MONOLITH LAW OFFICE+81-3-6262-3248Dni powszednie 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Kluczowe punkty przy tworzeniu polityki prywatności zgodnej z RODO (GDPR)

General Corporate

Kluczowe punkty przy tworzeniu polityki prywatności zgodnej z RODO (GDPR)

Jeśli zajmujesz się przetwarzaniem danych osobowych użytkowników w obszarze Unii Europejskiej, musisz dostosować się do wymogów Rozporządzenia Ogólnego o Ochronie Danych (RODO), co oznacza konieczność stworzenia polityki prywatności zgodnej z tym rozporządzeniem. Jednak wiele osób może nie rozumieć szczegółów RODO, co prowadzi do niepewności, czy ich strona internetowa wymaga dostosowania i jakie kroki należy podjąć, aby być zgodnym z przepisami.

Dlatego w niniejszym artykule wyjaśniamy ogólne zasady RODO oraz kluczowe punkty, które należy uwzględnić przy tworzeniu polityki prywatności dostosowanej do RODO. Przedstawimy również sytuację w Japonii oraz przykłady znanych firm, które mogą posłużyć jako odniesienie.

O RODO i Polityce Prywatności

O RODO i Polityce Prywatności

Jak powinna wyglądać Polityka Prywatności dostosowana do RODO? W tym miejscu wyjaśniamy ogólne zasady RODO oraz obowiązki związane z Polityką Prywatności w kontekście RODO.

RODO i Polityka Prywatności

RODO to regulacja ustanowiona przez UE, która szczegółowo określa ochronę danych osobowych i ich przetwarzanie. RODO stosuje się w Europejskim Obszarze Gospodarczym (EOG: państwa członkowskie UE oraz Islandia, Liechtenstein i Norwegia, z wyłączeniem Szwajcarii, która jest członkiem EFTA). Poniższe sytuacje mogą sprawić, że japońskie przedsiębiorstwa również będą podlegać RODO:

  • Dostarczanie towarów lub usług podmiotom danych znajdującym się w UE
  • Monitorowanie zachowań podmiotów danych w UE

Podmiot danych to zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, do której odnoszą się dane osobowe.

Firmy, na które to się odnosi, muszą przeglądać i aktualizować swoje Polityki Prywatności (zawiadomienia o prywatności). W przypadku naruszenia RODO, mogą zostać nałożone kary do 20 milionów euro lub 4% rocznych światowych obrotów firmy.

Źródło: Japońska Organizacja Promocji Handlu | “Ogólne Rozporządzenie o Ochronie Danych (RODO)”[ja]

Dla bezpieczeństwa transakcji z krajami UE, sprawdzenie Polityki Prywatności jest niezbędne.

“Informacja” wymagana przez RODO przy pozyskiwaniu danych osobowych

RODO wymaga, aby administrator danych, w momencie pozyskiwania danych osobowych, dostarczał podmiotowi danych określone informacje. Artykuł 12 ustęp 1 RODO opisuje sposób dostarczania tych informacji.

Wymagania są następujące:

  • Być zwięzłym, przejrzystym, zrozumiałym i łatwo dostępnym
  • Używać jasnego i prostego języka
  • Przy informowaniu dzieci, należy podjąć odpowiednie środki
  • Informacja powinna być dostarczana na piśmie lub, w odpowiednich przypadkach, za pomocą środków elektronicznych lub innych
  • Na żądanie podmiotu danych, informacje mogą być dostarczane ustnie

Ponadto, zgodnie z artykułem 12 ustęp 5 RODO, dostarczanie informacji musi być bezpłatne. Sprawdź, czy Twoja Polityka Prywatności spełnia powyższe wymagania i w razie potrzeby dokonaj jej aktualizacji.

Kluczowe punkty przy aktualizacji polityki prywatności zgodnie z RODO

Kluczowe punkty przy aktualizacji polityki prywatności zgodnie z RODO

RODO wymaga, aby w przypadku pozyskiwania danych osobowych bezpośrednio od osoby, której dane dotyczą (art. 13 RODO), jak i w przypadku pozyskiwania danych od innych źródeł (art. 14 RODO), administrator danych osobowych informował osobę, której dane dotyczą, o wielu konkretnych kwestiach.

Do elementów, które administrator powinien wyraźnie wskazać, należą między innymi:

  • Tożsamość administratora oraz szczegółowe dane kontaktowe
  • Jeśli istnieje przedstawiciel, tożsamość i szczegółowe dane kontaktowe przedstawiciela
  • Prawa osoby, której dane dotyczą, do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz prawo do sprzeciwu
  • Cel przetwarzania danych osobowych oraz podstawa prawna
  • Okres przechowywania danych osobowych lub kryteria ustalania tego okresu
  • Rodzaje przetwarzanych danych osobowych

Wśród wymienionych elementów znajdują się takie, których nie uwzględnia się w japońskiej polityce prywatności, dlatego należy szczególną uwagę poświęcić ich aktualizacji. Aby dowiedzieć się więcej o polityce prywatności opracowanej z uwzględnieniem japońskiej ustawy o ochronie danych osobowych, zapoznaj się z poniższym artykułem.

Powiązany artykuł: Jakie są kluczowe punkty przy tworzeniu polityki prywatności zgodnie z japońską ustawą o ochronie danych osobowych?[ja]

W tym miejscu skupimy się na wyjaśnieniu kluczowych punktów aktualizacji, koncentrując się na aspektach, których nie uwzględnia się w polityce prywatności opracowanej z uwzględnieniem japońskiej ustawy o ochronie danych osobowych.

Podstawy prawne przetwarzania danych

RODO (Ogólne Rozporządzenie o Ochronie Danych) nakłada obowiązek wyraźnego wskazania “podstaw prawnych przetwarzania danych”, czego nie wymagała poprzednia ustawa o ochronie danych osobowych. Istnieje sześć podstaw, na których przetwarzanie danych osobowych jest uznawane za legalne (art. 6 RODO):

  • Zgoda osoby, której dane dotyczą
  • Wykonanie umowy
  • Obowiązek prawny
  • Ochrona życia
  • Interes publiczny
  • Uzasadniony interes

Jeśli zastosowanie znajdzie choć jedna z powyższych podstaw, przetwarzanie danych jest uznawane za legalne, dlatego warto wyraźnie wskazać to w polityce prywatności. W przypadku osób, które po raz pierwszy udostępniają swoje informacje, można uzyskać zgodę poprzez nową politykę prywatności.

Jednak należy zwrócić uwagę na użytkowników, którzy już wcześniej wyrazili zgodę. Osoby, które zgodziły się przed zmianą polityki prywatności, będą musiały ponownie wyrazić zgodę.

W takim przypadku można zastosować metodę, która polega na wskazaniu w polityce prywatności jednej z sześciu podstaw prawnych przetwarzania danych i uzyskaniu zgody na zmiany w ten sposób.

Rodzaje gromadzonych informacji i cel ich wykorzystania

W tradycyjnych politykach prywatności często spotyka się praktykę umieszczania informacji o gromadzonych danych, celu ich wykorzystania oraz warunkach korzystania na tej samej stronie, a następnie uzyskiwania zbiorczej zgody. Jednakże, zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych (RODO, GDPR), konieczne jest wyraźne określenie, na co użytkownik wyraża zgodę.

Warto zatem przedstawić cel wykorzystania danych dla każdej gromadzonej informacji osobno i uzyskać na to indywidualną zgodę.

Wyjaśnienie celu wykorzystania danych

W rozporządzeniu GDPR wymaga się jasnego określenia celów wykorzystania zebranych danych. Na przykład, cel taki jak “ulepszenie usług” może być uznany za zbyt niejasny i w rezultacie nieodpowiedni.

Ponadto, przetwarzanie danych w sposób niezgodny z pierwotnie określonym celem jest niedozwolone, dlatego należy zwrócić uwagę na ten aspekt przy aktualizacji polityki prywatności.

Prawo do bycia zapomnianym i prawo do przenoszenia danych

Wiele firm do tej pory w swoich politykach prywatności uwzględniało prawa takie jak prawo dostępu czy prawo do sprostowania. Jednakże, w ramach RODO (Ogólnego Rozporządzenia o Ochronie Danych), konieczne jest również uwzględnienie “prawa do bycia zapomnianym i prawa do przenoszenia danych”.

Prawo do bycia zapomnianym umożliwia użytkownikom żądanie od administratora usunięcia ich danych osobowych. Prawo do przenoszenia danych pozwala na przeniesienie danych osobowych do innego usługodawcy.

Przykładem może być przeniesienie danych abonenta i historii połączeń z jednej firmy telekomunikacyjnej A do innej firmy B. Aby być zgodnym z RODO, w polityce prywatności firmy muszą być zawarte informacje o tych prawach.

Określenie okresu przechowywania danych

W Rozporządzeniu Ogólnym o Ochronie Danych (RODO), wymagane jest wyraźne określenie “okresu przechowywania danych osobowych”, czego nie zawierały tradycyjne polityki prywatności. Jeśli nie można ustalić konkretnego okresu, dopuszczalne jest również wskazanie kryteriów decydujących o długości przechowywania danych.

Sytuacja w zakresie przestrzegania GDPR przez japońskie przedsiębiorstwa

Sytuacja w zakresie przestrzegania GDPR przez japońskie przedsiębiorstwa

Przedstawiamy informacje z badania przeprowadzonego przez Ogólnokrajową Fundację Japońską ds. Promocji Społeczeństwa Informacyjnego i Gospodarki oraz przez spółkę ITR w “Badaniu trendów w wykorzystaniu IT przez przedsiębiorstwa 2021” (wersja szczegółowa)[ja].

Badanie trendów w wykorzystaniu IT przez przedsiębiorstwa 2021

Według wyników badania, niewiele przedsiębiorstw jest w pełni zgodnych z GDPR, a najwięcej, bo 26,1%, jest w trakcie dostosowywania się (rozważania). Na moment zbierania danych w 2021 roku, wiele firm nie wymieniało danych osobowych z UE.

Wyniki badania dotyczące wymiany danych osobowych z UE przedstawiają się następująco:

Badanie trendów w wykorzystaniu IT przez przedsiębiorstwa 2021

Patrząc na powyższy wykres, najwięcej, bo 44,4% przedsiębiorstw odpowiedziało, że “obecnie nie wymieniają danych i nie planują tego w przyszłości”. 12% stwierdziło, że “wymiana danych miała miejsce w przeszłości, ale po wprowadzeniu GDPR, dane są przetwarzane oddzielnie w UE i w Japonii”.

25,9% odpowiedziało, że “obecnie nie wymieniają danych, ale planują to w przyszłości”, a 17,6% “obecnie wymienia dane”. Mimo że istnieje potencjał wzrostu liczby firm wymieniających dane z UE w przyszłości, wyniki badania z 2021 roku pokazują, że na ten moment jest ich niewiele.

Źródło: JIPDEC/ITR ‘Badanie trendów w wykorzystaniu IT przez przedsiębiorstwa 2021′[ja]

Reakcja znanych firm na RODO (GDPR)

Reakcja znanych firm na RODO (GDPR)

Wiele osób chce zaktualizować swoje polityki prywatności, aby były zgodne z RODO (GDPR), ale nie jest pewne, jakie treści powinny zawierać. W tym miejscu szczegółowo wyjaśnimy, jak na RODO (GDPR) zareagowały takie firmy jak Google i Facebook, służąc jako przykłady działań przedsiębiorstw w odpowiedzi na te przepisy.

Działania Google w zakresie dostosowania do RODO (GDPR)

Google ogłosił podjęcie następujących działań w celu dostosowania się do RODO (GDPR):

  • Poprawa przejrzystości wobec użytkowników
  • Usprawnienie zarządzania przez użytkowników
  • Poprawa portabilności danych
  • Udoskonalenie narzędzi dla zgody rodziców i odpowiedniego korzystania z Internetu przez dzieci
  • Wsparcie dla użytkowników biznesowych i partnerów
  • Wzmocnienie programu zgodności z przepisami o prywatności

Poniżej przedstawiamy szczegółowe wyjaśnienie.

Źródło: Google „O przygotowaniach Google do nowego europejskiego rozporządzenia o ochronie danych (RODO)[ja]

Poprawa przejrzystości wobec użytkowników

Google usprawnia i aktualizuje swoją politykę prywatności, aby ułatwić zrozumienie informacji, które zbiera, oraz powodów, dla których to robi. Ułatwia także odnajdywanie tych informacji. Poniżej wymieniono inne wprowadzone zmiany:

  • Dodano szczegółowe informacje dotyczące zarządzania, eksportowania i usuwania danych
  • Do tekstu dodano materiały wideo i graficzne

Ponadto, zmieniono ustawienia, aby strona z ustawieniami prywatności była łatwiej dostępna.

Poprawa zarządzania przez użytkowników

W odpowiedzi na wymogi Rozporządzenia Ogólnego o Ochronie Danych (RODO), ulepszyliśmy metody zarządzania użytkownikami. Poniżej przedstawiamy wprowadzone zmiany:

  • Możliwość wyświetlania i usuwania danych w sekcji Moja aktywność
  • Dodanie funkcji wyszukiwania według tematu, daty i produktu
  • Możliwość sprawdzenia ustawień prywatności dostosowanych do indywidualnych potrzeb
  • Zarządzanie wyświetlanymi reklamami i możliwość ich ukrycia
  • Możliwość monitorowania danych za pomocą Panelu Google

Ponadto, jeszcze przed wejściem w życie RODO, wprowadziliśmy zmiany ułatwiające zarządzanie informacjami użytkowników i reklamami.

Poprawa przenośności danych

Google oferuje różnorodne usługi, takie jak Google Zdjęcia, Dysk, Kalendarz czy Gmail. Poniżej przedstawiamy działania, które Google podjęło w celu zgodności z ogólnym rozporządzeniem o ochronie danych (GDPR) w zakresie przenośności danych:

  • Rozszerzenie usług i opcji zarządzania umożliwiających pobieranie danych
  • Dodanie funkcji umożliwiającej planowanie regularnych pobierań danych

Poprawa narzędzi dla zgody rodziców i odpowiedniego korzystania z Internetu przez dzieci

Google oferuje aplikację Family Link, aby wspierać rodziców w zapewnieniu odpowiedniego korzystania z Internetu przez ich dzieci. Dzięki Family Link rodzice mogą tworzyć konta dla swoich dzieci.

Aplikacja umożliwia ustanowienie i zarządzanie domowymi zasadami, takimi jak “zarządzanie czasem użytkowania” czy “tymczasowe wstrzymanie urządzenia”.

Wsparcie dla użytkowników biznesowych i partnerów

W odpowiedzi na wymogi Rozporządzenia Ogólnego o Ochronie Danych (RODO), zaktualizowaliśmy politykę, która dotyczy sposobu, w jaki nasi partnerzy Google (tacy jak reklamodawcy czy operatorzy stron internetowych) proszą o zgodę użytkowników na stronach internetowych i w aplikacjach. Poniżej przedstawiamy inne istotne kwestie:

  • Dostarczanie narzędzi wspierających przestrzeganie RODO
  • Zaostrzenie procesu certyfikacji firm korzystających z usług reklamowych Google
  • Aktualizacja warunków przetwarzania danych
  • Udostępnianie szczegółowych informacji na temat przenoszenia danych i powiadamiania o incydentach związanych z danymi

Wzmocnienie programu zgodności z ochroną prywatności

W odpowiedzi na wymogi RODO (Generalnego Rozporządzenia o Ochronie Danych), wdrażamy wzmocnienie programu zgodności z ochroną prywatności. Szczegóły przedstawiają się następująco:

  • Usprawnienie programu ochrony prywatności
  • Wzmocnienie procesu przeglądu produktów

Ponadto, dokumentujemy również proces przetwarzania danych w sposób bardziej kompleksowy.

Działania Facebooka w zakresie RODO (GDPR)

Facebook ogłosił następujące działania w odpowiedzi na RODO:

  • Weryfikacja pozyskiwania informacji z wyświetlanych reklam
  • Wybór informacji profilowych
  • Weryfikacja technologii rozpoznawania twarzy (UE i Kanada)
  • Zaktualizowane warunki świadczenia usług i zgoda na przetwarzanie danych
  • Wprowadzenie funkcji ułatwiających dostęp do informacji, ich usuwanie i pobieranie
  • Informowanie młodszych użytkowników

Poniżej wyjaśniamy szczegóły.

Źródło: Facebook „Przestrzeganie Ogólnego Rozporządzenia o Ochronie Danych (RODO) i wprowadzenie nowych środków ochrony prywatności[ja]

Weryfikacja pozyskiwania informacji z wyświetlanych reklam

Partnerzy Facebooka wykorzystują informacje uzyskane za pomocą kliknięć w przycisk „Lubię to!” oraz narzędzi dostarczanych przez Facebooka do wyświetlania reklam. Użytkownicy otrzymują informacje dotyczące reklam i mogą wybrać, czy zezwalają na wykorzystanie danych przez partnerów do celów reklamowych.

Wybór informacji profilowych

Profil na Facebooku może zawierać informacje o poglądach politycznych, wyznaniu religijnym lub relacjach międzyludzkich. Użytkownicy mogą wybrać, czy chcą nadal publikować te informacje oraz czy mogą być one wykorzystywane w reklamach.

Informacje profilowe można w każdej chwili swobodnie zmieniać lub usuwać, jeśli użytkownik tego pragnie.

Weryfikacja technologii rozpoznawania twarzy (UE i Kanada)

Facebook umożliwia użytkownikom z krajów Unii Europejskiej i Kanady wybór, czy chcą korzystać z technologii rozpoznawania twarzy. Pozostali użytkownicy również mają możliwość wyboru w tej kwestii.

Zaktualizowane warunki świadczenia usług i zgoda na przetwarzanie danych

Użytkownicy otrzymują informacje wyjaśniające działanie serwisu, w tym „Warunki świadczenia usług” oraz „Politykę danych”, i są proszeni o wyrażenie zgody na ich treść.

Wprowadzenie funkcji ułatwiających dostęp do informacji, ich usuwanie i pobieranie

Za pomocą „Narzędzia do zarządzania danymi osobowymi” użytkownicy mogą sprawdzać i usuwać swoje dane. Dodatkowo, dane można łatwo pobierać i eksportować.

Zaktualizowano funkcję logowania aktywności na urządzeniach mobilnych, aby użytkownicy mogli łatwiej sprawdzić, jakie informacje udostępniali w przeszłości.

Informowanie młodszych użytkowników

Facebook już wcześniej wprowadził ograniczenia dla użytkowników w wieku nastoletnim, które obejmują:

  • Ograniczenia w kategoriach reklam
  • Brak możliwości korzystania z rozpoznawania twarzy (dla osób poniżej 18 roku życia)
  • Ograniczenia w przeglądaniu i wyszukiwaniu informacji udostępnianych przez nastolatków

Domyślne ustawienia są tak skonfigurowane, aby informacje nie były „publiczne”.

W odpowiedzi na RODO, Facebook wprowadził dodatkowe regulacje. Dla użytkowników z krajów Unii Europejskiej, oglądanie reklam i publikowanie informacji w profilu (takich jak wyznanie religijne czy poglądy polityczne) wymaga zgody opiekunów prawnych.

W innych regionach użytkownicy mogą wybierać, czy zgadzają się na wykorzystanie danych pozyskanych od partnerów do wyświetlania reklam oraz czy chcą publikować osobiste informacje w swoim profilu.

Podsumowanie: RODO (GDPR) obejmuje szerszy zakres danych osobowych niż japońskie prawo i wymaga odpowiedniego działania

RODO (GDPR)

RODO (GDPR) wprowadza różnorodne przepisy, takie jak “jasne określenie celu wykorzystania danych dla każdego rodzaju informacji”, “wyraźne wskazanie prawa do usunięcia danych i przenoszenia danych (data portability)” oraz “określenie okresu przechowywania danych”, rozszerzając tym samym zakres praw użytkowników w porównaniu do tradycyjnego japońskiego prawa.

W przypadku naruszenia RODO (GDPR) konieczne może być zapłacenie wysokich kar. Firmy, które przetwarzają dane osobowe w obrębie UE, muszą dostosować swoje działania do wymogów RODO (GDPR). Przedsiębiorstwa, które już działają lub planują wejście na rynek Unii Europejskiej, powinny przygotować politykę prywatności zgodną z RODO (GDPR).

Informacje o środkach zaradczych naszej kancelarii

Kancelaria Prawna Monolith posiada bogate doświadczenie w dziedzinie IT, a w szczególności w zakresie prawa internetowego. W ostatnich latach globalny biznes rozwija się w coraz szybszym tempie, co zwiększa potrzebę profesjonalnej kontroli prawnej. Nasza kancelaria oferuje rozwiązania związane z międzynarodowymi usługami prawnymi.

Obszary działalności Kancelarii Prawnej Monolith: Międzynarodowe usługi prawne i zagraniczne przedsięwzięcia biznesowe[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Wróć do góry