W świetle obowiązujących przepisów nie istnieje wymóg tworzenia przez właściciela serwisu internetowego dokumentu powszechnie znanego jako polityka prywatności.
Warto jednak zauważyć, że generalny inspektor ochrony danych osobowych podkreśla znaczenie takiego dokumentu jako miejsca, w którym internauta może dowiedzieć się, do czego będą wykorzystywane dane osobowe przez właściciela serwisu czy to świadomie (np. na podstawie zgód, które internauta wyrażać będzie podczas rejestracji), czy to automatycznie (np. przez umieszczanie plików cookies, zapamiętywanie adresu IP, pobieranie danych o używanej przeglądarce etc.).
Można zatem przyjąć, że dobrą praktyką prowadzenia biznesu w Internecie jest opublikowanie przez serwis polityki prywatności.
Co w dokumencie
Zabierając się do pisania tego dokumentu, warto przez chwilę wczuć się w użytkownika naszego serwisu i zastanowić się, co sami chcielibyśmy znaleźć w polityce prywatności.
Warto, by wyjaśniał on:
- kto jest administratorem danych osobowych – pełna nazwa firmy, adres jej siedziby,
- do czego będą wykorzystywane dane osobowe – określenie celów przetwarzania danych,
- prawo dostępu do treści danych osobowych i możliwości ich poprawiania,
- komu dane osobowe mogą być udostępniane, na jakich zasadach i po spełnieniu jakich warunków może to nastąpić,
- dobrowolny lub obowiązkowy charakter podania danych; w tym ostatnim wypadku może to nastąpić wyłącznie wtedy, gdy przewiduje to wyraźny przepis prawa,
- zasady stosowania plików cookies, zapamiętywania adresu IP, wyświetlania reklam, statystyki,
- sposoby zabezpieczenia danych, w tym spełniania wymogów ustawy z 29 sierpnia 1997 o ochronie danych osobowych,
- czy zbiór danych został zgłoszony do generalnego inspektora ochrony danych osobowych.
Inne wymogi
Przedsiębiorca, który stworzył regulamin dla swojego e•biznesu i zdecydował się również na opracowanie polityki prywatności, nie może jeszcze odetchnąć z ulgą i powiedzieć sobie: mogę wreszcie zacząć zarabiać pieniądze.
Do tej pory nie wspominałem bowiem o wymogach zawartych w ustawie z 29 sierpnia 1997 o ochronie danych osobowych (dalej uodo). Poniżej opisane zostaną tylko te aspekty uodo, które dotyczą przygotowania strony internetowej do e•biznesu.
Formularz rejestracyjny
Obecnie jednym z najbardziej popularnych sposobów zabezpieczania procesu rejestracji w serwisie internetowym (tak portalu jak i sklepu online), a także samego logowania do niego jest korzystanie z protokołu SSL. Co taki protokół daje? Otóż szyfruje on wszystkie dane wychodzące z aplikacji i deszyfruje dane wchodzące do aplikacji.
W przypadku serwera www SSL zabezpiecza dokumenty, czyli poufne dane. Przesyłane przez stronę internetową dane są szyfrowane, a więc minimalizujemy ryzyko, że trafią one w niepowołane ręce.
Wbrew pozorom zakup certyfikatu SSL nie wiąże się z koniecznością wydania ogromnych pieniędzy (najtańsza oferta, jaką znalazłem dla popularnego zwłaszcza w kontekście stron sklepów internetowych certyfikatu RapidSSL, to 39 zł netto/rok).
Dlatego też sugerowałbym, żeby przedsiębiorcy myślący poważnie o klientach swoich e•biznesów zdecydowali się na takie rozwiązanie. W ten sposób wzmacniają swoją wiarygodność, ale też przede wszystkim dopełniają należytej staranności w kontekście bezpieczeństwa danych osobowych swoich użytkowników/klientów.
Przedsiębiorca myślący o e•biznesie musi pamiętać o bardzo ważnej z punktu widzenia uodo zasadzie adekwatności, o której mowa w art. 26 tej ustawy. W myśl tego przepisu dane osobowe przetwarzane przez administratora danych (właściciela serwisu/sklepu) powinny być adekwatne do celu, dla jakiego mają być wykorzystane.
Adres tak, PESEL – nie
Bez problemu można przyjąć, że takie dane, jak imię, nazwisko, adres zamieszkania oraz podstawowe dane kontaktowe (adres e•mail, numer telefonu) będą niezbędne do tego, by właściciel sklepu online mógł zrealizować umowę kupna•sprzedaży. Natomiast zbieranie przy tej okazji takich informacji jak PESEL albo nazwisko panieńskie matki w zasadzie wprost narusza przytoczoną powyżej zasadę.
W odniesieniu do sklepów internetowych w miarę prosto można dokonać analizy, czy zakres danych będzie adekwatny do celu. Problem może pojawić się w przypadku portali społecznościowych.
Warto w takiej sytuacji skupić się na tym, jakie dane przedsiębiorca chce obligatoryjnie posiadać, by proponowana przez niego usługa mogła działać, a jakie dane będą miały status informacji fakultatywnych, których podanie zależeć będzie wyłącznie od użytkownika. Zwróćmy też uwagę, w jakim celu te dane będą wykorzystywane, ponieważ to cel determinuje w dużej mierze zakres niezbędnych danych.
Pisząc o celu przetwarzania danych, należy jasno i z całą mocą podkreślić, że jego wskazanie przez e•przedsiębiorcę jest obligatoryjne, tzn. przedsiębiorca internetowy ma obowiązek określić ten cel >patrz ramka.
Zgoda internauty
Wykorzystywanie danych osobowych w niektórych z opisanych w ramce celów wymaga zgody internauty. Co do zasady można przyjąć, że wykorzystywanie danych w celach marketingowych i przesyłania informacji handlowych wymaga uprzedniego wyrażenia zgody.
Sama zgoda, według definicji zawartej w uodo (art. 7 pkt 5), oznacza oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może też być odwołana w dowolnym momencie. Co wynika z tej definicji dla przedsiębiorcy internetowego.
Obowiązek informacyjny
Kończąc wątek formularza rejestracyjnego/zakupowego, należy pamiętać o jeszcze jednej kwestii, a mianowicie o tzw. obowiązku informacyjnym. Wynika on z art. 24 uodo, zgodnie z którym firma będąca administratorem danych obligatoryjnie zobowiązana jest do udzielenia osobie fizycznej (np. internaucie) kilku podstawowych informacji na swój temat, a także na temat przetwarzania przez nią danych osobowych.
Zgodnie z tym przepisem do obowiązku przedsiębiorcy należy poinformowanie o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku;
- celu zbierania danych, a w szczególności o znanych w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, czyli komu nasze dane będą udostępniane, np. innym firmom etc.;
- prawie dostępu do treści swoich danych oraz możliwości ich poprawiania; dobrą praktyką będzie również wskazanie, w jaki sposób internauta może skorzystać z tego uprawnienia;
• dobrowolności albo obowiązku podania danych, przy czym jeżeli taki obowiązek istnieje, właściciel musi wskazać, z jakiego przepisu prawa to wynika; w praktyce z obowiązkiem podawania danych mamy do czynienia w relacjach z urzędami, bardzo rzadko natomiast ma to miejsce w przypadku firm prywatnych.
Obowiązek informacyjny może zostać dopełniony przy formularzu rejestracyjnym, w polityce prywatności lub regulaminie.
Poza opisanymi obowiązkami dotyczącymi danych osobowych przedsiębiorca internetowy musi mieć świadomość, że wymogi te stanowią tylko pewien wycinek tego, co nakłada na niego uodo.
Większość obowiązków wskazanych w tej ustawie dotyczy zabezpieczenia danych, przy czym chodzi zarówno o zabezpieczenia techniczne (np. logiczne zabezpieczenia serwerów, zabezpieczenie hasłami aplikacji służących do przetwarzania danych), fizyczne (np. zabezpieczenie obszarów przetwarzania danych przed dostępem osób nieuprawnionych poprzez system ewidencjonowania wejść/wyjść), jak i organizacyjne (konieczność stworzenia dokumentacji ochrony danych osobowych, na którą składa się:
polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych, upoważnienia do przetwarzania danych, ewidencja osób, którym te upoważnienia nadano, oświadczenia o zachowaniu danych w tajemnicy).
Zgłoszenie do rejestru
Innym obowiązkiem będzie konieczność zgłoszenia zbiorów danych do rejestru prowadzonego przez generalnego inspektora ochrony danych osobowych, jeżeli zbiory prowadzone przez przedsiębiorcę będą tego wymagały (uodo przewiduje pewne wyjątki np. dla administratorów danych, którzy przetwarzają dane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej).
Przedsiębiorca musi również pamiętać o prawidłowym uregulowaniu tematów z zakresu ochrony danych, które wiążą się z outsourcingiem pewnych usług, np. hostingu czy zewnętrznego call center.
Jakie cele
Przy usługach świadczonych drogą elektroniczną najczęściej pojawić się mogą następujące cele:
- rejestracja w portalu/dokonanie zakupu (rozumiana jako zawarcie umowy o świadczenie usług/umowy kupna-sprzedaży zawartej na odległość),
- marketing (możliwość promowania usług i produktów właściciela portalu/sklepu oraz ew. innych podmiotów),
- przesyłanie informacji handlowych (wysyłanie na adres e-mail albo na numer telefonu esemesem albo ememesem informacji promujących produkty lub usługi właściciela portalu/sklepu oraz ew. innych podmiotów),
- zapisywanie się na newsletter (otrzymywanie informacji związanych z portalem/sklepem internetowym; często będą to treści marketingowe/informacje handlowe),
- statystka (ilość odwiedzin danej strony, jakie podstrony były otwierane, skąd nastąpiło wejście na stronę etc.),
- reklamacje,
- korespondencja.
Jakie oświadczenie
Konstruując stosowne klauzule, przedsiębiorca internetowy musi pamiętać:
- Zgoda nie może być częścią oświadczenia woli o innej treści, np. nie może być częścią regulaminu w tym sensie, że zaznaczenie checkboksu o zapoznaniu się z regulaminem jest tożsame z tym, że skoro w regulaminie napisano, że dane będą wykorzystywane w celach marketingowych, to automatycznie można je wykorzystywać w takim właśnie celu;
- Zgoda taka powinna być zatem wyodrębniona z regulaminu – należałoby ją zamieścić w formularzu rejestracyjnym portalu/formularzu składania zamówień w sklepie online;
- Zgoda może być w dowolnym momencie odwołana. Bardzo często ani regulamin, ani polityka prywatności nie mówią wprost, jak dokonać odwołania zgody.
Przedsiębiorca powinien jednak pamiętać, że ustawodawca w uodo nie zastrzegł dla tej czynności żadnej szczególnej formy, więc wydaje się, że nawet oświadczenie ustne o takiej treści byłoby skuteczne.
