Czy klauzula informacyjna musi zostać podpisana? #RODOFAQ

Informowanie osób, których dane dotyczą o przetwarzaniu ich danych osobowych, stanowi jeden z podstawowych obowiązków każdego administratora. Pierwsza, prawie milionowa kara pieniężna nałożona przez Prezesa UODO, dotyczyła właśnie nieprawidłowości w przekazywaniu informacji podmiotom danych. Nic więc dziwnego, że wiele organizacji poświecą temu zagadnieniu szczególną uwagę.

Niektórzy z administratorów, przekazując klauzulę informacyjną, zbierają od osób, których dane dotyczą dodatkowe oświadczenia o zapoznaniu się z jej treścią. Oświadczenia te przybierają wieloraką formę. Możemy spotkać się z osobnymi dokumentami w formie pisemnej, samymi podpisami pod treścią klauzuli czy też checkboxami, w przypadkach klauzul przekazywanych formą elektroniczną.

Czy takie działanie ma sens? Jest ono w ogóle wymagane przez przepisy RODO? Czy klauzula informacyjna musi zostać podpisana?

Obejrzyj w formie video na YouTube…

… albo odsłuchaj w formie podcastu

Czym jest obowiązek informacyjny?

O samym obowiązku informacyjnym rozpisywaliśmy się na naszym blogu nie w jednym, a w trzech artykułach. Serdecznie zapraszam do ich lektury. W tym miejscu wskażę natomiast podstawowe informacje dotyczące tego zagadnienia.

Obowiązek informacyjny aktualizuje się przy zbieraniu danych i jest on realizowany właśnie za pomocą tzw. klauzul informacyjnych (tj. komunikatów dotyczących przetwarzania danych osobowych).

Zgodnie z art. 13 ust. 1 RODO, przy tzw. pierwotnym gromadzeniu danych (od osoby, której dane dotyczą), przekazanie informacji o przetwarzaniu danych osobowych, powinno nastąpić w momencie gromadzenia danych.

Zgodnie z art. 14 ust. 3 RODO, przy tzw. wtórnym gromadzeniu danych (zbieranie danych w sposób inny niż od osoby, której dane dotyczą), informacje o przetwarzaniu danych osobowych, podaje się podmiotowi danych co do zasady w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca, a jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji. Jeżeli zaś administrator planuje ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

 

klauzule informacyjne

Klauzule informacyjne oraz klauzule zgód

Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.

Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.

Sprawdź

Jak prawidłowo dopełnić obowiązku informacyjnego?

Przekazywanie informacji na temat przetwarzania danych osobowych, zgodnie z art. 12 RODO powinno następować:

  • w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie

Powyższe oznacza, unikanie zbytniego przeładowania odbiorcy niepotrzebną treścią. Klauzule informacyjne powinny być możliwie jak najkrótsze, ich teść powinna wyróżniać się od innych przekazywanych komunikatów, a podmiot danych nie powinien być zmuszany do poszukiwania informacji na temat przetwarzania jego danych osobowych.

  • jasnym i prostym językiem

Informacje dotyczące przetwarzania danych osobowych powinny być formułowane w możliwie najprostszy sposób, unikać należy m.in. złożonych struktur zdania. Informacje powinny być konkretne. Nie powinno się stosować sformułowań, które pozostawiałyby miejsce dla różnych ich interpretacji.

  • na piśmie lub w inny sposób, w tym elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda, ustnie (o ile potwierdzi się tożsamość tej osoby)

Informacje mogą być przekazywane osobie, której dane dotyczą, zasadniczo w dowolniej formie, której wybór jest w praktyce uzależniony od samej formy gromadzenia danych (w szczególności dotyczy to przypadków tzw. pierwotnego gromadzenia danych).

Podpisywać czy nie podpisywać?

Obowiązek informacyjny wykonuje się poprzez przekazanie informacji, wymaganych przez RODO. Osoba, której dane dotyczą powinna zyskać realną możliwość zapoznania się z informacjami na temat przetwarzania jej danych osobowych. Jakiekolwiek dokumentowanie tego zapoznania, tj. czy faktycznie do niego doszło, czy dana osoba przeczytała przedstawione informacje, nie jest wymagane.

Czym innym jest jednak zbieranie dowodów, że do przekazania odpowiednich treści rzeczywiście doszło. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO), administrator musi być w stanie wykazać przestrzeganie przez siebie przepisów RODO. W omawianym zakresie, kluczowym będzie zatem odpowiedni wybór formy przedstawienia klauzuli.

Zważywszy m.in. na powyższą zasadę oraz rzeczone względy dowodowe, powszechnie rekomenduje się umieszczanie klauzul informacyjnych:

  • w dokumentach papierowych, które są przekazywane podmiotowi danych i/lub przez niego wypełniane, np. w kwestionariuszach, wnioskach, umowach,
  • pod formularzami w formie elektronicznej, tj. przede wszystkim pod formularzami kontaktowymi na stronie internetowej.

Umieszczanie obowiązków informacyjnych w dokumentach papierowych, za pomocą, których pozyskiwane są dane osobowe lub które są przekazywane po zebraniu danych jest powszechnie stosowaną praktyką. Jest przy tym praktyką zgodną z zasadą rozliczalności – administrator dysponuje dowodem, że klauzula informacyjna została przekazana podmiotowi danych.

Jest to też rozwiązanie korzystne dla samej osoby, której dane dotyczą. Przekazane dokumenty są bowiem dokumentami, które osoba ta przechowuje, w każdej chwili zatem może ona wrócić do informacji o przetwarzaniu dotyczących jej danych.

Natomiast w przypadkach, kiedy dane osobowe gromadzone są w formie elektronicznej, najlepiej, aby klauzule informacyjne znajdowały się np. pod formularzami, ewentualnie w regulaminach, których akceptację użytkownik pozostawiający dane potwierdza.

Wykorzystanie takich metod przekazywania informacji o przetwarzaniu danych osobowych gwarantuje to, że administrator danych będzie w stanie udowodnić fakt, że przekazał odpowiednie treści podmiotowi danych. Odebranie od osoby, której dane dotyczą osobnego oświadczenia w tym zakresie będzie już zbędne. Interesy administratora zostały już bowiem zabezpieczone zastosowaniem odpowiedniej formy klauzuli informacyjnej.

Czy klauzula informacyjna musi zostać podpisana? Finalny werdykt

Przepisy RODO nie wymagają odbierania od podmiotów danych oświadczeń o zapoznaniu się z klauzulą informacyjną. Z punktu widzenia zasady rozliczalności, niezbędne jest jedynie, aby administrator był w stanie wykazać udzielenie osobie, której dane dotyczą, wszystkich informacji, o których mowa w art. 13 i 14 RODO. Kluczowe w tym zakresie będzie zatem dobranie przez administratora odpowiedniej formy komunikacji.

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
rodo faq
Szkolenia RODO – jak skutecznie budować świadomość ochrony danych osobowych?
Jak zarejestrować IOD? Czyli wypełnianie e-formularza zawiadomienia UODO krok-po-kroku

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO