Myślę, że każdy z was zetknął się z polityką prywatności chociaż raz. Obecne są na różnorakich stronach, portalach, w sklepach internetowych itp. Problem z polityką prywatności jest jeden: funkcjonuje mit jakoby polityka była obowiązkowa, wymagana przez prawo. Mało kto zdaje sobie jednak sprawę, że nie jest to prawda, a na pewno nie cała prawda.
Ten wpis można też obejrzeć na YouTube
Zapraszam też do wersji podcastowej wpisu!
Dlaczego polityka prywatności nie jest obowiązkowa?
Szukałem swego czasu podstawy prawnej dla polityki prywatności, są w końcu dość popularne. Rezultat moich poszukiwań byłe jeden: nie istnieje żaden przepis, który zmuszałby działającą w Polsce firmę do stosowania polityki prywatności. Możecie nie raz spotkać się z stwierdzeniem, że wymaga jej prawo, ale nie znajdziecie w żadnej ustawie przepisu, który brzmiałby np. w ten sposób „każdy administrator danych osobowych, świadczący usługi za pomocą sieci Internet, jest zobowiązany do posiadania polityki prywatności i umieszczania jej na swojej stronie www.” Po prostu nie istnieje prawny obowiązek posiadania polityki prywatności.
A RODO, cookie etc.?
Czasem słyszę, że polityka prywatności jest wymagana przez RODO (GDPR) albo przepisy o cookie (ciasteczkach). W takim razie przyjrzyjmy się. W RODO (GDPR) znajdziemy obowiązek poinformowania osobę korzystającą z strony lub portalu o pewnych kwestiach np. pełna nazwa firmy, po co chcemy wykorzystać informacje itp. Nie ma tam jednak ani słowa, że potrzebna jest nam polityka prywatności, czyli długi, prawniczy dokument opisujący te kwestie.
Podobne zasady funkcjonują w przypadku plików cookie, co ciekawe są one regulowane odrębnymi przepisami niż RODO (GDPR). W nich również znajdziemy obowiązek poinformowania użytkownika, podobny do tego, który mamy w RODO.
No to jest czy nie ma?
Nie, nie ma obowiązku, owszem można użyć polityki prywatności do przekazania informacji o cookie lub o danych osobowych w ramach RODO (GDPR), jest to jednak dość uciążliwe. Przepisy, w obu wypadkach, wymagają, by te informacje przekazać przed:
zebraniem danych osobowych np. wypełnieniem formularza przez rejestrującego się użytkownika portalu, tak wynika właśnie z RODO(GDPR),
wykorzystaniem plików cookie (w ich przypadku).
W obu przypadkach wyświetlenie polityki prywatności użytkownikowi od razu, po wejściu na stronę, może go zniechęcić a w ramach RODO (GDPR) polityka użyta w takim kontekście może być nielegalna i sprawić wam spore kłopoty.
Nielegalna polityka prywatności?
Tak, może się okazać, że źle wykorzystana polityka będzie nielegalna. RODO (GDPR) wymaga by informacje przekazywane użytkownikowi zostały sporządzone w odpowiedni sposób. Skupię się na jednym: zwięzłości, gdyż jest to wymóg, który moim zdaniem sprawia największe problemy, przez co jest ciągle pomijane.
Praktycznie żadna znana mi polityka prywatności nie jest zwięzła, wszystkie mają kilka lub kilkanaście stron A4 (przeciętnie od 6 do 12) ale zdarzają się też dłuższe. Myślę, że nie trzeba być prawnikiem, by wiedzieć, że zwięzła informacja nie liczy 6 stron A4, moim zdaniem jedna strona A4 to maksymalna długość jaką przeciętny człowieka uzna za zwięzłą. Skoro polityki prywatności liczą więcej stron i są używane w kontekście realizacji wymogów RODO (GDPR) to są często niezgodne z prawem.
Dlaczego występują polityki prywatności?
Myślę, że powodów jest kilka, jeśli nie kilkanaście. Po pierwsze osoby zajmujące się prawnym dostosowaniem firm w dziedzinie IT nie czytają dokładnie przepisów. Po drugie firmy traktują tę dziedzinę jako stosunkowo łatwą i powtarzalną (co nie jest prawdą) przez co obcinają budżet na dostosowanie prawne swoich witryn, portali czy sklepów. Po trzecie robią to, bo konkurencja ma swoją politykę prywatności, uznają to więc za pewien standard. Skąd jednak ten standard się wziął? Moim zdaniem jest to efekt kopiowania rozwiązań z USA. Tamtejsze portale, witryny, aplikacje itp. mają swoje polityki prywatności, które w ramach prostej kalki (privacy policy -> polityka prywatności), trafiły do nas. Stało się to jednak bez zrozumienia na czym polegają amerykańskie polityki prywatności. Prawo USA nie reguluje takich obszarów jak dane osobowe, dlatego duże firmy, chcąc wyjść naprzeciw klientowi, tworzą polityki prywatności, które są umowami między nimi a użytkownikiem. Taka umowa, w formie polityki prywatności, ogranicza firmie możliwości korzystania z informacji o użytkowniku. Jest więc gestem dobrej woli biznesu a nie obowiązkiem wynikającym z prawa (a tak właśnie wygląda to w UE).
Rezygnacja z polityki prywatności?
Jest jak najbardziej możliwa, skoro nie ma obowiązku jej posiadania, można z niej zrezygnować, a budżet przekierować na inne kwestie, np. opracowanie poprawnych informacji o cookie czy RODO. Można też ją stosować, ale nie można z niej korzystać jako jedynego źródła informacji wymaganych przez prawo. Wybór zależy od was.
Przemysław Caputa TechPrawnik