Klauzula RODO – jak ją stworzyć?

Zrób sobie na początek prosty test:

Czy w ramach prowadzonej działalności, przekazujesz swoim Klientom, potencjalnym Klientom, subskrybentom newslettera, użytkownikom Twojej strony czy fanpage, pracownikom – o ile ich posiadasz, klauzulę informacyjną RODO?

Jeśli nie, to znaczy, że najprawdopodobniej naruszasz przepisy RODO i to przepisy kluczowe dla ochrony danych osobowych.

Co powinieneś teraz zrobić?

Po pierwsze,

zapoznaj się z artykułem.

Po drugie,

zadbaj o dostosowanie się do wymogów RODO i zrealizuj swój podstawowy obowiązek, jakim jest obowiązek informacyjny. Możesz to zrobić samodzielnie lub z moją pomocą.

Jak mogę Ci pomóc?
– przeprowadzę wdrożenie RODO w Twoim biznesie,
– przygotuję niezbędne klauzule informacyjne,
tak żebyś mógł swobodnie działać nie martwiąc się o to, czy spełniłeś wszystkie obowiązki wynikające z RODO czy też nie.

RODO wymaga od Administratora danych realizacji obowiązku informacyjnego.

Administrator musi informować wszystkie osoby, których dane przetwarza (posiada lub wykonuje inne operacje z tymi danymi) o tym, co się z tymi danymi dzieje.

W tym tekście dowiesz się:

• Dlaczego obowiązek informacyjny jest tak ważny?
• Jakie informacje powinieneś zawrzeć w ramach obowiązku informacyjnego?
• W jakich obszarach powinieneś realizować obowiązek informacyjny? Kogo powinieneś informować?

Czy klauzula RODO jest potrzebna?

Dlaczego stworzenie klauzuli informacyjnej RODO jest tak ważne? 

Nie – powodem nie jest to, że właśnie z powodu niezrealizowania obowiązku informacyjnego jedna ze Spółek otrzymała od Prezesa Urzędu Ochrony Danych karę administracyjną w wysokości ponad 940 000 zł.

Powód jest inny.

Spójrz na to z własnej perspektywy.

1. Czy chcesz wiedzieć KTO (jaki podmiot/y) posiada Twoje dane?

Jeśli jakiś podmiot posiada Twoje dane, to chciałabyś wiedzieć, albo przynajmniej mieć prawo dowiedzieć się:

1. CO z Twoimi danymi ROBI ten podmiot?
2. W jakim CELU je zebrał?
3. Co pozwala mu na to, że przetwarza Twoje dane? (Czy jest to Twoja zgoda czy może przepis prawa a może coś jeszcze innego; jeśli Twoja zgoda, to czy możesz ją cofnąć i jak)?
4. Czy musisz/musiałeś te dane podać (z czego to wynika) i co się stanie jeśli byś ich nie podał?

Jeśli podmiot przetwarza Twoje dane, to najprawdopodobniej komuś je przekazuje. Pojawiają się więc kolejne pytania:

1. KOMU ten podmiot powierza Twoje dane?
2. Czy przekazuje je poza obszar UE/Europejski Obszar Gospodarczy i jakie zabezpieczenia są stosowane?
3. SKĄD pozyskał Twoje dane (od Ciebie czy może ktoś mu przekazał)?
4. JAK DŁUGO będzie posiadał (przetwarzał) Twoje dane?
5. Jak możesz SKONTAKTOWAĆ się z tym podmiotem oraz ustanowił dodatkową osobę, z którą możesz się kontaktować w sprawie Twoich danych, m.in. Inspektora  Ochrony Danych,
6. Czy przysługują Ci jakieś PRAWA w odniesieniu do tych danych, czy masz do nich dostęp, czy możesz żądać ich usunięcia z bazy danych Administratora, poprawienia, przenoszenia danych, prawo ograniczenia przetwarzania lub prawo do wniesienia sprzeciwu wobec przetwarzania),
7. Czy możesz wnieść SKARGĘ do Prezesa Urzędu Ochrony Danych Osobowych?
8. Czy w oparciu o Twoje dane, Administrator wyciąga jeszcze jakieś inne wnioski; czy profiluje Twoje dane?

Obowiązek informacyjny jest kluczowy dla zapewnienia przetwarzania danych zgodnie z RODO.

Obowiązek informacyjny pozwala na realizację prawa do wiedzy o tym co się dzieje z danymi osoby, której dane są przez kogoś przetwarzane.

Jak realizować obowiązek informacyjny?

Bardziej szczegółowo opowiem o tym w innych artykule. W tym wpisie podam tylko kilka wskazówek jak „zabrać się” za realizację tego obowiązku.

• przygotować klauzule informacyjne w każdym przypadku, w którym dochodzi do „zbierania danych”
• zdecydować w jaki sposób je przekazywać osobom, których dane są „zbierane”
• wprowadzić to „w życie”

Jak stworzyć klauzulę RODO?

Klauzula musi zawierać informacje wymagane w art. 13 RODO lub w art. 14 RODO; art. 14 dotyczy sytuacji gdy Administrator otrzymał dane nie bezpośrednio od danej osoby, a np. z innego źródła, np. od innego podmiotu/ z rejestrów publicznie dostępnych, itp.

To co wskazałam na początku, czyli te 13 punktów to informacje, które o ile dotyczą danej sytuacji – muszą się obowiązkowo znaleźć w każdej klauzuli. Przetłumaczyłam je tylko „z prawniczego” na polski.

Treść przepisu znajdziesz na końcu tego artykułu.

• Jaką formę taka klauzula powinna przybrać?

Nie ma tu konkretnej formy, ani nazwy.

Przykład – klauzula informacyjna dla Klientów może być przygotowana w formie elektronicznej lub pisemnej – ważne, żeby Klient miał możliwość się z nią zapoznać.

Podobnie z pracownikami. Jeśli masz wewnętrzny system ekstranet – również tam możesz tę klauzulę umieścić dbając o to, żeby pracownicy mogli się z tym zapoznać.

Tytuł również nie ma znaczenia – informacja może go posiadać, ale nie musi. Tytuł jedynie pozwala szybko dowiedzieć się, czego dotyczy przedstawiana informacja.

Inny przykład – klauzula informacyjna odnosząca się do strony www jest oznaczana najczęściej jako Polityka prywatności. Niektórzy na potrzeby realizacji obowiązku informacyjnego, tworzą na stronie odrębną zakładkę pod nazwą RODO, itp.

Wskazówka: Jakie obszary należy uregulować w Polityce prywatności? Jeśli zbierasz dane za pośrednictwem takiej strony, np. za pomocą formularza kontaktowego, strony zapisu na newsletter itp. powinno być to wszystko uregulowane w takiej Polityce.

Dodatkowo, jeśli Twoi potencjalni Klienci czy Klienci trafiają do Ciebie przez stronę (np. dokonują zakupu produktu/zamawiają usługę on-line lub zapisują się na listę oczekujących na produkt), już wtedy – w Polityce warto wskazać co się dzieje z danymi tych potencjalnych Klientów i Klientów. Dzięki temu nie będzie potrzeby wysyłania im oddzielnej klauzuli informacyjnej.

• Klauzule nie powinny być przygotowywane w sposób ogólny.

Klauzule powinny odnosić się do konkretnych obszarów/procesów, w których dane są zbierane, bo dzięki temu będą bardziej dostosowane do odbiorców.

• Warto przygotować odrębną klauzulę informacyjną dla konkretnych obszarów, np. dla kandydatów do pracy w związku z tym, że zbiera się ich dane w ramach procesu rekrutacyjnego. Wówczas należałoby przygotować także odrębną klauzulę informacyjną dla pracowników, inną dla celów realizacji umowy z klientami czy kontrahentami, czy do e-maila. Należałoby także przygotować odpowiednie klauzule dot. danych z monitoringu wizyjnego czy poczty elektronicznej, itp.

Jeśli chcesz te klauzule „zebrać w jedną” musi być napisana w sposób, który pozwoli takiemu odbiorcy uzyskać informację, co się dzieje z danymi zbieranymi np. do celów realizacji umowy, a co się dzieje z danymi zbieranymi np. w ramach newslettera.

Warto zweryfikować, czy prowadząc taką stronę internetową, posiadasz wszystkie te informacje wymagane art. 13 RODO i  czy są one łatwo dostępne dla użytkowników tej strony.

PS. Temat klauzul dla różnych grup odbiorców pojawi się jeszcze na blogu, dlatego nie będę szczegółowo ich analizowała w ramach tego wpisu.

---

Jeśli chcesz dołączyć do newslettera i otrzymać checklistę, dzięki której sprawdzisz, w których obszarach Twoja firma „kuleje”, jeśli chodzi o obowiązek informacyjny oraz chcesz otrzymywać inne praktyczne materiały oraz informacje o innych usługach i produktach, zapisz się do newslettera.

ZAPISUJĘ SIĘ DO NEWSLETTERA – CHCĘ POBRAĆ PRAKTYCZNY PREZENT