RODO – klauzule informacyjne
Przepisy obecnie obowiązującej ustawy o ochronie danych osobowych już teraz zobowiązują administratorów danych pozyskujących dane osobowe do przekazywania osobom, których te dane dotyczą, takich informacji, jak: adres i siedziba administratora danych, cel zbierania danych czy źródło tych danych. RODO rozszerza zakres tych informacji. Dlatego warto przejrzeć obecnie przekazywane klauzule informacyjne i w razie potrzeby uzupełnić je o nowe informacje.
Zwięźle i zrozumiale
Motyw 60 preambuły do RODO stanowi, że osoba, której dane dotyczą, musi być poinformowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator (ADO) powinien podać takiej osobie wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto musi poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli dane osobowe są gromadzone, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.
RODO stanowi, że informacje te administrator danych musi przekazywać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka. Informacji powinien udzielać na piśmie lub w inny sposób, w tym, w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Wszelkie informacje przekazywane osobom, których dane będą przetwarzane, są wolne od opłat.
Katalog informacji
Informacje, jakie administrator danych musi przekazywać osobom, w przypadku pobierania od nich bezpośrednio danych, określa art. 13 RODO. Zgodnie z tym przepisem ADO musi podawać:
1) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
2) dane kontaktowe inspektora ochrony danych – jeżeli go powołał,
3) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania,
4) prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią – jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora,
5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
6) informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Poza tymi informacjami, podczas pozyskiwania danych osobowych, administrator musi też podać osobie, której dane dotyczą, inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, tj.:
1) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
2) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania bądź o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
3) informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
4) informacje o prawie wniesienia skargi do organu nadzorczego,
5) informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
6) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Informacje te powinny znaleźć się w tzw. klauzulach informacyjnych przekazywanych osobom, od których dane będą pobierane np. w procesie rekrutacyjnym, podczas zawierania umowy.
Zalecenia GIODO
GIODO od wielu miesięcy zachęca do zapoznania się z art. 13 i art. 14 RODO oraz do przeglądu stosowanych obecnie klauzul informacyjnych i analizy, jakie treści należy zmienić, a jakie uzupełnić – tak, by odpowiednio wcześnie zaplanować wszelkie niezbędne zmiany w spełnianiu obowiązku informacyjnego zgodnie z wymogami rozporządzenia. Wobec szerszego katalogu informacji, które należy przekazać, z całą pewnością obecnie stosowane komunikaty będą musiały być zaktualizowane. Przykładem rozwiązania już stosowanego w praktyce może być poinformowanie klientów o wprowadzeniu nowych klauzul informacyjnych (uwzględniających wymagania RODO) z okresem obowiązywania od 25 maja 2018 r. Niewłaściwe jest jednak przekazywanie niektórych informacji już teraz, jak np. informacji o danych kontaktowych inspektora ochrony danych – obecnie w polskim systemie prawnym mamy jeszcze administratorów bezpieczeństwa informacji (ABI).
Przykłady klauzul informacyjnych
» | „Administratorem Pana/Pani danych jest firma ……..z siedzibą w …….., przy ul. ………..telefon…….. mail ………… |
» | „Pana/Pani dane przetwarzane są w celu… (np. zatrudnienia, aby zawrzeć umowę i wypełniać jej warunki)”. |
» | „Posiada Pan/Pani prawo dostępu do swoich danych i ich poprawienia”. |
» | „Podanie danych jest dobrowolne (albo wymagane zgodnie z prawem)”. |
» | „Pana/Pani dane uzyskano z bazy firmy XY” (w przypadku, gdy dane nie są bezpośrednio pobierane od osoby, której dotyczą). |
Źródło: Gazeta Podatkowa nr 29 (1486) z dnia 9.04.2018