Wypełnij formularz krok po kroku (5 krótkich etapów), a generator przygotuje kompletną politykę prywatności zgodną z RODO wraz z polityka cookies. Możesz ja skopiowac lub wydrukowac jako PDF. Wszystkie dane przetwarzane sa lokalnie w Twojej przeglądarce.
Dane administratora danych
Podaj dane firmy lub osoby odpowiedzialnej za przetwarzanie danych osobowych.
Jakie dane osobowe zbierasz?
Zaznacz wszystkie rodzaje danych osobowych, które zbierasz na swojej stronie internetowej.
Cele przetwarzania danych
Zaznacz cele, w jakich przetwarzasz dane osobowe użytkowników Twojej strony.
Usługi zewnętrzne (podmioty przetwarzające)
Zaznacz narzędzia i usługi firm trzecich, z których korzystasz na swojej stronie lub w firmie.
Podgląd polityki prywatności
Poniżej znajduje się wygenerowana polityka prywatności. Przejrzyj ja i skopiuj lub wydrukuj.
Czym jest polityka prywatności RODO?
Polityka prywatności to dokument informacyjny, który administrator danych osobowych jest zobowiązany udostępnić osobom, których dane przetwarza. Obowiązek ten wynika bezpośrednio z art. 13 i 14 RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679).
Dokument ten powinien w jasny, przejrzysty i zrozumiały sposób informować użytkowników o tym, kto zbiera ich dane, w jakim celu, na jakiej podstawie prawnej oraz jakie prawa im przysługują. Polityka prywatności musi być łatwo dostępna - najczęściej umieszcza się ja w stopce strony internetowej.
Co powinna zawierać polityka prywatności?
Zgodnie z RODO, polityka prywatności powinna zawierać co najmniej następujące informacje:
- tożsamość i dane kontaktowe administratora danych,
- dane kontaktowe IOD (jeśli zostal wyznaczony),
- cele przetwarzania i podstawy prawne (art. 6 RODO),
- kategorie odbiorców danych osobowych,
- informacje o przekazywaniu danych do państw trzecich,
- okres przechowywania danych lub kryteria jego ustalania,
- prawa osób, których dane dotyczą,
- informacje o prawie do wniesienia skargi do organu nadzorczego (Prezes UODO),
- informacje o zautomatyzowanym podejmowaniu decyzji i profilowaniu.
Obowiązki administratora danych osobowych
Administrator danych osobowych to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych. Może nim być przedsiębiorca, spółka, fundacja, stowarzyszenie lub osoba fizyczna prowadzącą działalność, w ramach której przetwarza dane osobowe.
Kluczowe obowiązki administratora
- Obowiązek informacyjny - poinformowanie osób o przetwarzaniu ich danych (polityka prywatności).
- Rejestr czynności przetwarzania - prowadzenie dokumentacji opisującej procesy przetwarzania danych (art. 30 RODO).
- Zabezpieczenie danych - wdrożenie odpowiednich środków technicznych i organizacyjnych (szyfrowanie, kontrola dostępu, kopie zapasowe).
- Umowy powierzenia - zawarcie umów z podmiotami przetwarzajacymi dane w imieniu administratora (hosting, biuro rachunkowe, narzędzia marketingowe).
- Zgłaszanie naruszeń - powiadomienie Prezesa UODO o naruszeniu ochrony danych w ciągu 72 godzin (art. 33 RODO).
- Realizacja praw - umożliwienie osobom korzystania z przysługujących im praw (dostęp, sprostowanie, usunięcie, przenoszenie danych).
Wyznaczenie IOD (Inspektora Ochrony Danych) jest obowiązkowe dla organów publicznych, podmiotów przetwarzających dane na dużą skalę oraz firm przetwarzających szczególne kategorie danych. W pozostałych przypadkach wyznaczenie IOD jest dobrowolne, ale zalecane.
Kary za brak polityki prywatności
RODO przewiduje surowe sankcje za nieprzestrzeganie przepisów o ochronie danych osobowych. Naruszenie obowiązku informacyjnego (brak polityki prywatności lub jej niekompletność) może skutkować nałożeniem kary administracyjnej.
Wysokość kar
- Do 20 000 000 euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa (zależnie od tego, która kwota jest wyższa) - za najpoważniejsze naruszenia.
- Do 10 000 000 euro lub do 2% obrotu - za naruszenia obowiązków administratora, w tym obowiązku informacyjnego.
Praktyka w Polsce
Prezes UODO nakładał już kary na polskie podmioty. Kary wynosiły od kilku tysięcy do kilkuset tysięcy złotych, a w przypadku dużych podmiotów sięgały milionów złotych. Nawet małe firmy i jednoosobowe działalności gospodarcze mogą zostać skontrolowane, szczególnie po skardze osoby fizycznej.
Oprócz kar finansowych, brak polityki prywatności może skutkować nakazem ograniczenia lub zaprzestania przetwarzania danych, co w praktyce może uniemożliwić prowadzenie działalności online.
Często zadawane pytania
Czy każda strona internetowa musi mieć politykę prywatności?
Tak, każda strona internetowa, która zbiera jakiekolwiek dane osobowe (nawet przez pliki cookies, formularze kontaktowe czy narzędzia analityczne), jest zobowiązana do posiadania polityki prywatności zgodnie z art. 13 i 14 RODO. Dotyczy to również jednoosobowych działalności gospodarczych, blogów i stron hobbystycznych, które korzystają np. z Google Analytics.
Czym różni się polityka prywatności od polityki cookies?
Polityka prywatności to szerszy dokument opisujący zasady przetwarzania wszystkich danych osobowych. Polityka cookies dotyczy wyłącznie plików cookies i podobnych technologii śledzących. W praktyce politykę cookies często włącza się jako część polityki prywatności, co jest dopuszczalne prawnie i stosowane przez większość stron internetowych.
Jakie kary grożą za brak polityki prywatności?
Prezes UODO może nałożyć kare do 20 milionów euro lub 4% rocznego obrotu przedsiębiorstwa (zależnie od tego, która kwota jest wyższa). W praktyce kary dla małych firm w Polsce wynosiły od kilku do kilkuset tysięcy złotych. Dodatkowym ryzykiem jest nakaz zaprzestania przetwarzania danych.
Czy muszę wyznaczać Inspektora Ochrony Danych (IOD)?
Obowiązek wyznaczenia IOD dotyczy organów publicznych, podmiotów przetwarzających dane na dużą skalę oraz firm przetwarzających szczególne kategorie danych (np. dane zdrowotne, biometryczne). Większość małych firm i sklepów internetowych nie ma tego obowiązku, ale może wyznaczyć IOD dobrowolnie.
Jak często trzeba aktualizować politykę prywatności?
Polityke prywatności należy aktualizować za każdym razem, gdy zmienia się sposób przetwarzania danych - np. dodanie nowych usług zewnętrznych (Google Analytics, Facebook Pixel), zmiana hostingu lub rozszerzenie zakresu zbieranych danych. Zaleca się przegląd co najmniej raz w roku.
Czy polityka prywatności wygenerowana online jest ważną prawnie?
Generator tworzy solidną podstawę dokumentu zawierającą wszystkie wymagane elementy z art. 13 RODO. Jednak polityka prywatności powinna być dostosowana do specyfiki działalności. W przypadku nietypowych procesów przetwarzania (np. dane wrażliwe, profilowanie, transfer danych poza EOG) zalecana jest konsultacja z prawnikiem specjalizującym się w ochronie danych osobowych.
Co to jest podstawa prawna przetwarzania danych?
RODO wymaga, aby każde przetwarzanie danych miało podstawę prawna określoną w art. 6. Najczęstsze podstawy to: zgoda osoby (art. 6 ust. 1 lit. a), wykonanie umowy (art. 6 ust. 1 lit. b), obowiązek prawny (art. 6 ust. 1 lit. c) i prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f). Bez podstawy prawnej przetwarzanie jest nielegalne.
Czy pliki cookies wymagają zgody użytkownika?
Cookies niezbędne do działania strony (np. sesyjne, koszyk zakupow) nie wymagają zgody. Natomiast cookies analityczne (Google Analytics), marketingowe (Facebook Pixel) i reklamowe wymagają aktywnej zgody użytkownika przed ich ustawieniem, zgodnie z dyrektywa ePrivacy i wytycznymi Europejskiej Rady Ochrony Danych (EROD).