Polityka prywatności w serwisach internetowych

2008-04-24 Skomentuj

W przypadku gdy w związku z korzystaniem z danej strony WWW następuje jakiekolwiek przetwarzanie danych osobowych, strona taka winna być tak zaprojektowana, aby w sposób wyraźny zawarte w niej było, łatwo dostępne, odesłanie do przyjętych zasad co do przetwarzania takich danych, łącznie z warunkami dostępu każdej jednostki do własnych danych osobowych i warunkami anonimowego korzystania. Jest to jeden z istotniejszych postulatów wysuwanych w odniesieniu do ochrony danych osobowych w sieciach teleinformatycznych. Na gruncie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) jest to wręcz obowiązek, skierowany do podmiotów do których niniejsza ustawa jest adresowana (tj. usługodawców w rozumieniu tejże ustawy) w związku z częstą praktyką podmiotów oferujących usługi w Internecie, którzy uzależniają ich świadczenie od podania przez usługobiorcę danych osobowych (a często również od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych). Użytkownik serwisu, który udostępnia swoje dane osobowe musi mieć stały i łatwy dostęp do zasad związanych z przetwarzaniem danych osobowych.

Powyższy obowiązek najczęściej jest wykonywany poprzez stworzenie i publikację polityki prywatności. Jest to swoistego rodzaju dokument (o nazwie Polityka Prywatności lub Prywatność), umieszczony na stronie internetowej w celu poinformowania jej użytkowników o tym jakie dane osobowe są o nich zbierane i jak będą wykorzystywane (w szczególności czy będą przekazywane innym podmiotom). Polityka prywatności powinna również zawierać informacje na temat zmiany swoich danych przez użytkowników, a także na temat sposobu w jaki pobierane od użytkownika dane są zabezpieczane. Zakres udostępnianych przez użytkowników danych jak również cel w jakim są one następnie wykorzystywane różnią się od siebie, czasem nawet znacznie, w zależności od rodzaju usług z jakich korzystamy. Użytkownik serwisu społecznościowego przekaże administratorowi inne dane niż np. klient w sklepie internetowym podczas dokonywania transakcji zakupu. Jednakże obojętnie z jakim serwisem będziemy mieć do czynienia powinien on zawierać stosowną politykę prywatności, z którą powinniśmy się najpierw zapoznać.

Jak prawidłowo powinna być skonstruowana taka polityka prywatności? Wszystko zależy oczywiście od charakteru danej strony lub serwisu, jednakże jest kilka żelaznych punktów, które co do zasady powinny się znaleźć w takim dokumencie. Przeanalizujemy teraz po kolei wszystkie z możliwych elementów, które umieścilibyśmy w tego typu dokumencie. Oczywiście nasza analiza jest dokonywana w oparciu o założenie, że dopuszczalność przetwarzania danych osobowych wynika albo z konkretnego przepisu albo zgody użytkownika w tym zakresie.

Po pierwsze, należy poinformować użytkownika o tym, jakie dane są zbierane. Dane użytkowników mogą być zbierane automatycznie przez serwer lub podawane przez użytkownika np. podczas rejestracji. Z tego tytułu możemy dokonać pewnego podziału na dane zbierane aktywnie i biernie. Dane zbierane aktywnie to wszystkie dane, które użytkownik podaje dobrowolnie na stronie internetowej (np. w trakcie rejestracji na stronie lub na potrzeby dokonania transakcji handlowej). Przy rejestracji najczęściej będzie to adres e-mail, ale przy dokonywaniu transakcji zakupu towaru mogą to być już: imię, nazwisko, adres zamieszkania, dane dotyczące formy płatności, nr karty kredytowej itp. Dane zbierane biernie to wszystkie te dane, które nie wymagają od użytkownika wpisywania tych danych na stronie. Są to dane, które automatycznie są zapisywane przez serwer (tj. adres IP, nazwa domeny, typ przeglądarki, którą posługuje się użytkownik, typ systemu operacyjnego itd.) lub program do analizy zachowań użytkownika na stronie (web analytics). W przypadku jakiegokolwiek kontaktu użytkownika strony internetowej (przez skrzynkę na stronie), jeśli wówczas pobierane są od niego dane, również należy wskazać jakie to są dane.

Po drugie, polityka prywatności powinna określać sposób w jaki dane użytkowników są wykorzystywane. Jest to najważniejsza część polityki prywatności. Skoro użytkownik ma powierzyć w czyjeś ręce pewne informacje na swój temat, musi wiedzieć co się będzie dziać z tymi danymi ? a zatem w jakim celu zostały one zebrane i jak będą wykorzystywane. Musimy tutaj podać wszystkie zastosowania jakie przewidujemy dla zgromadzonych danych, nie tylko obecne, ale i przyszłe również. Najczęstszym zastosowaniem jest umożliwienie użytkownikowi zalogowania się do systemu. Bardzo często w sklepach internetowych nie można dokonać zakupów bez uprzedniej rejestracji.

Tak na marginesie, zgodnie z przepisem art. 22 ust. 1 ustawy o świadczeniu usług drogą elektroniczną odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę tzw. danych stałych (jak m. in. imię, nazwisko, adres zamieszkania) jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw. Jednakże, wobec braku sankcji za naruszenie tego przepisu jego skuteczność może być poddawana w wątpliwość.

Zakres danych pobieranych podczas rejestracji jest bardzo różny i tak naprawdę zależy od właściwości danego serwisu. Bardzo istotne jest podanie czy, a jeśli tak to w jakim celu dane użytkownika będą przekazywane innym podmiotom (np. do celów kontaktu; wysyłki newslettera; w trakcie transakcji handlowej dane użytkownika mogą zostać przekazane firmie, która zajmuje się autoryzacją transakcji płatniczych). Pomijam tu sytuacje, kiedy przepisy prawa wymuszają na administratorze danych takie działanie, które wynika wprost z ustawy (GIODO, organy wymiaru sprawiedliwości).

Dodatkowo w tej części powinna być zawarta również informacja o prawie wyboru użytkownika w zakresie wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych, w jaki sposób użytkownik może zrezygnować z otrzymywania informacji marketingowych, czy np. klient sklepu internetowego może dokonać zakupu nie rejestrując się, a jeśli tak to jak itd. W przypadku danych gromadzonych automatycznie należy określić w jakim celu takie dane będą wykorzystane (np. w celu personalizacji zawartości strony).

Po trzecie, należy poinformować użytkowników serwisu o możliwości zmiany lub usunięcia swoich danych osobowych zawartych w systemie. Obecnie najpowszechniejszym sposobem jest kontakt poprzez stronę internetową, ale dopuszczalne są również inne formy, drogą e-mail czy zwykłą pocztą.

Po czwarte, jeżeli nasza witryna używa cookies, należy o tym poinformować użytkownika. Jak wiemy, cookies to niewielkie informacje tekstowe, wysyłane przez serwer WWW i zapisywane po stronie użytkownika (zazwyczaj na twardym dysku). Domyślne parametry ciasteczek pozwalają na odczytanie informacji w nich zawartych jedynie serwerowi, który je utworzył. Ciasteczka są stosowane najczęściej w przypadku liczników, sond, sklepów internetowych czy stron wymagających logowania. Uwaga! Nigdy nie należy przetrzymywać danych osobowych (np. adresu e-mail) wewnątrz cookies.

Po piąte, w polityce prywatności powinno się zamieścić informacje na temat tego jak są zabezpieczone dane użytkownika podczas transmisji danych oraz gdy się znajdują w systemach administratora (użycie protokołu szyfrującego SSL, zabezpieczenia baz danych przed osobami trzecimi).

Po szóste, nasza polityka zawsze może ulec zmianie. Należy zastrzec możliwość jej zmiany poprzez umieszczenie nowej polityki prywatności/nowszej wersji pod dotychczasowym adresem na stronie.

Po siódme, w przypadku przetwarzania danych osobowych administrator danych powinien poinformować użytkowników serwisów w czyich rękach znajdują się powyższe dane, poprzez podanie imienia i nazwiska oraz dokładnego adresu zamieszkania osoby fizycznej lub nazwy i siedziby osoby prawnej. Jest to o tyle istotne, ponieważ nie zawsze jest tak, że to sam administrator danych dokonuje przetwarzania danych osobowych. Może je powierzyć w drodze umowy innemu podmiotowi. Wówczas w polityce prywatności należy wskazać ten podmiot. Dodatkowo należy zamieścić informację na temat sposobu kontaktowania się z przetwarzającym dane w przypadku dodatkowych pytań dotyczących ochrony prywatności.

Nie są to oczywiście wszystkie elementy jakie może zawierać polityka prywatności. Wszystko zależy jak już wspomniałem od zakresu usług oferowanych przez dany serwis internetowy oraz sposobu wykorzystania danych osobowych przez serwis. Jednakże, znajomość wyżej wskazanych, podstawowych elementów niewątpliwie ułatwi nam napisanie polityki prywatności dla naszej witryny.

Skomentuj