Obowiązek informacyjny

W jaki sposób przygotować prawidłową klauzulę informacyjną z art. 13 RODO i spełnić obowiązek informacyjny?

Prowadząc bloga, newsletter, sklep online, przetwarzasz (najprościej rzecz ujmując – najpierw zbierasz, a potem coś z nimi robisz) dane osobowe osób, które zaglądają na Twoją stronę internetową, są subskrybentami newslettera, zakładają konto w sklepie czy w końcu coś od Ciebie kupują.

Stajesz się administratorem tych danych osobowych. Czy nie brzmi to dumnie? Jako administrator danych osobowych decydujesz o tym, w jakim celu i w jaki sposób będziesz przetwarzał(a) informacje na temat konsumentów.

Podczas pozyskiwania danych osobowych jesteś zobowiązana(-y) do podania osobie, której dane dotyczą, podstawowych informacji wynikających z art. 13 RODO. Jest to tzw. obowiązek informacyjny. Realizując ów obowiązek działasz zgodnie z 1 z 5 podstawowych zasad przetwarzania danych osobowych – zasadą przejrzystości i rzetelności (art. 5 ust. 1 lit. a RODO).

W praktyce przyjęło się używać sformułowania „klauzula informacyjna”. Klauzula informacyjna jest to nic innego jak informacja przekazywana osobie, której dane dotyczą, o tym, że:

• wiesz, co to jest RODO, ba! działasz zgodnie z jego przepisami i spełniasz obowiązek informacyjny wynikający z art. 13 RODO,
• przetwarzasz jej dane osobowe, a także komunikujesz jej prawa wynikające z RODO.

Jaki jest cel realizacji obowiązku informacyjnego?

Głównym celem realizacji obowiązku informacyjnego, jest uświadomienie osoby, której dane dotyczą, że przetwarzasz jej dane osobowe. Treść i sposób przekazania tego komunikatu powinny być dostosowane w taki sposób, aby był on prosty w odbiorze, a także zrozumiały dla adresata. Informacje, które musisz przekazać zostały omówione w kolejnych rozdziałach.

Tożsamość administratora i dane kontaktowe

Po pierwsze musisz się przedstawić. W normalnej rozmowie powiedział(a)byś: Cześć jestem Romek albo Karolina 😉 W przypadku RODO wymagana jest ciut większa skrupulatność. Należy tak się przedstawić, aby można było Cię zidentyfikować. Romków na świecie jest zapewne kilku.

Przykład:

Administratorem Twoich danych osobowych jest Roman Kowalski prowadzący działalność gospodarczą pod firmą Tulipany, ul. Różana 5 w Gdyni (81-359), NIP: 4563241122.

Jeżeli nie chcesz podawać adresu prowadzenia działalności – OK! NIP jest jednak niezbędny, bo dzięki niemu będzie wiadomo, że chodzi o Ciebie, a nie o Romka z Krakowa.

Dane osobowe przedstawiciela administratora danych, gdy ma to zastosowanie 

W niektórych sytuacjach administrator musi wyznaczyć swojego przedstawiciela. Pisałam o tym tutaj.

Przykład:

Przedstawicielem Administratora jest Janina Nowak, ul. Makowa 7, NIP: 3263243122, e-mail: kontak@nowak.com tel.: 735311223.

Podobnie jak w przypadku danych administratora możesz podać ich minimum informacji, najważniejsze jednak, aby było wiadomo, o którą dokładnie Janinę chodzi i w jaki sposób się z nią skontaktować.

Dane kontaktowe inspektora ochrony nanych, o ile go wyznaczyłaś(-łeś)

Może się zdarzyć, że będziesz zobowiązana(-y) do wyznaczenia inspektora ochrony danych. Do wyznaczenia IOD zobowiązane są podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę.

Zawsze możesz zdecydować, że wyznaczysz IOD w swojej organizacji, mimo że nie jest to dla Ciebie obowiązkowe. Jeżeli w Twojej organizacji został powołany IOD, to musisz podać jego dane kontaktowe w klauzuli informacyjnej.

Przykład:

Administrator wyznaczył Inspektora Ochrony Danych, z którym można się skontaktować poprzez adres e-mail: iod@tulipany.com lub adres pocztowy: ul. Różana 5 w Gdynia (81-359), a także telefonicznie: 58 3332215 – we wszelkich sprawach związanych z przetwarzaniem Twoich danych osobowych.

Cel przetwarzania i podstawa prawna

Powoli zaczynają się schody, ale wierzę, że dasz radę! Musisz poinformować osobę, której dane osobowe przetwarzasz (czyli której dane osobowe dotyczą) po pierwsze w jakim celu przetwarzasz jej dane osobowe, a po drugie – na jakiej podstawie prawnej.

To wcale nie jest aż takie trudne. Spróbujmy na przykładzie. Prowadzisz bloga i masz nawet newsletter. Osoba, która chce zapisać się na newsletter, musi podać swoje imię oraz adres e-mail. Jednym słowem odpowiedz sobie na pytanie: w jakim celu stworzyłaś(-łeś) formularz do zapisywania się na newsletter? Ano pewne w celu jego wysyłki. Brawo! Celem przetwarzania danych osobowych otrzymanych w związku z zapisem na newsletter będzie jego wysyłanie do subskrybenta.

A teraz podstawa prawna. Generalnie podstawą przetwarzania danych osobowych zebranych w związku z zapisem na newsletter jest zgoda osoby. Pewnie zauważyłaś(-łeś), że programista na formularzu newslettera dodał specjalny checkbox, który należy zaznaczyć. Osoba zapisująca się na Twój newsletter robi to dobrowolnie i wyraża na to zgodę. Zgoda osoby na przetwarzanie jej danych osobowych to jedna z podstaw prawnych tego procesu (zajrzyj do art. 6 RODO).

Przykład:

Przetwarzam Twoje dane osobowe na podstawie na podstawie zgody (art. 6 ust. 1 lit. a RODO) w celu zapisywania danych w plikach cookies oraz wysłania newslettera (art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 ustawy – prawo telekomunikacyjne).

Prawnie uzasadniony interes (jeżeli dotyczy) 

Musisz dodatkowo poinformować osobę, której dane osobowe przetwarzasz, że robisz to również z uwagi na swój prawny interes. O co chodzi? Jeżeli piszesz bloga i prowadzisz statystyki wyświetleń, liczby osób zapisanych na newsletter, w jakich godzinach osoby wchodzą na bloga, to przetwarzasz dane osobowe (analizujesz te dane) we własnym interesie.

Oprócz tego warto przetwarzać dane osobowe na potrzeby dochodzenia roszczeń albo obrony przed nimi. Ktoś Ci nie zapłacił? Ktoś Cię pozwał? No właśnie – to jest ten cel.

Przykład:

Dodatkowo przetwarzam Twoje dane osobowe na podstawie mojego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO) w celu zarządzania blogiem, prowadzenia statystyk, ustalenia, dochodzenia lub obrony przed roszczeniami.

Odbiorcy danych osobowych lub kategorie odbiorców (jeżeli istnieją)

Bardzo ważnym elementem w klauzuli informacyjnej jest wskazanie odbiorców danych osobowych, czyli podmiotów którym będziesz przekazywał(a) te informacje. Możesz to zrobić na dwa sposoby. Możesz podać ich pełne dane kontaktowe albo wskazać kategorie danych, np. podmioty zapewniające wsparcie informatyczne, podmioty zapewniające wsparcie księgowo-kadrowe itp.

Przykład nr 1:

Bogumił Krzywy prowadzący działalność gospodarczą pod firmą Biuro Rachunkowe Bogumił Krzywy, ul. Leśna 9, 81-239 Gdynia

Przykład nr 2:

Administrator powierza przetwarzanie danych osobowych określonej grupie podwykonawców wspierających pracę Administratora, m.in. podmioty zapewniające wsparcie techniczno-informatyczne, w tym odpowiedzialne za obsługę poczty elektronicznej i utrzymanie strony internetowej, biuro rachunkowo-księgowe wspierające działalność księgową Administratora.

Informacja o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowej

Jeżeli będziesz przekazywał(a) dane osobowe do państw trzecich, czyli poza Europejski Obszar Gospodarczy, musisz poinformować o tym odbiorcę, którego dane osobowe przetwarzasz. Czemu? Ano po to, aby wiedział, że jego dane osobowe są przekazywane do podmiotu, którego RODO nie obowiązuje, a co za tym idzie: dana firma nie musi koniecznie spełniać wymagań bezpieczeństwa odpowiednich do zakresu przetwarzanych danych osobowych.

Przykład:

Jako Administrator korzystam z usług podmiotów przekazujących dane osobowe poza Europejski Obszar Gospodarczy. Podmioty te korzystają z zabezpieczeń prawnych wymaganych przez RODO, takie jak Standardowe Klauzule Ochrony Danych, a państwo trzecie zapewnia odpowiedni poziom ochrony danych osobowych. 

Okres przechowywania danych, a gdy nie jest to możliwe – kryterium ustalania tego okresu

Nie możesz przechowywać danych osobowych w nieskończoność. Zbierasz, a następnie coś z nimi robisz (czyli przetwarzasz) w określonym celu. Kiedyś ten cel przecież zostanie zrealizowany. Musisz poinformować osobę, której dane osobowe przetwarzasz, jak długo zamierzasz to robić. Na szczęście nie musisz wskazywać konkretnej daty. Jeżeli nie wiesz dokładnie, przez jaki czas będziesz przetwarzać dane, możesz to zrobić opisowo.

Przykład:

• Dane osobowe przetwarzane w związku z ustaleniem, dochodzeniem lub obroną przed roszczeniami do upływu okresu przedawnienia.
• Dane osobowe przetwarzane w związku z zapisem na newsletter przez okres funkcjonowania usługi newsletter albo do czasu cofnięcia zgody. Po wycofaniu zgody Twoje dane osobowe mogą być jeszcze przetwarzane w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami zgodnie z okresem przedawnienia tych roszczeń.

Informacje o prawach osób, których dane dotyczą

Wypełniając obowiązek informacyjny, czyli przekazując osobie, której dane osobowe dotyczą, podstawowe informacje, musisz pouczyć ją o jej prawach wynikających RODO (zajrzyj do art. 15-22 RODO).

Przykład:

Masz prawo dostępu do swoich danych osobowych oraz otrzymywania ich kopii, sprostowania (poprawiania) nieprawidłowych danych osobowych, żądania usunięcia danych osobowych, żądania ograniczenia przetwarzania danych osobowych, wniesienia sprzeciwu wobec przetwarzania danych osobowych, przenoszenia dostarczanych danych osobowych, przetwarzanych w sposób zautomatyzowany na zasadach przewidzianych w art. 20 RODO.

Informacje o prawie do cofnięcia zgody

Jeżeli przetwarzasz dane osobowe na podstawie zgody, np. ktoś zapisał się na newsletter i wyraził na to zgodę, to musisz go poinformować, że ma prawo cofnąć zgodę w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

Przykład:

Jeżeli dane osobowe przetwarzamy na podstawie udzielonej przez Ciebie zgody, to udzielona zgoda może zostać wycofana przez Ciebie w dowolnym momencie.

O co chodzi z tym wpływem na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem?

Musisz wiedzieć, że ten zapis zabezpiecza Ciebie.

Wyobrażasz sobie, że ktoś cofa zgodę i twierdzi, że przetwarzałaś(-łeś) jego dane osobowe bezprawnie, no bo w sumie nie masz już jego zgody? Teraz nie masz, więc od momentu cofnięcia zgody nie możesz przetwarzać jego danych na podstawie jego zgody. Pytanie, czy możesz je przetwarzać na innej podstawie, np. na podstawie prawnie uzasadnionego interesu w celu obrony swoich praw lub roszczeń.

Pamiętaj, że zanim osoba, której dane osobowe dotyczą, cofnęła zgodę, wszystko było legalne i nie ma podstaw do tego, aby twierdzić, że robiłeś to bezprawnie. Rozumiesz teraz?

Informacje o prawie do wniesienia skargi do organu nadzorczego

W swojej klauzuli informacyjnej musisz także zawrzeć informację o prawie do wniesienia skargi do organu nadzorczego, którym w Polsce jest Prezes Ochrony Danych Osobowych.

Przykład:

Masz prawo złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO, ul. Stawki 2, 00-193 Warszawa) na niezgodne z prawem przetwarzanie danych osobowych.

Już prawie kończymy.

Informacje o obowiązku lub dobrowolności podania danych i konsekwencji niepodania danych

Musisz poinformować osobę, której dane osobowe są przetwarzane, czy podanie przez niego danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem do zawarcia umowy, a także czy osoba ta jest zobowiązana do podania swoich danych i wreszcie – jakie są konsekwencje niepodania przez nią tych informacji.

Przykład:

Jeżeli przetwarzam Twoje dane osobowe na podstawie udzielonej przez Ciebie zgody, to podanie danych osobowych nie jest obowiązkowe, ale konieczne do wysłania newslettera. Konsekwencją niepodania tych danych będzie brak możliwości korzystania z usługi. 

Jeżeli przetwarzam Twoje dane osobowe, bo chcesz zawrzeć ze mną Umowę lub realizuję zawartą z Tobą umowę, to podanie danych osobowych jest dobrowolne, ale konieczne dla zawarcia lub realizacji umowy. Konsekwencją niepodania tych danych będzie brak możliwości zawarcia lub realizacji umowy.

Informacje o zautomatyzowanym przetwarzaniu danych, w tym profilowaniu

Jako administrator masz obowiązek poinformować osobę, której dane osobowe przetwarzasz, o tym, że są podejmowane wobec niej decyzje w sposób zautomatyzowany, w tym profilowanie. O co chodzi? Chodzi o tzw. profilowanie kwalifikowane i dotyczy sytuacji, gdy decyzje wobec osoby podejmowane są automatycznie przez system bez udziału człowieka lub udział ten jest niewielki. Brałaś(-łeś) kiedyś kredyt? Jeżeli tak, to bank na pewno badał zdolność kredytową i w takich sytuacjach dochodzi do profilowania i podejmowania decyzji w sposób zautomatyzowany.

Przykład:

Twoje dane osobowe nie będą podlegać profilowaniu ani zautomatyzowanemu podejmowaniu decyzji.

Pozostałe informacje

Może być tak, że cel, w którym dane osobowe zostały zebrane i na podstawie którego je przetwarzałaś(-łeś), został już realizowany albo już nie występuje (w prawie mówi się, że odpadł) i dalej nie możesz na jego podstawie przetwarzać danych osobowych. Powstał jednak nowy cel i na jego podstawie zamierzasz znów prowadzić opisywany proces. Wówczas przed rozpoczęciem przetwarzania danych osobowych w tym nowym celu musisz poinformować osobę, której dane dotyczą, że jest nowy cel przetwarzania oraz poinformować ją o danych wymienionych w punktach 7-12.

I pamiętaj!

Nie musisz spełniać obowiązku informacyjnego wobec osoby, której dane dotyczą, gdy dysponuje ona już tymi informacjami (zapoznaj się z art.13 ust. 4 RODO).

I jeszcze jedno!

Wskazane przykłady nie muszą odzwierciedlać Twojego przetwarzania danych osobowych. 

---

Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl. 

Stan prawny na dzień: 25.09.2020 r. Aktualizacja: 14.11.2020 r.

---

Źródło zdjęcia: Ylanite Koppens, Pexels, https://www.pexels.com/pl-pl/zdjecie/osoba-trzymajaca-srebrny-chowany-dlugopis-w-bialej-ksiedze-w-linie-796603/, dostęp: 5.10.2023 r.