki ochrony danych (dokument wewnętrzny). Polityka prywatności adresowana jest do użytkowników i służy transparentności, natomiast polityka ochrony danych reguluje wewnętrzne procedury bezpieczeństwa administratora.

Ramy prawne polityki prywatności

Przepisy nie nakładają wprost obowiązku publikacji dokumentu o nazwie „Polityka prywatności”. RODO oraz polska ustawa o ochronie danych osobowych określają natomiast obowiązek informacyjny, który można zrealizować na różne sposoby, w tym najwygodniej poprzez politykę prywatności.

W momencie pozyskiwania danych administrator musi przekazać osobie szczegółowe informacje o przetwarzaniu (np. poprzez klauzulę informacyjną). Dodatkowo przepisy dotyczące łączności elektronicznej (w tym dyrektywa 2002/58/WE i krajowe regulacje) nakładają obowiązki informacyjne w zakresie plików cookies. Często także dostawcy narzędzi (np. Google, Meta) wymagają posiadania polityki prywatności jako warunku korzystania z usług.

Czy polityka prywatności jest obowiązkowa?

To zależy od funkcjonalności strony. Jeśli witryna wyłącznie prezentuje treści i nie zbiera danych, formalnego wymogu publikacji polityki nie ma. Obowiązek informacyjny powstaje, gdy tylko zaczynasz przetwarzać dane osobowe użytkowników.

Obowiązek publikacji informacji pojawia się, gdy strona korzysta m.in. z następujących rozwiązań:

  • formularze kontaktowe i rejestracja konta,
  • newsletter i komunikacja marketingowa,
  • pliki cookies oraz podobne technologie,
  • narzędzia analityczne (np. Google Analytics),
  • moduły płatności i realizacja zamówień,
  • wtyczki społecznościowe i reklama behawioralna.

Polityka prywatności ułatwia administratorowi zebranie zasad w jednym miejscu, a użytkownikom – szybkie zrozumienie, co dzieje się z ich danymi.

Obowiązkowe elementy polityki prywatności

Zakres informacji wynika przede wszystkim z art. 13 RODO i powinien być przekazany prostym językiem, w łatwo dostępnym miejscu (najlepiej w stopce).

Tożsamość i dane kontaktowe administratora

Polityka musi jasno wskazywać administratora danych (np. właściciel serwisu, spółka prowadząca e‑sklep) oraz pełne dane kontaktowe: nazwę, siedzibę, adres korespondencyjny, telefon i e‑mail.

Jeżeli powołano inspektora ochrony danych (IOD), w polityce należy podać jego dane kontaktowe. IOD jest punktem kontaktu dla osób, których dane dotyczą.

Cele przetwarzania i podstawy prawne

Wskaż konkretne cele przetwarzania danych (np. realizacja zamówień, obsługa zapytań, rozliczenia, marketing) i przypisz do nich właściwe podstawy prawne.

RODO przewiduje sześć głównych podstaw przetwarzania danych:

  • zgoda osoby, której dane dotyczą,
  • wykonanie umowy lub działania przedumowne,
  • wypełnienie obowiązku prawnego,
  • ochrona żywotnych interesów osoby,
  • wykonanie zadania w interesie publicznym lub w ramach władzy publicznej,
  • prawnie uzasadniony interes administratora.

Nie nadużywaj „zgody”, gdy właściwą podstawą jest np. wykonanie umowy czy obowiązek prawny. Przykład: przetwarzanie danych do realizacji zamówienia opiera się na art. 6 ust. 1 lit. b RODO.

Kategorie zbieranych danych osobowych

W polityce jasno wymień, jakie dane są zbierane zarówno bezpośrednio, jak i automatycznie. Najczęściej przetwarzane kategorie to:

  • imię i nazwisko,
  • adres e‑mail,
  • numer telefonu,
  • adres zamieszkania,
  • data urodzenia,
  • informacje o działalności zawodowej,
  • historia zakupów,
  • adres IP,
  • identyfikatory plików cookies,
  • dane zbierane automatycznie (identyfikatory sesji, logi serwera, informacje o zachowaniu na stronie).

Zasada minimalizacji z art. 5 RODO nakazuje zbierać wyłącznie dane niezbędne do realizacji celu.

Odbiorcy danych osobowych

Wskaż kategorie odbiorców, którym dane mogą zostać ujawnione (np. hosting, dostawcy analityki, biuro rachunkowe, firmy kurierskie). Jeśli dochodzi do transferu poza EOG, opisz podstawę i zabezpieczenia.

Okres przechowywania danych

Artykuł 5 RODO wprowadza zasadę ograniczenia przechowywania – przechowuj dane tylko tak długo, jak to niezbędne do realizacji celu, lub wskaż kryteria ustalania okresu.

Przykład: dane zakupowe – do realizacji umowy i obsługi reklamacji, a następnie dłużej w zakresie wymaganym przez przepisy rachunkowe/archiwalne.

Prawa osób, których dane dotyczą

RODO przyznaje użytkownikom szereg praw. Poniżej ich przegląd i wskazówki, jak je realizować:

  • dostępu – prawo do uzyskania kopii danych i informacji o przetwarzaniu;
  • sprostowania – poprawianie danych nieprawidłowych lub niekompletnych;
  • usunięcia – tzw. „prawo do bycia zapomnianym” w określonych przypadkach;
  • ograniczenia przetwarzania – czasowe wstrzymanie operacji na danych;
  • sprzeciwu – wobec przetwarzania opartego na prawnie uzasadnionym interesie lub dla celów marketingu bezpośredniego;
  • przenoszenia danych – otrzymanie danych w ustrukturyzowanym formacie lub przekazanie ich innemu administratorowi;
  • niepodlegania decyzjom zautomatyzowanym – w tym profilowaniu wywołującemu skutki prawne lub podobnie istotne;
  • wniesienia skargi – do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w razie naruszeń.

W polityce wskaż kanał kontaktu (np. dedykowany e‑mail) oraz prostą procedurę realizacji żądań.

Informacje o plikach cookies

Od listopada 2024 roku polityka prywatności powinna szczegółowo opisywać stosowanie cookies zgodnie z ustawą Prawo komunikacji elektronicznej. W szczególności opisz:

  • Rodzaje używanych plików cookies – pliki sesyjne, stałe, własne (first party) oraz stron trzecich (third party);
  • Cel wykorzystywania – personalizacja treści, zapamiętywanie preferencji, analityka ruchu, reklama kierowana;
  • Sposób blokowania i usuwania – instrukcje zmiany ustawień przeglądarki i zarządzania zgodami;
  • Czas przechowywania – np. usuwanie cookies sesyjnych po zamknięciu przeglądarki, a stałych po 12 miesiącach.

Informacje o profilowaniu

Jeśli prowadzisz profilowanie (zautomatyzowaną analizę danych w celu oceny preferencji, zachowań czy zainteresowań), polityka powinna precyzyjnie opisywać ten proces. W szczególności wskaż:

  • Kryteria profilowania – jakie dane i w jaki sposób wykorzystujesz do budowy profilu;
  • Cel profilowania – np. personalizacja treści, dobór reklam, automatyczne rekomendacje;
  • Konsekwencje – potencjalny wpływ na użytkownika;
  • Prawa użytkownika – sprzeciw wobec profilowania i prawo do interwencji człowieka.

Profilowanie wywołujące skutki prawne lub istotnie wpływające na użytkownika wymaga dodatkowych zabezpieczeń i często DPIA.

Bezpieczeństwo i zabezpieczenie danych

Administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO). Przykładowe mechanizmy to:

  • Szyfrowanie danych – podczas transmisji i przechowywania;
  • Kontrola dostępu – dostęp wyłącznie dla upoważnionych osób;
  • Kopie zapasowe – regularne backupy i testy odtworzeniowe;
  • Monitoring i testowanie – bieżąca ocena skuteczności zabezpieczeń;
  • Procedury bezpieczeństwa – instrukcje i polityki wewnętrzne;
  • Umowy z podmiotami trzecimi – wymagania bezpieczeństwa dla dostawców i pracowników.

Forma i dostępność polityki prywatności

Polityka powinna być napisana prostym, zrozumiałym językiem i zaprezentowana w łatwo dostępny sposób.

W praktyce warto zadbać o cztery aspekty dostępności i prezentacji polityki:

  • Umiejscowienie na stronie – stały link w stopce, odnośniki w formularzach, w oknie zgód cookies, przy rejestracji;
  • Forma dokumentu – treść na stronie WWW lub plik PDF dostępny z poziomu serwisu;
  • Odrębny dokument czy z regulaminem – dopuszczalne połączenie, ale pamiętaj o niezależnych zmianach i czytelności;
  • Bezpłatny dostęp – dokument musi być dostępny bez żadnych opłat.

Różnica między polityką prywatności a polityką ochrony danych

Polityka prywatności to dokument zewnętrzny, kierowany do użytkowników – zapewnia przejrzystość i informuje, co dzieje się z ich danymi.

Polityka ochrony danych to dokument wewnętrzny – opisuje procedury, środki bezpieczeństwa, reakcję na incydenty i realizację praw w organizacji. Nie musi być publikowana i może stanowić tajemnicę przedsiębiorstwa. Wymóg rozliczalności z art. 5 RODO oznacza, że administrator musi wykazać zgodność przetwarzania z prawem.

Praktyczne wskazówki dotyczące tworzenia polityki prywatności

Przed przygotowaniem dokumentu przeanalizuj procesy na stronie i w firmie. Pomogą w tym poniższe pytania:

  1. Jakie dane zbiera moja strona? – zidentyfikuj wszystkie źródła: formularze, cookies, analityka;

  2. Do jakich celów zbieramy dane? – zdefiniuj cele: realizacja zamówień, newsletter, personalizacja;

  3. Jaka jest podstawa prawna? – zgoda, umowa, obowiązek prawny, interes publiczny lub uzasadniony interes;

  4. Komu przekazujemy dane? – pracownicy, dostawcy IT, logistyka, księgowość i inni odbiorcy;

  5. Jak długo przechowujemy dane? – określ okresy lub kryteria dla poszczególnych kategorii;

  6. Jakie cookies i narzędzia stosujemy? – wskaż technologie i podstawy przetwarzania;

  7. Czy profilujemy dane? – jeśli tak, opisz podstawy, kryteria i konsekwencje.

Nawet korzystając z szablonu, dostosuj treść do specyfiki działalności, procesów i narzędzi wykorzystywanych w serwisie.

Aktualizacja polityki prywatności

Politykę trzeba regularnie weryfikować i aktualizować – szczególnie po zmianach prawa lub wdrożeniu nowych narzędzi i odbiorców danych. Przykładowo wejście w życie Prawa komunikacji elektronicznej w listopadzie 2024 r. wymagało doprecyzowania kwestii zgód marketingowych i cookies.

Jeśli zmiany istotnie wpływają na przetwarzanie, poinformuj użytkowników i – gdy to konieczne – uzyskaj nową zgodę.

Konsekwencje braku lub nieprawidłowej polityki prywatności

Brak lub wadliwa polityka oznacza naruszenie obowiązku informacyjnego i ryzyko skarg do Prezesa UODO, kontroli oraz środków naprawczych.

Kary administracyjne za naruszenia obowiązków informacyjnych mogą sięgać do 20 mln euro lub 4% światowego rocznego obrotu – w zależności od tego, która kwota jest wyższa.