Polityka prywatności, to nie klauzula informacyjna
Polityka prywatności, to nie klauzula informacyjna
Mimo tego, że RODO obowiązuje już blisko dwa lata, nadal pojawia się wiele problemów z interpretacją przepisów i niezrozumieniem obowiązków nałożonych na administratorów danych osobowych.
Okazuje się, że wciąż mylona jest polityka prywatności z klauzulą informacyjną lub traktuje się politykę prywatności jako politykę bezpieczeństwa czy politykę ochrony danych - więc wyjaśniamy:
Polityka prywatności – dotyczy serwisów internetowych, a obowiązek jej opracowania wynika z prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną, a przy jej tworzeniu należy uwzględnić przepisy RODO. Chodzi przede wszystkim, aby poinformować użytkowników serwisu, którzy:
- dokonują rejestracji np. w serwisie zakupowym,
- korzystają z formularza kontaktowego,
- zapisują się do newsletter’a,
- lub tylko przeglądają stronę, a podczas przeglądania mogą być pobierane dodatkowe informacje, w szczególności: adres IP przypisany do komputera użytkownika lub zewnętrzny adres IP dostawcy Internetu, nazwa domeny, rodzaj przeglądarki, czas dostępu, typ systemu operacyjnego).
Polityka prywatności powinna zawierać informacje o zasadach ochrony pobranych przez serwis lub podanych przez użytkownika danych, zarządzaniu bezpieczeństwem (szyfrowanie, zasady odzyskiwania hasła dostępu), zasadach używania i wykorzystywania cookies, a także prawach osób, których dane są przetwarzane.
Klauzula informacyjna – wymagana jest na postawie art. 13 lub 14 RODO i dotyczy poinformowania osoby, której dane są przetwarzane m.in. o:
- danych administratora,
- celu przetwarzania danych,
- odbiorcach danych,
- okresie przetwarzania danych,
- obowiązku lub dobrowolności podania danych,
- prawach, z których osoba może skorzystać w związku z przetwarzaniem jej danych.
Klauzula informacyjna ma być jasna, zrozumiała i przedstawiona w dostępnej formie. Obowiązek przedstawiania klauzuli informacyjnej dotyczy zbierania danych zarówno w formie tradycyjnej, jak i elektronicznej.
Polityka bezpieczeństwa / polityka ochrony danych – dokument wymagany na podstawie art. 24 RODO, w którym administrator opisuje zasady przetwarzania i zabezpieczania danych osobowych, w tym wdrożone środki techniczne i organizacyjne zapewniające stosowanie przepisów RODO. Polityka jest dokumentem wewnętrznym (nie publicznym), który ma być stosowany przez wszystkie osoby, które w danym podmiocie mają dostęp do danych osobowych. Na podstawie zapisów polityki administrator może wykazać, że zastosowane są odpowiednie procedury przetwarzania i zabezpieczania danych, zgodnie z RODO.
Na podstawie powyższych opisów jasne staje się, to że mówimy o 3 różnych dokumentach, z których żaden nie może zastąpić pozostałych.