RODO i polityka prywatności to łączące się ze sobą dokumenty. Wynika to z faktu, że RODO nakłada na administratora danych (np. właściciela sklepu, czy serwisu internetowego) wymóg spełnienia szeregu obowiązków informacyjnych. Polityka prywatności staje się w tym przypadku naturalnym miejscem na ich podanie. W tym wpisie omówimy najważniejsze elementy, które powinna posiadać polityka prywatności aby być zgodna z RODO. 

 

Rozporządzenie RODO, to konkretnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO” lub „Rozporządzenie RODO”. Oficjalny tekst Rozporządzenia RODO dostępny jest tutaj.

 

Zasady tworzenia polityki prywatności zgodnej z RODO

Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu.

Poniżej wskazujemy najważniejsze zasady dotyczące przetwarzania danych (zasady z art. 5 Rozporządzenia RODO) – zgodnie z RODO dane osobowe muszą być :

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

Co należy podać w polityce prywatności zgodnie z RODO

Kluczowy w tym zakresie będzie art. 13 Rozporządzenia RODO, zgodnie z którym administrator danych podczas pozyskiwania danych osobowych obowiązany jest podać poniższe informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  10. informacje o prawie wniesienia skargi do organu nadzorczego;
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator zobowiązany jest także do poinformowania, czy podanie danych i tym samym ich przetwarzanie jest dobrowolne, czy też obowiązkowe – a w tym ostatnim wypadku należy wskazać ską wynika taki obowiązek – może on wynikać np. z umowy lub z ustawy.

 

Pamiętajmy, że poza RODO są także dotychczas istniejące przepisy wymagające np. informowania o stosowaniu plików cookies. Każdorazowo także zakres wymaganych informacji będzie musiał być dostosowany do konkretnego administratora danych – wynika to z różnic np. w zakresie celów przetwarzania danych, stosowania profilowania, czy też kategorii odbiorców danych.

Podsumowanie 

RODO nakłada szerego obowiązków informacyjnych, których spełnienie jest obowiązkowe. Warto dokładnie przeanalizować zakres i cele przetwarzanych danych, a następnie na tej podstawie przygotować dopasowaną do siebie politykę prywatności, tak aby była ona zgoda z RODO.

 

Potrzebujesz pomocy? Skontaktuj się z nami:

  • 61 847 55 18
  • kontakt@regulaminowo.pl