Polityka prywatności: nie wystarczy poinformować o cookies

Coraz więcej stron posługuje się „Polityką plików cookies" lub podobnie zatytułowanym dokumentem. Można w nich znaleźć przeróżne treści: zobowiązania do najwyższej staranności, zapewnienia o dokładaniu starań, dbaniu, chronieniu itp. Ale czy propagatorzy takich dokumentów zdają sobie do końca sprawę z ich charakteru prawnego i potencjalnych skutków posługiwania się nimi?

Polityka danych osobowych (ochrony danych osobowych, polityka prywatności) to rozwiązanie wywodzące się z amerykańskiej kultury prawnej. Jego rolą jest opisanie zasad przetwarzania danych osobowych oraz praw przysługujących osobie, której dane są przetwarzane. W niektórych przypadkach, posługiwanie się tego rodzaju dokumentami jest wręcz obowiązkowe w prawie Stanów Zjednoczonych – czego nie można powiedzieć o obowiązującym europejskim i polskim prawie ochrony danych osobowych. W europejskiej kulturze prawnej, praktyka posługiwania się polityką prywatności została wprowadzona dosyć bezrefleksyjnie, jako konsekwencja wzorowania się funkcjonujących już rozwiązaniach w zakresie handlu elektronicznego. Największą popularność zyskała w odniesieniu do różnorakich stron internetowych (e-sklepy, dostawcy usług hostingowych itp.) i dzisiaj strona internetowa, która takiej polityki prywatności nie ma, budzi podejrzenie co do tego, co się na niej dzieje. Spróbujmy więc uporządkować pewne fakty.

Co to takiego

W obowiązującym dzisiaj stanie prawnym, dokument typu polityka prywatności nie jest znany przez polskie prawo ochrony danych osobowych (odróżnić go należy od polityki bezpieczeństwa danych osobowych, tj. elementu wewnętrznej dokumentacji ochrony danych osobowych, którego opracowanie i wdrożenie jest obowiązkowe). Obowiązująca ustawa z 29 sierpnia 1997 r. nakłada na administratorów danych osobowych szereg obowiązków informacyjnych, ale żadne z nich nie mogą być wykonane poprzez przygotowanie i podanie do wiadomości publicznej dokumentu typu polityka. W szczególności, zbieranie danych osobowych wiąże się z koniecznością przekazania informacji wymaganych przez art. 24 albo 25 ustawy o ochronie danych osobowych i obowiązku tego nie można wykonać poprzez odesłanie do innego dokumentu, takiego jako polityka właśnie.

Liczba dokumentów, którymi posługuje się administrator, powinna być minimalna

Analogicznie, osoba, której dane dotyczą, ma prawo zwracać się do administratora danych o podanie informacji o przysługujących jej prawach oraz informacji dotyczących przetwarzania jej danych osobowych, a administrator danych ma obowiązek takie informacje przekazać, znów bez możliwości odesłania do polityki prywatności. W obowiązującym obecnie stanie prawnym, polityka prywatności może mieć więc wyłącznie charakter informacyjny, a posługiwanie się nią pozostaje bez wpływu na obowiązki informacyjne wynikające z ustawy o ochronie danych osobowych. Pozostaje również bez wpływu na obowiązki informacyjne wynikające z ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – wśród nich na obowiązek opracowania regulaminu świadczenia usług drogą elektroniczną (art. 8 ustawy).

Stan ten ulegnie zmianie wraz z przyjęciem rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Co prawda w projekcie rozporządzenia proponuje się utrzymanie – na zasadach zbliżonych do obowiązujących – obowiązków informacyjnych związanych z gromadzeniem danych osobowych oraz towarzyszących dalszemu przetwarzaniu danych, niemniej art. 11 projektu zobowiązuje administratorów danych do dysponowania przejrzystymi i łatwo dostępnymi politykami w zakresie przetwarzania osobowych i wykonywania praw przez osoby, których dane dotyczą.

Naruszenie tego obowiązku ma być zagrożone karą finansową nakładaną przez organ nadzorczy (będzie to Generalny Inspektor Ochrony Danych Osobowych). Monitorowanie wykonania i stosowania polityk w zakresie ochrony danych osobowych będzie należeć do zadań inspektora ochrony danych (w projekcie rozporządzenia następca administratora bezpieczeństwa informacji).

Warto wiedzieć

Skoro więc posługiwanie się polityką prywatności będzie za kilka lat obowiązkowe, a już dzisiaj jest dobrze postrzegane, na co zwracać uwagę przy konstruowaniu tego rodzaju dokumentów? Po pierwsze należy pamiętać, że – obecnie, jak i pod rządami rozporządzenia – nie zastąpią one wykonania obowiązków informacyjnych związanych z gromadzeniem i przetwarzaniem danych osobowych. Dotyczy to tych wszystkich obowiązków polegających na przekazywaniu informacji – dobrym przykładem tego, czego nie należy robić, może więc być praktyka polegająca na posługiwaniu się dokumentami w rodzaju „Polityką plików cookies". Otóż wyrażenie zgody na zainstalowanie plików cookies może nastąpić po otrzymaniu przez abonenta lub użytkownika końcowego informacji o celu przechowywania i uzyskiwania dostępu do pliku cookie oraz o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi (art. 173 ustawy Prawo telekomunikacyjne). Przed wyrażeniem zgody należy więc podać informacje wymagane przez prawo – praktyka polegająca natomiast na przekazywaniu informacji o samym fakcie instalowania plików cookies, a w pozostałym zakresie na odsyłaniu do „Polityki ...", jest praktyką błędną.

Po drugie, przygotowując politykę prywatności, lepiej napisać za mało, niż za dużo. Z jednej strony powstaje bowiem ryzyko wprowadzenia osoby, której dane dotyczą, w błąd np. co do stosowanych zasad zabezpieczenia danych osobowych – stworzenie wobec konsumentów wrażenia, że stosuje się najbardziej zaawansowane technicznie rozwiązania gwarantujące pełne bezpieczeństwo danych osobowych może zostać nawet uznane za nieuczciwą praktykę rynkową, jeżeli wpływa na zachowania rynkowe tychże konsumentów. Z drugiej strony, polityka nie powinna też ujawniać informacji, których ujawnienie może obniżyć poziom bezpieczeństwa danych osobowych, np. poprzez podanie do wiadomości publicznej szczegółów stosowanych środków zabezpieczeń. Sama treść tego rodzaju dokumentu też nie powinna być prostym przepisaniem obowiązujących przepisów prawa – zamiast tego, dobrze jest opisać konkretne stosowane procedury i rozwiązania, np. w zakresie odwołania zgody na przetwarzanie danych osobowych.

Po trzecie wreszcie, dobrze jest ograniczać do absolutnego minimum ilość dokumentów, regulaminów i innych polityk, którymi posługuje się administrator danych (i do których odwołuje się strona internetowa). Skoro ustawa o świadczeniu usług drogą elektroniczną wymaga opracowania regulaminu, to należy go opracować. Skoro chcemy (a w przyszłości będziemy musieli) przygotować politykę prywatności, to taki dokument przygotujmy. Ale po co tworzyć odrębną polityką dotyczącą plików cookies, skoro można to opisać w polityce prywatności? Analogicznie, informacje o szczególnych zagrożeniach związanych z korzystaniem z usługi świadczonej drogą elektroniczną (art. 6 pkt. 1 ustawy o świadczeniu usług drogą elektroniczną), czy o możliwości korzystania z usługi za pomocą pseudonimu (art. 22 pkt 1 ustawy o świadczeniu usług drogą elektroniczną) lepiej będzie zawrzeć w polityce prywatności, zamiast tworzyć odrębne dokumenty. Dzięki temu stosowane dokumenty będą bardziej przejrzyste, a osoby, których dane dotyczą, będą mogły z nich korzystać z lepszym dla siebie skutkiem.

dr Paweł Litwiński – adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, Instytut Allerhanda w Krakowie

Publicystyka Dane Osobowe

Pozostało 82% artykułu

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Na łamach Rzeczpospolitej 6 listopada nawoływałem, aby kompetencje nadzoru sztucznej inteligencji (SI) oddać Prezesowi Urzędu Ochrony Danych Osobowych (PUODO). 20 listopada ukazał się tekst polemiczny, autorstwa mecenasa Przemysława Sotowskiego, w którym Pan Mecenas powołuje kilkanaście tez na granicy dezinformacji, bez uzasadnienia, oprócz „oczywistej oczywistości”. Tak jakby autor był bardziej politykiem niż prawnikiem. Niech mottem mojej repliki będzie to, co 12 sierpnia 1986 roku powiedział Ronald Reagan “Dziewięć najbardziej przerażających słów w języku angielskim to „Jestem z rządu i jestem tu, aby pomóc”

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

W dniu 4 grudnia 2024 r. na łamach dziennika "Rzeczpospolita" ukazała się publikacja „Sankcja kredytu darmowego – czy narracja parakancelarii jest zasadna?” autorstwa mecenasa Wojciecha Wandzela, przedstawiająca tezy i argumenty mające przemawiać za możliwością skredytowania kosztów kredytu i pobierania od tego odsetek, które w ocenie autora publikacji są pewnym wyjściem naprzeciw konsumentom, którzy chcą pozyskać kredyt.

Warszawa 1982. Stan wojenny. Rozprawa przed sądem wojskowym przeciwko podziemnym wydawcom.

Opinie Prawne

Tomasz Pietryga: Sędziowie 13 grudnia, krótka refleksja

Dla wielu obywateli skrzywdzonych w czasach PRL, wejście sędziów stanu wojennego do sądów w III RP było nieakceptowalne. Niemoc ludzi Solidarności, aby to wejście zablokować, odebrała szacunek Temidzie na dekady.

Opinie Prawne

Rok rządu Donalda Tuska. "Zero sukcesów Adama Bodnara"

Przez ostatni rok główny ciężar działań i uwagi skupiony był na przywracaniu praworządności, choć z góry było wiadomo, że przy tym prezydencie para pójdzie w gwizdek. Jednocześnie w tym czasie nie zrobiono niczego, co by wydatnie poprawiło efektywność wymiaru sprawiedliwości.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Premier Donald Tusk oraz minister rodziny, pracy i polityki społecznej Agnieszka Dziemianowicz-Bąk

Opinie Prawne

Rok rządu Donalda Tuska. "Aktywni w pracy, zapominalscy w sprawach ZUS"

Wiele obietnic pracowniczych zostało już zrealizowanych. Zabrakło jednak odważnych, kluczowych zmian w ubezpieczeniach społecznych.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Opinie Prawne

Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji

Opinie Prawne

Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?

Czy rzeczywiście ktoś wierzy, że Rafał Trzaskowski będzie dobrym prezydentem akurat dlatego, że zna

Komentarze

Michał Szułdrzyński: Rafał, pardon maj frencz!

Rafał Trzaskowski zachwycił swoich sympatyków rozmową po francusku z Emmanuelem Macronem. Jednak w kontekście kampanii, która miała odczarować jego elitarny wizerunek, pojawia się pytanie, czy to nie oddala go od przeciętnego wyborcy.

Adam Niedzielski, minister zdrowia w rządzie PiS w latach 2020-2023.

Prawo karne

Adam Niedzielski z wyrokiem. Były minister zdrowia przekroczył uprawnienia

W związku ze sprawą ujawnienia danych pacjenta, były minister zdrowia w rządzie Prawa i Sprawiedliwości Adam Niedzielski stanął przed warszawskim sądem.

Waluty

Złoty mocniejszy, ale tylko w relacji do franka

Złoty w czwartek notował nieznaczne zmiany wobec euro i dolara. Większy ruch było widać w przypadku franka szwajcarskiego.

Waluty

Złoty znów rusza do ataku

Czwartek na rynku walutowym będzie upływał pod znakiem decyzji banków centralnych. Jak zareaguje na nie złoty?

Daniel Obajtek (wtedy jeszcze wójt gminy Pcim) oraz prezes PiS Jarosław Kaczyński w Sejmie w 2013 r

Opinie Ekonomiczne

Cezary Szymanek: Orlen ratuje się z „pułapki” Obajtka

Olefiny Daniela Obajtka, dwie wieże w Ostrołęce, przekop Mierzei Wiślanej, lotnisko w Radomiu. Wszyscy już wiedzą, że miliardy wydane na te inwestycje to pieniądze wyrzucone w błoto. A kiedy dowiemy się, kto poniesie za to odpowiedzialność?