W jaki sposób przygotować prawidłową klauzulę informacyjną z art. 13 RODO i spełnić obowiązek informacyjny?
Posiadając na bloga, newsletter, mając sklep online przetwarzasz (najprościej rzecz ujmując – najpierw zbierasz, a potem coś z nimi robisz) dane osobowe osób, które zaglądają na Twoją stronę internetową, są subskrybentami Twojego newsletter’u, zakładają konto w Twoim sklepie czy w końcu coś od Ciebie kupują.
Stajesz się Administratorem tych danych osobowych. Czy nie brzmi to dumnie? Jako administrator danych osobowych decydujesz o tym, w jakim celu i w jaki sposób będziesz przetwarzał dane tych osób.
Podczas pozyskiwania danych osobowych jesteś zobowiązany do podania osobie, której dane dotyczą podstawowe informacje wynikające z art. 13 RODO. Jest to tzw. obowiązek informacyjny. Realizując ów obowiązek działasz zgodnie z 1 z 5 podstawowych zasad przetwarzania danych osobowych – zasadą przejrzystości i rzetelności (art. 5 ust. 1 lit. a RODO).
W praktyce przyjęło się używać sformułowania „Klauzula informacyjna”. Klauzula informacyjna jest to nic innego jak informacja przekazywana do osoby, której dane osobowe dotyczą, o tym, że:
- obiło Ci się o uszy, że wiesz co to jest RODO, ba działasz zgodnie z jego przepisami i spełniasz obowiązek informacyjny wynikający z art. 13 RODO,
- informujesz osobę, której dane osobowe przetwarzasz o zasadach przetwarzania jego danych osobowych, a także o jego prawach wynikających z RODO.
Jaki jest cel realizacji obowiązku informacyjnego
Głównym celem realizacji obowiązku informacyjnego, oprócz Twojego prawnego obowiązku, jest uświadomienie osoby, której dane dotyczą, że przetwarzasz jego dane osobowe. Treść i wybór środka przekazania obowiązku informacyjnego powinna być dostosowana w taki sposób, aby przekazywana informacja była prosta i łatwa w odbiorze, a także zrozumiała dla osoby, której dane osobowe dotyczą. Informacje, które musisz przekazać osobie, której dane dotyczą, jeżeli to ona przekazała Ci swoje dane osobowe zostały omówione w kolejnych rozdziałach.
1. Tożsamość administratora i dane kontaktowe
Po pierwsze, musisz się przedstawić. W normalnej rozmowie powiedziałabyś/powiedziałbyś – Cześć jestem Romek albo Karolina 😉 W przypadku RODO wymagana jest ciut większa skrupulatność. Należy tak się przedstawić, aby można było Cię jakoś zidentyfikować. Romków na świecie jest zapewne kilku.
Przykład:
Administratorem Twoich danych osobowych jest Roman Kowalski prowadzący działalność gospodarczą pod firmą Tulipany, ul. Różana 5 w Gdyni (81-359), NIP: 4563241122.
Jeżeli nie chcesz podawać adresu prowadzenia działalności – Ok! NIP jest jednak niezbędny, bo dzięki niemu będzie wiadomo, że chodzi o Ciebie, a nie o Romka z Krakowa.
2. Dane osobowe przedstawiciela administratora danych, gdy ma to zastosowanie
W niektórych sytuacjach administrator musi wyznaczyć swojego przedstawiciela. Pisałam o tym tutaj.
Przykład:
Przedstawicielem Administratora jest Janina Nowak, ul. Makowa 7, NIP: 3263243122, e-mail: kontak@nowak.com tel.: 735311223.
Podobnie jak w przypadku danych Administratora, możesz podać ich minimum informacji, najważniejsze, aby było wiadomo, o którą dokładnie Janinę chodzi i w jaki sposób się z nią skontaktować.
3. Dane kontaktowe Inspektora Ochrony Danych, o ile go wyznaczyłeś
Zdarza się, że możesz być zobowiązany do wyznaczenia Inspektora Ochrony Danych. Do wyznaczenia IOD zobowiązane są podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę.
Zawsze możesz zdecydować, że wyznaczysz IOD w swojej organizacji mimo że nie jest to dla Ciebie obowiązkowe. Jeżeli w Twojej organizacji został powołany IOD, to musisz podać jego dane kontaktowe w klauzuli informacyjnej.
Przykład:
Administrator wyznaczył Inspektora Ochrony Danych, z którym można się skontaktować poprzez adres e-mail: iod@tulipany.com lub adres pocztowy: ul. Różana 5 w Gdynia (81-359), a także telefonicznie: 58 3332215 – we wszelkich sprawach związanych z przetwarzaniem Twoich danych osobowych.
4. Cel przetwarzania i podstawa prawna
Powoli zaczynają się schody, ale wierzę, że dasz radę! Musisz poinformować osobę, które dane osobowe przetwarzasz (czyli której dane osobowe dotyczą) po pierwsze w jakim celu przetwarzasz jej dane osobowe, a po drugie – na jakiej podstawie prawnej.
To wcale nie jest, aż takie trudne. Spróbujmy na przykładzie. Prowadzisz bloga i masz nawet newsletter. Osoba, która chce zapisać się na newsletter musi podać swoje imię oraz adres e-mail. Jednym słowem odpowiedź sobie na pytanie: w jakim celu stworzyłaś/łeś formularza do zapisywania się na newsletter? A no pewne w celu jego wysyłki. Brawo! Celem przetwarzania danych osobowych otrzymanych w związku z zapisem na newsletter będzie „w celu wysyłki newsletter’u”. A teraz podstawa prawna. Generalnie podstawą przetwarzania danych osobowych zebranych w związku z zapisem na newsletter jest zgoda osoby. Pewnie zauważyłeś, że informatyk na formularzu newsletter’u dodał specjalny checkbox, który należy zaznaczyć. Osoba zapisująca się na Twój newsletter robi to dobrowolnie i wyraża na to zgodę. Zgoda osoby na przetwarzanie jej danych osobowych, to jedna z podstaw prawnych przetwarzania (zajrzyj do art. 6 RODO).
Przykład:
Przetwarzam Twoje dane osobowe na podstawie na podstawie zgody (art. 6 ust. 1 lit. a RODO) w celu zapisywania danych w plikach cookies oraz wysłania newslettera (art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 ustawy – prawo telekomunikacyjne).
5. Prawnie uzasadniony interes, jeżeli dotyczy
Musisz dodatkowo poinformować osobę, której dane osobowe przetwarzasz, że jej dane będziesz również przetwarzał z uwagi na swój prawny interes. O co chodzi? Jeżeli prowadzisz bloga i prowadzisz statystyki wyświetleń, liczby osób zapisanych na newsletter, w jakich godzinach osoby wchodzą na bloga, to przetwarzasz dane osobowe (analizujesz te dane) we własnym interesie.
Oprócz tego, warto przetwarzać dane osobowe na potrzeby dochodzenia roszczeń albo obrony przed nimi. Ktoś Ci nie zapłacił? Ktoś Cię pozwał? No właśnie – to jest ten cel.
Przykład:
Dodatkowo przetwarzam Twoje dane osobowe na podstawie mojego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) w celu zarządzania blogiem, prowadzenia statystyk, ustalenia, dochodzenia lub obrony przed roszczeniami.
6. Odbiorcy danych osobowych lub kategorie odbiorów, jeżeli istnieją
Bardzo ważnym elementem w klauzuli informacyjnej jest wskazanie odbiorców danych osobowych, czyli podmiotów którym będziesz przekazywał dane osobowe. Możesz to zrobić na dwa sposoby. Możesz podać ich pełne dane kontaktowe albo wskazać kategorie danych, np. podmioty zapewniające wsparcie informatyczne, podmioty zapewniające wsparcie księgowo- kadrowe itp.
Przykład nr 1:
Bogumił Krzywy prowadzący działalność gospodarczą pod firmą Biuro Rachunkowe Bogumił Krzywy, ul. Leśna 9, 81-239 Gdynia
Przykład nr 2:
Administrator powierza przetwarzanie danych osobowych określonej grupie podwykonawców wspierających pracę Administratora, m.in. podmioty zapewniające wsparcie techniczno – informatyczne, w tym odpowiedzialne za obsługę poczty elektronicznej i utrzymanie strony internetowej, biuro rachunkowo- księgowe wspierające działalność księgową Administratora.
7. Informacja o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowej
Jeżeli będziesz przekazywał dane osobowe do państw trzecich, czyli poza Europejski Obszar Gospodarczy musisz poinformować o tym osobę, której dane osobowe przetwarzasz. Czemu? A no po to, aby ta osoba wiedziała, że jej dane osobowe są przekazywane do podmiotu, którego RODO nie obowiązuje, a co za tym idzie nie koniecznie musi spełniać wymagania bezpieczeństwa odpowiednie do zakresu przetwarzanych danych osobowych.
Przykład:
Jako Administrator korzystam z usług podmiotów przekazujących dane osobowe poza Europejski Obszar Gospodarczy. Podmioty te korzystają z zabezpieczeń prawnych wymaganych przez RODO, takie jak Standardowe Klauzule Ochrony Danych, a państwo trzecie zapewnia odpowiedni poziom ochrony danych osobowych.
8. Okres przechowywania danych, a gdy nie jest to możliwe kryterium ustalania tego okresu
Nie możesz przechowywać danych osobowych w nieskończoność. Zbierasz, a następnie coś z nimi robisz (czyli przetwarzasz) w określonym celu. Kiedyś ten cel przecież zostanie zrealizowany. Musisz poinformować osobę, której dane osobowe przetwarzasz jak długo zamierzasz przetwarzać jej dane. Na szczęście nie musisz wskazywać konkretnej daty. Jeżeli nie wiesz dokładnie przez jaki czas będziesz przetwarzać dane, to możesz to zrobić opisowo.
Przykład:
- Dane osobowe przetwarzane w związku z ustaleniem, dochodzeniem lub obroną przed roszczeniami do upływu okresu przedawnienia.
- Dane osobowe przetwarzane w związku z zapisem się na newsletter przez okres funkcjonowania usługi newsletter albo do czasu cofnięcia zgody. Po wycofaniu zgody Twoje dane osobowe mogą być jeszcze przetwarzane w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami zgodnie z okresem przedawnienia tych roszczeń
9. Informacje o prawach osób, których dane dotyczą
Wypełniając obowiązek informacyjny, czyli przekazując osobie, której dane osobowe dotyczą podstawowe informacje musisz pouczyć ją o jej prawach wynikających RODO (zajrzyj do art. 15-22 RODO).
Przykład:
Masz prawo dostępu do swoich danych osobowych oraz otrzymywania ich kopii, sprostowania (poprawiania) nieprawidłowych danych osobowych, żądania usunięcia danych osobowych, żądania ograniczenia przetwarzania danych osobowych, wniesienia sprzeciwu wobec przetwarzania danych osobowych, przenoszenia dostarczanych danych osobowych, przetwarzanych w sposób zautomatyzowany na zasadach przewidzianych w art. 20 RODO.
10. Informacje o prawie do cofnięcia zgody
Jeżeli przetwarzasz dane osobowe na podstawie zgody, np. ktoś zapisał się na newsletter i wyraził na to zgodę, to musisz go poinformować, że ma prawo cofnąć zgodę w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Przykład:
Jeżeli dane osobowe przetwarzamy na podstawie udzielonej przez Ciebie zgody, to udzielona zgoda może zostać wycofana przez Ciebie w dowolnym momencie.
O co chodzi z tym wpływem na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem?
Musisz wiedzieć, że ten zapis zabezpiecza Ciebie.
Wyobrażasz sobie, że ktoś cofa zgodę i twierdzi, że przetwarzałeś jego dane osobowe bezprawnie, no bo w sumie nie masz już jego zgody. No teraz nie masz, więc od cofnięcia zgody nie możesz przetwarzasz jego danych na podstawie jego zgody. Pytanie czy na innej podstawie nie możesz przetwarzać tych danych np. na podstawie prawnie uzasadnionego interesu w celu obrony swoich praw lub roszczeń.
Pamiętaj, że przed cofnięciem, przez osobę, której dane osobowe dotyczą, zgody wszystko było legalne i nie ma podstaw do tego, aby twierdzić, że robiłeś to bezprawnie. Rozumiesz teraz?
11. Informacje o prawie do wniesienia skargi do organu nadzorczego
W swojej klauzuli informacyjnej musisz także zawrzeć informację o prawie do wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Ochrony Danych Osobowych.
Przykład:
Masz prawo złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO, ul. Stawki 2, 00-193 Warszawa) na niezgodne z prawem przetwarzanie danych osobowych.
Już prawie kończymy.
12. Informacje o obowiązku lub dobrowolności podania danych i konsekwencji niepodania danych
Musisz poinformować osobę, której dane osobowe są przetwarzane czy podanie przez niego danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem do zawarcia umowy, a także czy osoba ta jest zobowiązana do podania swoich danych i wreszcie – jakie są konsekwencje niepodania przez nią tych danych.
Przykład:
Jeżeli przetwarzam Twoje dane osobowe na podstawie udzielonej przez Ciebie zgody to podanie danych osobowych nie jest obowiązkowe, ale konieczne do wysłania newslettera. Konsekwencją niepodania tych danych będzie brak możliwości korzystania z usługi.
Jeżeli przetwarzam Twoje dane osobowe, bo chcesz zawrzeć ze mną Umowę lub realizuję zawartą z Tobą umowę, to podanie danych osobowych jest dobrowolne, ale konieczne dla zawarcia lub realizacji umowy. Konsekwencją niepodania tych danych będzie brak możliwości zawarcia lub realizacji umowy.
13. Informacje o zautomatyzowanym przetwarzaniu danych, w tym profilowaniu
Jako Administrator masz obowiązek poinformować osobę, której dane osobowe przetwarzasz o tym, że są podejmowane wobec niej decyzje w sposób zautomatyzowany, w tym profilowanie. O co chodzi? Chodzi o tzw. profilowanie kwalifikowane i dotyczy sytuacji, gdy decyzje wobec osoby podejmowane są w sposób automatyczny przez system bez udziału człowieka lub ten udział człowieka ma charakter marginalny (niewielki). Brałeś kiedyś kredyt? Jeżeli tak, to bank na pewno badał zdolność kredytową i w takich sytuacjach dochodzi do profilowania i podejmowania decyzji w sposób zautomatyzowany.
Przykład:
Twoje dane osobowe nie będą podlegać profilowaniu ani zautomatyzowanemu podejmowaniu decyzji.
Pozostałe informacje
Jeżeli cel, w którym dane osobowe zostały zebrane i na podstawie którego przetwarzałeś dane osobowe został już realizowany albo już nie występuje (w prawie mówi się, że odpadł) i dalej nie możesz na jego podstawie przetwarzać danych osobowych, ale powstał nowy cel i na jego podstawie zamierzasz dalej przetwarzać te dane osobowe, to przed rozpoczęciem przetwarzania danych osobowych w tym nowym celu musisz poinformować osobę, której dane dotyczą, że jest nowy cel przetwarzania oraz poinformować ją o danych wymienionych w punktach 7 -12
I pamiętaj!
Nie musisz spełniać obowiązku informacyjnego wobec osoby, której dane dotyczą, gdy osoba ta dysponuje już tymi informacjami (zapoznaj się z art.13 ust. 4 RODO).
I jeszcze jedno!
Informacje zawarte w tym artykule mają charakter wyłącznie informacyjny, a wskazane przykłady nie muszą odzwierciedlać Twojego przetwarzania danych osobowych.
Aktualizacja 14.11.2020 r.