jednak niedawno zdałam sobie sprawę, że bardzo wiele osób w ogóle nie realizuje obowiązku informacyjnego, więc pewnie nie wie jak to zrobić. Obowiązek informacyjny to nic innego, jak udzielenie osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych oraz o tym, jakie prawa jej przysługują. Mówiąc krótko, żeby miała poczucie, że nawet jeżeli jej dane są przekazywane do podmiotu, który ma uprzywilejowaną pozycję (duża/bogata firma, urząd, szpital) to ma ona prawo do kontroli tego, czy jej dane są prawidłowo przetwarzane (w tym zabezpieczone) oraz może dochodzić swoich praw (co więcej może zrobić to w jej imieniu organ nadzoru).
Te informacje są przekazywane podczas zbierania danych, a także wtedy gdy są uzyskiwane od innego podmiotu (np. podczas zakupu legalnej bazy marketingowej). Informacji udziela ten kto otrzymał dane. W przypadku bezpośredniego pozyskania danych, jeżeli te informacje są już znane osobie, której dane dotyczą, nie ma obowiązku udzielania niezbędnych informacji (Art. 13 ust. 4 RODO), np. w przypadku zawarcia umowy z tą osobą, uzasadnione jest stwierdzenie, że ma ona już wiedzę o przetwarzaniu jej danych, gdy wynika ono bezpośrednio z celu zawarcia umowy.
Podmiot, który pozyskał dane z innego źródła, zgodnie z art. 14 ust. 5 RODO nie będzie musiał wypełniał obowiązku informacyjnego m.in. także jeżeli jego wypełnienie byłoby niemożliwe lub wynikało bezpośrednio z przepisu prawa.
Co do zasady obowiązek informacyjny można wypełnić bezpośrednio w formularzu pozyskiwania danych (w szczególności przy treści zgody na przetwarzanie danych), w szczególności przy treści zgody. Najłatwiej oraz najwygodniej wypełnić go bezpośrednio w regulaminie świadczenia usług.
Obowiązek informacyjny zamieszczamy w szczególności w (dotyczy pozyskania danych bezpośrednio od podmiotu danych):
regulaminie konkursu
regulaminie świadczenia usług drogą elektroniczną
regulaminie wydarzenia
regulaminie biblioteki
regulaminie sklepu internetowego
regulaminie newslettera
Szczególnie dobrym momentem na aktualizację regulaminu jest konieczność zamieszczenia nowego obowiązku już pod RODO.
Wystarczy w regulaminie dodać paragraf dotyczący informacji o danych osobowych, w którym zostaną zamieszczone niezbędne informacje wymagane w art. 13 RODO.
Przykładowy obowiązek informacyjny (proszę zwrócić uwagę, że nie wszystkie punkty będą miały zawsze zastosowanie, informację należy przygotować pod konkretny proces przetwarzania):
Informacje o przetwarzaniu danych
Administratorem Pani/a danych osobowych jest xxxxxx z siedzibą xxxxxxxxxxxxxx, e-mail: xxxxxxxxxxxxxxx (jeżeli dochodzi do współadministrowania, należy wskazać administratorów, zalecam także wskazanie podziału odpowiedzialności oraz zdań pomiędzy poszczególnymi administratorami)
W sprawach związanych z Pani/a danymi proszę kontaktować się z Inspektorem Ochrony Danych, e-mail xxxxxxxxxxxxxxx
Dane będą przetwarzane w celu xxxxxxxxxxxxxxxxxxxxxxxx na podstawie xxxxxxxxxxxxxx (proszę wskazać przesłankę legalizującą, np. zgoda, konkretny przepis prawa)
Dane mogą być udostępniane ……………………. w celu prawidłowej realizacji usług określonych w regulaminie (tylko jeżeli ma zastosowanie, inaczej jest to dozwolone tylko na podstawie odrębnie wyrażonej zgody)
Dane mogą być przekazane poza Europejski Obszar Gospodarczy lub organizacji międzynarodowej (jakiej/gdzie). Administrator informuje, że w tym celu zostały zastosowane zabezpieczenia ………………., w celu uzyskania kopii danych proszę kontaktować się z Inspektorem Ochrony Danych.
dane będą przechowywane przez okres xxxxxxxxxxxxxxxxxxxx
Ma Pan/i prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania.
Ma Pan/i prawo do wniesienia sprzeciwu wobec dalszego przetwarzania, a w przypadku wyrażenia zgody na przetwarzanie danych do jej wycofanie. Skorzystanie prawa cofnięcia zgody nie ma wpływu na przetwarzanie, które miało miejsce do momentu wycofania zgody.
Ma Pan/i także prawo do przenoszenia danych (w szczególności historii transakcji)
Przysługuje Pani/u prawo wniesienia skargi do organu nadzorczego (można wskazać dane organu)
Administrator informuje także o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu na zasadach………………. w celu ……………………… (proszę określić także jakie niesie konsekwencje dla tej osoby)
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia?Napisz do mnie
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
