Polityka prywatności i cookies

Nie, nie ozdobię tego wpisu zdjęciem ciastka jak 99,9% artykułów w internecie 🙂

Każdy użytkownik internetu zorientował się, że od jakiegoś czasu co druga strona www daje po oczach ostrzeżeniem o używaniu cookies. Coraz więcej webmasterów decyduje się na zamieszczenie na stronie polityki prywatności, która obejmuje zarówno kwestie cookies jak i inne kwestie prywatności i ochrony danych osobowych.

Ten wpis poświęcony jest kwestiom dokumentu nazywanego „polityka prywatności”. Jego kolejne odsłony dotyczyć będą polityki prywatności w przypadku świadczenia usług w internecie oraz konkretnie kwestii cookies.

HTTP Cookies piecze się ewidentnie na kukułczych jajach, bo strony, na które wchodzimy podrzucają nam te cookies do naszej przeglądarki, aby wykorzystać je przy następnym wejściu.

W obawie przed roszczeniami z tytułu naruszenia prywatności oraz odpowiedzialnością karną za naruszenie przepisów o ochronie danych osobowych coraz częściej prawidłowe opracowanie kwestii cookies i polityki prywatności zlecane jest prawnikowi. Uważam, że to słuszne. Są dwa ku temu powody: pierwszy, oczywisty jest taki, że prawnik powinien dobrze przygotować politykę cookies, ponieważ poruszą się sprawnie w przepisach, na których się to wszystko opiera. Jest to istotne, ponieważ w grę wchodzi odpowiedzialność karna właściciela strony, więc szablony stosowane na zasadzie „kopiuj-wklej” przez webmasterów mogą okazać się ryzykowne. Po drugie, dobre zrobiona i efektowna polityka prywatności pełni taką rolę jak opatrzony piękną pieczęcią certyfikat: robi wrażenie, wygląda profesjonalnie  i świadczy o dbałości o klienta.

Polityka prywatności – czy muszę ją mieć?

Nie. Nie musisz. Nie ma żadnego przepisu, z którego wynikał by obowiązek umieszczania takiego dokumentu na stronie. Jest to tylko zwyczaj, zasługująca na aprobatę dobra praktyka webmasterów. Właściwe pytanie brzmi zatem: czy powinieneś ją mieć? Tu odpowiedź jest, moim zdaniem, równie jednoznaczna: tak, jeśli prowadzisz stronę WWW, która zbiera jakiekolwiek dane osobowe użytkowników, to powinieneś ją mieć ze względów, o których napisałem wyżej. Po pierwsze załatwisz kilka spraw, których wymaga od Ciebie ustawa o ochronie danych osobowych. Po drugie, miej na uwadze, że ludzie są ostatnio przewrażliwieni na punkcie prywatności, boją się, że Barrack Obama NSA czyta ich maile i występują pod pseudonimami na Facebooku. Ochrona prywatności powinna być elementem wizerunku Twojej marki.

Z omówionych niżej przepisów wynika, że ustawy wprowadzają pewne wymogi co do informowania osób, których dane osobowe się zbiera. Nie musi to być zawarte koniecznie w polityce prywatności – może to być część regulaminu portalu, czy sklepu, albo informacja do zaakceptowania przy rejestracji. Jest to ważne, ponieważ zgodnie z ar. 54 ustawy o ochronie danych osobowych za brak informacji grozi odpowiedzialność karna:

Osoba, która, administrując zbiorem danych, nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Co powinno znaleźć się w polityce prywatności?

Skoro nie ma przepisów, które to regulują, to należy przyjrzeć się praktyce i obowiązkom informowania nakładanym przez prawo. Istnieją pewne wymogi dotyczące informowania wynikające z ustawy o ochronie danych osobowych oraz ustawy o świadczeniu usług drogą elektroniczną. Ustawy te nie precyzują jak dokładnie ma odbywać się owo informowanie, ale na pewno właściwym, eleganckim  sposobem na to jest zamieszczenie na stronie polityki prywatności.

Jeśli chodzi o kwestie przetwarzania danych, ustawa dnia 29 sierpnia 1997 r. o ochronie danych osobowych wymaga od właściciela strony, aby poinformował każdego o tym, że zbiera od niego jakieś dane:

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3) prawie dostępu do treści swoich danych oraz ich poprawiania,

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

2. Przepisu ust. 1 nie stosuje się, jeżeli:

1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,

2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Co z tego wynika? W polityce prywatności dobrze będzie umieścić:

informację kto jest administratorem danych wraz z siedzibą lub miejscem zamieszkania w przypadku osoby fizycznej. Pamiętajcie, że siedzibą osoby prawnej oraz zamieszkania osoby fizycznej jest po prostu miejscowość, więc nie trzeba podawać adresu (szczególnie istotne to jest, gdy nie chcemy podawać swojego adresu zamieszkania),

cel zbierania danych, czyli informację do czego posłużą zbierane dane. Mogą to być cele marketingowe, konieczność rejestracji użytkowników, samo świadczenie jakiejś usługi. Wszystko to powinno się opisać.

– znani lub przewidywani odbiorcy danych – powinno się tu zawrzeć informacje o tym, kto do danych będzie miał wgląd. Można tu wymienić przede wszystkim właściwe organy państwowe, którym nie można odmówić oraz wszystkie podmioty, którym administrator strony chce przekazywać dane. W pierwszej kolejności powinno się pamiętać o partnerach handlowych i podmiotach obsługujących administratora strony – np. zewnętrzne biuro rachunkowe, zakłady ubezpieczeniowe.

prawie dostępu do treści swoich danych oraz ich poprawiania – tu chyba nie ma wątpliwości. Wystarczy napisać, że użytkownik ma prawo dostępu do swoich danych oraz ich poprawiania i rzeczywiście zapewnić to prawo.

dobrowolności podania danych oraz obowiązku podania danych, jeśli wynika on z przepisu prawa. Jeśli chodzi o dobrowolność, to jak wyżej wystarczy formułka o tym, że podanie danych jest dobrowolne np. „Administrator portalu informuje, że podanie danych osobowych jest dobrowolne.” Kwestia obowiązku podania danych jest bardziej podchwytliwa. Spotkałem się z interpretacją, że w tym przepisie chodzi o to, żeby podać, które dane formularza są obligatoryjne, a które obowiązkowe, np. poprzez rozróżnienie gwiazdką. Jest to trochę bardziej skomplikowane  – w prawie „obowiązek” musi wynikać z przepisu prawa a nie woli strony. Prawniczymi słowy (komentarz Andrzeja Drozda do ustawy o ochronie danych osobowych) poza zakresem zastosowania art. 24 ust. 1 pkt 4 znajdują się obowiązki mające swe źródło jedynie w czynności prawnej.

Zatrzymajmy się przy tym jeszcze na chwilę i podajmy praktyczne przykłady. Sprzedajesz coś przez sieć i przepis prawa wymaga od Ciebie NIPu kontrahenta, żeby wystawić fakturę. Czy to są te obowiązkowe dane? Tak. Wystawiając fakturę na przedsiębiorcę masz obowiązek wpisać numer NIP i jest ku temu podstawa prawna – odpowiedni przepis rozporządzenia.

Drugi przykład. Sprzedajesz coś przez sieć i wymagasz telefonu (na wszelki wypadek – np. dla kuriera), bo taki masz obyczaj. Zaznaczasz pole zwyczajową czerwona gwiazdką jako obowiązkowe, Czy musisz o tym wspominać w polityce prywatności albo w jakiś sposób informować? Uważam, że nie ma takiego obowiązku, natomiast proponuje ująć takie dane w osobnym punkcie:

dane wymagane przez administratora dla świadczenia danej usługi. Tutaj można umieścić właśnie jakieś dodatkowe tematy: telefon dla kuriera, e-mail dla celów marketingowych, numer buta w sklepie sprzedającym buty…

Jak powinna wyglądać polityka prywatności?

Praktyka co do formy dokumentu jest w miarę ustalona. Na polskiej stronie dokument powinien być obowiązkowo sporządzony w języku polskim, gdy właściciel strony jest:

– podmiotem publicznym,
– podmiotem niepublicznym wykonującym zadania publiczne albo
– podmiotem prywatnym przetwarzającym dane konsumentów oraz innych osób w związku ze stosowaniem przepisów z zakresu prawa pracy, jeżeli konsument lub osoba świadcząca pracę ma miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej w chwili zawarcia umowy oraz umowa ma być wykonana lub wykonywana na terytorium Rzeczypospolitej Polskiej.

Wynika to z ustawy o języku polskim. Dotyczy to na pewno wszystkich podmiotów świadczących usługi na rzecz konsumentów, ale niekoniecznie portali edukacyjnych czy innych nie świadczących stricte usług, tj. po prostu udostępniających jakieś treści za darmo.

Na koniec w tej kwestii jeszcze jeden smaczek. W cytowanym wyżej komentarzu do ustawy autor twierdzi:

Informacje […] powinny być podane osobie, której dane dotyczą, w sposób dla niej zrozumiały. Jest to uzasadnione obowiązkiem szczególnej staranności administratora danych, a także tym, że art. 24, w odróżnieniu od art. 32 ust. 1 pkt 3, nie wskazuje, iż podanie tych informacji ma nastąpić w powszechnie zrozumiałej formie. Jeżeli zatem administrator danych np. zbiera dane od osób o małoletnich, to powinien w sposób zrozumiały dla osób tej kategorii wiekowej spełnić obowiązek powiadomienia. Ograniczenia sposobu wykonania tego obowiązku mogą wynikać z przepisów odrębnych.

Nie serwujcie zatem żadnego prawniczego bełkotu dzieciom! 🙂

W następnym wpisie zajmę się, trochę krócej, dodatkowymi wymogami informowania dla osób świadczących usługi drogą elektroniczną.

Foto Yuri Samoilov @ Flickr (CC BY 2.0)