Today on #blog a seemingly boring topic, but in practice insanely important in terms of taking care of online privacy. In a nutshell, about how to write a FRIENDLY #PrivacyPolicy without unnecessary legal hurdles.
https://blog.tomaszdunia.pl/rodo-gdpr-eng/
Dzisiaj na #blog pozornie nudny temat, ale w praktyce szalenie istotny pod kątem dbania o prywatność w sieci. W skrócie o tym jak napisać PRZYJAZNĄ #PolitykaPrywatności bez zbędnych prawniczych utrudnień.
@icd @agnieszka @kuba @arek @panoptykon co o tym sądzicie? W końcu się zebrałem i wypociłem kawałek tekstu
@to3k
W końcu znalazłam chwilę Przede wszystkim - super, że podjąłeś ten temat i opisujesz dokładnie, z jakich narzędzi korzystałeś. Myślę, że to bardzo cenne wskazówki dla innych. Podzielę się kilkoma uwagami:
1. Dane anonimowe, czyli takie, których nie da się przypisać do osoby fizycznej, to nie są dane osobowe. Nie musiałbyś więc o nich pisać, ale zgadzam się, że warto wspomnieć o tym dla transparentności.
@icd @kuba @arek @panoptykon
@to3k
2. Piszesz, że przetwarzasz dane w celu realizacji prawnie uzasadnionego interesu, a dalej, że "dane przetwarzane są do momentu cofnięcia zgody przez użytkownika". O cofaniu zgody mówimy wtedy, kiedy zbieramy zgody, aby móc dane przetwarzać. W przypadku prawnie uzasadnionego interesu dane są przetwarzane albo do czasu realizacji tego interesu (np. do upływu przedawnienia roszczeń) albo do momentu skutecznego wniesienia sprzeciwu (zależy co nastąpi wcześniej).
@icd @kuba @arek @panoptykon
@to3k
3. Napisałeś, że jest istotne, aby dane były przechowywane na terenie UE, bo "wtedy obowiązują europejskie przepisy GDPR". Przepisy RODO obowiązują też do przechowywania danych poza UE (szerzej: EOG), tylko wówczas mamy dodatkowe wymagania prawne, które trzeba spełnić, aby przechowywanie danych poza EOG było zgodne z prawem (ogólnie mówiąc, muszą zostać zagwarantowane odpowiednie zabezpieczenia dla tych danych).
@to3k
4. Zakładka "komu" - tutaj też powinieneś wskazać dostawcę hostingu, bo on jest odbiorcą danych w rozumieniu RODO.
@to3k
5. Katalog praw podmiotów danych powinien być szerszy - poza prawem dostępu (to nie jest generalnie wgląd, lecz prawo do uzyskania konkretnych informacji wskazanych w RODO, jak również prawo do uzyskania kopii danych), sprostowania i usunięcia, użytkownik w tym konkretnym przypadku ma jeszcze prawo żądania ograniczenia przetwarzania oraz - co najważniejsze - wniesienia sprzeciwu wobec przetwarzania danych osobowych.
@icd @kuba @arek @panoptykon
@to3k
Powinieneś też wymienić prawo wniesienia skargi do PUODO.
@icd @kuba @arek @panoptykon
@to3k
Wyjdzie, że jako prawnik się czepiam ale tak na serio, ogólnie bardzo spoko polityka, jednak konieczne jest uzupełnienie o wskazane przeze mnie elementy. Mam nadzieję, że zostanie to odebrane jako konstruktywny feedback, bo tak miało być Pozdrawiam
@icd @kuba @arek @panoptykon
@agnieszka
WOW dzięki wielkie, że w ogóle Ci się chciało Teraz muszę to na spokojnie przetrawić i wrócę pewnie z pytaniami (już nawet mam, ale muszę to spisać) licząc, że będę mógł wykorzystać jeszcze cenną wiedzę ekspertki
@agnieszka napisałem kilka pytań, mam nadzieję, że nie nadużywam tym życzliwości
@to3k lepszej niż @agnieszka nie znajdziesz
@arek
No widzę i słyszałem już wcześniej w podcaście