Jednym z podstawowych obowiązków administratora danych osobowych oraz podmiotu przetwarzającego dane osobowe jest przejrzyste informowanie o przetwarzaniu danych osobowych.
Przede wszystkim obowiązek informacyjny musi być spełniony:
- w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie,
- napisany jasnym i prostym językiem
Jak przedsiębiorca klauzulę informacyjną o przetwarzaniu danych osobowych możemy umieścić np. na stronie internetowej firmy, pozostawić w widocznym miejscu w siedzibie firmy (np. w sekretariacie), załączać do umowy cywilnoprawnych.
Zgodnie z art. 13 i 14 Rozporządzenia ogólnego o ochronie danych osobowych obowiązek informacyjny należy spełnić:
- jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych;
- jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą.
Przetwarzanie danych osobowych – klauzula
Przetwarzanie danych osobowych przez administratora danych oraz podmiot przetwarzający zgodnie z art. 12, 13 i 14 Rozporządzania RODO zobowiązuje ich do spełnienia obowiązku informacyjnego. W praktyce możemy spotkać się z różnymi klauzulami ochrony danych. Natomiast w pierwszej kolejności przedstawimy najważniejsze elementy klauzuli informacyjnej zgodnie z art. 13 i 14 Rozporządzania RODO.
Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych spełniając obowiązek informacyjny, w klauzuli ochrony danych musi uwzględnić następujące informacje:
- przedstawia swoją tożsamość i dane kontaktowe, tak aby można było go zidentyfikować np. w CEIDG czy KRS;
- gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych np. mail do Inspektora;
- cele w jakich przetwarza dane osobowe;
- na jakiej podstawie prawnej przetwarza dane osobowe;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią – należy je wskazać np. w celu nawiązania współpracy oraz promowania usług administratora
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
Dodatkowo informacje, które powinniśmy uwzględnić przygotowując klauzulę informacyjną o przetwarzaniu danych osobowych:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, to zgodnie z art. 14 Rozporządzanie RODO poza informacjami wskazanymi powyżej należy także przekazać informację o
- źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
Aktualna klauzula o ochronie danych osobowych
Klauzula o ochronie danych osobowych przekazywana osobie, której dane dotyczą bez względu na sposób i formę pozyskania tych danych powinna być aktualna.
Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych przekazuje jej aktualną klauzulę o ochronie danych osobowych. Jeżeli dana osoba otrzymał już klauzule ochrony danych osobowych, a nie zaszły zmiany, to zgodnie z art. 13 ust. 4 Rozporządzenia RODO nie musimy ponownie jej przekazywać.
Kiedy należy spełnić obowiązek informacyjny zgodnie z art. 14 Rozporządzenia RODO?
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Wyjątki (art. 14 ust. 5 Rozporządzenia RODO):
- osoba, której dane dotyczą, dysponuje już tymi informacjami;
- udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Podsumowanie:
- Obowiązek informacyjny możemy realizować warstwowo np. przygotowujemy uproszczoną klauzulę informacyjną, którą przekazujemy osobie, której dane dotyczą a pozostałe informacje umieszczamy w Polityce prywatności na stronie firmy.
- W stopce maile umieszczamy link do polityki prywatności, klauzuli informacyjnej.
- Dbamy, aby nasza komunikacja była zrozumiała dla osoby, która ją otrzyma.
- Jeżeli naszymi klientami są zagraniczne firmy i komunikujemy się z nimi np. w języku angielski, to nasz obowiązek informacyjny także powinien być w ty języku.