Jednym z podstawowych obowiązków administratora danych osobowych jest informowanie o zasadach ich przetwarzania osób, których dane te dotyczą. Mimo że RODO obowiązuje już ponad 3 lata, nadal spotykamy się z błędami w zakresie jego realizacji. W artykule wymieniamy i opisujemy 7 najczęściej popełnianych.
Błąd 1. Nieprawidłowe oznaczenie administratora
Jedną z podstawowych informacji, którą powinna podawać klauzula informacyjna, jest tożsamość administratora danych osobowych. Tego w pierwszej kolejności szuka podmiot danych. Jest to dla niego punktem wyjścia dla zrozumienia, dlaczego jego dane są przetwarzane. Wiele osób na tej podstawie podejmuje decyzję, czy w ogóle przekaże swoje dane. Dlatego też właściwe i zrozumiałe oznaczenie administratora jest bardzo ważne.
Wiele podmiotów w klauzulach posługuje się swoją skróconą nazwą. Często spotyka się pominięcie formy prawnej. Niektórzy administratorzy zamiast na siebie (np. spółkę) wskazują na osoby ich reprezentujące (np. Prezesa Zarządu).
Stosowanie wszelkiego rodzaju skrótów nazw jest oczywiście dozwolone. Wyłącznie jednak w wypadku, kiedy umożliwia jednoznaczną identyfikację podmiotu, który pełni funkcję administratora.
Jeżeli na swojej stronie internetowej posługujesz się zamiennie pełną nazwą i skrótem nazwy Twojej organizacji, to zastosowanie tego skrótu przy klauzuli np. pod formularzem informacyjnym nie będzie problemem. Osoba, która z niego korzysta, będzie bowiem świadoma, komu podaje swoje dane. Jeżeli natomiast dzielisz stronę z innymi podmiotami, np. w ramach grupy kapitałowej, posługiwanie się takim skrótem może być już problematyczne i wprowadzić odbiorcę w błąd.
Obejrzyj w formie video na YouTube…
… albo odsłuchaj w formie podcastu
Błąd 2. Metoda kopiuj – wklej
W dzisiejszych czasach znalezienie wzoru klauzuli informacyjnej zajmie Ci nie więcej niż minutę. W Internecie aż roi się od szablonów opisywanych jako „zgodne z RODO” czy „od razu gotowe do użycia”. O ile pierwsze twierdzenie może być rzeczywiście prawdziwe (pod warunkiem, że klauzula zawiera wszystkie obligatoryjne elementy), to drugie z nich już takie nie będzie.
Treść klauzuli zawsze musi odzwierciedlać stan faktyczny zachodzący w Twojej organizacji. Tak jak próżno szukać dwóch identycznych płatków śniegu, tak znalezienie dwóch podmiotów działających tak samo jest praktycznie niemożliwe. Każdy podmiot jest inny. Każdy z nich ma inne cele do osiągnięcia i inaczej prowadzi swoją działalność. To wszystko rzutuje na różnice w procesach przetwarzania danych osobowych, które powinny być opisywane w klauzulach.
Posługiwanie się skopiowanymi treściami komunikatów informacyjnych może przynieść Twojej organizacji więcej złego niż dobrego. Co prawda, takie działanie może uśpić czujność podmiotów danych, ale nie na długo. Prędzej czy później pojawi się osoba, która postanowi zweryfikować informacje zawarte w klauzuli. Prawdziwe problemy mogą zaś zacząć się wówczas, kiedy osobą tą będzie inspektor UODO. Klauzula niezgodna ze stanem faktycznym jest równoznaczna z niedopełnieniem obowiązku informacyjnego względem podmiotów danych.
Błąd 3. Niedostosowanie treści do odbiorcy
Długie, naszpikowane prawniczymi zwrotami klauzule informacyjne na szczęście odchodzą już do lamusa. Coraz więcej podmiotów decyduje się dostosowywać treść i formę swoich komunikatów do ich odbiorców. Nadal możemy jednak spotkać kilkustronicowe wypracowania, pretendujące do miana opinii prawnych.
RODO wyraźnie wskazuje nam, że wszelkie komunikaty na temat przetwarzania danych osobowych powinny być przekazywane jasnym i prostym językiem, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie (art. 12 RODO).
Przede wszystkim powinniśmy unikać przeładowania tekstu niepotrzebną treścią. Więcej nie zawsze znaczy lepiej. Im dłuższa klauzula, tym mniejsze prawdopodobieństwo, że osoba, której dane dotyczą, zapozna się z nią.
Stosowanie takich zwrotów jak może, często, możliwe etc. zrodzi po stronie podmiotu danych więcej pytań niż odpowiedzi. A to stoi w opozycji do idei obowiązku informacyjnego, który sam w sobie ma być dla podmiotu źródłem informacji o przetwarzaniu jego danych.
Informacje przekazywane podmiotowi danych nie powinny zawierać również sformułowań oraz terminologii charakterystycznych dla języka fachowego (prawniczego, informatycznego etc.).
Pamiętaj, że odbiorcą komunikatu jest żywy człowiek. Człowiek zainteresowany tym, co faktycznie dzieje się z jego danymi osobowymi. Nie zakładaj, że jest ekspertem, który doskonale wie, co kryje się pod pojęciem państwo trzecie czy skrótem IOD. Jeżeli masz jakiekolwiek wątpliwości co do jasności używanych przez siebie terminów, zmień je.
Błąd 4. Niedziałające linki
Stosowanie różnego rodzaju odnośników przy dopełnianiu obowiązku informacyjnego jest bardzo popularne. Wiele podmiotów decyduje się na tzw. warstwowy obowiązek informacyjny: w pierwszej warstwie podaje podstawowe informacje na temat przetwarzania danych, natomiast szczegóły ujawnia w warstwie drugiej, do której prowadzi link. Często też osobno opisana jest polityka prywatności, ogólne informacje na tematy związane z ochroną danych osobowych czy formularz kontaktowy z IOD.
Taki zabieg jest niezwykle praktyczny. Oszczędzamy przede wszystkim miejsce (za co osoby z marketingu na pewno będą nam wdzięczne), ale również czas (w wypadku zmian w treści klauzuli wystarczy, że zaktualizujemy ją w jednym miejscu).
Jeżeli decydujesz się na linkowanie czy innego rodzaju odwołania w komunikacie informacyjnym, monitoruj ich poprawne działanie. Chyba nikt nie lubi błędu 404 Not Found. Zwłaszcza jeżeli został do niego wprost przekierowany.
To samo tyczy się maili kontaktowych podawanych w klauzuli. Jeżeli zadałaś/eś sobie trud, tworząc skrzynkę kontaktową typu prywatnosc@, daneosobowe@, iod@ czy inną, zwróć uwagę, czy działa ona poprawnie, a maile na nią wpływające są rzeczywiście przez kogoś odbierane.
Błąd 5. Podpisy i checkboxy
Podpis, parafa, checkbox, głośne „TAK” przy komunikacie ustnym. Kto z nas nie składał oświadczenia o zapoznaniu się z klauzulą informacyjną niech pierwszy… pozostawi komentarz.
Obowiązek informacyjny polega na przekazaniu informacji o przetwarzaniu danych. Osoba, której te dane dotyczą, powinna zyskać realną możliwość zapoznania się z tymi informacjami. Jakiekolwiek udokumentowanie tego zapoznania, tj. czy faktycznie do niego doszło i dana osoba przeczytała/odsłuchała przedstawione informacje, nie jest wymagane.
Czym innym jest jednak zbieranie dowodów, że do przekazania odpowiednich treści rzeczywiście doszło. Administrator musi być w stanie wykazać przestrzeganie przez siebie przepisów RODO. Kluczowym będzie zatem odpowiedni wybór formy przedstawienia klauzuli, np. kiedy dane gromadzone są w formie elektronicznej, najlepiej, aby klauzule znajdowały się np. pod formularzami, ewentualnie w regulaminach, których akceptację użytkownik potwierdza.
Chcesz sprawdzić swoje klauzule informacyjne?
Nasi eksperci zrobią to dla Ciebie! Usprawnimy Twoją „komunikację RODO” w taki sposób, żeby była przyjazna dla odbiorcy a przy tym w pełni zgodna z przepisami o ochronie danych osobowych.
Skorzystaj z naszych konsultacji.
Błąd 6. Brak elementów obligatoryjnych
Jak dopełnić obowiązku informacyjnego, jednocześnie go nie dopełniając? Wystarczy pominąć jego obligatoryjne elementy.
Najczęściej pomijaną informacją jest ta, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
Brak obowiązkowego elementu w klauzuli najczęściej wynika z pośpiesznego jej sporządzania, przeoczenia lub zwykłej niewiedzy. Zdarza się jednak, że niektóre informacje administratorzy pomijają celowo (np. przekazywanie danych poza UE). Nie jest to jednak praktyka godna naśladowania, zwłaszcza jeśli nie chcesz narazić się Prezesowi UODO.
Błąd 7. Informowanie tylko wybranych grup
O ile przedstawianie klauzul informacyjnych kandydatom do pracy i klientom weszło administratorom w krew, to inne grupy podmiotów są często pomijane. Klasyczny przykład to kontrahenci, czyli podmioty, które świadczą usługi na naszą rzecz. Może to wynikać z faktu, że zakres przetwarzanych danych jest tutaj zazwyczaj ograniczony. Podczas współpracy z kontrahentem przetwarzamy bowiem głównie dane kontaktowe osób go reprezentujących, wskazanych do bieżącego kontaktu.
Często zapomina się również o pracownikach. Wielu administratorów wychodzi z założenia, że wystarczy tutaj obowiązek informacyjny przedstawiany podczas procesu rekrutacji.
Obowiązek informacyjny powinien zostać co do zasady spełniony wobec wszystkich osób, których dane osobowe Twoja organizacja przetwarza. Zwolnienia z niego występują w praktyce bardzo rzadko i dotyczą jedynie sytuacji, kiedy dane gromadzone są z innych źródeł.
Podsumowanie
Czy któryś ze wskazanych błędów brzmi znajomo? A może w swojej praktyce spotkałaś/eś się z innymi błędami przy dopełnianiu obowiązku informacyjnego?
Pamiętaj, że obowiązek informacyjny stanowi jeden z elementów systemu ochrony danych osobowych, którego wdrożenie (lub jego brak) widać już na pierwszy rzut oka. Jest on prawdziwą wizytówką administratora.
Użytkownicy strony, klienci czy pracownicy, którym przedstawisz poprawnie zbudowaną klauzulę informacyjną, dostaną jasny sygnał, że ochrona ich danych jest dla Ciebie ważna. To na pewno zaowocuje zwiększonym zaufaniem, które jest ważne nie tylko z perspektywy zgodności z RODO, ale również biznesowej.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Powiązane artykuły
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Dzień dobry, mam pytanie niezwiązane z treścią artykułu, jednak bardzo proszę o odpowiedź. Moje pytanie dotyczy prawa do sprostowania danych, mianowicie jak wygląda ono w praktyce? Czy mogę prosić administratora moich danych, np. właściciela sklepu internetowego, o zmianę podanych przeze mnie danych jeżeli zmieniłem adres domowy? Będę bardzo wdzięczny za pomoc. Pozdrawiam serdecznie.
Dzień dobry, jak najbardziej można prosić administratora danych o sprostowanie takich danych jak adres domowy, zwłaszcza jeśli jest to informacja np. niezbędna do realizacji zamówionej usługi, dostarczenia zakupionego towaru. Pozdrawiamy 🙂
Dzień dobry, serdecznie dziękuję za odpowiedź. Jeżeli to nie problem, będę wdzięczny za udzielenie mi odpowiedzi na moje kolejne pytanie. W odpowiedzi na moją prośbę dotyczącą sprostowania danych przez sklep internetowy otrzymałem następującą wiadomość: „(…) Zamówienia zostały odebrane, w związku z czym usługa została zrealizowana i nie ma możliwości zmiany danych podanych w celu jej realizacji.” O ile rozumiem zasadność takiej odpowiedzi, zastanawia mnie w jaki sposób sklep będzie kontaktować się ze mną w przypadku np. wycieku danych jeżeli moje dane adresowe są już nieaktualne. Czy na takiej podstawie moja prośba w dalszym ciągu jest niemożliwa do spełnienia? Dziękuję z góry za pomoc, pozdrawiam serdecznie!
Dzień dobry, jeśli sklep po realizacji usługi automatyczne usuwa dane kontaktowe do swoich klientów, odpowiedź jest uzasadniona. Jeśli doszłoby do wycieku danych, pozostaje jeszcze komunikacja z podmiotem danych np. w formie informacji zamieszczonej na stronie www. Pozdrawiamy serdecznie!