Czy polityka prywatności to dobre miejsce na spełnienie obowiązków informacyjnych z RODO?

• Rafał Stępniewski
• /
• 2 kwietnia 2018

RODO wskazuje, że każdy administrator danych osobowych powinien spełnić tak zwany obowiązek informacyjny. Celem przekazania wymaganych informacji osobie jest uświadomienie jej, kto i w jaki sposób będzie przetwarzał udostępnione przez nią dane. Jakie obowiązki informacyjne mają spełnić administratorzy danych osobowych i w jaki sposób mogą tego dokonać?

Obowiązek informacyjny według RODO

Konieczność spełniania obowiązku informacyjnego nie jest niczym nowym. Wymóg poinformowania o tym, kto jest administratorem oraz w jakim celu dane będą przetwarzane istniał także na gruncie ustawy o ochronie danych osobowych (UODO) z dnia 29 sierpnia 1997 r., obowiązującej w polskim porządku prawnym aż do momentu rozpoczęcia stosowania RODO we wszystkich krajach Unii Europejskiej. Jednakże RODO  poszerza zakres informacji, jakie powinny być przekazane osobie, której dane będą przetwarzane.

W artykule 24 UODO ustawodawca krajowy wymienia, jakie informacje powinna otrzymać osoba, od której zbierane są dane osobowe. Są to przede wszystkim:

• dane kontaktowe administratora danych (pełna nazwa firmy oraz adres lub imię, nazwisko i adres zamieszkania – jeśli administrator jest osobą fizyczną);
• cel, w jakim dane są zbierane oraz w jakim będą przetwarzane;
• informacje przysługujące osobie, której dane dotyczą, na temat prawa do wglądu do tych danych lub ich poprawy;
• informacje, czy podanie danych jest dobrowolne czy obowiązkowe, wraz z podstawą prawną, z której obowiązek ten wynika.

 

RODO wprowadza obowiązek informacyjny spełniany w momencie zbierania danych osobowych w artykule 13. Prawodawca unijny  także wymaga informowania o danych kontaktowych administratora danych, jednak rozszerzając obowiązek o podanie również danych Inspektora Danych Osobowych – o ile został on powołany.

Nowym obowiązkiem administratorów jest konieczność poinformowania osoby, od której gromadzone są dane osobowe, o podstawie prawnej, na jakiej oparte będzie przetwarzanie tych informacji oraz o prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią.

Z art. 13 RODO wynika także obowiązek poinformowania o możliwości transferu danych osobowych do państwa trzeciego albo organizacji międzynarodowej i zapewnieniu odpowiedniego stopnia ochrony danych w przypadku przeprowadzenia takiego działania.

Administrator danych osobowych zgodnie z unijnymi przepisami powinien również poinformować osobę, której dane dotyczą, o okresie przechowywania danych osobowych. W przypadku, kiedy ustalenie tego terminu nie jest możliwe, powinna zostać przekazana informacja na temat kryteriów, które pozwolą go określić.

RODO szczególny nacisk kładzie na prawa przysługujące osobom, których dane są (lub będą) przetwarzane. Poinformowanie o nich również należy do obowiązków administratora. Jakie to prawa?

• Możliwość zażądania dostępu do danych;
• Prawo do ich poprawiania, usuwania, ograniczenia przetwarzania i wniesienia sprzeciwu wobec przetwarzania;
• Możliwość przeniesienia danych osobowych;
• Prawo do cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania;
• Prawo wniesienia skargi do organu nadzorczego.

Wśród obowiązków informacyjnych administratora danych osobowych jest również konieczność poinformowania o procesie profilowania lub o zautomatyzowanym podejmowaniu decyzji. Dodatkowo administrator powinien przedstawić osobie, której dane dotyczą, informacje na temat tego, w jaki sposób działa profilowanie oraz konsekwencje takiego przetwarzania.

Jak spełnić obowiązek informacyjny?

Przepisy RODO wskazują, aby wszystkie wymienione w artykule 13 informacje przekazać osobom, których dane dotyczą, w sposób łatwy do zrozumienia – bez skomplikowanej terminologii. Administratorzy powinni na tę kwestę zwrócić szczególną uwagę, zwłaszcza, jeśli informacje te będą kierowane do osób młodszych.

Obowiązek informacyjny wynikający z RODO można spełnić na kilka sposobów. Jednym z nich jest przedstawienie wymienionych wcześniej informacji w momencie gromadzenia danych osobowych (np. w czasie rejestracji, dokonywania zakupów itp.).

Innym sposobem może być zawarcie ich w polityce prywatności – dokumencie, w którym powinny być zamieszczone najważniejsze informacje na temat tego, jakie dane osobowe są gromadzone oraz w jaki sposób są one przetwarzane.

Klauzula informacyjna – zgodna z RODO – może zostać zredagowana jak w poniższym wzorze. Nie wszystkie punkty będą adekwatne dla każdego rodzaju przedsiębiorstwa, zatem przed wykorzystaniem szablonu należy go zmodyfikować.

 

Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informujemy, że:

• Administratorem danych osobowych jest… (podać nazwę oraz siedzibę), w przypadku, jeśli powołany został przedstawiciel administratora, jego dane również należy podać,

• Inspektorem ochrony danych jest… (podać imię i nazwisko oraz kontakt e-mail), ten obowiązek spełniamy, jeśli ma zastosowanie,

• Dane osobowe przetwarzane będą w celu (należy podać cel przetwarzania zgodnie z art. 6 RODO),

• Odbiorcą danych osobowych będą… (można wymienić kategorię odbiorców, o ile istnieją, np.: kurierzy, banki, kancelarie prawne, ubezpieczyciele, spółki z grupy kapitałowej),

• Dane osobowe będą przekazywane do państwa trzeciego/organizacji międzynarodowej (jeśli ma zastosowanie). Mogą Państwo uzyskać kopię danych osobowych przekazywanych do państwa trzeciego (wskazać sposób uzyskania kopii danych lub miejsce udostępniania danych),

• Dane osobowe będą przechowywane przez okres… (np. do czasu odwołania zgody, jeśli nie ma możliwości wskazania okresu przechowywania należy podać kryterium ustalania tego okresu, przykład — do czasu zakończenia procesu rekrutacji),

• Mają Państwo prawo dostępu do treści swoich danych, a także prawo do:

  1. ich sprostowania,

  2. usunięcia,

  3. ograniczenia przetwarzania,

  4. przenoszenia danych,

  5. wniesienia sprzeciwu,

  6. cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

• Mają Państwo prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w zakresie naruszenia prawa do ochrony danych osobowych lub innych praw przyznanych na mocy RODO;

• Podanie danych osobowych jest… (należy wskazać, czy podanie danych jest wymogiem ustawowym/warunkiem umowy/warunkiem zawarcia umowy). Są Państwo zobowiązani do ich podania, a konsekwencją niepodania danych osobowych będzie…

• Państwa dane będą przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach… (należy podać zasady profilowania wprowadzone w organizacji). Konsekwencją takiego przetwarzania będzie… (należy podać informacje o zasadach zautomatyzowanego podejmowania decyzji oraz informacje o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania).

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.