Obowiązek informacyjny to jedna z kluczowych kwestii, gdy chodzi o wdrożenie RODO. Potwierdza to kara w wysokości 943 tys. złotych nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę, która nie dopełniła obowiązku informacyjnego w stosunku do ponad 6 milionów osób.
Oczywiście możesz powiedzieć, że to przypadek skrajny, bo dotyczący ogromnej liczby osób, podczas gdy ty nigdy w swojej bazie nie zgromadzisz nawet tylu rekordów. Zapewniam cię jednak, że realizacja obowiązku informacyjnego jest istotna niezależnie od tego, w jakiej skali przetwarzasz dane osobowe.
Prawo własności intelektualnej obowiązuje również w internecie
Dzień dobry! Nazywam się Wojciech Wawrzak, jestem radcą prawny i twórcą tego bloga, który funkcjonuje od 2013 r. Każdemu publikowanemu materiałowi poświęcam czas, serce i uwagę, starając się, żeby był przydatny i pomocny. Blog jest dostępny publicznie i nieodpłatnie, ale nie oznacza to, że można z niego korzystać bez ograniczeń. Wszystkie treści są objęte ochroną prawa autorskiego, a ich nieuprawnione wykorzystanie, np. powielanie, kopiowanie, rozpowszechnianie na swojej stronie internetowej, włączanie do własnych produktów, może skutkować odpowiedzialnością cywilną lub karną. W sprawie ewentualnej zgody na korzystanie z materiałów napisz pod adres wojciech.wawrzak@prakreacja.pl.
Spis treści
Obowiązek informacyjny – podcast
O obowiązku informacyjnym możesz również posłuchać, jeżeli tak wolisz. Poniżej znajdziesz odtwarzacz, dzięki któremu możesz odsłuchać kolejny odcinek podcastu.
Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.
Dlaczego obowiązek informacyjny jest taki ważny?
Obowiązek informacyjny to coś, co powinna widzieć osoba, której dane przetwarzasz. Ludzie mają już dzisiaj coraz większą świadomość w zakresie wymogów RODO, więc jeżeli zobaczą, że nie dopełniasz obowiązków, mogą po prostu złożyć na ciebie skargę, która zaowocuje kontrolą.
Dlatego swoim klientom zalecam by najwięcej uwagi poświęcali warstwie zewnętrznej wdrożenia RODO. Chodzi o takie dopieszczenie komunikacji związanej z danymi osobowymi by nie było się do czego przyczepić.
W internecie jest mnóstwo osób, które swoją pasją czynią trollowanie i wyłapywanie niedociągnięć przedsiębiorców pozwalających na uprzykrzenie im życia. Obowiązek informacyjny to jedna z tych sfer, którą łatwo wykorzystać by narobić komuś problemów.
Obowiązek informacyjny – o co tak naprawdę chodzi?
Obowiązek informacyjny polega na przekazaniu osobie, której dane osobowe przetwarzasz, określonych informacji związanych z tym przetwarzaniem.
RODO przewiduje dwa warianty obowiązku informacyjnego:
- obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą (art. 13 RODO),
- obowiązek informacyjny w przypadku pozyskiwania danych z innych źródeł (art. 14 RODO).
Obowiązek informacyjny z art. 13 RODO
Gdy mówimy o zbieraniu danych od osoby, której dane dotyczą, chodzi o wszystkie te sytuacje, gdy ktoś przekazuje ci swoje dane w jakimś celu, np:
- zapis do newslettera,
- zakup w sklepie internetowym,
- rejestracja konta użytkownika,
- zawarcie umowy,
- zapis do programu partnerskiego,
- zgłoszenie udziału w konkursie,
- przesłanie CV na potrzeby rekrutacji,
- zapytanie przez formularz kontaktowy,
- przekazanie danych do wystawienia faktury.
Zapamiętaj po prostu, że zawsze gdy ktoś przekazuje ci swoje dane osobowe, musisz udzielić mu odpowiednich informacji. Chyba, że zrobiłeś to wcześniej i ten ktoś już wszystko wie.
Jeżeli chodzi o sam zakres obowiązku informacyjnego, to tutaj najłatwiej po prostu wkleić treść przepisu.
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (w tym również o podmiotach, z którymi zawarta jest umowa powierzenia przetwarzania danych osobowych – przyp. red.);
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Jak widzisz, informacji do przekazania jest całkiem sporo. Zaprojektowanie przyjaznego sposobu realizacji obowiązku informacyjnego może być wyzwaniem, ale z pomocą przychodzi koncepcja warstwowości obowiązku informacyjnego, o której opowiem więcej w dalszej części tego poradnika.
Obowiązek informacyjny z art. 14 RODO
W sytuacji, w której wchodzisz w posiadanie danych osobowych w inny sposób niż poprzez podanie ci ich przez osobę zainteresowaną, wpadasz w obowiązek informacyjny z art. 14 RODO. Chodzi np. o sytuację, w której kupujesz gotową bazę danych albo dostajesz leady od swojego partnera marketingowego.
Nie będę wklejał treści art. 14 RODO ani poświęcał większej uwagi zasadom wynikającym z tego przepisu. Większości moich klientów dotyczy obowiązek informacyjny z art. 13 i na nim skupiam się teraz.
Jeżeli jednak pozyskujesz dane z innych źródeł niż od samych zainteresowanych, to zerknij do art. 14.
Jak zrealizować obowiązek informacyjny?
Obowiązek informacyjny powinien być realizowany podczas pozyskiwania danych. Najłatwiej wbić sobie do głowy zasadę, że tam gdzie ktoś podaje mi dane, tam realizuję obowiązek informacyjny.
W przypadku formularzy dostępnych na stronach internetowych sytuacja jest prosta – wystarczy dodać stosowną klauzulę informacyjną pod formularzem na stronie.
Czy ta klauzula widoczna pod formularzem musi zawierać wszystkie informacje, o których mowa w art. 13 RODO? Nie, możesz przyjąć metodę warstwowego realizowania obowiązku informacyjnego. Wtedy pod formularzem dodajesz skróconą klauzulę informacyjną odsyłającą do polityki prywatności.
Dane osobowe podane w formularzu sa przetwarzane w celu obsługi Twojego zapytania przez Marketing & Radosne Zwierzęta Sp. z o.o. z siedzibą w Koszarach na zasadach opisanych szczegółowo w polityce prywatności.
Skrócona klauzula jest pierwszą warstwą obowiązku informacyjnego, a polityka prywatności warstwą drugą. Dzięki temu nie zaśmiecasz strony nadmiarem tekstu, a realizujesz należycie obowiązek informacyjny.
Oczywiście, obowiązek informacyjny nie musi być koniecznie realizowany przez politykę prywatności.
Np. w przypadku umów stosuje się załącznikimi z klauzulami informacyjnymi, a czasem dodaje w umowie oddzielny paragraf poświęcony danym osobowym.
Zestaw gotowych klauzul informacyjnych
Zestaw obejmuje:
- klauzula informacyjna dla klientów,
- klauzula informacyjna dla pracowników,
- klauzula informacyjna dla zleceniobiorców i wykonawców umów o dzieło,
- klauzula informacyjna dla współpracowników B2B,
- klauzula informacyjna na potrzeby rekrutacji,
- klauzula informacyjna na potrzeby konkursu,
- klauzula informacyjna na potrzeby gromadzenia referencji,
- klauzula informacyjna dotycząca rozpowszechniania wizerunku,
- klauzula informacyjna dotycząca mediów społecznościowych,
- klauzula informacyjna dotycząca korespondencji e-mail,
- klauzula informacyjna na potrzeby kontaktów telefonicznych.
Zestaw klauzul informacyjnych możesz kupić od ręki za 99 zł brutto.
Kliknij w przycisk poniżej, wypełnij formularz zamówienia, zapłać on-line, a klauzule gotowe do wykorzystania otrzymasz od razu na swojego maila wraz z instrukcją korzystania.
Kupuję zestaw klauzul informacyjnych – 99 zł bruttoZadbaj o kompletność obowiązku informacyjnego
Gdy przyglądam się klauzulom informacyjnym, politykom prywatności czy innym dokumentom realizującym obowiązek informacyjny, zauważam w nich najczęściej następujące niedociągnięcia:
- brak wskazania okresu przechowywania danych,
- nieprecyzyjnie określone cele przetwarzania danych,
- błędne podstawy prawne przetwarzania.
Często mam wrażenie, że gdy przedsiębiorca czegoś nie wie, nie rozumie, nie jest pewny, to po prostu pomija to w swoim obowiązku informacyjnym albo na ślepo kopiuje z innych miejsc.
Takie podejście najczęściej prowadzi do tego, że obowiązek niby jest zrealizowany, ale tak naprawdę nie ma to realnego znaczenia, bo i tak informacje są nieprecyzyjne albo wręcz błędne.
To też powtarzam swoim klientom z uporem maniaka – jeżeli już bawić się w RODO, robić to porządnie. Działanie po łebkach sprawia w tym przypadku, że i tak wdrażane rozwiązania są bezwartościowe.
Podejście do tematu ochrony danych osobowych na odczepne to tak jakby nie zrobić nic. Tłumaczyłem to m.in. tutaj: nie wystarczy raz wdrożyć RODO.
Jeżeli potrzebujesz indywidualnej pomocy prawnej w zakresie ochrony danych osobowych, wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.
Jeżeli szukasz budżetowego sposobu na wdrożenie RODO, sprawdź pakiet RODO.
Podsumowanie
Obowiązek informacyjny to jeden z kluczowym elementów przy wdrożeniu RODO. Warto poświęcić mu odpowiednią ilość uwagi, bo konsumenci są coraz bardziej świadomi wymogów związanych z ochroną danych osobowych i mogą pokusić się o skargę, gdy coś zaniedbasz.
Nie ma żadnego gotowego szablonu obowiązku informacyjnego, który będzie pasował do wszystkich sytuacji. Pamiętaj, że informacje przekazywane w ramach realizacji obowiązku muszą być dostosowane do rzeczywistej sytuacji, szczególnie w zakresie celu i podstawy prawnej przetwarzania oraz okresu przechowywania.
W ramach mojego pakietu RODO znajdują się szczegółowe instrukcje dotyczące realizacji obowiązku informacyjnego wraz z przykładami dla poszczególnych sytuacji gromadzenia danych osobowych.
Jeżeli nie chcesz płacić za cały pakiet RODO, bo w tym momencie potrzebujesz zająć się tylko obowiązkiem informacyjnym, możesz kupić zestaw samych klauzul informacyjnych za 99 zł brutto.
Zestaw gotowych klauzul informacyjnych
Tutaj możesz kupić zestaw gotowych klauzul informacyjnych za 99 zł brutto.
Zestaw obejmuje:
- klauzula informacyjna dla klientów,
- klauzula informacyjna dla pracowników,
- klauzula informacyjna dla zleceniobiorców i wykonawców umów o dzieło,
- klauzula informacyjna dla współpracowników B2B,
- klauzula informacyjna na potrzeby rekrutacji,
- klauzula informacyjna na potrzeby konkursu,
- klauzula informacyjna na potrzeby gromadzenia referencji,
- klauzula informacyjna dotycząca rozpowszechniania wizerunku,
- klauzula informacyjna dotycząca mediów społecznościowych,
- klauzula informacyjna dotycząca korespondencji e-mail,
- klauzula informacyjna na potrzeby kontaktów telefonicznych.
Kliknij w przycisk poniżej, wypełnij formularz zamówienia, zapłać on-line, a klauzule gotowe do wykorzystania otrzymasz od razu na swojego maila wraz z instrukcją korzystania.
Kupuję zestaw klauzul informacyjnych – 99 zł bruttoBonus: praktyczne opracowanie
Dodatkiem do tego artykułu jest opracowanie na temat najczęstszych naruszeń ochrony danych osobowych.
Dodatek jest dostępny dla subskrybentów newslettera. Jeżeli nie chcesz zapisywać się do newslettera, żeby otrzymać dodatek, napisz do mnie indywidualnie na adres wojciech.wawrzak@prakreacja.pl.
