19 mar

Zaktualizuj regulamin pod RODO

Zwracałam już uwagę na konieczność aktualizacji obowiązku informacyjnego pod RODO:

RODO: nowe obowiązki informacyjne wobec podmiotu danych

jednak niedawno zdałam sobie sprawę, że bardzo wiele osób w ogóle nie realizuje obowiązku informacyjnego, więc pewnie nie wie jak to zrobić.  Obowiązek informacyjny to nic innego, jak udzielenie osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych oraz o tym, jakie prawa jej przysługują. Mówiąc krótko, żeby miała poczucie, że nawet jeżeli jej dane są przekazywane do podmiotu, który ma uprzywilejowaną pozycję (duża/bogata firma, urząd, szpital) to ma ona prawo do kontroli tego, czy jej dane są prawidłowo przetwarzane (w tym zabezpieczone) oraz może dochodzić swoich praw (co więcej może zrobić to w jej imieniu organ nadzoru).

Te informacje są przekazywane podczas zbierania danych, a także wtedy gdy są uzyskiwane od innego podmiotu (np. podczas zakupu legalnej bazy marketingowej). Informacji udziela ten kto otrzymał dane. W przypadku bezpośredniego pozyskania danych, jeżeli te informacje są już znane osobie, której dane dotyczą, nie ma obowiązku udzielania niezbędnych informacji (Art. 13 ust. 4 RODO), np. w przypadku zawarcia umowy z tą osobą, uzasadnione jest stwierdzenie, że ma ona już wiedzę o przetwarzaniu jej danych, gdy wynika ono bezpośrednio z celu zawarcia umowy.

Podmiot, który pozyskał dane z innego źródła, zgodnie z art. 14 ust. 5 RODO nie będzie musiał wypełniał obowiązku informacyjnego m.in. także jeżeli jego wypełnienie byłoby niemożliwe lub wynikało bezpośrednio z przepisu prawa.

Co do zasady obowiązek informacyjny można wypełnić bezpośrednio w formularzu pozyskiwania danych (w szczególności przy treści zgody na przetwarzanie danych), w szczególności przy treści zgody. Najłatwiej oraz najwygodniej wypełnić go bezpośrednio w regulaminie świadczenia usług.

Obowiązek informacyjny zamieszczamy w szczególności w (dotyczy pozyskania danych bezpośrednio od podmiotu danych):

  • regulaminie konkursu
  • regulaminie świadczenia usług drogą elektroniczną
  • regulaminie wydarzenia
  • regulaminie biblioteki
  • regulaminie sklepu internetowego
  • regulaminie newslettera

Szczególnie dobrym momentem na aktualizację regulaminu jest konieczność zamieszczenia nowego obowiązku już pod RODO.

Wystarczy w regulaminie dodać paragraf dotyczący informacji o danych osobowych, w którym zostaną zamieszczone niezbędne informacje wymagane w art. 13 RODO.

Przykładowy obowiązek informacyjny (proszę zwrócić uwagę, że nie wszystkie punkty będą miały zawsze zastosowanie, informację należy przygotować pod konkretny proces przetwarzania):

Informacje o przetwarzaniu danych

  1. Administratorem Pani/a danych osobowych jest xxxxxx z siedzibą xxxxxxxxxxxxxx, e-mail: xxxxxxxxxxxxxxx (jeżeli dochodzi do współadministrowania, należy wskazać administratorów, zalecam także wskazanie podziału odpowiedzialności oraz zdań pomiędzy poszczególnymi administratorami)
  2. W sprawach związanych z Pani/a danymi proszę kontaktować się z Inspektorem Ochrony Danych, e-mail xxxxxxxxxxxxxxx
  3. Dane będą przetwarzane w celu xxxxxxxxxxxxxxxxxxxxxxxx na podstawie xxxxxxxxxxxxxx (proszę wskazać przesłankę legalizującą, np. zgoda, konkretny przepis prawa)
  4. Dane mogą być udostępniane ……………………. w celu prawidłowej realizacji usług określonych w regulaminie (tylko jeżeli ma zastosowanie, inaczej jest to dozwolone tylko na podstawie odrębnie wyrażonej zgody)
  5. Dane mogą być przekazane poza Europejski Obszar Gospodarczy lub organizacji międzynarodowej (jakiej/gdzie). Administrator informuje, że w tym celu zostały zastosowane zabezpieczenia ………………., w celu uzyskania kopii danych proszę kontaktować się z Inspektorem Ochrony Danych.
  6.  dane będą przechowywane przez okres xxxxxxxxxxxxxxxxxxxx
  7. Ma Pan/i prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania.
  8. Ma Pan/i prawo do wniesienia sprzeciwu wobec dalszego przetwarzania, a w przypadku wyrażenia zgody na przetwarzanie danych do jej wycofanie. Skorzystanie  prawa cofnięcia zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.
  9. Ma Pan/i także prawo do przenoszenia danych (w szczególności historii transakcji)
  10. Przysługuje Pani/u prawo wniesienia skargi do organu nadzorczego (można wskazać dane organu)
  11. Administrator informuje także o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu na zasadach………………. w celu ……………………… (proszę określić także jakie niesie konsekwencje dla tej osoby)

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 3 czerwca 2018