Jak dobrze zrobić klauzulę informacyjną
Wydawałoby się, że realizowanie obowiązków informacyjnych to najprostsza podstawa z podstaw. Wystarczy wziąć art. 13 (lub odpowiednio 14) RODO i punkt po punkcie wypisać poszczególne informacje. Jednak teoria i praktyka to dwie różne rzeczy. Powiedzmy sobie szczerze, nie jest łatwo zrobic dobrą klauzulę informacyjną. Wymaga to wiedzy i doświadczenia. Gdyby było to takie proste, nie spotykalibyśmy na każdym kroku źle zrobionych klauzul.
Jeżeli nie intersuje Cię, jak zrobić dobrą klauzulę, a wolisz, aby ekspert zrobił ją za Ciebie, napisz do mnie. Koszt standardowej klauzuli to zazwyczaj ok. 30 zł netto (bardziej skomplikowane są trochę droższe, ale nadal nie jest to majątek). Kontakt
Absolutnym punktem wyjścia, o którym zapominają osoby tworzące (lub sprawdzające) klauzule informacyjne jest sięgnięcie do przepisów RODO. Serio, ja robię to za każdym razem, bo przekonałam się wielokrotnie, że bez tego bez przerwy musiałam coś poprawiać lub dopisać. Zatem zacznij od otwarcia przepisów RODO.
Po drugie klauzula ma być skierowana do konkretnej kategorii osób. Dobijają mnie klauzule dla wszystkich i we wszystkich możliwych celach, których pełno jest w Internecie. Takie klauzule nic nie wnoszą i nie są zgodne z RODO, chyba że potrafisz to zrobić w taki sposób, aby rozdzielić poszczególne cele, podstawy, czasy przetwarzania, odbiorców danych, itd. dla poszczegolnych kategori odbiorców – taką klauzulę „dla wszystkich” ma Bank Millennium, ale jest ona tak zrobiona, że można bez problemu odnaleźć informacje dotyczące danego przetwarzania. Niestety większość klauzul to pomieszanie z poplątaniem. Dlatego może jednak zrób to prościej: jedna klauzula dla jednego celu przetwarzania lub jedna klauzula dla jednej kategorii osób, np. zleceniobioców, kandydatów do pracy, odbiorców treści marketingowych.
Forma klauzuli i kolejność przekazywanych informacji nie ma znaczenia. Klauzula nie musi być w punktach, nie musi być w tabeli. Ważne, żeby była przejrzysta i czytelna. Jeżeli ją drukujesz, pamiętaj aby nie była napisana czcionką mniejszą niż 8 pkt.
Wskazując administratora, pamiętaj aby podać kontakt do niego. Najlepiej zarówno adres jak i e-mail i/lub telefon. Jeżeli firma jest zarejestrowana pod innym adresem, niż adres korespondencyjny, wskaż adres korespondencyjny.
Jeżeli dane pozyskałeś z innego źródła, niż osoba której dane dotyczą, pamiętaj że poza wskazaniem tego źródła, należy także wskazać „kategorie odnośnych danych”. Częstym błędem jest pomijanie tej informacji, mimo że wymaga jej art. 14 RODO. Zatem informujesz, że dane pozyskałeś od XYZ w zakresie imienia, nazwiska, danych kontaktowych, itd.
Cele i podstawy przetwarzania warto wskazywać razem, tak jest łatwiej. Np.
- dane będą przetwarzane w celu realizacji usług drogą elektroniczną, na podstawie zawartej z Tobą umowy;
- dane będą przetwarzane w celu wystawienia faktury i rozliczeń, w związku z obowiązkiem administratora wynikającym z przepisów podatkowych i rachunkowych;
- w celu obrony bez roszczeniami, będziemy przetwarzać Twoje dane na podstawie naszego prawnie uzasadnionego interesu, jakim jest możliwość zapewnienia skutecznej ochrony przed roszczeniami z tytułu prowadzonej działalności gospodarczej.
Zastanawiasz się, czemu w ostatnim punkcie wskazano, na czym polegają prawnie uzasadnione interesy ADO? Wynika to z art. 13 ust. 1 lit. d RODO, zgodnie z którym przywołanie przesłanki legalizującej z art. 6 ust. 1 lit. f RODO, wymaga wskazania interesów realizowanych pzrez administratora lub stronę trzecią.
Podobnie, jeżeli przetwarza się dane na podstawie zgody, należy poinformować o możliwości jej odwołania bez wpływu na przetwarzanie, które miało miejsce przed jej wycofaniem – wymaga tego art. 13 ust. 2 lit. c RODO. To są właśnie rzeczy, o których łatwo zapomnieć.
Bardzo często spotykam się z ogólnym stwierdzeniem, że dane będą przetwarzanie, do „czasu ustania celu przetwarzania”. W większości przypadków można bardzo precyzyjnie wskazać ten czas (np. 5 kolejnych lat po roku, w którym została zakończona umowa) lub można podać bardziej precyzyjne kryteria. Takie ogólne stwierdzenie, że będzie się przechowywałodan, tak długo jak są potrzebne, jest słabe i niezgodne z wymaganiami RODO.
Pamętaj, że wskazując odbiorców danych, nie informujesz o tym, że będą nimi osoby upoważnione (pracownicy) administratora – to nie są odbiorcy danych. Należy wskazać wszelkich podwykonawców, którzy będą mieli dostęp do danych (kurierzy, biuro rachunkowe, dostawca poczty e-mail, itd.).
I na koniec, największy i najczęściej spotykany błąd: niepoprawnie wskazane prawa osoby, której dane dotyczą. Szczerze mówiąc nim więcej celów i podstaw przetwarzania, tym trudniej jest poprawnie wskazać, jakie prawa przysługują osobie, której dane dotyczą. Zresztą nie ma takiej potrzeby. Jeżeli sięgniesz do art. 13 ust. 2 lit. b RODO, okaże się, że masz poinformować osobę, której dane dotyczą, o tym że ma prawo żądania realizacji swoich praw, a nie jakie prawa jej przysługują:
Należy osobie, której dane dotyczą przekazać „informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych” (art. 13 ust. 2 lit. b RODO).
Wystarczy zatem w zasadzie zacytować ten punkt przepisów RODO. A w przypadku otrzymania żądania, administrator zgodnie z art. 12 RODO, dokona jego analizy i zrealizuje lub nie, prawo przysługujące na mocy przepisów RODO.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.
