Każdy podmiot, który przetwarza w jakikolwiek sposób dane osobowe i pełni rolę administratora tych danych, musi przestrzegać zasad RODO. Jednym z ważniejszych, jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie. Realizacja omawianego obowiązku polega na przedstawieniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Te informacje muszą być przedstawione: zwięźle, przejrzyście, zrozumiale przede wszystkim wyrażone prostym i jasnym językiem. W praktyce oznacza to, że znaczenie ma nie tylko treść klauzuli, ale także jej forma.
Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą.
Są to takie sytuacje jak:
- osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
- administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).
Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą.
Takie sytuacje jak:
- pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
- pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
- pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).
Co musi zawierać klauzula informacyjna ?
Jeśli pozyskujemy dane od osoby, której te dane dotyczą (art. 13 RODO), klauzula musi zawierać :
- tożsamość administratora danych i dane kontaktowe (czyli nazwę, adres, mail, telefon);
- dane kontaktowe Inspektora Ochrony Danych (jeśli jest powołany – imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu https://uodo.gov.pl/pl/223/1783 );
- cele przetwarzania danych osobowych i podstawę prawną tego przetwarzania (czyli wskazanie przepisów prawa, które zezwalają nam na przetwarzanie danych);
- jeśli dane są przetwarzane na podstawie prawnie uzasadnionych interesów administratora lub osoby trzeciej, należy wymienić te interesy;
- informacje o odbiorcach danych osobowych – czyli firmy, którym powierzamy lub udostępniamy dane osobowe (np biura rachunkowe, firmy ubezpieczeniowe itp.);
- informację, czy będziemy przekazywali te dane do państwa trzeciego lub organizacji międzynarodowej (należy podać stopień ochrony danych – określa je Komisja Europejska dla państw spoza Unii Europejskiej;
- okres, przez który będziemy przechowywali te dane albo sposób obliczenia tego okresu;
- informację o prawach osób, których dane dotyczą (prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych);
- jeśli przetwarzamy dane na podstawie zgody osoby, konieczne jest poinformowanie o prawie do cofnięcia tej zgody w każdej chwili oraz o tym, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informację o prawie wniesienia skargi na nasze działanie związane z przetwarzanie danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;
- informację, czy dokonujemy profilowania danych.
Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dane dotyczą, dodatkowo należy podać (art. 14 RODO):
- nazwy podmiotów, od których pozyskaliśmy dane lub poinformować, że pochodzą one ze źródeł publicznie dostępnych;
- kategorie danych, które przetwarzamy, np. dane korespondencyjne, dane telefoniczne, dane wrażliwe itp.
Jak zrealizować obwiązek informacyjny?
Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych lub przed pozyskaniem. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych.
Przykłady:
- umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
- spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
- przekazanie podstawowych informacji – warunek dwuetapowy (warstwowy) – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link.
Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:
- dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
- dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.
Podsumowanie
Osoba, której dane przetwarzamy, ma prawo uzyskać wiedzę o podmiotach uczestniczących w przetwarzaniu jej danych, o procedurach związanych z tymi danymi, zabezpieczeniach oraz swoich prawach, które przysługują jej z tego tytułu. Warunkiem tego jest posiadanie wiedzy o tym, do jakich celów dane będą wykorzystywane. Na administratorze danych ciąży obowiązek przekazania informacji w taki sposób, by jej zrozumienie nie stanowiło problemu. Należy uwzględnić odbiorców, do których ją kierujemy informację. Dotyczy to nie tylko języka, którym będzie napisana (nie może być to język branżowy, techniczny, prawniczy), lecz także jej szaty graficznej. Pamiętaj, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO). Jeśli potrzebujesz pomocy w zakresie obowiązku informacyjnego (przykład poniżej) czy innych wymogów ochrony danych osobowych skontaktuj się z nami kontakt@rodo-online.eu więcej na https://rodo-online.eu/.
Wzór klauzuli informacyjnej do pobrania
Poniżej znajdą Państwo szablon (wzór) klauzuli informacyjnej dla formularza kontaktowego, wzór gotowy do edycji w excelu.