Czym jest polityka prywatności?
Nie znajdziemy jej w żadnym akcie prawnym. Nie wspomina o niej ani ustawa o ochronie danych osobowych, ani też prawo telekomunikacyjne, a to właśnie do tych aktów prawnych najczęściej odsyłają serwisy internetowe w swoich politykach prywatności. Polityka prywatności nie jest zatem instytucją przewidzianą przez prawo, a jedynie dokumentem „zwyczajowym”, który popularność w Europie zyskał dzięki zmianom w prawie dotyczącym plików cookies.
W związku z powyższym należy podkreślić, iż nie ma prawnego obowiązku posiadania na swej stronie polityki prywatności. Obowiązku takiego nie nakłada żadna z polskich ustaw, ani żaden inny obowiązujący Polskę akt prawny.
Jednakże brak przepisu nakazującego posiadanie polityki prywatności nie oznacza bynajmniej, iż nie warto zamieścić jej na stronie. Polityka taka jest bardzo przydatna, gdyż ułatwia ona spełnienie ustawowych obowiązków informacyjnych związanych z gromadzeniem przez strony www danych osobowych oraz z korzystaniem z wspomnianych już wcześniej plików cookies.
Co to są cookies?
Ciasteczka (ang. cookies) to niewielkie pliki danych informatycznych, w szczególności pliki tekstowe, przechowywane w urządzeniach końcowych użytkowników przeznaczone do korzystania ze stron internetowych (np. typu przeglądarki internetowej). Pliki te pozwalają rozpoznać urządzenie użytkownika i odpowiednio wyświetlić stronę internetową dostosowując ją do jego preferencji.
Co powinno znaleźć się w polityce prywatności?
Najczęściej będą tam informacje o plikach cookies, ponieważ dziś większość serwisów z nich korzysta. Czasem znajdą się tam również informacje o gromadzonych danych osobowych – jeśli takie dane w ramach danej usługi są przetwarzane.
Obowiązki informacyjne dot. korzystania z plików cookies
Obowiązek informowania o przechowywaniu i wykorzystywaniu mechanizmów używanych do gromadzenia danych o użytkownikach (w tym przede wszystkim ciasteczek) wynika z art. 173 ustawy z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne (t.j. Dz. U. z 2016 r., poz. 1489). Obowiązek ten działa od 22 marca 2013 i nałożony został uchwaloną 16 listopada 2012 ustawą o zmianie ustawy Prawo Telekomunikacyjne odzwierciedlająca dyrektywę Unii Europejskiej 2009/136/WE zmieniającą dyrektywę 2002/58/WE (art. 5 ust. 3). Za nieprzestrzeganie obowiązku opisanego w art. 173 grożą kary finansowe, wymienione w art. 209 ww ustawy.
Należy pamiętać, że ciasteczka nie są jedynym możliwym mechanizmem cichego obserwowania użytkowników. Zarówno obowiązek wynikający z dyrektywy unijnej, jak również ten nałożony polską ustawą dotyczy wszystkich mechanizmów używanych do gromadzenia danych o użytkownikach, a nie tylko cookies.
Polska implementacja dyrektywy różni się od niektórych modeli zagranicznych brakiem wymogu wyraźnego wyrażenia zgody i akceptacji polityki cookies przez użytkownika końcowego. Ustawa pozostawia pole do braku wyrażenia takiej zgody poprzez zmianę ustawień przeglądarki. W praktyce więc stosowane na polskich stronach ostrzeżenia o ciasteczkach pełnią charakter wyłącznie informacyjny.
Należy stwierdzić, iż polityka prywatności jest dokumentem znacznie ułatwiającym spełnienie obowiązków informacyjnych dot. plików cookies wynikających z prawa telekomunikacyjnego, jak również – w przypadku danych osobowych – z obowiązków informacyjnych wynikających z ustawy o ochronie danych osobowych. Oczywiście jeśli w danym przypadku któryś z tych obowiązków istnieje.
Polityka prywatności zapewnia, że wszystkie informacje znajdą się w jednym miejscu, a dotarcie do nich będzie dla użytkownika intuicyjne.
Jakie informacje o cookies należy podać do wiadomości użytkownika?
Warto, aby w polityce prywatności znalazły się informacje o:
- celu w jakim strona korzysta z cookies – np. dla przechowywania sesji (sesja internetowa, ze względu na bezstanowość protokołu HTTP, jest to niezbędny sposób na każdorazowe przekazywanie informacji pomiędzy przeładowaniami witryny. W ujęciu www sesja oznacza uniwersalny, spersonalizowany worek do przechowywania danych po stronie serwera. Dla każdego klienta tworzona jest osobna sesja, dzięki temu informacje te nie mieszają się pomiędzy różnymi użytkownikami danej strony) lub zbierania danych statystycznych;
- możliwości określania warunków przechowywania cookies i uzyskiwania do nich dostępu za pomocą oprogramowania, z którego korzysta użytkownik (przeglądarki).
Dodatkowo warto poinformować o zewnętrznych usługach, z których korzysta serwis, a które używają swoich cookies (będzie to najczęściej Facebook, Twitter czy Google Analytics).
Jakie informacje na temat danych osobowych należy podać do wiadomości użytkownika?
Jeśli w ramach serwisu pobierane są oraz przetwarzane dane osobowe na administratorze spoczywają obowiązki informacyjne nałożone art. 24 oraz art. 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922). Najczęściej dane osobowe będą zbierane bezpośrednio od użytkownika, a zatem zgodnie z art. 24 ww. ustawy należy go poinformować o:
- danych osobowych administratora (adres oraz nazwa);
- celu zbierania danych, a w szczególności o odbiorcach tych danych;
- prawie dostępu do podanych danych i możliwości ich poprawienia;
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, podać jego podstawę prawną;
- sposób w jaki chronicie prywatność swoich użytkowników.
W Polsce nadzór nad przetwarzaniem danych osobowych sprawuje Generalny Inspektor Ochrony Danych Osobowych.
Warto zaznaczyć, iż omawiana polityka prywatności mylona jest często z „Polityką Bezpieczeństwa”. „Polityka Bezpieczeństwa” to wewnętrzny dokument, który musi posiadać administrator danych osobowych . Nie jest on publikowany na stronie www.