Jednym z ważniejszych, a jednocześnie łatwo widocznych elementów mających wpływ na zgodność z RODO, jest rzetelność i przejrzystość przetwarzanych przez administratora danych osobowych, wobec osób, których dane te dotyczą. Zadanie to w dużej mierze spełnia publikacja informacyjna określana najczęściej jako – Polityka Prywatności, opisująca między innymi zakres, cele oraz podstawy prawne przetwarzanych przez Administratora danych. Jak poprawnie skonstruować ten dokument, co w nim zawrzeć i gdzie oraz w jakiej formie go udostępnić, aby spełnić wymagania stawiane przez RODO ?

Polityka prywatności jak i tożsame z nią klauzule informacyjne, są podstawą jak i kompletnym medium przekazu jaki należy wykorzystać do spełniania tak zwanego obowiązku informacyjnego, wobec osób których przetwarzane są dane lub osób chcących nawiązać taką relację z administratorem danych osobowych. Zarówno Unijne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.), zwane popularnie RODO ani Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Tj. Dz. U. z 2019 r., poz. 1781 z późn. zm.) nie precyzują jego formy oraz sposobu czy miejsca publikacji, w ogólnym odniesieniu jak wiele zapisów wymaga aby po prostu zrobić to dobrze.

Ani RODO ani Ustawa o ochronie danych osobowych, nie narzucają formy publikacji polityki prywatności ani obowiązku jej posiadania na stronie internetowej. Dlaczego jednak warto posiadać taki dokument, jak go wykorzystać i gdzie do najlepiej zamieścić, aby nie obawiać się o brak zgodności z przepisami prawa ? W tym kontekście funkcjonuje kilka praktyk, zarówno dobrych jak i fatalnych rozwiązań. Najlepsze z nich to zastosowanie tzw. warstwowania czyli odniesienia zainteresowanej osoby do miejsca gdzie może ona zapoznać się z zawartymi w polityce prywatności informacjami. Najczęściej spotykane rozwiązanie to umieszczenie jej na własnej stronie www, w dedykowanej do tego celu zakładce.

Co jednak zrobić jeśli Administrator nie prowadzi takowego medium ? Tutaj jako odniesienie powinien posłużyć art Art. 11. Ustawy – Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. W tym kontekście spełnieniem warunku dostępności informacji, będzie publikacja dokumentu na przykład na ogólnodostępnej tablicy ogłoszeń.

Kolejną bardzo istotną kwestią jest zawartość jaką powinna posiadać polityka prywatności. Jej przygotowanie należy oprzeć nie tylko na podstawowych wymogach określonych w art. 12, 13 i 14 RODO odnoszących się głównie do wskazania podstaw prawnych, rzetelności, i przejrzystości przetwarzania danych, ale także do praw osób, których dane dotyczą. W praktyce dobrze skonstruowany dokument powinien zawierać informacje dotyczące:

1. Tożsamości i danych kontaktowych Administratora Danych lub jeśli ma to zastosowanie swojego przedstawiciela.

2. Gdy ma to zastosowanie danych kontaktowych inspektora ochrony danych.

3. Celów przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania.

4. Prawnie uzasadnionych interesów administratora lub stronę trzecią – jeśli przetwarzanie odbywa się na podstawie art 6 ust. 1 lit f RODO.

5. Informacji o odbiorcach danych osobowych lub kategoriach odbiorców.

6. Kategorii odnośnych danych osobowych.

7. Zamiaru przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz stwierdzenia lub jego braku odpowiedniego stopnia ochrony – jeśli ma to zastosowanie.

8. Okresu przechowywania danych lub jeśli to niemożliwe kryteria ustalania tego czasu,

9. Informacji o prawach osób, których przetwarzane dane dotyczą,

10. Informacji o prawie do cofnięcia zgody jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do  cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

11. Informacje o prawie wniesienia skargi do organu nadzorczego

12. Informacji, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

13. Informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

14. Źródle pochodzenia danych osobowych – gdy ma to zastosowanie.

Jeśli jesteś zainteresowany opracowaniem wymaganej dokumentacji monitoringu zgodnego z RODO oraz/lub pełnieniem przez nas funkcji Inspektora Ochrony Danychskontaktuj się z naszym biurem.

Zapraszamy Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ. Jeżeli sam planujesz dystrybucję własnego newslettera, polecamy polskiego dostawcę, z którego usług sami korzystamy – Getresponse – zapewniającego nie tylko świetne narzędzie ale także perfekcyjną obsługę klienta.

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych oraz usług hostingowych jakie polecamy. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.

Usługi Data Center – IQ PL Sp. z o.o. – zamówisz tutaj,

Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,

Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,

Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,

Informatyka Śledcza – kupisz tutaj,

Profesjonalne testy penetracyjne – kupisz tutaj.