O istnieniu obowiązku informacyjnego dotyczącego przetwarzania danych osobowych nie trzeba wspominać. Od momentu stosowania RODO każdy z nas z pewnością dostał niejedną informację RODO. Na czym polega realizacja obowiązku informacyjnego i jak zrobić to zgodnie z przepisami?

Obowiązek informacyjny – z czego wynika?

Kwestię związaną z obowiązkiem informacyjnym art. 13 i 14 RODO. Pierwszy z nich dotyczy bezpośredniej informacji udzielonej osobie zainteresowanej, a drugi wskazuje obowiązki administratora w sytuacji, gdy pozyskał on dane od osoby trzeciej.

Udzielenie wspomnianych informacji należy do zasadniczych i podstawowych wymagań przy przetwarzaniu danych osobowych. Dodatkowo jest to kwestia formalna, dotycząca prowadzonej dokumentacji przy przetwarzaniu danych. Pomimo tego, że każdy administrator danych osobowych musi powyższe obowiązki wykonać większość z nich nie radzi sobie z tym zadaniem.

Podstawowe błędy podczas informowania o przetwarzaniu danych osobowych


Niezrozumienie przepisów oraz brak odpowiednich wzorów dostępnych w Internecie, powoduje, że na co dzień spotykamy się ze bzdurnymi treściami klauzur informacyjnych RODO.

Podstawowy błąd to wypisanie wszystkich praw osób, których dane dotyczą w treści klauzuli. Bezwiedne skopiowanie praw osób i myślenie „lepiej dać więcej niż mniej” wcale nie uchroni administratora od błędu. Każdy z nas spotkał się w treści klauzuli z art. 13 RODO z informacją, że ma prawo do przenoszenia danych. To nic, że przetwarzanie wcale nie odbywało się na podstawie zgody albo umowy… Przecież, kto by się tym przejmował…

Kolejna kwestia to czas przetwarzania danych. Jest on regulowany aktami szczególnymi. Akty szczególne to takie, na podstawie których prowadzi się działalność. Tak więc np. prawo podatkowe – dla wszystkich przedsiębiorców. Ustawa o systemie oświaty – dla placówek edukacyjnych. Każdy z aktów szczególnych powinien określać czas np. archiwizacji dokumentacji. Jeśli nie to administrator danych osobowych ma obowiązek określić racjonalny termin przetwarzania danych.

Przykład: często pojawiają się w klauzurach informacyjnych sformułowania „dane będą przetwarzane bezterminowo” lub „tyle ile będzie to potrzebne”. Jest to spory błąd. Osoba, której dane dotyczą musi mieć jasno określony czas przetwarzania jej danych.

Treść klauzuli informacyjnej RODO


W poniższej treści skupimy się na technicznych aspektach tworzenia klauzur z art. 13 oraz 14 RODO. Opisane zostaną poszczególne ich punkty, z informacją czy jest to element obowiązkowy czy też szczególny. Dodatkowo omówiona zostanie treść danego elementu.

Tożsamość Administratora

Obowiązkowo Informacja ta powinna zawierać co najmniej pełną nazwę podmiotu oraz jego siedzibę – przyjemniej miejscowość. Powyższe jest minimalnym zakresem informacji, jakie administrator danych jest zobowiązany podać. Co więcej, jeśli adres korespondencyjny jest inny niż adres siedziby, to wymagane jest podanie pełnych informacji.

Dane kontaktowe administratora danych

Obowiązkowo Ado jest zobowiązany podać dane, które rzeczywiście pozwolą na kontakt osobie zainteresowanej. Informacja powinna pozwalać na kontakt w różnych formach np. telefon, email itp.

Dane kontaktowe inspektora ochrony danych osobowych

Jeśli został wyznaczony Tutaj również należy podać dane, które rzeczywiście pozwolą w łatwy sposób skontaktować się zainteresowanej osobie z IODem. Najrozsądniejszym rozwiązaniem jest kontakt email. Nie polecany jest kontakt telefoniczny, ponieważ wpływa on na chaotyczność pracy. W przypadku adresu email nie poleca się imiennego adresu, ponieważ zaistnieje potrzeb każdorazowej zmiany w przypadku zmiany na stanowisku IOD.

Cele przetwarzana

Obowiązkowo Należ wskazać cele przetwarzania danych, aby było to zrozumiałe dla odbiorcy. Obowiązuje zasada „tak aby prościej się już nie dało”. Pozwoli to wyeliminować zbędny kontakt ze strony podmiotów danych. Obowiązkiem ado jest dostosowanie treści informacji do założonego kręgu odbiorców.

W przypadku kilku celów przetwarzania należy osobno podać każdy z nich.

Podstawa prawna

Element obligatoryjny. ADO ma obowiązek podania podstawy prawnej przetwarzania wymienionej w art. 6 lub 9 RODO. Podstawą prawną przetwarzania danych osobowych może być np.

  1. Zgoda na przetwarzanie danych osobowych.
  2. Niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
  3. Wypełnienie obowiązku prawnego ciążącego na administratorze.
  4. Niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
  5. Niezbędność do wykonania zadania realizowanego w interesie publicznym lub ramach sprawowania władzy publicznej powierzonej administratorowi.
  6. Realizacja celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Opisanie prawnie uzasadnionego interesu

Tylko jeżeli dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu. W sytuacji, w której dane przetwarzane są na podstawie prawnie uzasadnionego interesu, należy wskazać jaki to interes jest np. dochodzenie wierzytelności, ochrona itp.

Okres przechowywania danych

Obowiązkowo. Okres przechowywania danych w zależności od podstawy prawnej może być określany przez przepisy szczególne lub wynikać z wytycznych dla danej branży. Jak już zostało wspominane nie jest możliwe napisane, że dane będą przechowywane tak długo, jak administrator uzna to za wskazane. Jeżeli zaś podstawą prawną przetwarzania danych jest zgoda, dane powinny być przetwarzane do momentu wycofania zgody na przetwarzanie danych osobowych przez podmiot danych.

Prawa podmiotów danych

Obowiązkowo. Prawa podmiotów danych, o jakich należy informować w klauzuli informacyjnej obejmują:

  1. Prawo do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą.
  2. Prawo do sprostowania danych.
  3. Prawo do usunięcia danych.
  4. Prawo do ograniczenia przetwarzania.
  5. Prawo do przenoszenia danych (jeżeli przetwarzanie odbywa się na podstawie zgody lub w celu wykonania umowy; prawo to obejmuje dane, które podmiot danych dostarczył administratorowi – podmiot danych ma także prawo do żądania, by dane osobowe zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe).

Prawo do wniesienie sprzeciwu

Jeżeli dane osobowe są przetwarzane jako niezbędne do wykonania obowiązku realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo na podstawie prawnie uzasadnionego interesu.

Prawo do cofnięcia zgody

Jeżeli przetwarzanie danych odbywa się na podstawie zgody podmiotu danych.

Prawo do wniesienie skargi

Obowiązkowo. Należy wskazać nazwę organu ochrony danych wraz z jego pełnym adresem.