Obowiązek informacyjny – czym jest i jak go zrealizować?

Obowiązek informacyjny to jedna z kluczowych kwestii, gdy chodzi o wdrożenie RODO. Potwierdza to kara w wysokości 943 tys. złotych nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na spółkę, która nie dopełniła obowiązku informacyjnego w stosunku do ponad 6 milionów osób.

Oczywiście możesz powiedzieć, że to przypadek skrajny, bo dotyczący ogromnej liczby osób, podczas gdy ty nigdy w swojej bazie nie zgromadzisz nawet tylu rekordów. Zapewniam cię jednak, że realizacja obowiązku informacyjnego jest istotna niezależnie od tego, w jakiej skali przetwarzasz dane osobowe.

Spis treści

Obowiązek informacyjny – podcast

O obowiązku informacyjnym możesz również posłuchać, jeżeli wolisz. Poniżej znajdziesz odtwarzacz, dzięki któremu możesz odsłuchać kolejny odcinek podcastu.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Dlaczego obowiązek informacyjny jest taki ważny?

Obowiązek informacyjny to coś, co powinna widzieć osoba, której dane przetwarzasz. Ludzie mają już dzisiaj coraz większą świadomość w zakresie wymogów RODO, więc jeżeli zobaczą, że nie dopełniasz obowiązków, mogą po prostu złożyć na ciebie skargę, która zaowocuje kontrolą.

Skarga do PUODO
Zgłaszam to do PUODO! Zdjęcie autorstwa Frans Van Heerden pobrane z serwisu pexels.com

Właśnie dlatego mówię swoim klientom by najwięcej uwagi przykładali do warstwy zewnętrznej wdrożenia RODO. Chodzi o takie dopieszczenie komunikacji związanej z ochroną danych osobowych by nie było się do czego przyczepić.

W Internecie mnóstwo jest osób, które swoją pasją czynią trollowanie i wyłapywanie niedociągnięć przedsiębiorców pozwalających na uprzykrzenie im życia. Obowiązek informacyjny to jedna z tych sfer, którą łatwo wykorzystać by narobić komuś problemów.

Obowiązek informacyjny – o co tak naprawdę chodzi?

Obowiązek informacyjny polega na przekazaniu osobie, której dane osobowe przetwarzasz, szczegółów związanych z tym przetwarzaniem.

RODO przewiduje dwa warianty obowiązku informacyjnego, w zależności od tego, skąd masz dane, które przetwarzasz:

  • obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą (art. 13 RODO),
  • obowiązek informacyjny w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą (art. 14 RODO).

Obowiązek informacyjny z art. 13 RODO

Gdy mówimy o zbieraniu danych od osoby, której dane dotyczą, chodzi o wszystkie te sytuacje, gdy ktoś przekazuje ci swoje dane w jakimś celu, np:

  • zapis do newslettera,
  • zakup w sklepie internetowym,
  • zawarcie umowy,
  • zapytanie przez formularz kontaktowy,
  • przekazanie danych do wystawienia faktury.

Zapamiętaj po prostu, że zawsze gdy ktoś przekazuje ci swoje dane osobowe, musisz poinformować go o tym, co z tymi danymi będzie się działo. Chyba, że takich informacji udzieliłeś już wcześniej i ten ktoś po prostu już wszystko wie.

Jeżeli chodzi o sam zakres obowiązku informacyjnego, to tutaj najłatwiej będzie po prostu wkleić treść przepisu.

Prakreacja.pl
Art. 13 RODO

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (w tym również o podmiotach, z którymi zawarta jest umowa powierzenia przetwarzania danych osobowych – przyp. red.);

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Obowiązek informacyjny z art. 14 RODO

W sytuacji, w której wchodzisz w posiadanie danych osobowych w inny sposób niż poprzez podanie ci ich przez osobę zainteresowaną, wpadasz w obowiązek informacyjny z art. 14 RODO. Chodzi np. o sytuację, w której kupujesz gotową bazę danych.

Nie będę wklejał treści art. 14 RODO ani poświęcał większej uwagi zasadom wynikającym z tego przepisu. Większości moich klientów dotyczy obowiązek informacyjny wyłącznie z art. 13 i na nim chcę się skupić na potrzeby tego artykułu.

Jeżeli jednak pozyskujesz dane z innych źródeł niż od samych zainteresowanych, to pamiętaj, że musisz się dokształcić z art. 14.

Jak zrealizować obowiązek informacyjny?

Obowiązek informacyjny powinien być realizowany podczas pozyskiwania danych. Najłatwiej wbić sobie do głowy zasadę, że tam gdzie ktoś podaje mi dane, tam realizuję obowiązek informacyjny.

W przypadku formularzy dostępnych na stronach internetowych sytuacja jest prosta – wystarczy dodać stosowną klauzulę informacyjną pod formularzem na stronie.

Czy ta klauzula widoczna pod formularzem musi zawierać wszystkie informacje, o których mowa w art. 13 RODO? Nie, możesz przyjąć metodę warstwowego realizowania obowiązku informacyjnego. Wtedy pod formularzem dodasz skróconą klauzulę informacyjną odsyłającą do pełnego dokumentu, najczęściej polityki prywatności.

Prakreacja.pl
Przykład pod formularz kontaktowy

Dane osobowe podane w formularzu będą przetwarzane w celu obsługi Twojego zapytania, a ich administratorem będzie Jan Kowalski, ul. Chłodnicza 149, 24-256 Kozie Brody. Szczegóły: polityka prywatności.

Skrócona klauzula będzie pierwszą warstwą obowiązku informacyjnego, a polityka prywatności warstwą numer dwa.

Dzięki takiemu rozwiązaniu nie zaśmiecisz strony nadmiarem tekstu, a zrealizujesz należycie obowiązek informacyjny.

Możesz podpatrzeć również w jaki sposób ja realizuję obowiązek informacyjny przy zapisie do newslettera. Więcej przykładów znajdziesz w przygotowanym przeze mnie pakiecie RODO, w którym zawarłem wyjaśnienia i wzory dotyczące obowiązku informacyjnego.

Monitoring wizyjny a RODO

Obowiązek informacyjny jest szczególnie istotny w kontekście monitoringu wizyjnego. Na temat tego zagadnienia przygotowałem odrębny materiał. Możesz zapoznać się z nim tutaj: Monitoring wizyjny zgodny z RODO – jak to zrobić?. Nieodpłatnym dodatkiem do artykułu jest wzór dokumentu z obowiązkiem informacyjnym.

Zadbaj o kompletność obowiązku informacyjnego

Gdy przyglądam się klauzulom informacyjnym, politykom prywatności czy innym dokumentom realizującym obowiązek informacyjny, zauważam w nich najczęściej następujące niedociągnięcia:

  • brak wskazania okresu przechowywania danych,
  • nieprecyzyjnie określone cele przetwarzania danych,
  • błędne podstawy prawne przetwarzania.

Często mam wrażenie, że gdy przedsiębiorca czegoś nie wie, nie rozumie, nie jest pewny, to po prostu pomija to w swoim obowiązku informacyjnym albo na ślepo kopiuje z innych miejsc.

RODO na ślepo
RODO na ślepo to nie jest dobry pomysł. Zdjęcie autorstwa Alan Cabello pobrane z serwisu pexels.com.

Takie podejście najczęściej prowadzi do tego, że obowiązek niby jest zrealizowany, ale tak naprawdę nie ma to realnego znaczenia, bo i tak informacje są nieprecyzyjne albo wręcz błędne.

To też powtarzam swoim klientom z uporem maniaka – jeżeli już bawić się w RODO, robić to porządnie. Działanie po łebkach sprawia w tym przypadku, że i tak wdrażane rozwiązania są bezwartościowe.

Podejście do tematu ochrony danych osobowych na odczepne to tak jakby nie zrobić nic. Tłumaczyłem to m.in. tutaj: Nie wystarczy raz wdrożyć RODO.

Podsumowanie

Obowiązek informacyjny to jeden z kluczowym elementów przy wdrożeniu RODO. Warto poświęcić mu odpowiednią ilość uwagi, bo konsumenci są coraz bardziej świadomi wymogów związanych z ochroną danych osobowych i mogą pokusić się o skargę, gdy coś zaniedbasz.

Nie ma żadnego gotowego szablonu obowiązku informacyjnego, który będzie pasował do wszystkich sytuacji. Pamiętaj, że informacje przekazywane w ramach realizacji obowiązku muszą być dostosowane do rzeczywistej sytuacji, szczególnie w zakresie celu i podstawy prawnej przetwarzania oraz okresu przechowywania.

W ramach mojego pakietu RODO znajdują się szczegółowe instrukcje dotyczące realizacji obowiązku informacyjnego wraz z przykładami dla poszczególnych sytuacji gromadzenia danych osobowych.

Jeżeli potrzebujesz indywidualnej pomocy w zakresie obowiązku informacyjnego i innych wymogów RODO, napisz do mnie na adres kontakt@wojciechwawrzak.pl.

Bonus: praktyczne opracowanie

Dodatkiem do tego artykułu jest opracowanie na temat najczęściej występujących naruszeń ochrony danych osobowych.

Dodatek dostępny jest dla subskrybentów newslettera.

Prakreacja.pl

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.