Co powinna zawierać w sobie Polityka Prywatności? Przede wszystkim musisz określić kto zbiera i przetwarza dane osobowe oraz za pośrednictwem czego. Ja postaram się omówić to na przykładzie hipotetycznego sklepu internetowego, który sprzedaje produkty dla detalicznego odbiorcy.
Jak zbierasz dane
Na początku należy określić jak zbierasz dane. Wystarczy opisać, że dane osobowe klientów sklepu internetowego są zbierane w przypadku rejestracji konta w sklepie, składania zamówienia, subskrypcji newsletter i innych technicznych środków (jeśli je posiadasz). To jest dobra podstawa każdego sklepu internetowego a jeśli ktoś prowadzi dodatkowe działania marketingowe to z pewnością jego informatyk wie czy i one generują dane wrażliwe. Ustalenie tego to nie czarna magia więc wystarczy przeanalizować swoje projekty. Opisz jakie dane musi podać klient aby móc dokonać rejestracji w twoim sklepie i aby proces wygenerowania zamówienia był wolny od błędów (prawnych). W tym przypadku pola jakie trzeba wypełnić są przeróżne. Ale pamiętaj im mniej tym lepiej (zastosuj konieczne minimum wymagane przez prawo). Jeśli dane są ci potrzebne jedynie do wysłania zamówienia i nie generujesz ich dla potrzeb marketingowych to postaw na podstawy czyli imię i nazwisko, adres email, nr telefonu (dla ciebie i dla kuriera przydatny), adres zamieszkania lub / i adres do doręczenia przesyłki (mogą być inne). Nadmienię tylko, że w przypadku przedsiębiorców należy podać nazwę firmy oraz numer NIP.
Jeśli prowadzisz Newsletter to również będziesz musiał uzyskać od klienta osobną zgodę. Może być ona wyrażona przez zaznaczenie odpowiedniej zgody w panelu klienta i podaniu adresu email (to najprostszy sposób). Pamiętaj, że ty jako przedsiębiorca będziesz musiał, w razie kontroli, przedstawić dowód na to, że klient zgodził się na otrzymywanie tego typu wiadomości. Oczywiście taka zgoda wystarczy (zaznaczenie odpowiedniej rubryki w panelu). Co więcej klient sam może się wypisać i wpisać na taki Newsletter w dowolnej chwili. Zazwyczaj odpowiedni link umieszcza się we wiadomości email, jako propozycja subskrypcji, oraz w panelu klienta na sklepie internetowym.
W trakcie jak klient buszuje po twoich wirtualnych półkach, mogą być zbierane dodatkowe dane statystyczne. Google Analytics jest liderem jeśli chodzi o statystyki oglądalności stron internetowych (z darmowych rozwiązań zobacz MATOMO). A jeśli dodasz do swojej witryny GA, to również i on będzie generował i zbierał dane. Jakie dane? Przykładowo będą to adresy IP, lokalizacja geograficzna, typ systemu operacyjnego, z jakiej przeglądarki korzysta klient i w jakiej wersji, na jakie strony wchodzi klient i ile czasu na nich spędza. Jeśli na stronie są wtyczki lub moduły odnośnie promocji w Social Media, przykładowo niech to będzie Facebook, to i o tym trzeba informować i wyszczególnić te dane bo mogą one mieć związek z reklamodawcami i targetowaniem ofert handlowych.
Opisz jak wykorzystujesz zebrane dane
Łopatologicznie i prostym językiem powinieneś opisać jak wykorzystasz pozyskane dane. Jeśli klient dokona rejestracji w sklepie to dane teleadresowe posłużą do wygenerowania indywidualnego konta. Jeśli klient coś kupi to część danych lub wszystkie mogą zostać przesłane dla firmy kurierskiej. Jeśli klient wybierze metodę płatności w formie elektronicznej to dane zostaną przekazane do firmy świadczącej usługi w tym zakresie. Analogicznie postępujesz z pozostałymi elementami w twoim sklepie.
Wspomniałem już o Google Analytics, które służy celom statystycznym oraz Social Media dzięki którym możesz wchodzić w interakcję ze swoim klientem oraz uzyskiwać na bieżąco dane i opinie o swoim sklepie i usługach. To samo dotyczy Newslettera.
Klienci nie lubią, kiedy się ich oszukuje i cokolwiek zataja. Było już wiele przypadków odnośnie lokalizowania urządzeń mobilnych przez sieci handlowe aby można było odpowiednio zaadresować reklamę sprzedażową i konkretne produkty dostosowane do lokalizacji geograficznej klienta. Zapewniam, że takie działania, po wykryciu przez innych, będą kulą u nogi i mogą podkopać autorytet twojej firmy jako przyjaznej klientowi. Radzę tego nie robić. Z resztą RODO nakazuje przejrzystość i uczciwość w informowaniu klientów.
Cookies
Ciasteczka są nieodzownym elementem każdej nowoczesnej witryny. Opisz klientowi mechanizm działania cookies w twoim sklepie. Pamiętaj, że te pliki zawierają w sobie szereg danych miedzy innymi indywidualny identyfikator, czas wygaśnięcia, który jest zazwyczaj bardzo długi (ze względu na możliwość ciągłego zbierania danych) i nazwę domeny, która je wygenerowała. Oczywiście klient może zdefiniować w przeglądarce czy zgadza się na zapisanie takich ciasteczek oraz może sam ustalić czas ich przechowywania. Są też dodatki, które mogą automatycznie niszczyć pliki cookies aby nie zbierały danych i były kasowane zaraz po opuszczeniu domeny przez klienta. Warto korzystać z takich rozwiazań.
Powinieneś wyszczególnić jakie pliki cookies mogą zostać użyte. Wystarczy je opisać podając ich nazwę i opisać krótko do czego służą. Pamiętaj, że jeśli korzystasz z innych usług, które podnoszą twój marketingowy wizerunek, to również te usługi generują ciasteczka. Poinformuj o tym swojego klienta.
Ogólnie mamy dwa rodzaje plików cookies – sesyjne i trwałe. Często zdarza się, że w Polityce Prywatności informuje się, że te ciasteczka nie zbierają żadnych danych osobowych. Ogólnie mówiąc jest to prawda tyle tylko, że dzięki ciasteczkom hackerzy mogą pozyskać innego typu dane. Będę opisywał takie niestandardowe działania w późniejszym okresie, w innych artykułach. Teraz przytoczę jako przykład ciasteczko sesyjne, które ma za zadanie podtrzymać sesję logowania klienta na sklepie. Bez takiego ciasteczka, każdorazowo po przejściu na inną podstronę, konieczne byłoby wpisywane danych logowania (login i hasło). Aby tego uniknąć, takie właśnie ciasteczko ma za zadanie przechowywać te dane. Problem powstaje wtedy, kiedy domena nie zostaje wyposażona w mechanizm samoczynnego zamykania sesji (automatycznego wylogowania – reakcja serwera) w przypadku dłuższej nieaktywności lub użytkownik nie wylogował się z sesji. Pamiętaj, że takie ciasteczko może zostać wykradzione z komputera ofiary a wraz z nim zapisane w nim dane.
Zapewnij klientowi dostęp do danych
Przede wszystkim poinformuj klienta, że przetwarzasz dane osobowe swoich klientów zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Musisz umożliwić klientom dostęp do swoich danych w celu ich modyfikacji lub całkowitego usunięcia (o ile klient nie naruszył postanowień regulaminu). Ważne jest również to, abyś opisał kto przetwarza dane osobowe w twojej firmie. Nie są to tylko wyznaczeni do tego zadania pracownicy ale również inne podmioty (inne firmy – patrz wyżej) oraz wszelkie organy i instytucje państwowe posiadające stosowne nakazy (np. nakaz sądowy).
Koniecznie napisz, że nigdy twoja firma nie wysyła żadnych wiadomości z żądaniem podania przez klienta danych dostępowych do sklepu internetowego (do jego konta). Jest to banalne wyłudzenie ale przy odpowiednich chęciach ze strony przestępców, taki atak może się powieść. Jeśli klient utraci swoje hasło dostępowe do konta opisz procedurę wygenerowania nowego hasła i przesłania go klientowi. Jeśli nowe hasło jest przekazywane metodą nieszyfrowaną to zalecam nakazać klientowi zmianę hasła od razu po zalogowaniu do panelu klienta.
Wprowadzanie zmian
Polityka Prywatności może ulec zmianom i co jakiś czas należy sprawdzać czy zapisane w niej informacje nie są przestarzałe i czy nadal są zgodne z obowiązującą literą prawa. Poinformuj klienta o takiej możliwości i w momencie zmiany treści tego dokumentu prześlij mu stosowną wiadomość na pocztę. Dobrze jest podać adres kontakty dla ewentualnych zapytań klienta (na temat PP) oraz datę ostatniej modyfikacji Polityki Prywatności.