Jak stworzyć obowiązek informacyjny? - krok po kroku.
Można zaryzykować stwierdzenie, że obowiązek informacyjny to jedna z najważniejszych kwestii wynikających z RODO. Dlaczego? Ponieważ jest to rzecz, którą prezentujesz na zewnątrz, swoim klientom oraz użytkownikom odwiedzającym Twoją stroną.
Po ponad 2 latach z RODO jesteśmy już przyzwyczajeni do widoku obowiązków informacyjnych. Wobec tego brak tego dokumentu lub jego nieprawidłowe przygotowanie może pociągnąć za sobą nieprzyjemne konsekwencje, w związku z czyjąś skargą do Urzędu Ochrony Danych Osobowych (UODO).
Dzisiaj powiem Ci jak przygotować taki dokument z obowiązkiem informacyjnym samodzielnie i uniknąć niepotrzebnych problemów!
Czy "obowiązek" informacyjny, to naprawdę obowiązek?
Prawdopodobnie możesz się zastanawiać na ile dosłowne jest znaczenie słowa “obowiązek” w tej zbitce słownej. Czy naprawdę musisz go wykonywać?
Jeżeli tylko przetwarzasz dane osobowe, to tak, musisz go wykonać.
Pojawia się zatem kolejne pytanie: czy przetwarzasz dane osobowe? Jeżeli tylko zawierasz umowy, kontaktujesz się z klientami lub kontrahentami, wysyłasz newsletter lub robisz cokolwiek podobnego, to tak, przetwarzasz dane osobowe.
Zakres przetwarzanych danych osobowych może się różnić, jednak niezmienny pozostaje obowiązek poinformowania drugiej osoby o tym przetwarzaniu.
Dlaczego to ważny temat?
Moim zdaniem warto poświęcić temu chwilę i przygotować odpowiednie dokumenty. Dlaczego? Widzę przynajmniej 3 powody.
- Obowiązki informacyjne to “zewnętrzna” warstwa ochrony danych osobowych, którą widzą użytkownicy i klienci. Braki w tym zakresie mogą być bardzo łatwo zauważone i zgłoszone.
- UODO wymierzał już kary finansowe za niewykonanie obowiązku informacyjnego. Wobec tego zignorowanie obowiązku informacyjnego może mieć bardzo realne konsekwencje.
- Przygotowanie obowiązku informacyjnego jest dosyć proste.
Wobec tego gorąco zachęcam Cię do lektury!
Jak wykonać obowiązek informacyjny?
Jak wskazuje art. 12 RODO obowiązek informacyjny należy wykonać w sposób jasny i zrozumiały dla odbiorcy tej informacji.
Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14.
Wobec tego tworząc dokument z obowiązkiem informacyjnym nie silmy się na wyszukane, rozbudowane prawnicze eposy, ale zamiast tego opiszmy to krótko i klarownie.
Na marginesie warto wskazać, że to również dobre miejsce na pokazanie klientowi lub kontrahentowi jakie mamy podejście do kwestii bezpieczeństwa danych.
Pisząc luźno, ale treściwie pokazujemy, że zagadnienie bezpieczeństwa nie jest nam obce i jednocześnie nie planujemy robić z tego czarnej magii.
Uwierz mi, klienci doceniają to, gdy potrafią z łatwością zrozumieć dokument, który ich bezpośrednio dotyczy.
Zatem potraktuj obowiązek informacyjny jako dodatkową przestrzeń dla swojej komunikacji biznesowej. Pokaż, że jesteś profesjonalistą i dane osobowe klienta są u Ciebie bezpieczne.
Kiedy zrealizować obowiązek informacyjny?
Obowiązek musisz zrealizować zawsze kiedy zbierasz, zdobywasz dane osobowe.
Jak to dokładnie zrobić? To w dużej mierze zależy od danej czynności przetwarzania.
Trzy przykłady dla zobrazowania tego. Jeżeli prowadzisz sklep internetowy, to najlepszy miejscem dla wykonania obowiązku informacyjnego będzie umieszczenie klauzuli informacyjnej oraz linku do polityki prywatności pod formularzem składania zamówienia.
Jeżeli prowadzisz korespondencję e-mail, najlepszym rozwiązaniem będzie umieszczenie linku do dokumentu z obowiązkiem informacyjnym w stopce maila. Więcej o tym piszę tutaj, zajrzyj.
Jeżeli zawierasz indywidualną umowę przygotowaną na potrzeby danego klienta, umieść na końcu jako załącznik lub jeden z ostatnich paragrafów, informacje o przetwarzaniu danych osobowych kontrahenta.
Sposób realizacji obowiązku informacyjnego związany jest zatem z samą czynnością przetwarzania. Rekomenduję zamieszczanie informacji tak, aby druga strona mogła się z nimi łatwo zapoznać.
Treść obowiązku informacyjnego
Mówię i mówię o tym obowiązku informacyjnym, a nadal nie ma konkretnych instrukcji jak go stworzyć. Już do tego przechodzimy.
Treść obowiązku informacyjnego wyznacza art. 13 RODO. Tworząc dokument musimy krok po kroku przeanalizować ten artykuł.
Na marginesie wspomnę, że kontekście obowiązku informacyjnego pewne znaczenie ma też art. 14, który reguluje sytuację, w której nabyłeś dane osobowe w inny sposób niż od osoby, której one dotyczą. Nie będę rozwijał tego wątku w tym artykule, ponieważ nie jest on aż tak często spotykany w praktyce. Jeżeli masz pytania co do art. 14, to napisz do nas, postaramy się pomóc.
Instrukcja obsługi obowiązku informacyjnego
Krok 1: Dane administratora
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
Zaczynamy od podania swoich danych. Zwracam tutaj uwagę na konieczność prawidłowego oznaczania siebie. Jeżeli prowadzisz indywidualną działalność gospodarczą, to powinieneś zapisać to np. tak:
Administratorem Twoich danych osobowych jest Jan Kowalski prowadzący działalność gospodarczą pod firmą “Kowalski Super Sklep”, ul. Dobra 12, 91-800 Kozice Małe, NIP: 1234567890.
Jeżeli jednak prowadzisz spółkę z ograniczoną odpowiedzialnością, to zakres obowiązkowych danych się różni (wskazuje na to art. 206 kodeksu spółek handlowych). Przykładowo wygląda to tak:
Super Sklep spółka z ograniczoną odpowiedzialnością, ul Dobra 12, 91-800 Kozice Małe, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem 1234567891, której akta rejestrowe przechowuje Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, XI Wydział Gospodarczy KRS, posługującą się numerem NIP 9876543211, o kapitale zakładowym wynoszącym 5 000,00 zł.
Jeżeli wyznaczyłeś w swojej firmie osobę, która ma się zajmować kwestiami związanymi z danymi osobowymi, podaj dodatkowo dane kontaktowe tej osoby, np.:
W razie jakichkolwiek pytań możesz kontaktować się z Mateuszem Pomocnym pod adresem e-mail: odo@sklepx.pl lub pod numerem: 600 100 200.
W większości małych działalności nie będzie specjalnie wyznaczonej osoby i nie jest to problem. Czasami jednak pojawia się obowiązek wyznaczenia kogoś (inspektora), tym jednak zajmiemy się w następnych artykułach, a tymczasem odsyłam Cię do art. 37 RODO.
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
Krok 2: cele i podstawy przetwarzania
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
Cele i podstawy przetwarzania mogą się bardzo różnić w zależności od tego jaką działalność prowadzisz. Podam Ci kilka najczęściej spotykanych przykładów, które mogą się okazać pomocne:
Twoje dane osobowe przetwarzamy w celu :
- wykonania zawartej z nami umowy, na podstawie art. 6 ust. 1 lit. b RODO,
- wysyłki newslettera, na podstawie art. 6 ust. 1 lit. a RODO,
- zapewnienia obsługi i utrzymania założonego konta użytkownika, na podstawie art. 6 ust. 1 lit. a RODO,
- obsługi reklamacji i złożonych oświadczeń o odstąpieniu od umowy – art. 6 ust. 1 lit. f RODO.
Pamiętaj, że są to tylko przykłady. Tworząc swój własny obowiązek informacyjny musisz dokładnie przemyśleć w jaki sposób przetwarzasz dane osobowe i co jest podstawą dla takiego przetwarzania.
Jeżeli masz problem z samodzielnym ustaleniem podstawy dla danej czynności przetwarzania, to obserwuj bloga, niedługo pojawi się seria artykułów, w których będziemy tłumaczyć te kwestie.
Krok 3: odbiorcy danych
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
Samo pojęcie odbiorców danych zostało zdefiniowane w art. 4 pkt 9 RODO, jednak nie będę zmuszał Cię do analizy tego.
Mówiąc krótko i praktycznie poprzez “odbiorców danych” mamy na myśli podmioty, którym przekazujesz dane.
Warto wskazywać dokładnie te podmioty możliwie najdokładniej. Jeżeli jednak w momencie tworzenia obowiązku informacyjnego nie jesteś w stanie lub będzie to duża, płynnie zmieniająca się grupa, to możesz wskazać kategorię odbiorców.
Zdaję sobie sprawę, że najprawdopodobniej nadal nie wiesz o co chodzi. Spójrzmy na konkretny przykład:
Twoje dane osobowe mogą być przetwarzane przez podmioty upoważnione na podstawie przepisów prawa, a także:
- Google – w zakresie przechowywania danych osobowych w chmurze Google Drive,
- MailChimp – w zakresie przetwarzania danych osobowych w systemie mailingowym MailChimp służącym do wysyłki newslettera,
- podmiot świadczący usługi w zakresie obsługi technicznej, który uzyskuje dostęp do danych, jeżeli prowadzone prace techniczne dotyczą obszarów, w których znajdują się dane osobowe.
Tych odbiorców może być znacznie więcej. Aby je wszystkie wymienić, należy najpierw poświęcić chwilę na zastanowienie gdzie trafiają dane osobowe klientów, użytkowników.
Krok 4: transfer danych
Korzystanie z niektórych narzędzi wiąże się z transferem do państw trzecich, czyli poza Europejski Obszar Gospodarczy. Wśród przykładowych odbiorców danych wymieniłem MailChimp, które ma swoje serwery właśnie w takim państwie trzecim, czyli USA.
O takim transferze należy poinformować np. tak:
W związku z korzystaniem z systemu MailChimp, dane podane w celu wysyłki newslettera mogą być przekazywane do USA, gdzie znajdują się serwery dostawcy systemu mailingowego.
Warto również dodać:
MailChimp zapewnia odpowiedni poziom bezpieczeństwa danych osobowych poprzez korzystanie ze standardowych klauzul umownych.
Ciekawym zagadnieniem jest Google, które również wymieniłem we wcześniejszym przykładzie. Google w darmowej wersji oraz w pakiecie G-Suite Basic przekazuje dane do USA, co jest niezalecane.
Jeżeli jednak zdecydujesz się na któryś z wyższych pakietów G-Suite, to będziesz mógł wybrać gdzie dane są przechowywane. Jest to rozwiązanie rekomendowane.
Opisując te kwestie w swoim dokumencie z obowiązkiem informacyjnym, będziesz musiał nie tylko zastanowić się z jakich narzędzi korzystasz w związku z przetwarzaniem danych osobowych, ale również czy dochodzi do transferu tych danych.
Wskazówka!
Jak samodzielnie znaleźć informacje o transferze danych? Niezbędna jest lektura polityki prywatności lub innych dokumentów związanych z ochroną danych osobowych. Możesz spróbować przyspieszyć ten proces poprzez googlowanie haseł: “system X GDPR”, “system X transfer”, “system X USA”.
Krok 5: przechowywanie danych
Zagadnienie bardzo rozbudowane, które na pewno omówimy w osobnym artykule, tak aby wszystko było jasne.
Na ten moment ograniczę się do wskazania, że musisz poinformować o tym jak długo będziesz przechowywał dane osobowe.
W zależności od czynności przetwarzania okres ten może się znacząco różnić.
W kontekście zawieranych umów oraz danych zbieranych w związku z nimi, najczęściej dane przechowywane są do okresu przedawnienia roszczeń. Możesz to opisać np. tak:
Zebrane dane osobowe przetwarzamy do upływu okresu przedawnienia roszczeń z tytułu zawartej z nami umowy. Opieramy się w tym zakresie na naszym uzasadnionym interesie (art. 6 ust. 1 lit. f RODO).
Krok 6: prawa osób, których dane dotyczą
Musisz również poinformować o prawach jakie przysługują osobie. Chodzi tutaj o skrótowe przedstawienie uprawnień wynikających z art. 15 – 22 RODO.
Możesz to opisać np. tak:
Przysługuje Ci prawo do: żądania od nas dostępu do swoich danych, sprostowania swoich danych jeżeli są błędne lub nieaktualne, usunięcia swoich danych osobowych, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego.
Jest to standardowa formułka, której nie musisz edytować. Można to również przedstawić dokładniej poprzez krótkie opisanie każdego z praw oraz przedstawienie zasad ich wykonania, jednak nie jest to konieczne.
Krok 7: dobrowolność podania danych
Na końcu musisz również poinformować, czy podanie danych jest dobrowolne, czy też wynika z jakiegoś obowiązku prawnego.
W odniesieniu do większości czynności przetwarzania w prywatnej działalności gospodarczej, podanie danych będzie dobrowolne.
Wobec tego należy podać informację, np. tak:
Podanie danych osobowych jest dobrowolne, ale niezbędne dla skorzystania z naszych usług.
Krok 8: dodatkowe informacje
Może się również zdarzyć tak, że konieczne będzie podanie dodatkowych danych. Może to wynikać przykładowo z faktu przetwarzania danych w sposób zautomatyzowany.
W znaczącej większości działalności do takiego zautomatyzowanego przetwarzania danych nie dochodzi, zatem na razie nie będę rozwijał tego wątku. Zwracam jednak uwagę na to zagadnienie.
Podobna sytuacja jest w przypadku uzyskania danych osobowych od osoby innej niż ta, której dane dotyczą. Wówczas konieczne jest poinformowanie o tym oraz o źródle nabycia tych danych.
Czy coś jest niejasne? Potrzebujesz pomocy?
Zdaję sobie sprawę, że stworzenie dokumentem z obowiązkiem informacyjnym może się wydawać trudne, jednak tak nie jest. Na pewno dasz radę.
Postarałem się wszystko dokładnie opisać tak aby wszystko było dla Ciebie jasne.
Gdybyś jednak miał jakieś problemy, wątpliwości, pytania, to jesteśmy do Twojej dyspozycji. Skontaktuj się, postaramy się pomóc.
Na zakończenie
Chciałem aby artykuł poświęcony obowiązkowi informacyjnemu był względnie krótki. Dlatego nie rozwijałem niektórych kwestii, żeby nie przytłoczyć Cię ilością informacji.
Na blogu będą pojawiały się regularnie kolejne materiały tłumaczące kolejne zagadnienia, zatem zachęcamy Cię do zaobserwowania naszych profili w social mediach.
Warto również zapisać się do naszego newslettera, w którym co jakiś czas informujemy o zmianach w prawie i nowościach na blogu.
Jeżeli artykuł okazał się dla Ciebie pomocny, prześlij go znajomym, którzy zmagają się z tym samym problemem. Będziemy wdzięczni za wszelkie polecenia.
Może Cię również zainteresować:
Blog o prawie autorskim, danych osobowych i nowych technologiach Artykuły Pojedynek nietoperzy: DC Comics v. Valencia Najnowszy Batman przypomniał mi o dosyć …
Blog o prawie autorskim, danych osobowych i nowych technologiach Artykuły Świąteczne marki i wynalazki Święta coraz bliżej, a wraz z tym szał …
Czy wybór domeny może naruszyć znak towarowy innego przedsiębiorcy? Czy znak towarowy może naruszyć domenę? Czy można zarejestrować domenę jako znak towarowy?
Czy udostępnienie hiperłącza może mieć prawne konsekwencje? Czy link może naruszyć czyjeś dobra osobiste? - Druga część tematu poświęconego hiperlinkom - tym razem w kontekście dóbr osobistych.
Czy transmisja meczu piłkarskiego lub innego wydarzenia sportowego prezentowanego w telewizji podlega ochronie? Jeżeli tak, to w jaki sposób? Komu przysługują prawa do transmisji? Czy wobec tego legalny jest streaming meczów?
Zastanawiałeś się kiedyś jak wygląda kwestia praw autorskich w przypadku dodawanych przez Ciebie zdjęć? Albo inaczej, prościej. Myślałeś kiedyś co się dzieje z dodanymi zdjęciami z prawnego punktu widzenia? Jak to wygląda? Dodajesz zdjęcie z wakacji na Facebooku i Instagramie. Kto ma do niego prawa? Kto może z niego korzystać? Czy możesz je swobodnie usunąć?
- kontakt@prawojutra.pl