Czy na każdej stronie musi być polityka prywatności?

Nie. Polityka prywatności nie musi znajdować się na każdej stronie internetowej.

Jeżeli na danej stronie nie są zbierane dane osobowe, to nie ma konieczności umieszczenia na niej polityki prywatności. 

Co zresztą miałoby być w tym dokumencie?

W polityce znajdują się głównie informacje przetwarzania danych osobowych zebranych na stronie internetowej. Jeżeli na blogu czy w sklepie internetowym takie dane nie są zbierane, to nie mielibyśmy czego umieścić  w polityce prywatności. 

Właściciel strony internetowej nie musi wszystkich informacji o przetwarzaniu danych osobowych umieszczać w jednym dokumencie. Może on spełniać obowiązki informacyjne w kilku odrębnych dokumentach.

Kiedy na stronie internetowej zbierane są dane osobowe? 

Wbrew pozorom na  blogu czy w sklepie internetowym administrator może zbierać dane osobowe na bardzo wiele sposobów. M.in w formie:

  • zapisów na newsletter;
  • sprzedaży produktów;
  • formularzy kontaktowy; 
  • komentowania artykułów czy wpisów na blogu.

W każdym z tych przypadków obowiązek informacyjny będzie brzmiał inaczej.  Za każdym razem administrator zbiera dane, żeby realizować inny cel. Różne też będą podstawy prawne do przetwarzania danych osobowych. Raz będzie to umowa, innym razem zgoda czy chociażby uzasadniony interes administratora. 

Na stronie internetowej jej właściciel powinien umieścić w różnych miejscach odpowiednie obowiązki informacyjne. 

A gdyby mieć wszystko w jednym miejscu? 

Politykę prywatności warto jednak mieć

Polityka prywatności jest jednak przydatna. Ten dokument zawiera wszystkie informacje o sposobie zbierania i przetwarzania danych osobowych zbieranych za pośrednictwem strony internetowej.  Zamiast mieć kilka pojedynczych obowiązków informacyjnych rozsianych po całej stronie internetowej – wszystko będzie w jednym miejscu. Właśnie w polityce prywatności. 

Nie zapomnijmy jeszcze o ciasteczkach. Jeżeli na stronie internetowej są zbierane pliki cookies, to właściciel strony powinien poinformować o tym użytkowników. 

Są takie strony internetowe,  na których administratorzy nie zbierają danych osobowych, ale wyłącznie pliki cookies.  To nie zwalnia właściciela z obowiązku informowania o ciasteczkach. 

Można przetwarzać dane Klientów, ale można też przetwarzać dane potencjalnych Klientów. Przetwarzanie danych osobowych tych dwóch grup coraz częściej odbywa się na firmowej stronie internetowej. Będzie to jeden z punktów odniesienia tego artykułu.

Na początku przedstawię Ci kilka sytuacji, w których możesz przetwarzać dane osobowe poprzez swoją firmową stronę internetową (czasami nie mając o tym pojęcia). W dalszej części opowiem, co z tym wszystkim zrobić.

Masz formularz kontaktowy? Przetwarzasz dane i podlegasz RODO!

Już samo posiadanie formularza kontaktowego na stronie lub też podany adres email powoduje, że każdy kto wyśle wiadomość do Twojej firmy zezwala na przetworzenie swoich danych.

W każdym z tych przypadków podaje swój adres email, a adres email to już jest dana osobowa. Do tego może również podać swoje imię, nazwisko, numer telefonu czy też inne parametry.

Co dzieje się dalej z taką wiadomością, którą otrzymasz? Używasz podanych w niej danych np. do przygotowania oferty (jeśli nadawca o to poprosi). Prawdopodobnie po kilku dniach wyślesz też wiadomość przypominającą. Być może wykorzystasz te dane jeszcze po raz trzeci, piąty i dziesiąty.

Ale co jeszcze może się z taką wiadomością dziać? Przechowujesz ją w programie pocztowym w jakimś specjalnie do tego utworzonym folderze? A może taka wiadomość wraz z danymi nadawcy trafia do programu CRM i będzie tam przechowywana?

Być może trochę teraz wyolbrzymiam, ale chcę Ci pokazać w jakich miejscach na Twojej stronie internetowej może Cię obowiązywać RODO 🙂

Czy umieszczenie Pixela Facebooka też podlega RODO?

Przede wszystkim Pixel Facebooka, kod remarketingowy Google, kod śledzący HotJar to są wszystko zewnętrzne aplikacje, które wklejasz na swoją stronę internetową. One gromadzą oraz przetwarzają dane o swoich użytkownikach we własnym zakresie i na własnych serwerach.

Ale Ty, zebrane w ten sposób dane, wykorzystujesz. Na tej podstawie wyświetlasz np. komunikaty marketingowe w postaci reklam na Facebooku.

Dzięki tym narzędziom możesz profilować osoby, które odwiedziły Twoją stronę www. Na przykład jeśli prowadzisz sklep z zabawkami i posiadasz kategorie produktowe takie jak: „zabawki dla dzieci od 0 do 2 lat”, „zabawki dla dzieci od 2 do 5 lat” itd. to dzięki Pixelowi FB możesz wyłowić osoby, które przeglądały wybrane kategorie i skierować do nich odpowiednio dobraną reklamę zabawek. To właśnie jest profilowanie.

Przetwarzanie danych osobowych kojarzy się jednak z zaznaczaniem zgody na takie czynności. Pod każdą umową czy też pod formularzem składania zamówienia w sklepie internetowym są checkboxy (kwadraciki) do zaznaczenia, że wyrażasz zgodę na to i na to.

W przypadku, kiedy na stronie używasz wyżej wspomniane kody typu Pixel Facebooka czy kod remarketingowy Google, nie możesz takiego checkboxa do zaznaczenia zamieścić. No bo niby gdzie to zrobić?

Dlatego właśnie takie (oraz wszystkie inne) czynności związane z danymi o użytkownikach, do których wykorzystujesz swoją stronę www, powinny być opisane w jej polityce prywatności.

Do polityki prywatności wrócę jeszcze pod koniec tego artykułu.

Czat z Klientami może podlegać RODO

Czym innym jest już czat z Klientami, czyli aplikacje typu Live Chat i podobne. To też kawałek kodu, który wstawiasz na swoją stronę i który powoduje, że ktoś może Cię o coś zapytać przed zakupem. Rozwiązanie to jest chyba najbardziej popularne w sklepach internetowych oraz w różnego rodzaju aplikacjach online, gdzie możesz poprosić o pomoc.

W przypadku chatów dane wszystkich osób, które chcą rozmawiać z Twoją firmą zbierane są po stronie chatu. Jest jednak jedno „ale”.

W momencie, gdy ani Ty, ani żaden Twój pracownik nie jest dostępny w danej chwili na czacie to użytkownik ma możliwość zostawienia wiadomości. Taka wiadomość jest zazwyczaj do Ciebie wysyłana mailem i w taki sam sposób możesz odpowiedzieć.

No i to już jest przypadek podobny do punktu z formularzem kontaktowym. Dane (chociażby adres email) trafiają do Ciebie i przetwarzasz je w celu udzielenia odpowiedzi.

Komentarze a RODO

Zwłaszcza na blogach ale też na portalach internetowych pod artykułami można zostawiać komentarze. Może to zrobić każdy użytkownik strony, który ma taką wolę i robi to dobrowolnie.

Ale jednak aby dodać komentarz trzeba podać swoje dane. Są to zazwyczaj imię (lub nick), adres email oraz treść komentarza.

Jeśli korzystasz z zewnętrznej aplikacji typu Disqus to dane zbierane są po stronie tejże aplikacji. Każdy użytkownik, który chce zostawić w ten sposób komentarz akceptuje regulamin Disqusa. Ty wyświetlasz te komentarze tylko na swojej stronie.

Ale jeśli korzystasz z komentarzy wbudowanych np. w WordPressa to już wszystkie dane przechowujesz i przetwarzasz Ty – jako właściciel strony. Musisz więc poprosić takiego użytkownika o zaznaczenie zgody na przetwarzanie jego danych.

Poinformuj zatem w jakim zakresie pozostawione dane będą przetwarzane i w jaki sposób wykorzystywane. Na przykład w celu zapobiegania spamowi. Jeśli jednak planujesz wysyłać osobom zostawiającym komentarze także newsletter lub oferty to musisz poprosić o osobną zgodę na takie czynności.

Zapisy na newsletter, czyli zbieranie adresów email podlegają RODO

To już ostatni najczęstszy przypadek pozyskiwania danych osobowych za pomocą strony www – słynne newslettery.

Tutaj zauważyłem największą rozbieżność zdań i to wśród prawników. Można jednak z ich komentarzy wyciągnąć wspólne wnioski i wdrożyć tutaj zasady RODO.

W tym momencie pozwolę sobie na małe wtrącenie. Każdy kto słyszał o RODO, słyszał też zapewne o milionowych karach za brak jego przestrzegania. Prawda jest taka, że jeśli wdrożysz jakiekolwiek zasady to już jesteś na dużo lepszej pozycji niż firmy, które tego nie zrobią. A to powoduje, że o ile dotknie Cię jakakolwiek kara to będzie ona proporcjonalna do wykroczenia oraz Twoich obrotów.

Wracając jednak do newslettera tutaj użytkownik również powinien wyrazić zgodę na jego otrzymywanie.

Przy formularzu zapisu na newsletter (a także przy każdym innym formularzu) należy umieścić odpowiedni checkbox do zaznaczenia dla każdego celu, w związku z którym będziesz te dane przetwarzać. Czyli jeśli przetwarzasz te dane po to by wysyłać newsletter, wysyłki marketingowe, oferty handlowe, darmowy ebook, to na każdy z tych przypadków potrzebny jest oddzielny checkbox i oddzielna zgoda.

Tekst znajdujący się przy checkboxie warto też podlinkować do regulaminu lub polityki prywatności, w której to wszystko jest dokładnie opisane. Natomiast trzeba tutaj rozsądku. Bo jeśli moja polityka prywatności ma 5 stron A4, to nie wyobrażam sobie umieszczenia jej w całości (i wyszczególnienia checkboxów) bezpośrednio pod formularzem zapisu na newsletter czy też pod formularzem kontaktowym. Bo to już nie byłby formularz a blok tekstu 🙂 Należy więc zbierać tylko takie dane i w takim celu, w jakim są one Ci niezbędne.

Pod swoimi formularzami umieszczam checkbox wraz z podlinkowaną polityką prywatności, o treści:

„Wyrażam zgodę na przetwarzanie moich danych osobowych w celach i zakresie zgodnymi z realizacją usługi newsletter opisanej w Polityce prywatności. Wiem, że zgodę tą mogę w każdej chwili wycofać.”

Tak jak już wspomniałem, pod koniec artykułu wrócę do polityki prywatności.

Dodatkowo politykę prywatności możesz omówić w skrócie (oraz podlinkować do pełnej wersji) w pierwszym mailu, jaki wysyłasz po zapisie na newsletter.

I ten pierwszy mail jest również kluczowy. Są do niego dwa podejścia. Pierwsze to tzw. double opt-in czyli rejestracja w dwóch krokach. Z tego co widzę to taki sposób umożliwiają wszyscy operatorzy email marketingu.

Polega to na tym, że w pierwszym mailu użytkownik otrzymuje tzw. link aktywacyjny. Klika w niego i tym samym potwierdza, że to on jest właścicielem danego adresu email.

Drugie podejście to rejestracja w jednym kroku. Czyli użytkownik nie musi kliknąć w link aktywacyjny. To rozwiązanie dużo prostsze pod kątem użytkownika. Ty natomiast jako właściciel strony jesteś bardziej narażony na spam albo przypadkowo podawane maile.

Warto się więc w tym miejscu zabezpieczyć. W pierwszym mailu podają informację, że jeśli ta wiadomość trafiła do użytkownika przypadkowo, powinien on zgłosić Tobie ten fakt a w przeciwnym przypadku będzie otrzymywał od Ciebie kolejne wiadomości.

W przypadku rejestracji jednostopniowej na newsletter umieść w swojej polityce prywatności taką adnotację oraz dopisek, że każdy kto dodaje adres email do newslettera oświadcza, że to on jest jego właścicielem.

Kto zarządza danymi osobowymi w Twojej firmie?

Jeśli prowadzisz jednoosobową działalność gospodarczą to Ty osobiście jesteś administratorem danych osobowych w swojej firmie. Natomiast jeśli prowadzisz małą firmę w postaci spółki z o. o. to już ta spółka jest osobowością odpowiedzialną za przetwarzanie danych.

W tych dwóch przypadkach nie masz obowiązku zatrudniania tzw. IOD czyli Inspektora Ochrony Danych (Ty nim jesteś). Taka konieczność jest tylko w instytucjach publicznych lub w przypadku firm, które zajmują się przetwarzaniem danych na dużą skalę (np. to ich główna działalność).

W przypadku swojej roli administratora danych osobowych, nie możesz jej zrzucić całkowicie na żadnego ze swoich pracowników, bo to Ty osobiście odpowiadasz za swoją działalność.

Możesz jednak przekazywać prawo do przetwarzania danych swoim pracownikom, np. jeśli faktury Klientom wystawia Twoja asystentka, musi mieć prawo dostępu do tych danych. Ale jeśli Twój pracownik kontaktuje się z Klientem poprzez email Klienta, który mu udostępnisz to również korzysta z tych danych. Warto takie informacje zawrzeć w umowach z pracownikami.

Jest natomiast jeszcze inna kwestia. To moment, w którym powierzasz dane swoich Klientów zewnętrznym firmom. Na przykład wspomniany przed chwilą newsletter lub też serwer, na którym masz swoją pocztę. Oni wszyscy dysponują danymi Twoich Klientów (lub potencjalnych Klientów).

W tym przypadku należy podpisać z takimi podmiotami umowę o powierzenie tychże danych osobowych. Można to zrobić zarówno elektronicznie jak i na papierze. W przypadku GetResponse, z którego korzystam wystarczyło poprosić o wzór takiej umowy w rozmowie z konsultantem. Wzór otrzymałem na maila, podpisałem i odesłałem skan. Podejrzewam, że identycznie jest także z innymi firmami.

Leave a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *