Polityka dostępu do Niepublicznych Danych Osobowych Fundacji Wikimedia

Zobacz też: :m:Access to nonpublic personal data policy/Noticeboard

Te zasady i procedury opracowane są przez Wikimedia Foundation. Zastrzega się, że w razie wystąpienia jakichkolwiek rozbieżności w znaczeniu lub interpretacji pomiędzy oryginalną wersją niniejszego dokumentu w języku angielskim a jego tłumaczeniem, wiążąca pozostanie treść w języku angielskim.

Niniejsza polityka została opublikowana 6 listopada 2018 r. i weszła w życie 15 listopada 2018 r. Poprzednia wersja znajduje się tutaj.

Serwisy Wikimedia („Serwisy”) są dziełem globalnej społeczności wolontariuszy i redaktorów(-ek). Ta zaangażowana grupa osób nie tylko tworzy i redaguje treści w Serwisach, ale także pomaga zapewnić ich bezpieczeństwo oraz zgodność z obowiązującymi zasadami. Aby skutecznie zarządzać tym ogromnym zadaniem, niektórym członkom(-iniom) społeczności powierzono dostęp do ograniczonych ilości niepublicznych danych osobowych innych użytkowników („Niepubliczne Dane Osobowe”). Na przykład osoba posiadająca uprawnienia „checkuser” może wykorzystać je do zbadania, czy jeden użytkownik korzysta z wielu kont w sposób niezgodny z zasadami Wikimedia. Celem niniejszej polityki „Dostępu do Niepublicznych Danych Osobowych” („Polityka”) jest:

• wyjaśnić minimalne wymagania, jakie musi spełnić każdy członek(-ini) społeczności mający dostęp do Niepublicznych Danych Osobowych;
• określić prawa i obowiązki członków(-iń) społeczności mających dostęp do Niepublicznych Danych Osobowych;
• zapewnić, że członkowie(-inie) społeczności z dostępem do Niepublicznych Danych Osobowych rozumieją i zobowiązują się do zachowania ich poufności;
• przedstawić wytyczne dla członków(-iń) społeczności z dostępem do Niepublicznych Danych Osobowych dotyczące sytuacji, w których mogą uzyskać dostęp do tych danych, sposobu ich wykorzystywania oraz okoliczności i osób, którym mogą je ujawniać.

Niniejsza Polityka dotyczy każdej osoby będącej częścią społeczności, której Fundacja Wikimedia przyznała dostęp do Niepublicznych Danych Osobowych objętych Polityką Prywatności („Wyznaczona Osoba”), w tym:

• Członkowie(-inie) społeczności mający dostęp do narzędzi umożliwiających przeglądanie Niepublicznych Danych Osobowych innych użytkowników (takich jak narzędzie CheckUser) lub osób spoza społeczności (na przykład przez konta VRTS);
• Członkowie(-inie) społeczności mający możliwość dostępu do treści lub Niepublicznych Danych Osobowych usuniętych z widoku administratorów (takich jak narzędzie Suppression);
• Wolontaryjni(-ne) programiści(-stki) mający dostęp do Niepublicznych Danych Osobowych.

Wyłącznie w celach ilustracyjnych, przykładami Wyznaczonych Osób mogą być: administratorzy(-ki) VRTS, osoby z zespołu odpowiedzi na e-maile oraz Stewardzi(-dki). Niniejsza Polityka nie dotyczy użytkowników, których uprawnienia obejmują jedynie możliwość przeglądania standardowych usuniętych wersji. Polityka ta nie ma również zastosowania do pracowników i wykonawców Fundacji Wikimedia działających w ramach swoich obowiązków zawodowych, ponieważ podlegają oni innym umowom o zachowaniu poufności, które zapewniają taki sam lub wyższy poziom ochrony niż niniejsza Polityka.

Wyjątki. Fundacja Wikimedia może, według własnego uznania, udostępniać Niepubliczne Dane Osobowe grupom członków(-iń) społeczności, które nie są objęte niniejszą Polityką, oraz grupom Wyznaczonych Osób na warunkach odbiegających od tej Polityki („wyjątki”). Takie wyjątki muszą zostać przeanalizowane przez dział prawny Fundacji Wikimedia; zatwierdzone wyjątki są podane publicznie. W indywidualnych przypadkach mogą zostać przyznane „zwolnienia” dla użytkowników, którzy w przeciwnym razie nie mogliby uzyskać statusu osoby objętej NDA ze względu na wiek użytkownika lub znane miejsce zamieszkania w jurysdykcji blokującej dostęp do projektów Wikimedia. Takie indywidualne zwolnienia również muszą zostać przeanalizowane przez dział prawny, jednak zatwierdzone zwolnienia nie są publikowane publicznie z uwagi na prywatność członków(-iń) społeczności.

Poniższe warunki stanowią minimalne wymagania, które każda wyznaczona osoba musi spełnić, zanim uzyska dostęp do Niepublicznych Danych Osobowych („uprawnienia dostępu”). Warunki te należy również traktować jako wymagania dla kandydatów(-ek) w każdym procesie wyboru prowadzonym przez społeczność do roli wiążącej się z takimi uprawnieniami. Społeczność może wymagać od kandydatów(-ek) spełnienia dodatkowych, określonych przez siebie kryteriów – indywidualnie lub w zależności od roli.

(a) Minimalny wiek. Dostęp do informacji niepublicznych wymaga dojrzałości ze względu na znaczną odpowiedzialność, która wiąże się z obowiązkiem zachowania poufności. Z tego powodu każdy członek społeczności, który ubiega się o prawa dostępu, musi:

• mieć ukończone co najmniej osiemnaście (18) lat, z wyjątkiem członków zespołu odpowiadającego na e-maile, którzy muszą mieć ukończone co najmniej szesnaście (16) lat;
• musi poświadczyć Wikimedia Foundation, że spełnia minimalny wymagany wiek dla uprawnień, o które się ubiega.

(b) Ważny, powiązany adres e-mail. Aby zapewnić możliwość kontaktu z osobami pełniącymi te ważne role, każda osoba ubiegająca się o uprawnienia dostępu musi:

• podać Wikimedia Foundation aktualny adres e-mail;
• mieć konto powiązane z ważnym adresem e-mail;

ukończyć weryfikację przesłanego i/lub powiązanego adresu e-mail (np. odpowiadając na wiadomość e-mail z potwierdzeniem wysłanym na podany adres e-mail), jeśli zostanie o to poproszony(-a);

• poinformować Wikimedia Foundation o wszelkich zmianach adresu e-mail w ciągu tygodnia od takiej zmiany.

(c) Poufność. Aby mieć pewność, że osoby z uprawnieniami dostępu rozumieją i zobowiązują się do zachowania poufności Niepublicznych Danych Osobowych, będą one zobowiązane do przeczytania i poświadczenia zgody na krótką Umowę o zachowaniu poufności, która określa:

• jakie informacje Wyznaczone Osoby powinny traktować jako poufne;
• kiedy wolno im uzyskiwać dostęp do Niepublicznych Danych Osobowych;
• w jaki sposób Wyznaczone Osoby mogą wykorzystywać Niepubliczne Dane Osobowe dotyczące innych użytkowników;
• kiedy i komu mogą ujawniać Niepubliczne Dane Osobowe oraz jak w pozostałych przypadkach muszą powstrzymać się od ich ujawniania, z wyjątkiem sytuacji przewidzianych w obowiązujących zasadach;
• jak muszą chronić swoje konta przed nieautoryzowanym dostępem;
• kiedy muszą zgłaszać ujawnienie Niepublicznych Danych Osobowych osobom trzecim lub niewłaściwy dostęp, użycie czy ujawnienie takich danych.

(d) Prywatność. W trosce o prywatność Wyznaczonych Osób, wszelkie dane osobowe przekazywane przez nich Wikimedia Foundation w ramach procesu składania wniosków lub w inny sposób zgodnie z niniejszą Polityką podlegają polityce prywatności i wytycznym dotyczącym czasu przechowywania danych Wikimedia Foundation.

(e) Czas na spełnienie wymagań. Każdy członek społeczności, któremu przyznano prawa dostępu w momencie wejścia w życie niniejszych zasad, musi spełnić wymagania określone w sekcjach (a) - (c) niniejszych zasad w ciągu dziewięćdziesięciu (90) dni kalendarzowych od ich daty wejścia w życie. Wikimedia Foundation może, według własnego uznania, przedłużyć okres zgodności dla poszczególnych członków społeczności w zależności od potrzeb.

Każdy członek społeczności, który nie spełnił wymagań sekcji (a) - (c) niniejszej Polityki w powyższym terminie, powinien liczyć się z cofnięciem praw dostępu do czasu przesłania wymaganych informacji.

Wyznaczone Osoby świadczą cenne usługi na rzecz Serwisów i ich użytkowników – zwalczają wandalizmy, odpowiadają na zgłoszenia przez helpdesk, usuwają niewłaściwie ujawnione dane prywatne z widoku publicznego, potwierdzają licencje, badają przypadki używania pacynek, rozwijają i debugują oprogramowanie oraz wiele więcej. Jednak korzystanie z uprawnień dostępu przez Wyznaczone Osoby jest ograniczone do określonych okoliczności i kontekstów. Niniejsza sekcja wyjaśnia, w jakich sytuacjach można korzystać z tych uprawnień oraz ujawniać Niepubliczne Dane Osobowe osobom trzecim.

(a) Korzystanie z uprawnień dostępu i Niepublicznych Danych Osobowych. Wszystkie wyznaczone osoby mogą korzystać ze swoich uprawnień dostępu oraz z uzyskanych dzięki nim informacji wyłącznie zgodnie z zasadami regulującymi działanie narzędzi, z których korzystają. Na przykład członkowie(-inie) społeczności posiadający dostęp do narzędzia CheckUser muszą przestrzegać globalnej Polityki CheckUser, a jeśli nie wykonują sprawdzenia między projektami, muszą także stosować się do bardziej restrykcyjnych lokalnych zasad obowiązujących w danym Serwisie. Podobnie osoby mające dostęp do narzędzia Suppression mogą korzystać z niego wyłącznie zgodnie z Polityką Suppression. Jeśli wyznaczonej osobie cofnięty zostanie dostęp do danego narzędzia – z jakiegokolwiek powodu – musi ona zniszczyć wszystkie Niepubliczne Dane Osobowe, które uzyskała za jego pomocą.

(b) Ujawnianie informacji niepublicznych. W ramach działań na rzecz bezpieczeństwa Serwisów i ich użytkowników, wyznaczone osoby muszą czasem ujawnić Niepubliczne Dane Osobowe osobom trzecim. Ujawnianie takich danych jest ograniczone do następujących sytuacji:

(i) innych Wyznaczonych Osób posiadających te same uprawnienia dostępu lub mających prawo dostępu do tych samych Niepublicznych Danych Osobowych, w celu realizacji zadań określonych w odpowiedniej polityce dotyczącej używanego narzędzia dostępowego;

(ii) dostawców usług, operatorów internetowych lub innych zewnętrznych podmiotów w celu wsparcia przy nakładaniu blokad adresów IP lub formułowaniu skargi do odpowiednich dostawców usług internetowych;

(iii) organów ścigania – w przypadkach bezpośredniego i wiarygodnego zagrożenia poważnym uszkodzeniem ciała;

(iv) upoważnionych podmiotów – za wyraźną zgodą użytkownika, którego dane niepubliczne mają zostać ujawnione;

(v) opinii publicznej – gdy jest to konieczny i uboczny skutek zablokowania przez wyznaczoną osobę konta typu pacynka lub innego konta nadużywającego zasad;

(vi) gdy zostanie to zatwierdzone przez dział prawny Fundacji Wikimedia w ramach wyjątku od niniejszej Polityki.

Wyznaczone Osoby mogą co prawda ujawniać Niepubliczne Dane Osobowe osobom trzecim w opisanych powyżej okolicznościach, ale Fundacja nie zobowiązuje ich w żaden sposób do tego. Należy jednak pamiętać, że jeśli Wyznaczona Osoba zdecyduje się na ujawnienie danych w sytuacji opisanej w punktach (ii) lub (iv), albo jeśli prawo nakłada obowiązek ujawnienia danych organom ścigania, organom administracyjnym lub innym instytucjom państwowym, to musi uprzednio uzyskać pisemną zgodę od Fundacji Wikimedia. Wyjaśnienie dotyczące planowanego ujawnienia należy wysłać na adres check-disclosurewikimedia.org co najmniej dziesięć (10) dni roboczych przed przewidywanym ujawnieniem.

W przypadku otrzymania przez Wyznaczoną Osobę żądania udostępnienia Danych Osobowych od organów ścigania w związku z bezpośrednim i wiarygodnym zagrożeniem uszkodzenia ciała, jak opisano powyżej w punkcie (iii), i podjęcia decyzji o ich ujawnieniu, może ona to zrobić bez wcześniejszego zatwierdzenia. W takim przypadku wyznaczona osoba powinna niezwłocznie skontaktować się z check-disclosurewikimedia.org i przedstawić wyjaśnienie dotyczące ujawnienia. Jeśli wyznaczona osoba zdecyduje się nie ujawniać Danych Osobowych w odpowiedzi na pilne żądanie organów ścigania, powinna natychmiast przesłać szczegóły tego żądania na adres emergencywikimedia.org, aby Fundacja mogła rozważyć możliwość ujawnienia tych danych.

Wszelkie inne formalne i nieformalne żądania dotyczące Niepublicznych Danych Osobowych użytkowników (tj. te, które nie są objęte żadną z opisanych powyżej sytuacji lub nie są rozpatrywane przez członka(-inię) społeczności posiadającego(-ą) uprawnienia dostępu), w tym wezwania sądowe od organów ścigania, agencji rządowych, prawników lub innych osób trzecich, należy kierować do działu prawnego Fundacji Wikimedia pod adresem legalwikimedia.org.

Skargi dotyczące naruszeń niniejszej Polityki można zgłaszać do Komisji Rzeczników (Ombuds Commission). Naruszenia mogą skutkować ostrzeżeniami dotyczącymi niezgodnego zachowania lub odebraniem rozszerzonych uprawnień. Zgodnie z Polityką Działań Biura Fundacja może podjąć takie działania z rekomendacją Komisji Rzeczników lub bez niej, jednak — o ile nie wystąpią wyjątkowe okoliczności — Fundacja zazwyczaj powierza egzekwowanie zasad odpowiednim mechanizmom zarządzania społeczności, zamiast podejmować bezpośrednie działania.

Skargi dotyczące nieodpowiednich działań podjętych w ramach wyjątku od niniejszej Polityki powinny być oceniane w ramach odpowiednich mechanizmów zarządzania społeczności. Skargi mogą również zostać przekazane Fundacji do rozpatrzenia zgodnie z Polityką Działań Biura. Jeśli skarga dotyczy odpowiedniego fragmentu Polityki Prywatności, to może zostać również rozpatrzona przez Komisję Rzeczników.

Skargi dotyczące naruszenia przez Wyznaczone Osoby obowiązków lub oczekiwań związanych z poufnością, które nie wynikają z niniejszej Polityki i jej wyjątków, powinny być oceniane przez odpowiednie mechanizmy zarządzania społeczności. Choć Fundacja może nie być stroną takich umów lub zobowiązań dotyczących poufności, to poważne naruszenia zaufania społeczności mogą skutkować utratą zaufania Fundacji na mocy Polityki Działań Biura.

Powrót na górę