Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



16.10.2018

Pełna optymalizacja

Quest Foglight for Virtualization Enterprise 8.8 (FVE)
12.10.2018

Linux w chmurze Azure

SUSE Linux Enterprise 15 / Microsoft Azure
09.10.2018

Nowe antywirusy

Bitdefender 2019
03.10.2018

Niezawodny tandem

Veeam Hyper-Availability Platform i Cisco HyperFlex
26.09.2018

Zarządzane z chmury

NETGEAR GC752X(P)
21.09.2018

Kolor razy 6

Kyocera ECOSYS i TASKalfa
18.09.2018

Na ataki piątej generacji

Check Point 23900
14.09.2018

UHD dla pro

Samsung UJ59
11.09.2018

Ochrona dla firm

ESET Security Management Center

Polityka prywatności dla usługi informatycznej zgodnie z RODO

Data publikacji: 20-04-2018 Autor: Tomasz Cygan

Polityka prywatności to dokument, który informuje o zakresie i celach przetwarzania danych osobowych oraz innych elementach związanych z realizacją praw i obowiązków wynikających z przetwarzania danych osobowych osób fizycznych. Jest ona zwyczajowo umieszczana na stronie internetowej administratora lub podmiotu przetwarzającego.

Stosowanie i udostępnianie polityki prywatności, mimo że bardzo powszechne, nie wynika z obowiązujących przepisów prawa. Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną wymaga jedynie posługiwania się regulaminem świadczenia usług drogą elektroniczną, którego polityka bezpieczeństwa może być elementem lub uzupełnieniem. Natomiast przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, jak również przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. rodo, nie zawierają wprost żadnego odniesienia dla polityki prywatności.

Niemniej, zwłaszcza w obliczu rozpoczęcia stosowania rodo, warto przeanalizować zagadnienie polityki prywatności przez pryzmat zasady przejrzystości i rzetelności przetwarzania, ułatwienia realizacji praw osób, których dane dotyczą, a także polityki ochrony danych, o której mowa w art. 24 ust. 2 rodo – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w art. 24 ust. 1 rodo, tj. środki techniczne i organizacyjne wdrożone, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem (i aby móc to wykazać), obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

> FUNKCJA INFORMACYJNA I DOSTĘPNOŚĆ

Polityka bezpieczeństwa pełni w głównej mierze funkcję informacyjną. W związku z tym zasadniczym jej elementem będzie realizacja obowiązków informacyjnych wskazanych w rodo. Konieczne jest jednak uwzględnienie przy jej tworzeniu wskazań zawartych w art. 12 rodo. Zgodnie z jego treścią administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Przepis ten można traktować jako wskazówkę dotyczącą sposobu formułowania zapisów polityk prywatności. Dotyczy to w szczególności jasnego, prostego języka i zrozumiałej formy. Wykluczone wydaje się w związku z tym posługiwanie się żargonem prawniczym oraz wskazywanie rozbudowanych podstaw prawnych dla praw i obowiązków zawartych w polityce prywatności. Kolokwialnie rzecz ujmując, wykluczone jest tworzenie zapisów polityki prywatności w stylu znanym niegdyś z korespondencji pochodzącej z Zakładu Ubezpieczeń Społecznych.

Warto także zauważyć, że zgodnie z treścią art. 12 rodo informacje powinny być łatwo dostępne. Wymaga to z jednej strony należytego oznaczenia wszelkich zapisów dotyczących zagadnień ochrony danych osobowych na stronie WWW, a jednocześnie powinno być traktowane jako zakaz umieszczania polityki prywatności oraz innych informacji związanych z ochroną danych osobowych w innych obszerniejszych dokumentach. Zalecenie łatwego dostępu należy traktować dosłownie – osoba korzystająca z usługi informatycznej musi mieć obiektywną łatwość uzyskania informacji na temat przysługujących jej praw oraz działań administratora dotyczących jej danych osobowych.

> KLAUZULE INFORMACYJNE

Dodatkowo należy zauważyć, że odrębnym dokumentem od polityki bezpieczeństwa powinny być klauzule informacyjne zgodne z art. 13 rodo. Umieszczenie tych klauzul w treści polityki prywatności może bowiem zostać potraktowane jako naruszenia wskazanego powyżej obowiązku łatwej dostępności informacji, o których mowa w art. 13 rodo. W praktyce może to doprowadzić do powielania takich samych zapisów w polityce prywatności oraz klauzulach informacyjnych. Jednocześnie rozważyć można linkowanie polityki prywatności w ramach klauzuli informacyjnej. Istotne jest bowiem to, aby informacje, które otrzyma użytkownik, były zgodne z art. 12 rodo, a nadto kompletne. Nie ma za to znaczenia rozwiązanie techniczne, które doprowadzi do osiągnięcia tego rezultatu. W związku z tym należy pamiętać, że aby zapewnić kompleksową realizację obowiązków wynikających z rodo, usługa informatyczna musi czynić zadość wymaganiom wynikającym z art. 13 rodo i zawierać co najmniej informacje:

 

  • ƒƒo tożsamości administratora, jego dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • ƒƒgdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • ƒƒcele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • ƒƒjeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • ƒƒinformacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • ƒgdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
  • ƒƒokres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • ƒƒinformacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • ƒjeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • ƒƒinformacje o prawie wniesienia skargi do organu nadzorczego;
  • ƒƒinformację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;


[…]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"