W ostatnim czasie dało się słyszeć o pierwszych karach za nie przestrzeganie obowiązku informacyjnego przez firmy przetwarzające dane. W Polsce, za niedopełnienie tego obowiązku, Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła w zeszłym roku karę w wysokości ponad 943 tys. zł.

To wyraźnie pokazuje jak ważna jest odpowiednia ochrona danych osobowych i jak drogo może kosztować zignorowanie niektórych obowiązków narzuconych przez RODO. W dzisiejszym wpisie wspomnimy o jednym z podstawowych – o obowiązku informacyjnym. A co za tym idzie, poruszymy temat klauzuli informacyjnej, podpowiemy kilka praktycznych wskazówek na co trzeba zwrócić uwagę i o czym pamiętać. Zapraszamy!

 

 

Obowiązek informacyjny – czym jest i kiedy obowiązuje?

 

 

Każdy podmiot, który przetwarza w jakikolwiek sposób dane osobowe i pełni rolę administratora tych danych, musi przestrzegać zasad jakie wniosło RODO. Jednym z ważniejszych, jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. Dzięki temu osoba, której dane dotyczą, może uzyskać najważniejsze informacje, niezbędne do udzielenia zgodny na ich przetwarzanie.

Innymi słowy, obowiązek informacyjny to czynne działania administratora w celu udzielenia wszelkich informacji lub czynne skierowanie danej osoby do miejsca, w którym znajdują się niezbędne informacje dotyczące przetwarzania jej danych. Co ważne, osoba której dane dotyczą nie powinna być zmuszona do poszukiwania tej wiedzy na własną rękę i przegrzebywania się przez obszerne regulaminy. A kiedy występuje obowiązek informacyjny?

 

Zawsze gdy dochodzi do przetwarzania danych jakiejś osoby, mamy obowiązek właściwego poinformowania jej o tym fakcie. Powinniśmy to zrobić jeszcze przed rozpoczęciem przetwarzania. Najlepiej gdy staramy się uzyskać zgodę na przetwarzanie. Oczywiście jeśli taką zgodę otrzymamy, dopełniając wszystkich obowiązków informacyjnych, nie będzie konieczności powtarzania tej czynności za każdym razem, gdy przetwarzanie będzie odbywało się w tym samym zakresie i na mocy tego samego prawa oraz pozwolenia. Jeśli warunki i cechy przetwarzania danych zmienią się z jakiegoś powodu, wówczas administrator będzie zmuszony poinformować osobę, której dane dotyczą o każdej zmianie. Osoba ta musi otrzymać pełną wiedzę na temat samego administratora, celu przetwarzania danych, odbiorców danych czy przysługujących jej praw. Stanowi to warunek konieczny do wyrażenia świadomej zgody na przetwarzanie danych. Dużą pomocą w tym przypadku są klauzule informacyjne. Czym się charakteryzują?

 

 

Czym jest klauzula informacyjna RODO i jakie posiada cechy?

 

 

Informacja dotycząca przetwarzania danych powinna zostać przekazana na piśmie lub w formie elektronicznej, np. poprzez umieszczenie linku na stronie internetowej. Może być też przekazana mailowo. Ogólnie mówiąc klauzula to dokument, który zawiera wszystkie niezbędne informacje na temat procesu przetwarzania.

 

Zgodnie z RODO, klauzula informacyjna musi być:

• zwięzła,
• przejrzysta,
• zrozumiała,
• wyrażona prostym i jasnym językiem

 

W praktyce oznacza to, że znaczenie ma nie tylko treść klauzuli, ale także jej forma. Musi być przygotowana tak, aby bez problemu zainteresowana osoba mogła ją zrozumieć. Mimo, że nie ma jednego, narzuconego prawidłowego wzoru, to wiadomo jest dokładnie co musi zawierać, aby była zgodna z RODO.

 

Co musi zawierać klauzula informacyjna?

 

RODO nie narzuca jednego, powszechnie obowiązującego szablonu klauzuli informacyjnej ale dość dobrze precyzuje (art 13 RODO) co powinna zawierać, aby była skuteczna. W zależności od tego, czy mówimy o danych pozyskiwanych bezpośrednio od danej osoby, albo z innych źródeł.

 

Jeśli pozyskujemy dane od osoby, której te dane dotyczą, klauzula musi zawierać :

  • tożsamość administratora danych i dane kontaktowe (czyli nazwę, adres, mail, telefon),
  • dane kontaktowe Inspektora Ochrony Danych (jeśli jest obowiązkowy)
  • cele przetwarzania danych osobowych i podstawę prawną tego przetwarzania (czyli wskazanie przepisów prawa, które zezwalają nam na przetwarzanie danych),
  • jeśli dane są przetwarzane na podstawie prawnie uzasadnionych interesów administratora lub osoby trzeciej, należy wymienić te interesy
  • informacje o odbiorcach danych osobowych – czyli firmy, którym powierzamy lub udostępniamy dane osobowe (np biura rachunkowe, firmy ubezpieczeniowe itp.)
  • informację, czy będziemy przekazywali te dane do państwa trzeciego lub organizacji międzynarodowej (należy podać stopień ochrony danych – określa je Komisja Europejska dla państw spoza Unii Europejskiej
  • okres, przez który będziemy przechowywali te dane albo sposób obliczenia tego okresu
  • informację o prawach osób, których dane dotyczą (prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych),
  • jeśli przetwarzamy dane na podstawie zgody osoby, konieczne jest poinformowanie o prawie do cofnięcia tej zgody w każdej chwili oraz o tym, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  • informację o prawie wniesienia skargi na nasze działanie związane z przetwarzanie danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych,
  • informację, czy dokonujemy profilowania danych

 

Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dane dotyczą, dodatkowo należy podać (art. 14 RODO):

  • nazwy podmiotów, od których pozyskaliśmy dane lub poinformować, że pochodzą one ze źródeł publicznie dostępnych
  • kategorie danych, które przetwarzamy, np. dane korespondencyjne, dane telefoniczne, dane wrażliwe itp.

 

usługi i wdrożenia rodo

 

Kiedy nie musimy stosować klauzuli informacyjnej?

 

 

RODO w art. 14 ust. 5 przewiduje kilka wyjątków od ogólnej zasady konieczności informowania osób, których dane przetwarzamy. Zebraliśmy je poniżej.

 

Nie musimy stosować klauzuli i obowiązku informacyjnego jeśli:

  • osoba, której dane przetwarzamy, już dysponuje tymi informacjami (to o czym wspomnieliśmy wyżej – obowiązek informacyjny nie musi być powtarzany),
  • gdy zostały zanonimizowane (co to znaczy? zerknij tutaj)
  • udzielenie takich informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku
  • pozyskiwanie lub ujawnianie danych jest ściśle określone w prawie krajowym albo prawie Unii Europejskiej
  • dane osobowe muszą pozostać poufne, np. w związku z obowiązkiem zachowania tajemnicy zawodowej,

 

 

Jakie klauzule powinna zawierać strona firmowa?

 

 

Poruszamy ten wątek, bo strona internetowa jest najlepszym i często koniecznym miejscem, w którym powinny znaleźć się nasze klauzule informacyjne. Nawet nie powinny – muszą! Nie ma chyba takiej strony firmowej, na których nie byłoby formularza kontaktowego. To powszechne i nie ma w tym nic dziwnego. Warto jednak zauważyć, że użytkownik chcąc z niego skorzystać najczęściej musi podać swoje dane, które potem są przetwarzane na potrzeby odpowiedzi przesłanego zapytania. To sprawia, że pojawia się obowiązek informacyjny, który dana firma (administrator) musi wypełnić. Musi też te dane odpowiednio zabezpieczy. Sam fakt zamieszczenia na stronie zakładki z polityką prywatności nie będzie wystarczający. Okno formularza powinno zostać dodatkowo zaopatrzone w klauzulę informacyjną lub zawierać skróconą informację o przetwarzaniu danych z podpiętym linkiem przekierowującym do Polityki prywatności.

 

Klauzula informacyjna związana z przetwarzaniem danych poprzez formularz kontaktowy powinna:

  • znajdować przy formularzu kontaktowym,
  • być dobrze widoczna i czytelna
  • zawierać wszystkie wymagane informacje (więcej o budowie klauzuli informacyjnej dowiesz się tutaj),
  • być jasna i zrozumiała dla wszystkich

 

W przypadkach, w których podstawą przetwarzania jest zgoda właściciela danych osobowych, administrator zobowiązany jest do jej pozyskania i co ważne – do jej udokumentowania. Często wybieranym rozwiązaniem, zwłaszcza na stronach internetowych, jest umieszczenie checkboxa, którego wybór oznacza np. zgodę na wysyłkę newslettera. Warto tylko pamiętać, że okna wyboru nie mogą być zaznaczone domyślnie, nie mogą zawierać kilku zgód, były widoczne i zrozumiałe.

 

Najważniejsze klauzule informacyjne RODO:

  • klauzula o przetwarzaniu danych osobowych do umieszczenia przy formularzu kontaktowym;
  • klauzula plików cookies;
  • klauzula informacyjna RODO do stopki email
  • klauzula przy newsletterze
  • klauzula RODO dla odbiorców informacji promocyjnych i marketingowych;
  • klauzula RODO do faktury;
  • klauzula informacyjna dla Klientów przy realizacji usługi;
  • klauzula informacyjna przy pierwszym kontakcie telefonicznym;
  • klauzula na infolinii

 

Przykład ogólnej klauzuli informacyjnej RODO znajdziecie tutaj. A tutaj możecie pobrać darmowy wzór klauzuli dla pracownika.

 

Klauzule informacyjne RODO na stronie internetowej można przedstawiać skrótowo, umieszczając odnośnik do pełnej wersji, w której wszystkie informacje zostały szczegółowo opisane i jasno przedstawione. Krótki, jasny komunikat i linki do pełnej wersji polityki prywatności strony, czy polityki korzystania z plików cookies to popularne i dobre rozwiązanie. Choćby dlatego, że pełna wersja komunikatu (umieszczona na przykład przy formularzu kontaktowym) mogłaby znacząco pogorszyć jego czytelność.

RODO wprowadza pełną jawność w przetwarzaniu danych osobowych. Nie narzuca sztywnych reguł, ale niektóre zasady są obligatoryjne. Szczegółowo określa prawa, obowiązki i przywileje związane z całym procesem przetwarzania danych osobowych, z korzyścią dla obu stron. Mimo, że może łączyć się to z dodatkowymi obowiązkami informacyjnymi lub innymi. Dzięki temu firma wie jak właściwie chronić dane osobowe, jest do tego dodatkowo motywowana, a użytkownicy są bezpieczniejsi. A jak Wy oceniacie przepisy prawie dwa lata po wejściu w życie RODO?

 

Ochrona danych Klauzula informacyjna RODO