Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



24.05.2018

Do obsługi konferencji

HP Elite Slice G2
21.05.2018

Dla małych grup

Drukarki Canon
17.05.2018

Inteligentna ochrona

Ever UPS DUO AVR
14.05.2018

Bezpieczna piaskownica

Kaspersky Cloud Sandbox
10.05.2018

Monitoring IT

NetCrunch 10.2 Suite
07.05.2018

Mobilna firma

Sophos Mobile 8.1
27.04.2018

Wydajne procesory

AMD EPYC Embedded 3000 i AMD Ryzen Embedded V1000
24.04.2018

Z odłączanym ekranem

Panasonic Toughbook CF-20
18.04.2018

Dla biznesu

Monitory AOC 6x

Polityka prywatności dla usługi informatycznej zgodnie z RODO

Data publikacji: 20-04-2018 Autor: Tomasz Cygan

Polityka prywatności to dokument, który informuje o zakresie i celach przetwarzania danych osobowych oraz innych elementach związanych z realizacją praw i obowiązków wynikających z przetwarzania danych osobowych osób fizycznych. Jest ona zwyczajowo umieszczana na stronie internetowej administratora lub podmiotu przetwarzającego.

Stosowanie i udostępnianie polityki prywatności, mimo że bardzo powszechne, nie wynika z obowiązujących przepisów prawa. Ustawa z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną wymaga jedynie posługiwania się regulaminem świadczenia usług drogą elektroniczną, którego polityka bezpieczeństwa może być elementem lub uzupełnieniem. Natomiast przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, jak również przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. rodo, nie zawierają wprost żadnego odniesienia dla polityki prywatności.

Niemniej, zwłaszcza w obliczu rozpoczęcia stosowania rodo, warto przeanalizować zagadnienie polityki prywatności przez pryzmat zasady przejrzystości i rzetelności przetwarzania, ułatwienia realizacji praw osób, których dane dotyczą, a także polityki ochrony danych, o której mowa w art. 24 ust. 2 rodo – jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w art. 24 ust. 1 rodo, tj. środki techniczne i organizacyjne wdrożone, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem (i aby móc to wykazać), obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

> FUNKCJA INFORMACYJNA I DOSTĘPNOŚĆ

Polityka bezpieczeństwa pełni w głównej mierze funkcję informacyjną. W związku z tym zasadniczym jej elementem będzie realizacja obowiązków informacyjnych wskazanych w rodo. Konieczne jest jednak uwzględnienie przy jej tworzeniu wskazań zawartych w art. 12 rodo. Zgodnie z jego treścią administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Przepis ten można traktować jako wskazówkę dotyczącą sposobu formułowania zapisów polityk prywatności. Dotyczy to w szczególności jasnego, prostego języka i zrozumiałej formy. Wykluczone wydaje się w związku z tym posługiwanie się żargonem prawniczym oraz wskazywanie rozbudowanych podstaw prawnych dla praw i obowiązków zawartych w polityce prywatności. Kolokwialnie rzecz ujmując, wykluczone jest tworzenie zapisów polityki prywatności w stylu znanym niegdyś z korespondencji pochodzącej z Zakładu Ubezpieczeń Społecznych.

Warto także zauważyć, że zgodnie z treścią art. 12 rodo informacje powinny być łatwo dostępne. Wymaga to z jednej strony należytego oznaczenia wszelkich zapisów dotyczących zagadnień ochrony danych osobowych na stronie WWW, a jednocześnie powinno być traktowane jako zakaz umieszczania polityki prywatności oraz innych informacji związanych z ochroną danych osobowych w innych obszerniejszych dokumentach. Zalecenie łatwego dostępu należy traktować dosłownie – osoba korzystająca z usługi informatycznej musi mieć obiektywną łatwość uzyskania informacji na temat przysługujących jej praw oraz działań administratora dotyczących jej danych osobowych.

> KLAUZULE INFORMACYJNE

Dodatkowo należy zauważyć, że odrębnym dokumentem od polityki bezpieczeństwa powinny być klauzule informacyjne zgodne z art. 13 rodo. Umieszczenie tych klauzul w treści polityki prywatności może bowiem zostać potraktowane jako naruszenia wskazanego powyżej obowiązku łatwej dostępności informacji, o których mowa w art. 13 rodo. W praktyce może to doprowadzić do powielania takich samych zapisów w polityce prywatności oraz klauzulach informacyjnych. Jednocześnie rozważyć można linkowanie polityki prywatności w ramach klauzuli informacyjnej. Istotne jest bowiem to, aby informacje, które otrzyma użytkownik, były zgodne z art. 12 rodo, a nadto kompletne. Nie ma za to znaczenia rozwiązanie techniczne, które doprowadzi do osiągnięcia tego rezultatu. W związku z tym należy pamiętać, że aby zapewnić kompleksową realizację obowiązków wynikających z rodo, usługa informatyczna musi czynić zadość wymaganiom wynikającym z art. 13 rodo i zawierać co najmniej informacje:

 

  • ƒƒo tożsamości administratora, jego dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • ƒƒgdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • ƒƒcele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • ƒƒjeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • ƒƒinformacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • ƒgdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
  • ƒƒokres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • ƒƒinformacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • ƒjeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • ƒƒinformacje o prawie wniesienia skargi do organu nadzorczego;
  • ƒƒinformację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;


[…]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"