Ochrona danych osobowych – Jak stworzyć efektywną politykę prywatności zgodną z RODO?

Ochrona danych osobowych – Jak stworzyć efektywną politykę prywatności zgodną z RODO?
Zapytaj AI o ten artykuł
Nie masz czasu czytać? AI streści to za Ciebie w 10 sekund! Sprawdź!
ChatGPT Perplexity Grok Google AI

Prowadzenie firmy, zwłaszcza tej działającej w internecie, wiąże się z ogromną odpowiedzialnością za dane, które powierzają Ci Twoi klienci. Pewnie słyszałeś o RODO – Rozporządzeniu o Ochronie Danych Osobowych – i być może czujesz się przytłoczony jego zawiłościami oraz perspektywą wysokich kar, które mogą sparaliżować Twój biznes. Chcę Cię jednak uspokoić: stworzenie polityki prywatności, która jest zgodna z prawem i jednocześnie zrozumiała dla użytkownika, jest absolutnie w Twoim zasięgu, a ja pomogę Ci to osiągnąć. To nie musi być kolejny nudny, prawniczy dokument pełen niezrozumiałych frazesów; potraktuj go jako obietnicę transparentności i fundament zaufania między Tobą a Twoimi klientami, co jest wartością nie do przecenienia. Właśnie dlatego pokażę Ci krok po kroku, jak przekształcić prawny obowiązek w atut Twojej marki, budując dokument, który rzeczywiście chroni zarówno Ciebie, jak i osoby, których dane przetwarzasz. Zaczynamy od podstaw, abyś poczuł pełną kontrolę nad tym ważnym aspektem Twojej działalności.

Najważniejsze informacje (TL;DR)

Polityka prywatności to nie tylko prawny obowiązek wynikający z RODO, ale przede wszystkim narzędzie budowania zaufania i transparentności w relacji z klientem. Musisz jasno określić, kto jest administratorem, jakie dane przetwarzasz, w jakim celu i na jakiej podstawie prawnej, a co najważniejsze – zagwarantować realizację praw osób, których dane dotyczą. Pamiętaj o regularnej aktualizacji dokumentu i łatwym dostępie do niego na Twojej stronie.

Czym jest polityka prywatności i dlaczego jest kluczowa dla Twojej firmy?

Polityka prywatności to formalny dokument, w którym jako przedsiębiorca szczegółowo opisujesz, w jaki sposób gromadzisz, wykorzystujesz, przechowujesz i chronisz dane osobowe swoich klientów, użytkowników stron internetowych czy subskrybentów newslettera. Jest to Twój podstawowy sposób na spełnienie obowiązku informacyjnego wynikającego z artykułów 12-14 RODO, który nakłada na Ciebie obowiązek bycia w pełni transparentnym wobec osób, których dane przetwarzasz. Pamiętaj, że ten dokument musi być sformułowany językiem prostym i zrozumiałym, tak aby przeciętny użytkownik bez problemu mógł dowiedzieć się, co dzieje się z jego informacjami.

Nie traktuj tego dokumentu wyłącznie jako przykrego prawnego obowiązku, który musisz odhaczyć, aby uniknąć kar, bo jego rola wykracza daleko poza samą zgodność z przepisami. W dzisiejszych czasach, gdy świadomość użytkowników na temat prywatności stale rośnie, klarowna i uczciwa polityka prywatności staje się potężnym narzędziem marketingowym i budującym lojalność. Klienci chętniej powierzą swoje dane firmie, która otwarcie i bez zawiłych prawniczych sformułowań komunikuje, jakie podejmuje kroki w celu ich ochrony. Transparentność w tym obszarze bezpośrednio przekłada się na zaufanie i pozytywny wizerunek Twojej marki, co w długiej perspektywie jest bezcenne.

Posiadanie poprawnie skonstruowanej i aktualnej polityki prywatności to Twoja pierwsza linia obrony w przypadku kontroli Urzędu Ochrony Danych Osobowych (UODO) lub sporu z klientem, ponieważ stanowi dowód, że podchodzisz do tematu ochrony danych z należytą starannością. Jeśli kiedykolwiek dojdzie do naruszenia, organ nadzorczy zawsze sprawdzi, czy wdrożyłeś odpowiednie procedury i czy Twój obowiązek informacyjny został poprawnie zrealizowany. Oczywiście, polityka prywatności musi być spójna z faktycznymi procesami przetwarzania danych w Twojej firmie – nie wystarczy tylko ją opublikować, musisz realnie działać zgodnie z jej zapisami.

Jakie są podstawowe zasady RODO, które musisz znać?

RODO opiera się na siedmiu fundamentalnych zasadach, które stanowią swoisty dekalog dla każdego, kto przetwarza dane osobowe, a Ty musisz je nie tylko znać, ale przede wszystkim stosować w praktyce i odzwierciedlić w swojej polityce prywatności. Pierwsza i najważniejsza to zasada zgodności z prawem, rzetelności i przejrzystości, która wymaga, abyś przetwarzał dane zgodnie z przepisami i informował o tym w sposób otwarty, precyzyjny i zrozumiały. Oznacza to, że zanim zaczniesz cokolwiek robić z danymi, musisz mieć ku temu odpowiednią podstawę prawną, a użytkownik musi wiedzieć, co się dzieje z jego informacjami.

Kolejne dwie zasady, ograniczenia celu oraz minimalizacji danych, są ściśle ze sobą powiązane i stanowią klucz do odpowiedzialnego przetwarzania: po pierwsze, gromadzisz dane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach, a po drugie – nie zbierasz ich więcej, niż jest to absolutnie niezbędne do osiągnięcia tego celu. Jeśli do wysłania newslettera wystarczy Ci adres e-mail, nie proś dodatkowo o stan cywilny czy numer buta – to jest właśnie esencja minimalizmu, która znacznie redukuje ryzyko prawne.

Ostatnia grupa zasad obejmuje prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność, z czego ta ostatnia jest szczególnie istotna dla Ciebie jako administratora. Zasada rozliczalności oznacza, że to Ty musisz być w stanie udowodnić organowi nadzorczemu, że wszystkie wyżej wymienione zasady zostały przez Ciebie wdrożone i są przestrzegane, a polityka prywatności stanowi jeden z kluczowych elementów tego dowodu. Musisz zatem dbać o to, by dane były aktualne i poprawne, przechowywać je tylko tak długo, jak jest to konieczne, oraz chronić je przed nieuprawnionym dostępem poprzez odpowiednie zabezpieczenia techniczne i organizacyjne.

Kto jest administratorem danych osobowych i jakie ma obowiązki?

Administratorem danych osobowych (ADO) jest podmiot – czy to osoba fizyczna, spółka, czy inny organ – który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, a w zdecydowanej większości przypadków w kontekście Twojej firmy to właśnie Ty nim jesteś. Jeśli prowadzisz jednoosobową działalność gospodarczą, to Ty jesteś ADO; jeśli prowadzisz spółkę z o.o., to spółka jest ADO, a Ty działasz w jej imieniu. W swojej polityce prywatności musisz jasno podać pełne dane identyfikacyjne administratora – nazwę, adres i dane kontaktowe – aby każdy użytkownik wiedział, kto faktycznie odpowiada za jego dane.

Twoje obowiązki jako administratora są bardzo szerokie i wykraczają poza samo stworzenie polityki prywatności, ponieważ musisz zapewnić pełną zgodność wszystkich procesów przetwarzania danych z RODO. Obejmuje to między innymi prowadzenie rejestru czynności przetwarzania (RCP), wdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych, a także zarządzanie incydentami, takimi jak naruszenia ochrony danych. W praktyce oznacza to na przykład szyfrowanie danych, stosowanie silnych haseł, regularne backupy oraz szkolenie pracowników z zasad bezpiecznego przetwarzania informacji.

Warto pamiętać o rozróżnieniu między administratorem a podmiotem przetwarzającym, czyli procesorem, którym jest na przykład firma hostingowa, biuro rachunkowe czy dostawca oprogramowania do e-mail marketingu, który przetwarza dane w Twoim imieniu. Z procesorem musisz bezwzględnie zawrzeć umowę powierzenia przetwarzania danych osobowych, która dokładnie określa warunki, na jakich może on przetwarzać dane, a następnie uwzględnić go w swojej polityce prywatności jako odbiorcę danych, któremu je udostępniasz. Jest to wymóg formalny, którego pominięcie jest poważnym naruszeniem RODO, dlatego zawsze upewnij się, że masz takie umowy z każdym zewnętrznym dostawcą, który ma dostęp do danych Twoich klientów.

Jakie dane osobowe możesz przetwarzać i na jakich podstawach prawnych?

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a lista ta jest znacznie szersza, niż mogłoby się wydawać, obejmując nie tylko imię i nazwisko czy adres e-mail, ale także adres IP, dane geolokalizacyjne czy informacje o aktywności na Twojej stronie. Zanim zaczniesz przetwarzać jakąkolwiek informację, musisz dokładnie zidentyfikować, czy jest to rzeczywiście dane osobowe, a następnie określić, czy ich przetwarzanie jest Ci w ogóle potrzebne do prowadzenia działalności. Pamiętaj, że RODO wyróżnia również tzw. szczególne kategorie danych (np. dane o zdrowiu, poglądach politycznych), których przetwarzanie jest co do zasady zabronione, chyba że zachodzą ściśle określone wyjątki.

Kluczową kwestią jest posiadanie jednej z sześciu legalnych podstaw prawnych do przetwarzania danych, a bez nich – niezależnie od celu – nie możesz legalnie gromadzić żadnych informacji, co jest absolutnie fundamentalną zasadą RODO. Te podstawy to: zgoda osoby, której dane dotyczą; niezbędność do wykonania umowy; wypełnienie obowiązku prawnego; ochrona żywotnych interesów; wykonanie zadania w interesie publicznym; oraz prawnie uzasadniony interes administratora. W kontekście prowadzenia sklepu internetowego czy strony usługowej, najczęściej będziesz opierać się na zgodzie (np. na newsletter), wykonaniu umowy (np. realizacja zamówienia) oraz prawnie uzasadnionym interesie (np. marketing bezpośredni własnych produktów, dochodzenie roszczeń).

W swojej polityce prywatności musisz dla każdego zidentyfikowanego celu przetwarzania (np. sprzedaż, marketing, kontakt) wskazać konkretną podstawę prawną, na której opierasz swoje działania, co jest bezwzględnym wymogiem transparentności. Jeśli przetwarzasz dane w celu realizacji zamówienia w sklepie, podstawą jest art. 6 ust. 1 lit. b RODO, czyli niezbędność do wykonania umowy, natomiast jeśli wysyłasz newsletter, powinieneś opierać się na zgodzie z art. 6 ust. 1 lit. a RODO. Pamiętaj, że nie możesz dowolnie zmieniać podstawy prawnej dla tego samego celu – musisz ją ustalić z góry i być w tym konsekwentny.

Jakie elementy powinna zawierać skuteczna polityka prywatności?

Skuteczna polityka prywatności to taka, która jest nie tylko kompletna pod względem prawnym, ale przede wszystkim jest zrozumiała i łatwo dostępna dla każdego użytkownika Twojej strony. Musisz zadbać o logiczną strukturę dokumentu, używając nagłówków i list, co znacznie ułatwia szybkie odnalezienie interesujących informacji przez czytelnika. Zawsze zaczynaj od jasnego przedstawienia siebie jako administratora i podania wszystkich niezbędnych danych kontaktowych, w tym danych Inspektora Ochrony Danych (IOD), jeśli go wyznaczyłeś.

Kluczowym elementem jest szczegółowe opisanie wszystkich procesów przetwarzania danych, co oznacza, że musisz opisać, jakie dane zbierasz (np. imię, e-mail), w jakim celu (np. wysyłka newslettera, realizacja zamówienia) oraz na jakiej podstawie prawnej. Następnie musisz poinformować o okresie przechowywania danych, który powinien być adekwatny do celu przetwarzania – nie możesz trzymać danych w nieskończoność, a po upływie tego czasu musisz je usunąć lub zanonimizować.

Oto lista najważniejszych elementów, które musisz zawrzeć w swojej polityce prywatności:

  • Tożsamość i dane kontaktowe administratora danych osobowych.
  • Cele i podstawy prawne przetwarzania danych, z podziałem na poszczególne procesy.
  • Informacja o odbiorcach danych, czyli podmiotach, którym dane są ujawniane (np. firmy kurierskie, dostawcy hostingu).
  • Okres przechowywania danych dla każdego celu przetwarzania.
  • Pełna lista praw przysługujących osobom, których dane dotyczą (dostęp, sprostowanie, usunięcie itd.).
  • Informacja o prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
  • Informacja o dobrowolności lub obowiązku podania danych i konsekwencjach ich niepodania.
  • Informacje o transferze danych poza Europejski Obszar Gospodarczy (EOG), jeśli ma to miejsce.

Pamiętaj, aby w sekcji dotyczącej praw zawsze wskazać, jak osoba może te prawa zrealizować, na przykład podając dedykowany adres e-mail lub formularz kontaktowy, co znacząco ułatwi klientom kontakt z Tobą. Dzięki temu nie tylko spełniasz obowiązek prawny, ale także pokazujesz, że jesteś gotów do dialogu i szanujesz prawa użytkowników.

Czym są pliki cookies i jak prawidłowo opisać ich wykorzystanie?

Pliki cookies, czyli popularne "ciasteczka," to małe pliki tekstowe zapisywane na urządzeniu użytkownika (komputerze, smartfonie) podczas przeglądania Twojej strony internetowej, które służą do zapamiętywania informacji o sesji lub preferencjach. Ich wykorzystanie jest regulowane nie tylko przez RODO, ale także przez prawo telekomunikacyjne (tzw. "Cookie Law"), które wymaga, abyś uzyskał ważną zgodę na ich użycie, zanim zaczniesz je zapisywać na urządzeniu, z wyjątkiem plików technicznie niezbędnych do funkcjonowania strony. Niezbędne pliki to te, które są konieczne np. do utrzymania sesji logowania czy działania koszyka w sklepie, natomiast wszelkie analityczne, marketingowe czy służące do personalizacji reklamy wymagają aktywnej, świadomej zgody.

Zgodnie z RODO, zgoda na pliki cookies musi być dobrowolna, konkretna, świadoma i jednoznaczna, co w praktyce oznacza, że nie możesz używać pre-zaznaczonych checkboxów ani zakładać, że dalsze korzystanie ze strony jest równoznaczne ze zgodą. Musisz zaimplementować tzw. cookie banner lub consent management platform (CMP), który pozwala użytkownikowi na zarządzanie swoimi preferencjami, czyli na przykład na wyrażenie zgody tylko na cookies analityczne, ale odrzucenie marketingowych. To użytkownik musi podjąć aktywną decyzję, a Ty musisz mu to umożliwić.

W swojej polityce prywatności lub w dedykowanej polityce cookies musisz szczegółowo opisać, jakie rodzaje plików cookies wykorzystujesz (np. sesyjne, stałe), w jakich celach (np. statystyka, remarketing), przez jaki okres są przechowywane oraz kto jest ich administratorem – czy to Ty, czy też podmiot trzeci, taki jak Google Analytics czy Facebook Pixel. Warto również wskazać użytkownikowi, jak może zmienić swoje ustawienia dotyczące plików cookies lub jak je usunąć za pomocą ustawień przeglądarki, zapewniając mu pełną kontrolę nad swoim urządzeniem i prywatnością. Pamiętaj, że brak przejrzystej informacji o cookies i mechanizmu zarządzania zgodą jest jednym z najczęstszych naruszeń.

Jakie prawa przysługują osobom, których dane dotyczą i jak je realizować?

RODO przyznaje osobom, których dane przetwarzasz, szereg praw, które mają na celu zagwarantowanie im kontroli nad własnymi informacjami, a Ty masz obowiązek w swojej polityce prywatności te prawa szczegółowo opisać i zapewnić mechanizmy ich realizacji. Obejmują one między innymi prawo dostępu do danych (uzyskanie kopii), prawo do sprostowania (poprawienia błędnych informacji), a także jedne z najważniejszych – prawo do usunięcia danych, potocznie zwane "prawem do bycia zapomnianym". Musisz również poinformować o prawie do ograniczenia przetwarzania, prawie do przenoszenia danych do innego administratora oraz prawie do wniesienia sprzeciwu wobec przetwarzania, zwłaszcza jeśli opiera się ono na prawnie uzasadnionym interesie.

Prawo do usunięcia danych jest szczególnie istotne i musisz je zrealizować, jeśli dane nie są już niezbędne do celów, dla których zostały zebrane, osoba cofnęła zgodę, a nie ma innej podstawy prawnej, lub wniosła skuteczny sprzeciw. Natomiast prawo do sprzeciwu jest kluczowe, gdy przetwarzasz dane w oparciu o swój prawnie uzasadniony interes, na przykład w celach marketingu bezpośredniego; musisz wtedy zaprzestać przetwarzania danych w tym celu, chyba że wykażesz nadrzędne, prawnie uzasadnione podstawy.

Pamiętaj, że masz zaledwie jeden miesiąc na odpowiedź na żądanie osoby, której dane dotyczą, i musisz poinformować ją o podjętych działaniach lub o powodach, dla których nie możesz spełnić jej prośby, co wymaga wdrożenia sprawnych procedur wewnętrznych. Najlepiej, abyś udostępnił jeden, dedykowany kanał komunikacji – na przykład adres e-mail, który jest stale monitorowany – co znacznie ułatwi Ci zarządzanie wnioskami i dotrzymywanie ustawowych terminów.

Gdzie i w jaki sposób udostępnić politykę prywatności na stronie?

Gdzie i w jaki sposób udostępnić politykę prywatności na stronie?

Zgodnie z zasadą przejrzystości RODO, polityka prywatności musi być łatwo dostępna dla każdego użytkownika Twojej strony internetowej, bez konieczności logowania się czy przeszukiwania skomplikowanych podstron. Ułatwienie dostępu do tego dokumentu jest nie tylko wymogiem prawnym, ale także dowodem na to, że faktycznie zależy Ci na transparentności w relacji z klientem, co z pewnością zostanie docenione.

Najlepszym i najbardziej powszechnie akceptowanym rozwiązaniem jest umieszczenie stałego linku do polityki prywatności w stopce (footer) Twojej strony internetowej, gdzie jest on widoczny z każdej podstrony i łatwy do zlokalizowania. Powinieneś również umieścić linki do polityki w kluczowych miejscach, w których zbierasz dane osobowe, takich jak formularze rejestracyjne, formularze kontaktowe czy proces składania zamówienia w sklepie internetowym. W tych miejscach wystarczy krótka klauzula informacyjna z bezpośrednim odnośnikiem do pełnego dokumentu.

Upewnij się, że link do dokumentu jest wyraźny, opisany jasnym tekstem (np. "Polityka Prywatności") i działa poprawnie, a sama treść polityki ładuje się szybko i jest czytelna zarówno na komputerze, jak i na urządzeniach mobilnych. Pamiętaj, że w przypadku formularzy, zgody na przetwarzanie danych w celach marketingowych, które opierają się na zgodzie, muszą być oddzielone od zgody na regulamin i politykę prywatności, tak aby użytkownik świadomie podejmował decyzję o każdym z celów.

Jak często należy aktualizować politykę prywatności i dlaczego?

Polityka prywatności nie jest dokumentem, który tworzysz raz i o nim zapominasz, ponieważ zmieniające się przepisy, rozwój Twojej firmy oraz wprowadzanie nowych technologii wymagają regularnego przeglądu i aktualizacji jej treści. Powinieneś ją aktualizować za każdym razem, gdy wprowadzasz nowy proces przetwarzania danych, na przykład uruchamiasz nowy system analityczny, zmieniasz dostawcę hostingu lub zaczynasz oferować newsletter. Zmiana podstawy prawnej dla istniejącego celu przetwarzania również wymaga natychmiastowej aktualizacji dokumentu.

Jeśli dokonujesz istotnych zmian w polityce prywatności, które mogą mieć wpływ na prawa i swobody osób, których dane dotyczą – na przykład wprowadzasz nowy cel przetwarzania lub zmieniasz odbiorcę danych – masz obowiązek poinformować o tym swoich użytkowników. Nie wystarczy tylko cicha zmiana dokumentu na stronie; powinieneś wysłać e-mail z informacją o zmianach do wszystkich osób, których dane dotyczą, lub umieścić wyraźny komunikat na stronie głównej.

Warto prowadzić ewidencję historycznych wersji polityki prywatności, tak aby w razie potrzeby móc udowodnić, jaka treść dokumentu obowiązywała w danym momencie, na przykład w dniu wyrażenia zgody przez klienta lub w dniu naruszenia. Dodanie daty ostatniej aktualizacji na początku dokumentu to absolutne minimum, które pozwala zarówno Tobie, jak i użytkownikom monitorować jego aktualność.

Jakie są konsekwencje braku lub wadliwej polityki prywatności?

Brak polityki prywatności lub jej wadliwa, niekompletna treść to jedno z podstawowych naruszeń RODO, które może nieść za sobą bardzo poważne konsekwencje finansowe i wizerunkowe dla Twojej firmy. Najbardziej dotkliwe są oczywiście kary finansowe nakładane przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO), które mogą sięgać nawet 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – w zależności od tego, która kwota jest wyższa. Choć tak wysokie kary są rezerwowane dla najpoważniejszych naruszeń, nawet niewielka firma może zostać ukarana kwotą, która realnie zagrozi jej płynności finansowej.

Poza karami finansowymi, musisz liczyć się z konsekwencjami wizerunkowymi i utratą zaufania klientów, co w dłuższej perspektywie może okazać się nawet bardziej kosztowne niż sama grzywna. Kiedy dojdzie do naruszenia ochrony danych, a okaże się, że nie spełniłeś podstawowego obowiązku informacyjnego, Twoja reputacja jako przedsiębiorcy stanie pod znakiem zapytania, a odzyskanie zaufania klientów jest procesem trudnym i długotrwałym. Użytkownicy są coraz bardziej świadomi i niekompletna polityka prywatności może zniechęcić ich do korzystania z Twoich usług, co przełoży się bezpośrednio na spadek sprzedaży i rezygnację z subskrypcji.

Wreszcie, wadliwa polityka prywatności może prowadzić do unieważnienia wyrażonych zgód na przetwarzanie danych, na przykład zgody na newsletter, co oznacza, że utracisz możliwość legalnego prowadzenia działań marketingowych. Zgodnie z RODO, zgoda jest ważna tylko wtedy, gdy została wyrażona na podstawie pełnej i przejrzystej informacji, a jeśli ta informacja jest wadliwa, cała zgoda staje się nieważna. Dlatego traktuj tworzenie polityki prywatności jako inwestycję w bezpieczeństwo i legalność swojego biznesu.

FAQ

Pytanie: Czy polityka prywatności i regulamin to to samo?

Odpowiedź: Nie, polityka prywatności i regulamin to dwa odrębne dokumenty, które pełnią różne funkcje w Twojej firmie, dlatego musisz je traktować oddzielnie. Regulamin określa zasady świadczenia usług drogą elektroniczną, prawa i obowiązki Twoje i klienta w zakresie transakcji, gwarancji czy reklamacji. Polityka prywatności natomiast skupia się wyłącznie na kwestiach związanych z przetwarzaniem danych osobowych – na tym, jakie dane zbierasz, w jakim celu i jak je chronisz.

Pytanie: Czy muszę mieć zgodę na pliki cookies, jeśli nie zbieram danych osobowych?

Odpowiedź: Zgoda na pliki cookies wynika z prawa telekomunikacyjnego, które jest niezależne od RODO i dotyczy każdego rodzaju plików cookies, które nie są niezbędne do technicznego świadczenia usługi. Nawet jeśli pliki cookies służą tylko do zbierania anonimowych statystyk, musisz uzyskać na nie zgodę użytkownika, zanim zostaną zapisane na jego urządzeniu. RODO wchodzi w grę, gdy pliki cookies umożliwiają identyfikację osoby (np. cookies marketingowe).

Pytanie: Co to jest Inspektor Ochrony Danych (IOD) i czy muszę go wyznaczyć?

Odpowiedź: Inspektor Ochrony Danych (IOD) to osoba wyznaczona przez administratora, której zadaniem jest informowanie, doradzanie i monitorowanie przestrzegania RODO w organizacji. Nie musisz go wyznaczać, jeśli nie spełniasz konkretnych warunków, takich jak przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub regularne i systematyczne monitorowanie osób. Jeśli jednak go wyznaczysz, musisz podać jego dane kontaktowe w polityce prywatności.

Pytanie: Jak długo muszę przechowywać dane osobowe klientów?

Odpowiedź: Dane musisz przechowywać tylko tak długo, jak jest to niezbędne do osiągnięcia celu, dla którego zostały zebrane. Na przykład dane do realizacji zamówienia musisz przechowywać do momentu przedawnienia roszczeń (zazwyczaj 6 lat) ze względów księgowych i podatkowych. Dane do celów marketingowych opartych na zgodzie przechowujesz do momentu wycofania tej zgody. Po upływie tego okresu musisz dane usunąć lub zanonimizować.

Wiesław Podgórny
Wiesław Podgórny

Wiesław Podgórny – autor bloga ePrzedsiębiorca.com.pl. Doświadczony praktyk biznesu i pasjonat książek, dzieli się tu sprawdzonymi strategiami i wiedzą, która pomoże Ci rozwinąć firmę.

Przeczytaj również

Popularne

Jak promować swoją działalność - copywriter
Jak promować swoją działalność? Porady dla copywriterów
Miejsca pozwalające na odnalezienie skupienia
Strony pomagające w skupieniu
Elementy instalacyjne wspierające bezpieczeństwo i niezawodność systemów elektrycznych
Elementy instalacyjne wspierające bezpieczeństwo i niezawodność systemów elektrycznych
Ruch jako jeden z elementów e-biznesu
Ruch jako jeden z elementów e-biznesu