Wzór i omówienie
Gotowy szkielet polityki prywatności trzeba zawsze dopasować do tego, jakie dane zbierasz na stronie, po co je przetwarzasz i z jakich narzędzi korzystasz. Sama obecność wzoru nie wystarcza, jeśli dokument nie odpowiada rzeczywistym formularzom, newsletterowi, sprzedaży, statystyce albo plikom cookies.
Polityka prywatności wzór powinien realizować obowiązek informacyjny z art. 13 RODO i zawierać co najmniej 8 bloków: dane administratora, cele przetwarzania, podstawy prawne, odbiorców danych, okresy przechowywania, prawa użytkownika, sekcję cookies oraz dane techniczne. W praktyce link do dokumentu warto umieścić minimum w 3 miejscach: w stopce, przy formularzu kontaktowym i przy zapisie do newslettera albo w koszyku.
Przed publikacją przejdź 4 kroki: 1) spisz wszystkie formularze i integracje, 2) przypisz do nich cele i podstawy przetwarzania, 3) sprawdź odbiorców danych i okresy przechowywania, 4) porównaj treść z banerem cookies, checkboxami i komunikatami przy formularzach. Jeżeli strona ma sklep, konto klienta, newsletter lub narzędzia marketingowe, nie wystarczy ogólny wzór bez osobnych opisów tych procesów.
Niżej znajdziesz konkretne tabele wdrożeniowe, tabelę scenariuszy, moduł wzoru dokumentu z polami [do uzupełnienia], oznaczeniem stron, załącznikami i podpisem oraz plik PDF do pobrania pod ścieżką `/downloads/rodo-i-internet-polityka-prywatnosci-wzor.pdf`.
Kontrola praktyczna dla tematu „polityka prywatności wzór” obejmuje co najmniej 3 obszary: administrator danych, PUODO, RODO, wniosek, zgoda i dokumentacja; jeżeli pismo wskazuje termin 7, 14 albo 30 dni, licz go od doręczenia i zachowaj potwierdzenie wysyłki.
Przed decyzją sprawdź aktualną ustawę albo kodeks, właściwy formularz, załączniki i termin wynikający z dokumentu.
blok wzoru
POLITYKA PRYWATNOŚCI
dla strony internetowej [adres domeny]
Oznaczenie dokumentu: PP-[numer wersji]/[rok]
Miejscowość: [miejscowość]
Data sporządzenia: [data]
Data obowiązywania: [data]
Wersja dokumentu: [numer wersji]
Strona 1 z 4
§ 1. postanowienia ogólne
1. Niniejsza polityka prywatności określa zasady przetwarzania danych osobowych oraz wykorzystywania plików cookies i podobnych technologii na stronie [adres domeny].
2. Dokument realizuje obowiązek informacyjny wobec użytkowników korzystających ze strony, formularzy, newslettera, konta użytkownika, koszyka, formularza zamówienia, formularza reklamacyjnego albo innych funkcji wskazanych na stronie [do uzupełnienia].
3. Jeżeli określona funkcja nie działa na stronie, odpowiadające jej postanowienia należy usunąć albo oznaczyć jako niemające zastosowania przed publikacją dokumentu.
§ 2. administrator danych i kontakt
1. Administratorem danych osobowych jest [pełna nazwa firmy / imię i nazwisko], z siedzibą / adresem: [adres], NIP: [do uzupełnienia], REGON albo KRS: [do uzupełnienia].
2. Z administratorem można skontaktować się pod adresem e-mail: [adres e-mail], telefonicznie: [numer telefonu] albo listownie na adres wskazany w ust. 1.
3. Jeżeli wyznaczono inspektora ochrony danych albo osobę do kontaktu w sprawach danych osobowych, dane kontaktowe wynoszą: [dane kontaktowe / nie dotyczy].
§ 3. zakres, źródła i kategorie danych
1. Administrator może przetwarzać dane podane dobrowolnie przez użytkownika, w szczególności: [imię], [nazwisko], [adres e-mail], [numer telefonu], [adres dostawy], [dane do faktury], [treść wiadomości], [nazwa firmy], [inne dane z formularza].
2. Dane są pozyskiwane bezpośrednio od użytkownika przez formularz kontaktowy, zapis do newslettera, założenie konta, złożenie zamówienia, reklamację albo inny moduł [do uzupełnienia].
3. Niezależnie od danych podanych przez użytkownika strona może zapisywać dane techniczne, w tym [adres IP], [identyfikator sesji], [typ przeglądarki], [typ urządzenia], [przybliżoną lokalizację], [logi serwera] i [źródło wejścia na stronę], jeżeli wynika to z konfiguracji hostingu lub narzędzi zewnętrznych.
§ 4. cele i podstawy przetwarzania
1. Dane z formularza kontaktowego są przetwarzane w celu udzielenia odpowiedzi na wiadomość i dalszego kontaktu z użytkownikiem na podstawie [do uzupełnienia, np. art. 6 ust. 1 lit. f RODO albo art. 6 ust. 1 lit. b RODO].
2. Dane podane przy zapisie do newslettera są przetwarzane w celu wysyłki informacji handlowych, materiałów edukacyjnych albo aktualności dotyczących [zakres newslettera] na podstawie [do uzupełnienia, np. art. 6 ust. 1 lit. a RODO].
3. Dane związane z rejestracją konta są przetwarzane w celu utworzenia i obsługi konta użytkownika na podstawie [do uzupełnienia].
4. Dane związane z zamówieniem są przetwarzane w celu zawarcia i wykonania umowy, przyjęcia płatności, organizacji dostawy, obsługi reklamacji oraz rozliczeń księgowych na podstawie [do uzupełnienia].
5. Dane techniczne i cookies mogą być wykorzystywane w celu prawidłowego działania strony, zapewnienia bezpieczeństwa, tworzenia statystyk, personalizacji treści albo działań marketingowych, zależnie od faktycznie używanych narzędzi i ustawień zgód.
Strona 2 z 4
§ 5. odbiorcy danych
1. Dane mogą być przekazywane podmiotom wspierającym działalność administratora wyłącznie w zakresie potrzebnym do realizacji celu, w szczególności: [dostawca hostingu], [dostawca poczty], [dostawca newslettera], [operator płatności], [firma kurierska], [biuro księgowe], [dostawca CRM], [dostawca analityki], [dostawca systemu zgód cookies].
2. Jeżeli administrator korzysta z osadzonych narzędzi, takich jak mapy, wideo, czat, piksele reklamowe lub wtyczki społecznościowe, należy wskazać je z nazwy i opisać ich rolę: [lista osadzeń i integracji].
3. Jeżeli dane są przekazywane poza Europejski Obszar Gospodarczy, należy uzupełnić tę część o podstawę transferu i mechanizm zabezpieczający: [do uzupełnienia albo usunąć, jeżeli nie dotyczy].
§ 6. okres przechowywania danych
1. Dane z formularza kontaktowego są przechowywane przez [okres przechowywania albo kryterium ustalenia okresu].
2. Dane newsletterowe są przechowywane do czasu rezygnacji z subskrypcji albo utraty przydatności celu, chyba że przepisy wymagają dłuższego przechowywania.
3. Dane związane z kontem użytkownika są przechowywane przez [okres przechowywania albo kryterium ustalenia okresu].
4. Dane związane z zamówieniem, płatnością i dokumentami księgowymi są przechowywane przez okres [do uzupełnienia zgodnie z obowiązkami rozliczeniowymi i obsługą roszczeń].
5. Dane techniczne, logi i informacje o cookies są przechowywane przez okres [do uzupełnienia zgodnie z konfiguracją strony i narzędzi].
§ 7. prawa osoby, której dane dotyczą
1. Osobie, której dane dotyczą, przysługuje prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, wniesienia sprzeciwu oraz cofnięcia zgody, jeżeli przetwarzanie odbywa się na podstawie zgody.
2. Użytkownik ma prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych, jeżeli uzna, że przetwarzanie danych narusza przepisy.
3. Żądania związane z realizacją praw można kierować na dane kontaktowe wskazane w § 2. Administrator odpowiada w terminie wynikającym z przepisów obowiązujących w dacie złożenia żądania.
Strona 3 z 4
§ 8. cookies i dane techniczne
1. Strona wykorzystuje cookies własne oraz cookies podmiotów trzecich w zakresie niezbędnym do działania strony oraz, jeżeli ma to miejsce, do analityki, marketingu i zapamiętywania preferencji użytkownika.
2. Użytkownik może zarządzać cookies za pomocą ustawień przeglądarki oraz panelu zgód / banera cookies dostępnego na stronie [adres domeny], jeżeli taki mechanizm został wdrożony.
3. Jeżeli na stronie używane są narzędzia analityczne, reklamowe, mapy, osadzone wideo albo inne skrypty zewnętrzne, należy wskazać je z nazwy oraz opisać ich funkcję i zakres zapisywanych danych: [lista narzędzi].
4. Tabela albo lista używanych cookies może stanowić załącznik do niniejszej polityki: [nazwa załącznika albo adres podstrony z tabelą cookies].
§ 9. aktualizacje, zgodność wdrożenia i kontakt
1. Administrator stosuje środki organizacyjne i techniczne odpowiednie do ryzyka związanego z przetwarzaniem danych, w zakresie [do uzupełnienia].
2. Przed publikacją oraz po każdej istotnej zmianie strony należy sprawdzić zgodność niniejszej polityki z formularzami, checkboxami, banerem cookies, listą dostawców i rzeczywistymi procesami przetwarzania danych na stronie [adres domeny].
3. Polityka prywatności może być aktualizowana w razie zmiany przepisów, sposobu działania strony, wykorzystywanych narzędzi, odbiorców danych albo zakresu świadczonych usług. Każda nowa wersja dokumentu otrzymuje datę obowiązywania i numer wersji.
4. W sprawach nieuregulowanych niniejszą polityką należy stosować przepisy obowiązujące w dacie korzystania ze strony i przetwarzania danych.
Strona 4 z 4
Załączniki:
1. Lista formularzy i pól danych używanych na stronie [do uzupełnienia].
2. Lista dostawców, integracji i narzędzi działających na stronie [do uzupełnienia].
3. Tabela cookies, okresów działania i podstaw uruchamiania plików cookie [do uzupełnienia albo usunąć, jeżeli prowadzona oddzielnie].
4. Rejestr zmian polityki prywatności [do uzupełnienia].
Podpis / zatwierdzenie administratora:
[imię i nazwisko osoby zatwierdzającej]
[funkcja]
[podpis]
Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej. Przed wysłaniem pisma, podjęciem decyzji albo obliczeniem kwoty sprawdź aktualne przepisy, źródła podane pod artykułem oraz własne dokumenty.
Polityka prywatności nie jest ozdobą strony, tylko praktycznym wykonaniem obowiązku informacyjnego wobec osoby, której dane są przetwarzane. W najprostszym wariancie trzeba odpowiedzieć na pytania: kto zbiera dane, jakie dane zbiera, po co to robi, na jakiej podstawie, jak długo je przechowuje i jakie prawa ma użytkownik.
Na etapie uzupełniania wzoru najpierw ustal, czy Twoja strona wyłącznie prezentuje treść, czy także przyjmuje dane przez formularz kontaktowy, newsletter, konto użytkownika, zamówienie, komentarze albo narzędzia analityczne. Jeżeli choć jeden z tych elementów działa, dokument powinien opisać ten proces osobno.
W praktyce warto też rozdzielić to, co jest obowiązkową informacją o przetwarzaniu danych, od tego, co dotyczy plików cookies i podobnych technologii. Użytkownik powinien dostać prostą odpowiedź, jakie dane podaje sam, jakie dane zapisują narzędzia techniczne i komu mogą być ujawniane.
Przed decyzją sprawdź aktualną ustawę albo kodeks, właściwy formularz, załączniki i termin wynikający z dokumentu.
| Sytuacja na stronie | Czy polityka prywatności jest potrzebna | Co trzeba opisać | Najważniejsze ryzyko |
|---|---|---|---|
| Strona z formularzem kontaktowym | Tak | Administratora, zakres danych z formularza, cel kontaktu, czas przechowywania, prawa użytkownika | Brak opisu formularza mimo faktycznego zbierania danych |
| Newsletter | Tak | Cel wysyłki, podstawę przetwarzania, sposób rezygnacji, odbiorców danych | Brak wskazania oddzielnego celu marketingowego |
| Sklep internetowy | Tak | Zamówienia, płatności, dostawę, konto klienta, reklamacje, odbiorców danych | Użycie ogólnego wzoru bez części sprzedażowej |
| Blog bez formularza, ale z analityką i cookies | Zwykle tak | Dane techniczne, cookies, narzędzia statystyczne, prawa użytkownika | Pominięcie technologii śledzących |
| Strona-wizytówka bez formularzy i bez narzędzi zewnętrznych | Ocena zależy od rzeczywistej konfiguracji | Trzeba najpierw sprawdzić, czy hosting, statystyka lub osadzone wtyczki nie zapisują danych | Błędne założenie, że strona niczego nie zbiera |
Najpierw opisz to, co naprawdę dzieje się na stronie. Gotowy tekst bez dopasowania do formularzy, newslettera, sklepu i cookies często wymaga poprawek jeszcze przed publikacją.
Sam wzór jest użyteczny wtedy, gdy stanowi punkt wyjścia do uzupełnienia danych administratora, procesów przetwarzania i listy narzędzi. Nie wystarczy jednak w sytuacji, gdy strona ma kilka kanałów zbierania danych albo korzysta z zewnętrznych systemów do analityki, marketingu, płatności, newslettera lub logowania.
W praktyce przebudowy wymaga zwłaszcza dokument dla sklepu internetowego, serwisu z kontem użytkownika, platformy zapisów, kursów online albo strony, która łączy formularz, newsletter i piksele reklamowe. W takich wariantach trzeba oddzielnie opisać cele przetwarzania i kategorie odbiorców danych.
Jeżeli nie masz pewności, czy konkretna wtyczka, formularz lub osadzony moduł zapisuje dane użytkownika, bezpieczniej przyjąć wariant kontrolny: sprawdzić ustawienia narzędzia, listę integracji i przepływ danych przed publikacją dokumentu.
| Wariant | Kiedy wybrać | Co zwykle wystarcza | Kiedy to za mało | Jednostka |
|---|---|---|---|---|
| Prosty wzór edytowalny | 1 formularz kontaktowy, brak sprzedaży i brak konta użytkownika | Uzupełnienie danych administratora, celu kontaktowego i retencji dla wiadomości | Gdy dochodzi newsletter, drugie źródło danych albo integracja marketingowa | wartość |
| Wzór rozszerzony o cookies i narzędzia | Strona firmowa lub blog z analityką, mapą, osadzeniami i formularzem | Opis danych technicznych, cookies, dostawców narzędzi i sposobu zarządzania zgodami | Gdy narzędzia służą też remarketingowi albo profilowaniu kampanii | wartość |
| Dokument dla sklepu internetowego | Zamówienia, płatności, dostawa, konto klienta i reklamacje | Oddzielne cele i odbiorcy dla sprzedaży, płatności, wysyłki i obsługi posprzedażowej | Gdy sprzedaż działa także przez marketplace, aplikację lub kilka kanałów | wartość |
| Dokument szyty pod procesy | 2 lub więcej formularzy, CRM, kursy, logowanie, automatyzacje i zewnętrzne integracje | Opis każdego procesu osobno wraz z odbiorcami i retencją | Uproszczenie do jednego akapitu zaciera realny przepływ danych | wartość |
Jeżeli wzór obiecuje uniwersalne zastosowanie, zawsze porównaj go z rzeczywistą listą formularzy, integracji i dostawców działających na stronie.
Najbezpieczniej zacząć od mapy danych. Spisz, gdzie użytkownik zostawia dane dobrowolnie, jakie dane zapisują narzędzia techniczne oraz komu dane są przekazywane w toku obsługi strony. Dopiero potem uzupełniaj wzór.
W kolejnym kroku sprawdź, czy te same dane nie są zbierane w kilku miejscach do różnych celów, na przykład osobno przez formularz kontaktowy, newsletter i zamówienie. Taki podział powinien być widoczny w dokumencie, bo użytkownik powinien rozumieć, po co jego dane są wykorzystywane.
Na końcu porównaj treść polityki z realną stroną: stopką, formularzami, checkboxami, banerem cookies i listą dostawców. To etap, na którym najczęściej wychodzi brak spójności między dokumentem a praktyką.
| Krok | Działanie | Dokument/dane | Gdzie | Termin/koszt | Ryzyko błędu |
|---|---|---|---|---|---|
| 1 | Ustal administratora i dane identyfikacyjne | Nazwa, adres, NIP lub inne dane identyfikacyjne, e-mail kontaktowy | Dane firmy lub działalności | Przed publikacją; brak opłaty urzędowej | Podanie niepełnych danych administratora |
| 2 | Spisz wszystkie miejsca zbierania danych | Formularze, newsletter, konto, koszyk, komentarze, integracje | Panel strony, wtyczki, system CMS, lista narzędzi | Przed publikacją i przy każdym nowym formularzu; brak opłaty urzędowej | Pominięcie jednego formularza lub osadzonego narzędzia |
| 3 | Przypisz cele i podstawy przetwarzania | Opis celu kontaktu, sprzedaży, marketingu, obsługi konta lub statystyki | Treść dokumentu i konfiguracja procesów | Przed publikacją; koszt własnej pracy zależny od skali strony | Mieszanie kilku celów w jednym ogólnym akapicie |
| 4 | Wskaż odbiorców i dostawców narzędzi | Hosting, newsletter, płatności, dostawa, analityka | Umowy, regulaminy usług, panel dostawcy | Przed publikacją i po zmianie usługodawcy; koszt zależny od narzędzia | Brak aktualizacji po zmianie dostawcy |
| 5 | Uzupełnij część o cookies i dane techniczne | Opis cookies, adres IP, logi, narzędzia statystyczne | Polityka prywatności, baner cookies, ustawienia strony | Przed publikacją; brak opłaty urzędowej | Mylenie informacji o cookies ze zgodą na cookies |
| 6 | Opublikuj dokument w miejscu łatwo dostępnym | Finalna wersja polityki, link w stopce i przy formularzach | Strona internetowa | Przed uruchomieniem formularzy lub sprzedaży; brak opłaty urzędowej | Dokument istnieje, ale użytkownik nie może łatwo do niego dotrzeć |
| 7 | Wprowadź przegląd zmian | Data aktualizacji, lista nowych procesów lub narzędzi | Polityka prywatności i rejestr zmian wewnętrznych | Po każdej istotnej zmianie procesu; brak ustawowego terminu wskazanego tutaj | Dokument nie nadąża za rozwojem strony |
Brak opłaty urzędowej za samą publikację polityki prywatności nie oznacza, że dokument można przygotować mechanicznie. Koszt zwykle pojawia się przy wdrożeniu, konsultacji albo zakupie narzędzia, a nie przy samym umieszczeniu tekstu na stronie.
Przed publikacją porównaj dokument z widocznymi funkcjami strony. Jeżeli użytkownik może się z Tobą skontaktować, zapisać do newslettera, założyć konto albo złożyć zamówienie, dokument powinien to odzwierciedlać wprost.
Sprawdź też, czy język dokumentu nie jest zbyt szeroki. Lepiej opisać trzy realne cele przetwarzania niż wstawiać długą listę wszystkich możliwych podstaw i procesów, które na stronie w ogóle nie występują.
Dobrą praktyką jest zachowanie daty aktualizacji oraz wewnętrznej listy zmian, zwłaszcza gdy strona rozwija się o nowe formularze, integracje i narzędzia analityczne.
| Element do sprawdzenia | Co powinno być w dokumencie | Jak zweryfikować | Typowe ryzyko |
|---|---|---|---|
| Administrator danych | Pełna nazwa lub imię i nazwisko, dane kontaktowe | Porównanie z danymi firmy na stronie i w stopce | Rozbieżne dane w różnych miejscach serwisu |
| Formularz kontaktowy | Zakres danych, cel kontaktu, podstawa, prawa użytkownika | Test formularza i pola obowiązkowe | Dokument nie opisuje faktycznie zbieranych pól |
| Newsletter | Cel wysyłki, rezygnacja, odbiorcy danych | Sprawdzenie formularza zapisu i komunikatu po zapisie | Brak odrębnego opisu działań marketingowych |
| Sklep internetowy | Obsługa zamówienia, płatności, dostawy, reklamacji | Przegląd ścieżki zakupowej i konta klienta | Uproszczony wzór nie obejmuje procesów sprzedażowych |
| Cookies i analityka | Opis narzędzi, danych technicznych i zasad zarządzania cookies | Lista skryptów, wtyczek i osadzeń | Pominięcie narzędzi działających w tle |
| Data aktualizacji | Widoczna data ostatniej zmiany | Kontrola nagłówka dokumentu | Nie wiadomo, czy dokument odpowiada aktualnej stronie |
Przejrzyj stronę jak użytkownik: stopka, formularz, koszyk, konto, newsletter i baner cookies. To prosty test, który szybko pokazuje, czy dokument opisuje prawdziwy stan rzeczy.
Poniższy szkic jest przygotowany jako realna baza polityki prywatności dla strony internetowej, a nie ogólne pismo. Przed publikacją uzupełnij dane administratora, adres domeny, listę formularzy, cele przetwarzania, odbiorców danych, okresy przechowywania i opis narzędzi cookies zgodny z faktyczną konfiguracją strony.
Najpierw porównaj wzór z rzeczywistymi miejscami zbierania danych: formularzem kontaktowym, zapisem do newslettera, koszykiem, kontem klienta, komentarzami, pikselami reklamowymi i analityką. Jeżeli którejś funkcji nie ma, usuń odpowiedni fragment. Jeżeli działa nowy formularz albo nowe narzędzie, dopisz je wprost zamiast zostawiać ogólnik.
Po uzupełnieniu tekstu sprawdź spójność dokumentu z banerem cookies, checkboxami i komunikatami przy formularzach. Finalna wersja PDF powinna odpowiadać dokładnie temu samemu wzorowi, który znajduje się w bloku documentDraft.
| Sekcja wzoru | Co wpisać konkretnie | Skąd wziąć dane | Kiedy usunąć lub rozbudować |
|---|---|---|---|
| Administrator danych | Pełna nazwa, adres, NIP lub KRS, e-mail, telefon, ewentualnie IOD | Dane rejestrowe firmy i dane kontaktowe publikowane na stronie | Usuń tylko pola, które nie dotyczą formy działalności; rozbuduj przy kilku markach lub spółkach |
| Cele i podstawy przetwarzania | Osobno kontakt, newsletter, konto, zamówienie, reklamacje, analitykę i marketing | Lista formularzy, koszyk, panel newslettera, baner cookies, konfiguracja narzędzi | Usuń procesy nieobecne; rozbuduj, gdy jeden formularz obsługuje kilka celów |
| Odbiorcy danych | Nazwy kategorii usługodawców: hosting, poczta, newsletter, płatności, kurier, CRM, analityka | Umowy z dostawcami, panel usług, regulaminy narzędzi | Usuń niewykorzystywane kategorie; rozbuduj przy transferach poza EOG |
| Okresy przechowywania | Kryterium lub konkretny okres dla kontaktu, newslettera, konta, zamówień i logów | Procedury wewnętrzne, obowiązki księgowe, ustawienia systemu i hostingu | Nie zostawiaj pustych nawiasów; rozbuduj, gdy różne kanały mają różne okresy retencji |
| Cookies i dane techniczne | Nazwy narzędzi, typy cookies, panel zgód, dane techniczne i sposób zarządzania ustawieniami | Skan cookies, konfiguracja CMP, lista skryptów i osadzeń | Usuń marketing, jeśli go nie używasz; rozbuduj przy kilku tagach i pikselach |
Traktuj ten wzór jako szkic do wdrożenia po audycie formularzy, cookies i integracji. Nie publikuj PDF, jeśli jego treść różni się od wersji documentDraft użytej na stronie.
Najczęstszy błąd to kopiowanie wzoru bez sprawdzenia, czy strona rzeczywiście działa tak, jak opisano w dokumencie. Taki problem pojawia się szczególnie wtedy, gdy gotowy tekst mówi o newsletterze, koncie użytkownika lub płatnościach, a strona tych funkcji nie ma, albo odwrotnie: funkcje działają, ale dokument ich nie opisuje.
Drugim częstym błędem jest wrzucenie wszystkich podstaw i celów przetwarzania do jednego akapitu. Użytkownik powinien zrozumieć różnicę między kontaktem, realizacją zamówienia, marketingiem i analizą ruchu.
Trzecie ryzyko to brak aktualizacji po zmianie narzędzia. W praktyce wystarczy nowa wtyczka newsletterowa, piksel reklamowy albo zewnętrzny formularz, aby treść dokumentu wymagała korekty.
| Błąd | Skutek praktyczny | Poprawny następny krok |
|---|---|---|
| Wklejenie ogólnego wzoru bez edycji | Dokument nie odpowiada rzeczywistym procesom | Porównaj treść z formularzami, newsletterem, sklepem i cookies |
| Brak danych administratora lub danych kontaktowych | Użytkownik nie wie, kto odpowiada za dane | Uzupełnij część identyfikacyjną i dane kontaktowe |
| Pominięcie odbiorców danych | Dokument nie wyjaśnia udziału dostawców usług | Dodaj hosting, newsletter, płatności, dostawę lub analitykę, jeśli występują |
| Brak aktualizacji po zmianie narzędzia | Treść przestaje odpowiadać stronie | Dodaj przegląd dokumentu po każdej zmianie procesu |
Jeżeli nie potrafisz przypisać konkretnego celu do konkretnego formularza, to znak, że dokument wymaga uproszczenia albo ponownego mapowania procesów.
Strona kancelarii z prostym formularzem kontaktowym zwykle potrzebuje krótszej polityki niż sklep internetowy, ale nadal musi jasno wskazać administratora, zakres danych z formularza, cel kontaktu i prawa użytkownika. Sama prostota strony nie znosi obowiązku opisania faktycznego przetwarzania.
Blog firmowy z formularzem newslettera wymaga co najmniej rozdzielenia celu kontaktowego od celu marketingowego. To podobne procesy z perspektywy użytkownika, ale praktycznie nie powinny być opisane jedną formułą.
Sklep internetowy potrzebuje bardziej rozbudowanej części o zamówieniach, płatnościach, dostawie, koncie klienta i reklamacjach. W takim wariancie prosty ogólny wzór często staje się zbyt krótki.
Strona-wizytówka bez formularza może nadal używać analityki, mapy lub osadzonego wideo. Wtedy polityka prywatności nadal bywa potrzebna, bo dane techniczne i cookies mogą być przetwarzane mimo braku klasycznego formularza.
| Scenariusz | Minimalne sekcje obowiązkowe | Dodatkowe elementy do sprawdzenia | Najczęstsza różnica względem prostego wzoru |
|---|---|---|---|
| Strona usługowa z formularzem kontaktowym | Administrator, formularz kontaktowy, retencja, prawa osoby, kontakt | Zakres pól obowiązkowych, checkboxy, adres e-mail odbiorcy | Wystarczy krótka część o jednym celu kontaktowym, bez sekcji sprzedażowej |
| Blog z newsletterem i analityką | Administrator, kontakt, newsletter, cookies, dane techniczne, prawa osoby | Mechanizm wypisu, dostawca mailingowy, statystyka i baner cookies | Trzeba oddzielić cel marketingowy od zwykłego kontaktu |
| Sklep internetowy | Administrator, zamówienia, płatności, dostawa, reklamacje, konto klienta, cookies | Operator płatności, kurier, faktury, obsługa roszczeń i zwrotów | Potrzebna jest rozbudowana część o odbiorcach danych i retencji |
| Strona-wizytówka z osadzoną mapą lub wideo | Administrator, dane techniczne, cookies, odbiorcy danych, aktualizacja | Skrypty zewnętrzne, osadzenia, hosting i logi serwera | Brak formularza nie usuwa potrzeby opisania technologii działających w tle |
Podobne strony mogą wymagać różnych zapisów, jeśli korzystają z innych narzędzi, mają różne formularze albo prowadzą sprzedaż.
Dokument powinien być łatwo dostępny z poziomu strony, najlepiej przez stały link w stopce oraz w miejscach, w których użytkownik podaje dane. Przy formularzu kontaktowym, zapisie do newslettera, rejestracji konta i koszyku warto umożliwić szybkie przejście do dokumentu bez szukania go po całym serwisie.
Aktualizacja jest potrzebna wtedy, gdy zmienia się proces przetwarzania: pojawia się nowy formularz, nowe narzędzie mailingowe, nowa bramka płatnicza, nowy moduł analityczny albo nowy kanał sprzedaży. Nie trzeba przepisywać całego dokumentu przy każdej drobnej zmianie wyglądu strony, ale istotna zmiana celu, narzędzia albo odbiorcy danych powinna znaleźć odzwierciedlenie w treści.
Dobrze działa prosty model kontroli: data ostatniej aktualizacji w dokumencie i wewnętrzna lista zmian technicznych na stronie. Dzięki temu łatwiej wykazać, że dokument był utrzymywany na bieżąco.
| Miejsce lub zdarzenie | Co zrobić | Kiedy |
|---|---|---|
| Stopka strony | Dodać stały link do polityki prywatności | Najpóźniej przy publikacji strony |
| Formularz kontaktowy lub newsletter | Umożliwić dostęp do polityki w pobliżu formularza | Przed uruchomieniem zbierania danych |
| Nowe narzędzie analityczne lub marketingowe | Sprawdzić, czy dokument opisuje nowe przetwarzanie | Przed lub równolegle z wdrożeniem |
| Zmiana dostawcy newslettera, hostingu lub płatności | Zaktualizować część o odbiorcach danych i procesach | Niezwłocznie po zmianie |
Najprostszy test aktualności dokumentu: czy da się wskazać ostatnią zmianę na stronie, której polityka jeszcze nie opisuje.
Pytania czytelników
Krótkie odpowiedzi na konkretne sytuacje, które zwykle pojawiają się przed złożeniem wniosku, wysłaniem dokumentu albo podjęciem decyzji.
Jeżeli na stronie dochodzi do przetwarzania danych osobowych albo używania narzędzi, które zapisują dane techniczne i cookies, dokument zwykle jest potrzebny jako praktyczna realizacja obowiązku informacyjnego. Ostateczna ocena zależy od realnej konfiguracji strony i używanych narzędzi.
Powinna być zrozumiała, konkretna i dopasowana do procesów działających na stronie. Minimalnie powinna wskazywać administratora, cele przetwarzania, odbiorców danych, czas przechowywania, prawa użytkownika oraz informacje o cookies i narzędziach technicznych.
Nie. Regulamin opisuje zasady korzystania z usługi albo sklepu, a polityka prywatności dotyczy przetwarzania danych osobowych i technologii takich jak cookies. Oba dokumenty mogą działać obok siebie, ale nie zastępują się wzajemnie.
Tak, zwykle jest bardziej rozbudowana. Sklep internetowy powinien opisać zamówienia, płatności, dostawę, konto klienta i reklamacje, podczas gdy blog częściej skupia się na formularzu kontaktowym, newsletterze, analityce i cookies.
Przykładowy tekst powinien być tylko szkicem do uzupełnienia. W praktyce trzeba wpisać dane administratora, rzeczywiste cele przetwarzania, listę odbiorców danych i konkretne narzędzia używane na stronie.
Można potraktować go jako punkt startowy, ale nie warto publikować go bez dopasowania. Największe ryzyko polega na tym, że wzór opisuje inne procesy niż te, które faktycznie działają na stronie.
Najczęściej dodaje się stały link w stopce oraz dostęp przy formularzach, newsletterze, rejestracji i koszyku. Chodzi o to, aby użytkownik mógł łatwo przeczytać dokument przed podaniem danych.
Nie zawsze. Część o cookies można połączyć z polityką prywatności, jeśli treść pozostaje czytelna i odpowiada rzeczywistym technologiom używanym na stronie. Trzeba jednak odróżnić opis cookies od mechanizmu zgód i ustawień banera.