Polityka prywatności, to nie klauzula informacyjna

12 lutego 2020

Polityka prywatności, to nie klauzula informacyjna

Mimo tego, że RODO obowiązuje już blisko dwa lata, nadal pojawia się wiele problemów z interpretacją przepisów i niezrozumieniem obowiązków nałożonych na administratorów danych osobowych.

Okazuje się, że wciąż mylona jest polityka prywatności z klauzulą informacyjną lub traktuje się politykę prywatności jako politykę bezpieczeństwa czy politykę ochrony danych - więc wyjaśniamy:

Polityka prywatności – dotyczy serwisów internetowych, a obowiązek jej opracowania wynika z prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną, a przy jej tworzeniu należy uwzględnić przepisy RODO. Chodzi przede wszystkim, aby poinformować użytkowników serwisu, którzy:

  • dokonują rejestracji np. w serwisie zakupowym,
  • korzystają z formularza kontaktowego,
  • zapisują się do newsletter’a,
  • lub tylko przeglądają stronę, a podczas przeglądania mogą być pobierane dodatkowe informacje, w szczególności: adres IP przypisany do komputera użytkownika lub zewnętrzny adres IP dostawcy Internetu, nazwa domeny, rodzaj przeglądarki, czas dostępu, typ systemu operacyjnego).

Polityka prywatności powinna zawierać informacje o zasadach ochrony pobranych przez serwis lub podanych przez użytkownika danych, zarządzaniu bezpieczeństwem (szyfrowanie, zasady odzyskiwania hasła dostępu), zasadach używania i wykorzystywania cookies, a także prawach osób, których dane są przetwarzane.

Klauzula informacyjna – wymagana jest na postawie art. 13 lub 14 RODO i dotyczy poinformowania osoby, której dane są przetwarzane m.in. o:

  • danych administratora,
  • celu przetwarzania danych,
  • odbiorcach danych,
  • okresie przetwarzania danych,
  • obowiązku lub dobrowolności podania danych,
  • prawach, z których osoba może skorzystać w związku z przetwarzaniem jej danych.

Klauzula informacyjna ma być jasna, zrozumiała i przedstawiona w dostępnej formie. Obowiązek przedstawiania klauzuli informacyjnej dotyczy zbierania danych zarówno w formie tradycyjnej, jak i elektronicznej.

Polityka bezpieczeństwa / polityka ochrony danych – dokument wymagany na podstawie art. 24 RODO, w którym administrator opisuje zasady przetwarzania i zabezpieczania danych osobowych, w tym wdrożone środki techniczne i organizacyjne zapewniające stosowanie przepisów RODO. Polityka jest dokumentem wewnętrznym (nie publicznym), który ma być stosowany przez wszystkie osoby, które w danym podmiocie mają dostęp do danych osobowych. Na podstawie zapisów polityki administrator może wykazać, że zastosowane są odpowiednie procedury przetwarzania i zabezpieczania danych, zgodnie z RODO.

Na podstawie powyższych opisów jasne staje się, to że mówimy o 3 różnych dokumentach, z których żaden nie może zastąpić pozostałych.