Jest to druga część artykułu - poradnika poświęconego stosowaniu obowiązków informacyjnych zgodnych z RODO.
Z drugiej części dowiesz się: o czym dodatkowo powinieneś poinformować "właściciela" danych, w jakiej formie realizować obowiązek informacyjny oraz czy za jego realizację możesz pobierać opłaty.
Poniżej lista artykułów z cyklu "Obowiązek informacyjny w RODO":
Przekazywanie dodatkowych informacji
Z uwagi na to, że głównym założeniem zasady przejrzystości przetwarzania danych osobowych jest umożliwienie podmiotowi danych wcześniejszego określenia zakresu i konsekwencji przetwarzania jego danych, w ramach tzw. bestpractice, administratorzy danych powinni przekazywać nie tylko informacje wymagane zgodnie z art. 13 i 14 RODO, ale również inne informacje, istotne z punktu widzenia danego przetwarzania. W szczególności dotyczyć to powinno procesów przetwarzania dokonywanych przy wykorzystaniu narzędzi zaawansowanych technologicznie, jak również procesów o szczególnej ich złożoności.
Do takich dodatkowych informacji możemy zaliczyć przede wszystkim wskazanie, jaki możliwy wpływ na podstawowe prawa i wolności podmiotu danych będzie miało dokonywane przez administratora przetwarzanie jego danych osobowych.
W związku z tym, że formalnie preambuła nie ma mocy prawnie wiążącej (por. wyrok TSUE z dnia 2 kwietnia 2009 r. sprawa C‑134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH hanse j.), a jej zadanie polega na wskazaniu intencji prawodawcy w czasie wprowadzania konkretnego rozwiązania, wskazania powoływanego motywu należy rozumieć właśnie jako tę dobrą praktykę, a nie obowiązek wynikający z przepisów RODO.
Klauzula informacyjna może również informować o stosowanych przez administratora danych kodeksach postępowania, bądź nadanych mu certyfikatach. Z punktu widzenia administratora, zamieszczenie takich informacji jest o tyle korzystne, że może zachęcić osobę, której dane dotyczą do przekazania dotyczących jej danych osobowych właśnie temu, a nie innemu podmiotowi.
Klauzule informacyjne oraz klauzule zgód
Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.
Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.
Forma przekazywania informacji
RODO wprowadza ogólne wymogi dotyczące formy informowania osób, których dane dotyczą o przetwarzaniu ich danych.
- w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie;
- jasnym i prostym językiem (w szczególności gdy informacje są kierowane do dziecka);
- na piśmie lub w inny sposób, w tym elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda, ustnie (o ile potwierdzi się tożsamość tej osoby).
Wymóg, przekazywania informacji w sposób zwięzły, przejrzysty i zrozumiały oznacza, że administratorzy danych powinni unikać zbytniego przeładowania odbiorcy niepotrzebną treścią. Klauzule informacyjne powinny być możliwie jak najkrótsze, a ich teść powinna wyróżniać się od innych przekazywanych komunikatów (np. postanowień umownych, zasad konkursowych, etc.). Im dłuższa klauzula, tym mniejsze prawdopodobieństwo, że osoba której dane dotyczą zapozna się z jej treścią.
Przekazywane informacje powinny być łatwo dostępne dla osoby, której dane dotyczą. Oznacza to, że podmiot danych nie powinien być zmuszany do poszukiwania informacji na temat przetwarzania jego danych osobowych. Powinno być dla niego od razu oczywiste, gdzie takie informacje może uzyskać. Najpraktyczniejszym rozwiązaniem w tym zakresie jest umieszczanie treści klauzul bezpośrednio pod formularzem z danymi, a w przypadkach formularzy w formie elektronicznej, umieszczenie aktywnego linka do treści komunikatu.
Jasny i prosty język oznacza, że informacje dotyczące przetwarzania danych osobowych powinny być formułowane w możliwie najprostszy sposób, unikając m.in. złożonych struktur zdania. Informacje powinny być konkretne. Nie powinno się stosować sformułowań, które pozostawiałyby miejsce dla różnych ich interpretacji. W szczególności, należy unikać zwrotów, takich jak może, często, możliwe, etc. Dodatkowo, informacje przekazywane podmiotowi danych nie powinny również zawierać sformułowań oraz terminologii charakterystycznych dla języka fachowego (prawniczego, informatycznego, etc.). Jeżeli administrator decyduje się na stosowanie skrótów, powinny to być skróty powszechnie używane. Ponadto, jeżeli klauzule informacyjne są tłumaczone na jeden lub więcej innych języków, administrator danych powinien zapewnić, że wszystkie tłumaczenia są dokładne oraz że frazeologia i składnia mają sens w tym drugim języku (językach).
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Stosowanie jasnego i prostego języka jest szczególnie ważne przy kierowaniu komunikatów informacyjnych do dzieci, które zgodnie z motywem 58 RODO, zasługują na szczególną ochronę.
Komunikaty informacyjne mogą być przekazywane przez administratora danych na piśmie lub w inny sposób, w tym elektronicznie. Forma przekazania informacji jest uzależniona przede wszystkim od formy gromadzenia danych. Oznacza to, że informacje mogą być przekazywane osobie, której dane dotyczą, zasadniczo w dowolniej formie, której wybór jest w praktyce uzależniony od samej formy gromadzenia danych (w szczególności dotyczy to przypadków tzw. pierwotnego gromadzenia danych). Przez inne sposoby przekazywania informacji należy rozumieć np. stosowanie infografik, schematów, czy też treści video.
Wybór formy przekazania komunikatu zależy od administratora danych, z zastrzeżeniem, że przekazanie informacji w formie ustnej może nastąpić wyłącznie wtedy, gdy osoba, której dane dotyczą, tego zażąda i to wyłącznie pod takim warunkiem, że innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. W niektórych przypadkach jednak, zastosowanie innej niż ustna formy może być wręcz niemożliwe. Dotyczyć to może przypadku gromadzenia danych od osób niewidomych lub z różnych innych względów nie mogących odczytać kierowanego do nich komunikatu. Takie przekazywanie informacji znajdzie również zastosowanie przy gromadzeniu danych przez konsultanta podczas prowadzonej rozmowy telefonicznej.
Właściwe dostosowanie treści klauzuli informacyjnej oraz wybór formy jej przedstawienia jest niezwykle ważny z punktu widzenia zasady rozliczalności. To na administratorze danych będzie bowiem ciążył obowiązek udowodnienia, że akurat taki rodzaj komunikacji był w danym przypadku najbardziej właściwy.
Opłaty
Ten aspekt zasady przejrzystości oznacza również, że wszelkie informacje przekazywane na podstawie tych przepisów nie mogą być uzależnione od transakcji finansowych, na przykład płatności za usługi lub towary.
12 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Czy do każdego wymienionego w obowiązku informacyjnym celu przetwarzania danych, np. „prowadzenie działalności wydawniczej” należy podać podstawę przetwarzania, czy można w 1 punkcie zebrać wszystkie podstawy przetwarzani do wszystkich celów łącznie, np art. 6 RODO pkt a-c + statut instytucji?
Pozdrawiam!
Dzień dobry. Te cele, które mają tę samą podstawę prawną, możemy wymienić łącznie, w innym wypadku powinno się każdy cel, który ma odmienną podstawę prawną, wymienić osobno. Na marginesie – statut instytucji nie jest podstawą prawną do przetwarzania danych osobowych. Pozdrawiamy!
Załóżmy, że klauzula zgody na przechowywanie przetwarzanie jest wyposażona w wymagane elementy, typu: kto jest administratorem, do kogo się zgłosić w sprawie zmiany/usunięcia danych, jaka jest podstawa prawna i interes prawny itd. to czy można połączyć w jednej formule zgody kilka celów: np.: „[…] wyrażam zgodę na przechowywanie, przetwarzanie i profilowanie moich danych osobowych w celu otrzymywania środkami komunikacji elektronicznej informacji handlowo-marketingowych […]” ?
Dzień dobry. Czynności, o których Pan wspomina, nie są celami przetwarzania danych w rozumieniu RODO, lecz formami/sposobami ich przetwarzania. Wyrażając zgodę na przetwarzanie, wyraża się zgodę na wszystkie (dopuszczalne) formy przetwarzania. Wyjątkiem jest tzw. profilowanie kwalifikowane (związane z automatycznym podejmowaniem decyzji), na które wymagana jest osobna, wyraźna zgoda osoby, której dane dotyczą. Pozdrawiamy!
Czyli stosowane przez sklepy internetowe np. systemy rekomendacji bazujące na dotychczasowej historii zakupów lub zanotowanego ruchu na stronie sklepu wymagają wcześniejszej zgody na profilowanie?
Dzień dobry. Tak, jest to tzw. targetowanie behawioralne, które jest jedną z form profilowania kwalifikowanego. Potrzebna jest na to wyraźna zgoda osoby, której dane dotyczą. Pozdrawiamy!
Witam, proszę o podpowiedź, czy w przypadku np stacji paliw, która gromadzi dane osobowe osób fizycznych proszących o wystawienie faktury za paliwo, klauzula informacyjna może przyjąć formę informacji zamieszczonej przed kasą. Czy dokument musi być podpisany? byłoby to mocno kłopotliwe.
Dzień dobry. Wystarczy informacja przy kasie, a klauzula nie musi być podpisana. Pozdrawiamy!
Czy w przypadku, gdy kontaktujemy się z klientem zagranicznym to stopka maila z klauzulą informacyjną dot. danych osobowych powinna być przetłumaczona na język obcy, w którym się kontaktujemy z klientem, czy też wystarczające, by była w j. polskim ?
Dzień dobry. Stopka powinna być przetłumaczona. Pozdrawiamy!
Dzień dobry. Zastanawiam się w jakim zakresie informować w klauzuli informacyjnej osobę, której dane dotyczą i jej prawach w związku z przetwarzaniem danych. Czy mamy wymienić zawsze prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia i sprzeciwu? Czy jednak wskazać tylko te które w danym przypadku faktycznie przysługują. Trochę mało przejrzyste byłoby wskazywanie prawa do przenoszenia danych oraz prawa sprzeciwu, które i tak w danej sytuacji osoba nie może zrealizować, bo nie będą po prostu przysługiwały ze względu na podstawę prawną przetwarzania danych. Grupa robocza w wytycznych dotyczących przejrzystości wskazuje na to, że opis praw powinien być dostosowany do konkretnego scenariusza przetwarzania, UODO w klauzulach nie wymienia prawa do przenoszenia danych i sprzeciwu jeśli nie przysługuje. Praktyka i opinie są jednak różne w tym zakresie i niektórzy administratorzy powołują się na dosłowne brzmienie przepisu i wymieniają wszystkie prawa bez względu na to, czy one przysługują. Jakie jest Państwa zdanie w tym zakresie? Pozdrawiam
Dzień dobry, przychylamy się do opinii Grupy roboczej 🙂 Pozdrawiamy!