Polityka Prywatnosci LGPD: Wzor

← Blog documents-legaux
9 min czytania
Zaktualizowano: 9 kwietnia 2026
WebLegal Team

Polityka prywatnosci jest centralnym dokumentem zgodnosci z LGPD (ustawa nr 13.709/2018). Urzeczywistnia zasade przejrzystosci (art. 6, VI) i stanowi glowny instrument, za pomoca ktorego firma informuje podmioty danych o sposobie zbierania, wykorzystywania, przechowywania i udostepniania ich danych osobowych. Nieodpowiednia polityka prywatnosci to nie tylko brak dokumentacji — to naruszenie prawa, ktore moze skutkowac sankcjami administracyjnymi, postepowaniami sadowymi i utrata reputacji. Ten przewodnik opisuje elementy obowiazkowe, czeste bledy i najlepsze praktyki tworzenia polityki prywatnosci zgodnej z LGPD, z odniesieniami do RODO i wytycznych Urzedu Ochrony Danych Osobowych (UODO).

Dlaczego polityka prywatnosci jest obowiazkowa

LGPD nie uzywa dosownie okreslenia “polityka prywatnosci”, ale artykuly 6 (zasady), 9 (prawo do informacji) i 18 (prawa podmiotow danych) czynia ten dokument implicite obowiazkowym. Artykul 9 stanowi, ze podmioty danych maja prawo do ulatwionego dostepu do informacji o przetwarzaniu ich danych, ktore musza byc udostepniane w sposob jasny, adekwatny i widoczny.

W praktyce ANPD i brazylijskie sady oczekuja, ze kazda organizacja przetwarzajaca dane osobowe udostepni polityke prywatnosci na swojej stronie internetowej. Brak tego dokumentu lub jego nieadekwatnosc stanowi naruszenie zasad przejrzystosci i swobodnego dostepu, narazajac firme na sankcje z art. 52. Wymog ten jest zbiezny z RODO (art. 12-14), ktore UODO egzekwuje w Polsce.

Obowiazkowe elementy polityki prywatnosci LGPD

Na podstawie artykulow 6, 9, 10 i 18 LGPD, polityka prywatnosci musi zawierac nastepujace elementy:

1. Identyfikacja administratora i IOD

Podaj pelna nazwe i dane kontaktowe administratora (Twojej firmy) oraz inspektora ochrony danych (encarregado). Artykul 41 wymaga wyznaczenia IOD, a art. 41, paragraf 1, wymaga publicznego ujawnienia jego tozsamosci i danych kontaktowych, najlepiej na stronie internetowej administratora.

2. Zbierane dane osobowe

Wymien jasno i konkretnie rodzaje zbieranych danych osobowych. Nie uzywaj niejasnych terminow jak “rozne informacje osobowe”. Badz precyzyjny:

  • Dane identyfikacyjne: imie i nazwisko, CPF (numer podatkowy), numer dokumentu tozsamosci, data urodzenia
  • Dane kontaktowe: e-mail, telefon, adres
  • Dane finansowe: dane karty kredytowej, historia transakcji
  • Dane nawigacyjne: adres IP, pliki cookie, historia przegladania, informacje o urzadzeniu
  • Dane wrazliwe (jesli dotyczy): dane zdrowotne, dane biometryczne, pochodzenie rasowe lub etniczne

3. Cele przetwarzania

Dla kazdej kategorii zbieranych danych opisz konkretny cel przetwarzania (art. 6, I). Przyklady:

  • “Dane kontaktowe sa zbierane w celu wysylania potwierdzen zamowien i komunikacji serwisowej”
  • “Dane nawigacyjne sa zbierane w celu analizy wydajnosci strony i poprawy doswiadczen uzytkownika”
  • “Dane finansowe sa zbierane w celu przetwarzania platnosci”

Ogolne cele takie jak “w celu poprawy naszych uslug” sa niewystarczajace. UODO rowniez podkreslil ten wymog konkretnosci w ramach RODO.

4. Zastosowane podstawy prawne

Wskaż podstawe prawna (art. 7), ktora uzasadnia kazda czynnosc przetwarzania:

  • Zgoda (art. 7, I) — na marketing, newslettery, nieistotne pliki cookie
  • Wykonanie umowy (art. 7, V) — na przetwarzanie zamowien, swiadczenie uslug
  • Obowiazek prawny (art. 7, II) — na przechowywanie danych podatkowych, zgodnosc z prawem pracy
  • Prawnie uzasadniony interes (art. 7, IX) — na zapobieganie oszustwom, bezpieczenstwo

5. Udostepnianie osobom trzecim

Zidentyfikuj kategorie osob trzecich, ktorym udostepniasz dane osobowe, i cele tego udostepniania:

  • Operatorzy platnosci
  • Dostawcy hostingu i infrastruktury
  • Narzedzia analityczne i marketingowe
  • Organy publiczne (gdy wymagane przez prawo)

6. Transfery miedzynarodowe

Jesli przekazujesz dane osobowe poza Brazylie, ujawnij:

  • Kraje lub organizacje, do ktorych dane sa przekazywane
  • Podstawe prawna przekazania (art. 33)
  • Zabezpieczenia przyjete w celu ochrony danych

7. Okresy przechowywania

Wskaż, jak dlugo kazda kategoria danych bedzie przechowywana i jakie kryteria okreslaja ten okres (art. 15). Przyklad: “Dane transakcyjne sa przechowywane przez 5 lat po zakonczeniu uslugi, zgodnie z wymogami podatkowymi.”

8. Prawa podmiotow danych

Opisz prawa, ktore podmioty danych moga wykonywac na podstawie art. 18:

  • Potwierdzenie i dostep
  • Sprostowanie
  • Anonimizacja, blokowanie lub usuniecie
  • Przenoszenie danych
  • Usuniecie danych przetwarzanych na podstawie zgody
  • Informacja o udostepnianiu
  • Wycofanie zgody

Jasno wskaż, jak wykonywac te prawa: kanal kontaktowy (e-mail, formularz), czas odpowiedzi i procedure.

9. Srodki bezpieczenstwa

Opisz w ogolnych kategoriach srodki techniczne i organizacyjne przyjete w celu ochrony danych osobowych (art. 46). Nie ujawniaj szczegolow, ktore moglyby zagrozic bezpieczenstwu, ale wykaż, ze wdrozono rozsadne srodki: szyfrowanie, kontrole dostepu, monitoring, kopie zapasowe.

Jesli Twoja strona internetowa uzywa plikow cookie, pikseli sledzacych lub podobnych technologii, opisz:

  • Rodzaje uzywanych plikow cookie (niezbedne, analityczne, marketingowe)
  • Cele kazdego rodzaju
  • Jak uzytkownicy moga zarzadzac swoimi preferencjami dotyczacymi plikow cookie

Aby zarzadzac zgoda na pliki cookie w sposob zgodny z przepisami, mozesz uzyc darmowego banera cookies zgodnego z RODO.

Czeste bledy w politykach prywatnosci

1. Kopiowanie z innej strony. Polityka prywatnosci, ktora nie odzwierciedla Twoich rzeczywistych praktyk przetwarzania, narusza zasade przejrzystosci. ANPD oczekuje, ze Twoja polityka bedzie specyficzna dla Twojej organizacji. Rowniez UODO karal firmy w Polsce za generyczne polityki prywatnosci.

2. Uzywanie zgody jako jedynej podstawy prawnej. Wiele firm deklaruje, ze wszelkie przetwarzanie opiera sie na zgodzie, gdy w rzeczywistosci opieraja sie na wykonaniu umowy lub obowiazku prawnym. Tworzy to problemy, gdy podmiot danych wycofuje zgode na przetwarzanie, ktore od niej nie zalezalo.

3. Pominiecie IOD. LGPD wymaga wyznaczenia IOD (art. 41). Pominiecie tej informacji w polityce prywatnosci jest oczywistym naruszeniem.

4. Nieuwzglednienie transferow miedzynarodowych. Jesli korzystasz z uslug takich jak Google Analytics, AWS, Stripe czy Mailchimp, Twoje dane sa przekazywane poza Brazylie. Te transfery musza byc ujawnione.

5. Niedostepny jezyk. LGPD wymaga, aby informacje byly udostepniane w sposob jasny i adekwatny (art. 9). Nadmiar zargonu prawniczego narusza ten wymog. UODO rowniez zaleca jasny i zrozumialy jezyk.

6. Brak regularnych aktualizacji. Twoje praktyki przetwarzania ewoluuja: nowi dostawcy, nowe funkcje, nowe rodzaje danych. Twoja polityka musi nadazac za tymi zmianami.

Roznica miedzy polityka prywatnosci a regulaminem

To odrebne dokumenty o roznych celach:

Polityka prywatnosci: Wyjasnia, jak zbierasz, wykorzystujesz i chronisz dane osobowe. Oparta na LGPD. Obowiazkowa dla kazdej strony internetowej zbierajacej dane.

Regulamin: Ustanawia zasady korzystania z Twojej strony internetowej lub uslugi. Oparty na Kodeksie Cywilnym i Kodeksie Ochrony Konsumentow. Definiuje odpowiedzialnosci, ograniczenia uzytkowania i wlasnosc intelektualna.

Oba dokumenty sa niezbedne i powinny byc komplementarne, z wzajemnymi odniesieniami tam, gdzie to stosowne.

Cztery podejscia do tworzenia polityki prywatnosci

Zatrudnienie wyspecjalizowanego prawnika

Koszt: od 5 000 do 15 000 BRL. Czas realizacji: od 2 do 4 tygodni.

Prawnik specjalizujacy sie w ochronie danych analizuje Twoje przeplyw danych, identyfikuje obowiazujace podstawy prawne i sporzadza szyta na miare polityke. Zalecane dla firm ze zlozonym przetwarzaniem danych wrazliwych lub znaczacymi transferami miedzynarodowymi.

Uzycie generycznego narzedzia AI

Pozorny koszt: 0 BRL. Rzeczywisty koszt: polityka, ktora wyglada na kompletna, ale pomija elementy obowiazkowe.

Generyczne narzedzia AI nie audytuja Twoich rzeczywistych przeplywow danych i czesto produkuja polityki, ktore mieszaja wymagania RODO i LGPD bez odpowiedniego dostosowania do brazylijskiego kontekstu.

Skopiowanie darmowego szablonu

Koszt: 0 BRL. Ryzyko: wysokie.

Darmowe szablony sa generyczne i nigdy niedostosowane do Twojej konkretnej dzialalnosci. ANPD oczekuje, ze kazda polityka bedzie odzwierciedlac rzeczywiste praktyki organizacji, a nie standardowy tekst.

Uzycie wyspecjalizowanego generatora dokumentow prawnych

Koszt: 19,90 € do 49,90 €. Czas realizacji: mniej niz 10 minut.

Wyspecjalizowany generator zadaje pytania dotyczace Twojej firmy, danych, dostawcow i praktyk, i generuje polityke prywatnosci dostosowana do wymogów LGPD. Obejmuje podstawy prawne, prawa podmiotow danych, informacje o IOD i ujawnienia dotyczace transferow miedzynarodowych.

Aby szybko sprawdzic zgodnosc swojej strony, skorzystaj z naszego bezplatnego skanera zgodnosci. Zobacz takze nasz kompletny przewodnik po LGPD oraz nasze porownanie LGPD vs RODO.

Podsumowanie

Polityka prywatnosci to wiecej niz dokument prawny — to konkretna ekspresja zaangazowania Twojej firmy w ochrone danych osobowych klientow i uzytkownikow. Na mocy LGPD musi byc specyficzna, przejrzysta, dostepna i aktualna. ANPD aktywnie egzekwuje prawo, a brazylijskie sady sa coraz bardziej wrazliwe na kwestie prywatnosci, dlatego inwestycja w odpowiednia polityke prywatnosci jest jedna z najkorzystniejszych dzialan w zakresie zgodnosci. Dla polskich firm podlegajacych rowniez RODO i nadzorowi UODO, skoordynowane podejscie zapewnia zgodnosc w obu jurysdykcjach. Nie czekaj na powiadomienie lub pozew, aby dzialac — chron swoich klientow i swoja firme juz teraz.