Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Obowiązek informacyjny w RODO cz. 2

Jest to druga część artykułu - poradnika poświęconego stosowaniu obowiązków informacyjnych zgodnych z RODO. Z drugiej części dowiesz się: o czym dodatkowo powinieneś poinformować "właściciela" danych, w jakiej formie realizować obowiązek informacyjny oraz czy za jego realizację możesz pobierać opłaty. Poniżej lista artykułów z cyklu "Obowiązek informacyjny w RODO":

Przekazywanie dodatkowych informacji

Z uwagi na to, że głównym założeniem zasady przejrzystości przetwarzania danych osobowych jest umożliwienie podmiotowi danych wcześniejszego określenia zakresu i konsekwencji przetwarzania jego danych, w ramach tzw. bestpractice, administratorzy danych powinni przekazywać nie tylko informacje wymagane zgodnie z art. 13 i 14 RODO, ale również inne informacje, istotne z punktu widzenia danego przetwarzania. W szczególności dotyczyć to powinno procesów przetwarzania dokonywanych przy wykorzystaniu narzędzi zaawansowanych technologicznie, jak również procesów o szczególnej ich złożoności.

Do takich dodatkowych informacji możemy zaliczyć przede wszystkim wskazanie, jaki możliwy wpływ na  podstawowe prawa i wolności podmiotu danych będzie miało dokonywane przez administratora przetwarzanie jego danych osobowych.

Z kolei zgodnie z motywem 60 RODO, osobę, której dane dotyczą należy poinformować o fakcie profilowania oraz o konsekwencjach takiego profilowania, niezależnie od tego czy będzie to profilowanie w rozumieniu art. 22 RODO (czyli związane ze zautomatyzowanym podejmowaniem decyzji wywołującej skutek prawny lub w inny sposób istotnie wpływającej na podmiot danych).

W związku z tym, że formalnie preambuła nie ma mocy prawnie wiążącej (por. wyrok TSUE z dnia 2 kwietnia 2009 r. sprawa C‑134/08 HauptzollamtBremen przeciwko J.E. Tyson Parketthandel GmbH hanse j.), a jej zadanie polega na wskazaniu intencji prawodawcy w czasie wprowadzania konkretnego rozwiązania, wskazania powoływanego motywu należy rozumieć właśnie jako tę dobrą praktykę, a nie obowiązek wynikający z przepisów RODO.

Klauzula informacyjna może również informować o stosowanych przez administratora danych kodeksach postępowania, bądź nadanych mu certyfikatach. Z punktu widzenia administratora, zamieszczenie takich informacji jest o tyle korzystne, że może zachęcić osobę, której dane dotyczą do przekazania dotyczących jej danych osobowych właśnie temu, a nie innemu podmiotowi.

Forma przekazywania informacji

UODO nie wskazuje w jakiej formie, jakim językiem, administrator danych powinien przekazywać osobie której dane dotyczą informacje dotyczące przetwarzania jej danych osobowych.

Obecnie przyjmuje się, że skoro prawodawca nie narzuca żadnej formy, należy uznać, iż jest ona w zasadzie dowolna, a informacje mogą być udzielone zarówno pisemnie, w formie elektronicznej, jaki i ustnie. W praktyce, biorąc pod uwagę aspekt dowodowy, najczęściej stosuje się klauzule informacyjne w formie pisemnej oraz elektronicznej, jako element formularzy za pośrednictwem których gromadzone są dane osobowe.

W przeciwieństwie do UODO, RODO wprowadza ogólne wymogi dotyczące formy informowania osób, których dane dotyczą o przetwarzaniu ich danych.

Zgodnie z art. 12 ust. 1 RODO informacji na temat przetwarzania danych osobowych udziela się:
  • w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie;
  • jasnym i prostym językiem (w szczególności gdy informacje są kierowane do dziecka);
  • na piśmie lub w inny sposób, w tym elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda,ustnie(o ile potwierdzi się tożsamość tej osoby).

Wymóg, przekazywania informacji w sposób zwięzły, przejrzysty i zrozumiały oznacza, że administratorzy danych powinni unikać zbytniego przeładowania odbiorcy niepotrzebną treścią. Klauzule informacyjne powinny być możliwie jak najkrótsze, a ich teść powinna wyróżniać się od innych przekazywanych komunikatów (np. postanowień umownych, zasad konkursowych, etc.). Im dłuższa klauzula, tym mniejsze prawdopodobieństwo, że osoba której dane dotyczą zapozna się z jej treścią.

Przekazywane informacje powinny być łatwo dostępne dla osoby, której dane dotyczą. Oznacza to, że podmiot danych nie powinien być zmuszany do poszukiwania informacji na temat przetwarzania jego danych osobowych. Powinno być dla niego od razu oczywiste, gdzie takie informacje może uzyskać. Najpraktyczniejszym rozwiązaniem w tym zakresie jest umieszczanie treści klauzul bezpośrednio pod formularzem z danymi, a w przypadkach formularzy w formie elektronicznej, umieszenie aktywnego linka do treści komunikatu.

Jasny i prosty język oznacza, że informacje dotyczące przetwarzania danych osobowych powinny być formułowane w możliwie najprostszy sposób, unikając m.in. złożonych struktur zdania. Informacje powinny być konkretne. Nie powinno się stosować sformułowań, które pozostawiałyby miejsce dla różnych ich interpretacji. W szczególności, należy unikać zwrotów, takich jak może, często, możliwe, etc. Dodatkowo, informacje przekazywane podmiotowi danych nie powinny również zawierać sformułowań oraz terminologii charakterystycznych dla języka fachowego (prawniczego, informatycznego, etc.). Jeżeli administrator decyduje się na stosowanie skrótów, powinny to być skróty powszechnie używane. Ponadto, jeżeli klauzule informacyjne są tłumaczone na jeden lub więcej innych języków, administrator danych powinien zapewnić, że wszystkie tłumaczenia są dokładne oraz że frazeologia i składnia mają sens w tym drugim języku (językach).

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Stosowanie jasnego i prostego języka jest szczególnie ważne przy kierowaniu komunikatów informacyjnych do dzieci, które zgodnie z motywem 58 RODO, zasługują na szczególną ochronę.

Komunikaty informacyjne mogą być przekazywane przez administratora danych na piśmie lub w inny sposób, w tym elektronicznie. Forma przekazania informacji jest uzależniona przede wszystkim od formy gromadzenia danych. Oznacza to, że informacje mogą być przekazywane osobie, której dane dotyczą, zasadniczo w dowolniej formie, której wybór jest w praktyce uzależniony od samej formy gromadzenia danych (w szczególności dotyczy to przypadków tzw. pierwotnego gromadzenia danych). Przez inne sposoby przekazywania informacji należy rozumieć np. stosowanie infografik, schematów, czy też treści video.

Wybór formy przekazania komunikatu zależy od administratora danych, z zastrzeżeniem, że przekazanie informacji w formie ustnej może nastąpić wyłącznie wtedy, gdy osoba, której dane dotyczą, tego zażąda i to wyłącznie pod takim warunkiem, że innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. W niektórych przypadkach jednak, zastosowanie innej niż ustna formy może być wręcz niemożliwe. Dotyczyć to może przypadku gromadzenia danych od osób niewidomych lub z różnych innych względów nie mogących odczytać kierowanego do nich komunikatu. Takie przekazywanie informacji znajdzie również zastosowanie przy gromadzeniu danych przez konsultanta podczas prowadzonej rozmowy telefonicznej.

Właściwe dostosowanie treści klauzuli informacyjnej oraz wybór formy jej przedstawienia jest niezwykle ważny z punktu widzenia zasady rozliczalności. To na administratorze danych będzie bowiem ciążył obowiązek udowodnienia, że akurat taki rodzaj komunikacji był w danym przypadku najbardziej właściwy.

Opłaty

Przekazywanie informacji podmiotom danych zarówno na gruncie art. 24 oraz 25 UODO, jak i analogicznie na gruncie art. 13 oraz 14 RODO, jest wolne od opłat.

Ten aspekt zasady przejrzystości oznacza również, że wszelkie informacje przekazywane na podstawie tych przepisów nie mogą być uzależnione od transakcji finansowych, na przykład płatności za usługi lub towary.

 

Powiązane artykuły

Obowiązek informacyjny w RODO cz. 3
Obowiązek informacyjny w RODO
Rejestr Czynności Przetwarzania – mapowanie procesów

6 Odpowiedzi

  1. GABRYSIA

    Czy do każdego wymienionego w obowiązku informacyjnym celu przetwarzania danych, np. “prowadzenie działalności wydawniczej” należy podać podstawę przetwarzania, czy można w 1 punkcie zebrać wszystkie podstawy przetwarzani do wszystkich celów łącznie, np art. 6 RODO pkt a-c + statut instytucji?
    Pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. Te cele, które mają tę samą podstawę prawną, możemy wymienić łącznie, w innym wypadku powinno się każdy cel, który ma odmienną podstawę prawną, wymienić osobno. Na marginesie – statut instytucji nie jest podstawą prawną do przetwarzania danych osobowych. Pozdrawiamy!

  2. BeeS

    Załóżmy, że klauzula zgody na przechowywanie przetwarzanie jest wyposażona w wymagane elementy, typu: kto jest administratorem, do kogo się zgłosić w sprawie zmiany/usunięcia danych, jaka jest podstawa prawna i interes prawny itd. to czy można połączyć w jednej formule zgody kilka celów: np.: “[…] wyrażam zgodę na przechowywanie, przetwarzanie i profilowanie moich danych osobowych w celu otrzymywania środkami komunikacji elektronicznej informacji handlowo-marketingowych […]” ?

    1. Kancelaria Lex Artist

      Dzień dobry. Czynności, o których Pan wspomina, nie są celami przetwarzania danych w rozumieniu RODO, lecz formami/sposobami ich przetwarzania. Wyrażając zgodę na przetwarzanie, wyraża się zgodę na wszystkie (dopuszczalne) formy przetwarzania. Wyjątkiem jest tzw. profilowanie kwalifikowane (związane z automatycznym podejmowaniem decyzji), na które wymagana jest osobna, wyraźna zgoda osoby, której dane dotyczą. Pozdrawiamy!

      1. BeeS

        Czyli stosowane przez sklepy internetowe np. systemy rekomendacji bazujące na dotychczasowej historii zakupów lub zanotowanego ruchu na stronie sklepu wymagają wcześniejszej zgody na profilowanie?

        1. Kancelaria Lex Artist

          Dzień dobry. Tak, jest to tzw. targetowanie behawioralne, które jest jedną z form profilowania kwalifikowanego. Potrzebna jest na to wyraźna zgoda osoby, której dane dotyczą. Pozdrawiamy!

Zostaw odpowiedź