Klauzula informacyjna

Aktualna zgoda na przetwarzanie danych osobowych - zgody na przetwarzanie danych osobowych

Jednym z podstawowych obowiązków administratora danych osobowych oraz podmiotu przetwarzającego dane osobowe jest przejrzyste informowanie o przetwarzaniu danych osobowych.

Przede wszystkim obowiązek informacyjny musi być spełniony:

  • w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie,
  • napisany jasnym i prostym językiem

Jak przedsiębiorca klauzulę informacyjną o przetwarzaniu danych osobowych możemy umieścić np. na stronie internetowej firmy, pozostawić w widocznym miejscu w siedzibie firmy (np. w sekretariacie), załączać do umowy cywilnoprawnych.

Zgodnie z art. 13 i 14 Rozporządzenia ogólnego o ochronie danych osobowych obowiązek informacyjny należy spełnić:

  • jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych;
  • jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą.

Przetwarzanie danych osobowych – klauzula


Przetwarzanie danych osobowych przez administratora danych oraz podmiot przetwarzający zgodnie z art. 12, 13 i 14 Rozporządzania RODO zobowiązuje ich do spełnienia obowiązku informacyjnego. W praktyce możemy spotkać się z różnymi klauzulami ochrony danych. Natomiast w pierwszej kolejności przedstawimy najważniejsze elementy klauzuli informacyjnej zgodnie z art. 13 i 14 Rozporządzania RODO.

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych spełniając obowiązek informacyjny, w klauzuli ochrony danych musi uwzględnić następujące informacje:

  • przedstawia swoją tożsamość i dane kontaktowe, tak aby można było go zidentyfikować np. w CEIDG czy KRS;
  • gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych np. mail do Inspektora;
  • cele w jakich przetwarza dane osobowe;
  • na jakiej podstawie prawnej przetwarza dane osobowe;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią – należy je wskazać np. w celu nawiązania współpracy oraz promowania usług administratora
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Dodatkowo informacje, które powinniśmy uwzględnić przygotowując klauzulę informacyjną o przetwarzaniu danych osobowych:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, to zgodnie z art. 14 Rozporządzanie RODO poza informacjami wskazanymi powyżej należy także przekazać informację o

  • źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

Aktualna klauzula o ochronie danych osobowych


Klauzula o ochronie danych osobowych przekazywana osobie, której dane dotyczą bez względu na sposób i formę pozyskania tych danych powinna być aktualna.

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych przekazuje jej aktualną klauzulę o ochronie danych osobowych. Jeżeli dana osoba otrzymał już klauzule ochrony danych osobowych, a nie zaszły zmiany, to zgodnie z art. 13 ust. 4 Rozporządzenia RODO nie musimy ponownie jej przekazywać.

Kiedy należy spełnić obowiązek informacyjny zgodnie z art. 14 Rozporządzenia RODO?


  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Wyjątki (art. 14 ust. 5 Rozporządzenia RODO):


  • osoba, której dane dotyczą, dysponuje już tymi informacjami;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Podsumowanie:


  • Obowiązek informacyjny możemy realizować warstwowo np. przygotowujemy uproszczoną klauzulę informacyjną, którą przekazujemy osobie, której dane dotyczą a pozostałe informacje umieszczamy w Polityce prywatności na stronie firmy.
  • W stopce maile umieszczamy link do polityki prywatności, klauzuli informacyjnej.
  • Dbamy, aby nasza komunikacja była zrozumiała dla osoby, która ją otrzyma.
  • Jeżeli naszymi klientami są zagraniczne firmy i komunikujemy się z nimi np. w języku angielski, to nasz obowiązek informacyjny także powinien być w ty języku.
Anna Ozga

Audytor Wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001, Pełnomocnik ds. ISO. Odpowiada m.in. za kompleksowe wdrażanie RODO, wspieranie przedsiębiorców w zakresie zabezpieczania danych w firmie, prowadzenie audytów wewnętrznych.

Najnowsze posty
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty