Jak napisać Politykę Prywatności?
Polityka Prywatności (Privacy Notice) to dokument przeznaczony do użytku zewnętrznego, tj publikacji na stronie internetowej lub w Twoim biurze.
Dokument ten powinien być jak najbardziej przejrzysty i jasny dla odbiorców.
Z tego względu powinien być napisany prostym językiem, zawierać konkretne informacje, dobrą praktyką jest również sporządzenie go w języku ojczystym klientów (choć nie jest to wymóg prawa), np. w języku polskim, jeśli zawartość Twojej strony www jest napisana w tym języku, skierowana do polskich klientów na terenie UK.
Minimum informacji, jakie musisz przedstawić w tym dokumencie odbiorcom, to:
- kto jest administratorem danych osobowych oraz jego dane kontaktowe (zazwyczaj jest właściciel strony internetowej, który powinien być wymieniony z nazwy bądź nazwiska i adresu firmy);
- dane kontaktowe inspektora ochrony danych / EU Reprezentanta / UK Reprezentanta, jeśli taki został powołany;
- cele przetwarzania danych osobowych oraz podstawę prawną tego przetwarzania (podstawy prawne znajdziesz w art. 6 RODO) – chodzi tu jednak o sprecyzowanie celów Twojego przetwarzania i podstawy prawnej, którą przy tym wybierasz, a nie o przepisywanie treści artykułu 6;
- jeśli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora, wskazanie jaki to jest interes;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją ;
- informacje o tym, czy dane będą przekazywane do państw trzecich lub organizacji międzynarodowych;
- okres przetwarzania danych osobowych (konkretnie dla każdego celu przetwarzanie – nie wystarczy zacytowanie przepisu – w czasie minimalnym potrzebnym do osiąągnięcia celu przez administratora) ;
- informacje o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeśli dane przetwarzasz na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem;
- o prawie wniesienia skargi do organu nadzorczego;
- czy podanie danych osobowych jest wymogiem ustawowym/umownym lub warunkiem zawarcia umowy oraz czy osoba jest zobowiązana do ich podania oraz jakie są ewentualne konsekwencje niepodania danych;
- o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Pamiętaj jednak, że – choć dokument ten (w języku polskim zwany Polityką Prywatności lub klauzulą Informacyjną UK GDPR/RODO, a w języku angielskim: Privacy Notice) – jest bardzo ważny, nie zastępuje – w razie kontroli dokumentu wewnętrznego Twojej firmy, w którym spisane są wszystkie najważniejsze zasady według których chronisz dane osobowe.
Zazwyczaj nazywamy go “Polityką Prywatności” lub też “Polityką Bezpieczeństwa”.
Pomimo publikacji na stronie internetowej Twojej “Privacy Notice” wciąż powinieneś zamieścić krótkie informacje dotyczące zasad RODO/UK GDPR w Twojej firmie pod formularzem kontaktowym, na portalach firmowych w social mediach.
Twoim obowiązkiem jest bowiem poinformowanie każdego, kto powierzy Ci swoje dane osobowe o zasadach przetwarzania danych w Twojej firmie – w ciągu maksymalnie 30 dni – od momentu otrzymania danych.
Dzięki publikacji Polityki Prywatności na stronie i kontach społecznościowych, e-mailem swoją skróconą treść zasad Polityki Przetwarzania wyślij tylko do tych, którzy powierzą Ci swoje dane z pominięciem strony internetowej lub mediów społecznościowych.
