Co to jest polityka prywatności?
Ani Rozporządzenie RODO1, ani ustawa o ochronie danych osobowych ani także inny akty prawny nie reguluje definicji „polityka prywatności”. Duży wpływ na popularność polityki prywatności w Europie wywarły Stany Zjednoczone. W wielu regionach, lokalne prawo nakłada obowiązek posiadania polityki prywatności na swojej stronie internetowej.
Jakie informacje zawiera polityka prywatności w Stanach Zjednoczonych?
- Jakie informacje zbierasz i jak są one zbierane
- Środki podejmowane w celu ochrony tych informacji
- Jak wykorzystujesz zebrane informacje
- Czy udostępniasz te informacje osobom trzecim, a jeśli tak, to co udostępniasz i z jakimi osobami trzecimi
- Prawa konsumentów w zakresie ich danych osobowych
Dlaczego powinniśmy mieć politykę prywatności?
Polityka prywatności jest jednym z dokumentów, pozwalającym wywiązać się z jednej z głównym zasad Rozporządzenia RODO – transparentności. Transparentność oraz informowanie osób, których dane dotyczą jak ich dane będą przetwarzane są jednym z podstawowych obowiązków administratora danych osobowych oraz podmiotu przetwarzającego.
We wpisie dotyczącym obowiązku informacyjnego, skupiliśmy się na omówieniu art. 12, 13 oraz 14 Rozporządzenia RODO. Jednym ze sposobów wywiązania się z obowiązku informacyjnego jest sporządzenie oraz udostępnienie Polityki prywatności.
Polityka prywatności a obowiązek informacyjny RODO
Jak pokazuje praktyka, polityka prywatności jest rozbudowaną klauzulą informacyjną. Może one dotyczyć takich kategorii osób jak m.in. klienci, kontrahenci, użytkownicy sklepu internetowego, użytkownicy strony internetowej, nasi potencjalni klienci/ kontrahenci.
Sporządzając politykę prywatności możemy także opisać wykorzystywane pliki cookies. Przy czym Polityka plików cookies może także stanowić osobny dokument, umieszczony na stronie.
Jakie elementy powinny być zwarte w polityce prywatności?
- W jakim celu została sporządzona polityka prywatności;
- Dane administratora danych osobowych, w tym dane kontaktowe;
- Dane inspektora ochrony danych osobowych, jeżeli został powołany;
- Źródło pochodzenia danych;
- Kategorie osób, których dane osobowe zostały opisane w niniejszej polityce prywatności;
- Cele w jakich przetwarza się dane osobowe (można także z nazwy wskazać te dane);
- Podstawa prawna przetwarzania danych osobowych;
- Informację o odbiorcach danych osobowych;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
1 Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE