Jako właścicielka danych osobowych, zapewne niejednokrotnie spotkałaś się z klauzulą informacyjną. Jest ona bowiem jedną z form realizowania Twojego prawa do bycia poinformowaną, czyli wiedzy o tym, co właściwie dzieje się z Twoimi danymi osobowymi, w jaki sposób są przetwarzane, jak zabezpieczane, kto ma do nich dostęp, itp.
Jeśli jednak sama w ramach swojej działalności zawodowej, przetwarzasz dane osobowe, to problematykę klauzuli informacyjnej znasz też od tej drugiej strony, tj. od strony obowiązku, jaki ciąży na administratorach danych osobowych. W teorii nie jest to szczególnie skomplikowane zadanie, ale w praktyce może zrodzić kilka problemów. Przede wszystkim, jak zrobić to dobrze i w zgodzie z unijnym rozporządzeniem – RODO.
Dlatego też, opracowałam dla Ciebie krótki przewodnik jak to zrobić, od czego zacząć i na co zwrócić szczególną uwagę. Dzięki niemu będziesz mogła przygotować klauzulę, która będzie dopasowana formą i treścią do każdej sytuacji.
Spis treści
Co powinno się znaleźć w klauzuli informacyjnej?
Na to pytanie nie ma jednoznacznej odpowiedzi. Zawartość klauzuli informacyjnej zależy bowiem od tego czy:
Informujesz w momencie, kiedy zbierasz dane osobowe (np. podczas zapisu na newsletter, przy zakładaniu konta przez nowego użytkownika Twojej platformy czy zakupie w Twoim sklepie internetowym, itp.).
Informujesz w momencie, gdy przejmujesz od innego podmiotu bazę danych osobowych (np. właśnie odkupiłaś forum internetowe od innego właściciela, albo aplikację mobilną wraz z bazą danych jej użytkowników).
Informujesz, bo zostałaś o to poproszona przez osobę, której dane przetwarzasz (np. ktoś, kto otrzymał od Ciebie newsletter poprosił o informację jakie jego dane przetwarzasz, od kiedy, w jakim konkretnie celu, itp.)
To zagadnienie opracowałam bardzo szczegółowo w innym artykule, do którego Cię odsyłam: Obowiązek informacyjny administratorów danych osobowych – kiedy i jak powinnaś go realizować.
Jest ono bardzo obszerne, więc zajrzyj tam proszę. Znajdziesz w nim wypisane w punktach informacje, co dokładnie powinnaś udostępnić w każdej z powyższych sytuacji.
W jaki sposób ją udostępniać?
Jeśli wiesz już jakie informacje powinnaś udostępniać w konkretnych sytuacjach, to teraz pora zająć się formą i sposobem w jaki te informacje można przekazać. Udostępnianie tych informacji w postaci linku do polityki prywatności na stronie nie zawsze jest wystarczające. Co nie oznacza, że w wielu przypadkach nie możesz tak zrobić.
Dodam, że poniższe pomysły nie są jedynymi słusznymi rozwiązaniami. Możesz to równie dobrze zrobić w innej, wymyślonej przez siebie formie. Najważniejsze, aby treść klauzuli informacyjnej była taka, jaka być powinna. Nie mniej jednak mam nadzieję, że poniższa mini instrukcja ułatwi Ci zadanie.
Dane osobowe przetwarzane na stronie internetowej (np. adresy IP, komentarze) – w tym przypadku najlepszym, a w kontekście adresów IP w zasadzie jedynym możliwym rozwiązaniem jest zamieszczenie polityki prywatności na stronie internetowej, w widocznym i łatwo dostępnym dla odbiorców miejscu. W niej powinny się znaleźć wszystkie informacje na temat przetwarzania danych w kontekście funkcjonowania strony internetowej.
Jeśli świadczysz takie usługi, jak: sklep online, newsletter, platforma internetowa z możliwością logowania się użytkowników, forum dyskusyjne, formularz kontaktowy, formularz rejestracyjny na organizowane przez Ciebie wydarzenie, swój obowiązek informacyjny możesz spełnić na dwa sposoby. Pierwszy, to zamieszczenie informacji o przetwarzaniu danych osobowych pod formularzem rejestracyjnym lub kontaktowym. To rozwiązanie jest o tyle problematyczne, że klauzula informacyjna zajmuje zazwyczaj bardzo dużo miejsca, więc może zepsuć to estetykę formularza, albo zwyczajnie się nie zmieścić.
Na szczęście jest drugi sposób, czyli odesłanie do polityki prywatności i uwzględnienie w niej tych konkretnych przypadków przetwarzania danych.
Korespondencja e-mail z klientami – odpowiadając na wiadomości e-mail od Klientów warto, abyś w treści maila, np. pod stopką zawarła informacje na temat przetwarzania danych osobowych. Możesz zawrzeć tam pełną treść klauzuli informacyjnej, albo do szczegółowych informacji odesłać do swojej polityki prywatności, wklejając w wiadomości odpowiedni link.
Formularze zwrotu towaru (dot. sklepów internetowych) – jeśli chodzi o formularze zwrotu, to warto taką klauzulę informacyjną dot. danych osobowych zamieścić pod formularzem, albo z drugiej strony kartki. Jeśli formularz jest zamieszczony na stronie, do samodzielnego wydruku przez Klienta, wówczas można też odesłać do podlinkowanej polityki prywatności, którą masz na stronie sklepu.
Umowy z pracownikami, współpracownikami, klientami lub kontrahentami – w przypadku umów, warto zadbać o to, aby taka klauzula stanowiła załącznik do umowy. Podpisanie umowy jest wówczas równoznaczne z zapoznaniem się z załączoną informacją o przetwarzaniu danych osobowych.
Żądanie udzielenia informacji przez właściciela danych – w tym przypadku warto mieć opracowany szablon w pliku tekstowym, w którym, w razie wystąpienia żądania, bardzo łatwo można uzupełnić wymagane, wykropkowane wcześniej dane. Forma takiej odpowiedzi powinna być raczej oficjalna. Raczej, bo nie jest to wymagane przez RODO. Wymogiem natomiast jest to, aby było to zrozumiałe dla odbiorcy, napisane łatwym językiem, który nie będzie budził wątpliwości. Taki opracowany dokument, w zależności od formy żądania, wysyłamy jako załącznik wiadomości e-mail lub załącznik do listu tradycyjnego.
Ważne jest to, abyś zadbała o udokumentowanie (potwierdzenie) treści żądania i udzielonej odpowiedzi. W razie jakichkolwiek problemów, czy też kontroli ze strony Prezesa Urzędu Ochrony Danych Osobowych, będzie to stanowiło dowód w Twojej sprawie, że zrealizowałaś żądanie.
W tym przypadku nie możesz odesłać do polityki prywatności, gdyż żądanie dotyczy konkretnej osoby i jej konkretnych danych osobowych. Przypomnę tylko, że w tej sytuacji wymagane są inne informacje, niż w treści polityki prywatności. W razie wątpliwości wróć do części artykułu „Co powinno się znaleźć w klauzuli informacyjnej?”.
Pamiętaj, że jeżeli w konkretnych przypadkach odsyłasz do strony internetowej z treścią polityki prywatności, to ta polityka prywatności musi zawierać informacje na temat przetwarzania danych osobowych w tym konkretnym przypadku. Jeśli nie wiesz jak opracować politykę prywatności, to zapoznaj się z tym artykułem: Polityka prywatności – jak ją dobrze opracować? Znajdziesz tam instrukcję i zasady opracowania tego dokumentu.
Klauzula musi być zrozumiała dla odbiorców
Poza aspektami formalnymi klauzuli informacyjnej nie można zapominać o tym, że pełni ona również funkcję edukacyjną. Chodzi o to, aby w ten sposób zwiększać świadomość społeczną w kontekście danych osobowych. Właściciele danych osobowych powinni wiedzieć kto przetwarza ich dane, w jaki sposób i jakie prawa im przysługują. Dlatego też klauzula informacyjna, bez względu na kontekst sytuacji, powinna cechować się możliwie jak największą przejrzystością.
Oznacza to, że musi być zrozumiała i czytelna dla odbiorcy, a ponadto przedstawiona w łatwo dostępnej dla niego formie. Konieczne jest więc opracowanie jej w taki sposób, aby język był jasny i prosty.
Opracowując klauzulę informacyjną postaraj się wczuć w odbiorcę. Jeśli sama czegoś nie rozumiesz, coś nie jest dla Ciebie jasne, albo jakieś sformułowanie wydaje się być zbyt wyszukane, to postaraj się to wyjaśnić, zmienić, opisać tak, abyś Ty sama nie miała wątpliwości. Możesz też dać treść klauzuli do przeczytania komuś innemu i sprawdzić, czy nie będzie miał problemu ze zrozumieniem.
Aspekty wizualne
Aspekty wizualne również są istotne, chociaż nie najważniejsze. Według mnie zdecydowanie ważniejsze są treść, forma i przejrzystość. Mimo to, warto czasem zastanowić się, czy w kontekście przejrzystości nie byłoby celowe skupienie się również na aspektach wizualnych. Obrazki, piktogramy i inne formy graficzne potrafią sprawić, że o wiele przyjemniej jest przebrnąć przez treść dokumentu.
Jeśli jednak nie masz na to czasu, to pomiń ten punkt i skup się na poprzednich informacjach.
Mam nadzieję, że ten krótki przewodnik pomoże Ci uporać się z tematem obowiązku informacyjnego w kontekście RODO. Gdybyś jednak chciała skorzystać z profesjonalnej pomocy w tym zakresie, to zapraszam do kontaktu pod adresem e-mail: kontakt@poprawniewsieci.pl
Odsyłam Cię też do powiązanych artykułów:
Obowiązek informacyjny administratorów danych osobowych – kiedy i jak powinnaś go realizować
Polityka prywatności – jak ją dobrze opracować
O czym należy pamiętać przy zakładaniu strony internetowej
Karo