Jednym z obowiązków, które powinien zrealizować każdy administrator, jest poinformowanie osób fizycznych o zasadach przetwarzania dotyczących ich danych. Możemy spotkać się z różnymi formami, jednak jedną z częstszych jest klauzula informacyjna. Jest to dokument, który przekazuje niezbędne z punktu widzenia RODO informacje. Co powinno znaleźć się w takiej klauzuli? Już wyjaśniam!
Prosty język i forma klauzuli informacyjnej
Zakres informacji, które powinny zostać przekazane osobie fizycznej, został określony przepisami art. 13 i 14 RODO. Jednak zanim przejdziemy do tego tematu wspomnę jeszcze, że informacje powinny być przekazane w sposób jasny dla odbiorcy. Stanowi to nie lada wyzwanie w obliczu wyjaśniania zasad przetwarzania związanych choćby ze zautomatyzowanym podejmowaniem decyzji lub transferem danych do państw trzecich. Przede wszystkim należy więc zwrócić uwagę na to, aby język był możliwie jak najbardziej zrozumiały i zwyczajnie… prosty.
Warto również spróbować dostosowania formy informacji – w niektórych przypadkach lepiej sprawdzi się informacja przekazywana stopniowo, tj. najpierw najistotniejsze informacje, a później szczegóły, w innych tabela, a w jeszcze innych treść stanowiąca pytania i odpowiedzi.
Informacje o przetwarzaniu danych osobowych
Co zatem powinno znaleźć się w klauzuli informacyjnej? Zakres informacji będzie różnił się między innymi od tego, czy administrator pozyska dane bezpośrednio od osoby, której dane dotyczą, czy też z innego źródła. Informacji może być mniej również wtedy, gdy dane nie są przetwarzane na podstawie zgody. W takiej sytuacji nie ma potrzeby informowania o warunkach wyrażenia i cofnięcia zgody na przetwarzanie danych osobowych.
Kto jest administratorem Twoich danych?
Zaczynamy od przedstawienia się. W tym miejscu informujemy o tym, kto przetwarza dane. Ważna informacja – musi to być rzeczywisty podmiot, który operuje danymi. Jeżeli więc np. działasz w ramach innej marki niż Twoja firma, to w klauzuli informacyjnej powinny znaleźć się informacje o Twojej firmie. Przykładem może być Facebook, w którego przypadku administratorem jest Meta Platforms Ireland Limited. Wskazujemy również nasze dane kontaktowe.
W jakim celu administrator przetwarza Twoje dane?
Po przedstawieniu się przyszedł czas na wyjawienie naszych planów, do których realizacji potrzebujemy dane osobowe. Zakres celów zależy od tego, jaką prowadzimy działalność. Najistotniejsze, aby przekazać w tym miejscu jak najpełniej nasze zamiary co do przetwarzania. Przykładowo, jeżeli planujemy działania marketingowe względem klienta, to jest to odpowiedni moment, aby się o tym dowiedział – o ile nie został już poinformowany wcześniej, np. przy wyrażaniu zgody na przesyłanie informacji handlowej.
Na jakiej podstawie administrator przetwarza Twoje dane?
Aby przetwarzać dane osobowe, trzeba mieć ku temu podstawę. Zestaw przesłanek umożliwiających przetwarzanie danych osobowych został wskazany w przepisach art. 6 i 9 RODO. Podstawą przetwarzania danych zwykłych będzie więc przede wszystkim wskazane kolejno w art. 6 RODO:
- zgoda osoby której dane dotyczą,
- niezbędność przetwarzania do wykonania umowy lub podjęcia działań koniecznych do jej zawarcia,
- obowiązek prawny ciążący na administratorze,
- niezbędność do ochrony żywotnych interesów osoby fizycznej,
- niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- prawnie uzasadniony interes administratora – w tym przypadku konieczne jest wskazanie, co jest tym interesem.
Komu administrator przekazuje Twoje dane?
Możliwe, że w swojej działalności korzystasz z usług innych podmiotów, którym przekazujesz dane osobowe. W klauzuli informacyjnej jest dla nich specjalne miejsce. Chodzi o to, aby osoba, której dane przetwarzasz była świadoma, kto jeszcze będzie nimi dysponował. Dla przykładu może to być biuro rachunkowe, któremu powierzyliśmy przetwarzanie danych osobowych w związku z obsługą księgową.
Jak długo administrator będzie przetwarzał Twoje dane?
Wszystko ma swój koniec, z przetwarzaniem danych osobowych nie jest inaczej… musimy więc poinformować osobę, której danymi dysponujemy, jak długo będziemy te dane przechowywać. Jako zasadę można przyjąć, że będziemy przechowywać dane przez czas niezbędny do realizacji wskazanych przez nas wcześniej celów. Jeżeli to tylko możliwe, wskazujemy konkretny okres, a gdy nie ma takiej możliwości, informujemy w jaki sposób można go obliczyć. Okres przechowywania danych może też zależeć od przepisów prawa, jak jest w przypadku podmiotów leczniczych, czy jednostek sektora administracji publicznej.
Jakie przysługują Ci prawa?
RODO przyznaje wiele praw, a możliwość ich zastosowania zależy w dużej mierze od podstaw przetwarzania. Dlatego informujemy o tych prawach, które rzeczywiście mają zastosowanie w danej sytuacji. Przykładowo, automatyczne zaznaczenie, że zgoda może zostać cofnięta w dowolnym momencie w sytuacji, gdy w ogóle nie opieramy się na zgodzie, jest nie tylko pozbawione sensu, ale wręcz wprowadza w błąd.
Wyliczając prawa należy wspomnieć przede wszystkim prawo:
- dostępu do danych,
- do sprostowania danych,
- ograniczenia przetwarzania,
- usunięcia danych,
- wyrażenia sprzeciwu,
- przenoszenia danych,
- złożenia skargi do Prezesa UODO,
- cofnięcia zgody na przetwarzanie danych.
O prawach przysługujących osobom fizycznym napiszę jeszcze w przyszłości. Tymczasem odpowiedzmy sobie na pytanie:
Czy musisz podać swoje dane osobowe?
W klauzuli informacyjnej wyjaśniamy, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy. Informujemy też, czy podmiot danych jest zobowiązany do ich podania, a także jakie mogą być konsekwencje, gdy tego nie zrobi. Do tych drugich można zaliczyć przede wszystkim uniemożliwienie zrealizowania celu.
Skąd administrator posiada Twoje dane i w jakim zakresie?
Jeżeli pozyskujemy dane inaczej niż bezpośrednio od osoby, której te dane dotyczą, powinniśmy określić jakie konkretnie dane przetwarzamy, a także jakie jest ich źródło, tj. w jaki sposób je uzyskaliśmy.
Czy administrator zamierza przekazać Twoje dane poza EOG?
To istotna informacja, jeżeli w związku z przetwarzaniem zamierzamy przekazać dane osobowe do państw trzecich. Koniecznie zapamiętaj, że z takim przekazaniem mamy do czynienia, gdy dane są transferowane poza Europejski Obszar Gospodarczy. O to z kolei nietrudno, bo wystarczy, że dane będą przetwarzane na serwerach położonych poza tym obszarem. Zajrzyj tutaj, aby dowiedzieć się, czym są SCC, na podstawie których taki transfer jest możliwy.
Jak możesz skontaktować się z inspektorem ochrony danych?
Nie wszyscy administratorzy są zobowiązani do wyznaczenia inspektora ochrony danych. Jeżeli jednak to nastąpiło, powinniśmy umożliwić osobie fizycznej skontaktowanie się z nim. Wystarczy wskazać adres e-mail lub numer telefonu, ale oczywiście możemy podać więcej możliwości kontaktu.
Na zakończenie
Prawidłowa realizacja obowiązku informacyjnego to jedno z podstawowych zadań każdego administratora. Niezależnie od tego, czym się zajmujesz, powinieneś w sposób przejrzysty informować o zasadach przetwarzania tych, których dane wykorzystujesz.
Jeżeli natomiast potrzebujesz wsparcia we właściwym sformułowaniem treści informacji, zawsze możesz zapytać – chętnie pomogę. 😉
Pingback: Jak zrealizować obowiązek informacyjny? - Zdrowe Dane