Jeśli w ramach swojej działalności online przetwarzasz dane osobowe, to doskonale wiesz, że jako administrator danych jesteś zobowiązana do realizowania praw osób, których te dane dotyczą, oraz wypełniania związanych z tym obowiązków. Jednym z takich praw, o których możemy przeczytać w unijnym rozporządzeniu dotyczącym danych osobowych (RODO) jest prawo polegające na przejrzystym informowaniu i przejrzystej komunikacji względem właścicieli danych osobowych. Bezpośrednio z tego prawa wynika więc Twój prawny obowiązek, zwany informacyjnym.
Co to oznacza w praktyce? Oznacza to między innymi, że ciężar realizacji tego prawa spoczywa wyłącznie na Tobie, ponieważ w przeciwieństwie do innych praw, takich jak na przykład prawo do bycia zapomnianym, nie wymaga ono działania ze strony osoby, której dane dotyczą. Ta osoba oczywiście może sama poprosić Cię o udzielenie jej informacji na temat przetwarzania jej danych, a Ty musisz tę prośbę spełnić, ale bez takiej inicjatywy również jesteś do tego zobowiązana. Dlatego też w tytule artykułu użyłam pojęcia „obowiązek informacyjny”, a nie „prawo do informacji”. Myślę, że w takim ujęciu tematu będzie Ci łatwiej go zrozumieć, a co za tym idzie prawidłowo realizować swoje obowiązki prawne.
Temat ten pozornie może wydawać się banalny, gdyż wzorów klauzul informacyjnych w Internecie krąży aż nadto. Jednak właściwe administrowanie danymi osobowymi, to nie kopiowanie gotowych rozwiązań, ale umiejętność dostosowania tych gotowych rozwiązań do Twoich faktycznych potrzeb. Poza tym klauzula informacyjna nie zamyka w pełni tematu obowiązku informacyjnego.
Jeśli zatem chcesz dowiedzieć się więcej w tym zakresie i świadomie administrować danymi osobowymi, to zapraszam do lektury.
Spis treści
Prawo do bycia poinformowanym – na czym polega?
Podstawowym pytaniem, które zawsze warto sobie zadać, aby lepiej zrozumieć określone zagadnienie jest: Po co? W jakim celu? No właśnie, w jakim celu prawodawca przyznał właścicielom danych osobowych prawo do bycia poinformowanym? Odpowiedź na to pytanie wymaga przeanalizowania problemów jakie występowały w zakresie ochrony danych osobowych w Unii Europejskiej.
Jednym z nich był brak świadomości właścicieli danych osobowych w zakresie ochrony ich danych. W szczególności w zakresie tego, kto właściwie przetwarza ich dane osobowe, komu je udostępnia, co z nimi robi i jak sprawić, aby przestał to robić. Często było to niemożliwe do ustalenia. Zwłaszcza jeśli chodzi o dane osobowe, które wypływały poza granice Unii Europejskiej. Problem ten był widoczny na przykład w kontekście aplikacji mobilnych, które instalowaliśmy na swoich smartfonach, wyrażając przy tym zgodę na przekazywanie tych danych dalej. W tym momencie totalnie traciliśmy nad nimi kontrolę.
Nie brakowało też przypadków, również w Polsce, odsprzedawania całych baz danych bez informowania o tym fakcie właścicieli tych danych, wykorzystywania danych do profilowania nas, czy kierowania do nas spersonalizowanych ofert. Oczywiście bez naszej zgody.
Dlatego też koniecznym krokiem było podjęcie przez Unię Europejską działań, aby zwiększyć świadomość społeczną w tym zakresie. Częściowo dokonano tego poprzez przyznanie nam, osobom, których dane dotyczą, większej ilości praw, ale jednocześnie nałożono na nas, osoby przetwarzające dane, obowiązki prawne.
Prawo do bycia poinformowanym, to jedno z tych praw, które mają realizować cel zwiększania świadomości społecznej, ułatwiać dostęp do informacji o danych osobowych, które nas dotyczą, tj. w jasny sposób komunikować m. in. kto przetwarza nasze dane, w jakim celu, jak długo, i jakie prawa w związku z tym nam przysługują. Chodzi o to, aby te osoby wiedziały, co dokładnie dzieje się z ich danymi osobowymi i co zrobić, jeśli nie chcą, aby te dane były dłużej przetwarzane.
O czym dokładnie powinnaś informować?
Istnieją trzy sytuacje, w których bezdyskusyjnie powinnaś zrealizować obowiązek informacyjny:
• w momencie zbierania przez Ciebie danych,
• w momencie wejścia w posiadanie danych, które otrzymałaś nie bezpośrednio od ich właścicieli, ale od innego podmiotu,
• w momencie, kiedy osoba, do której dane należą zażąda udzielenia takiej informacji.
Informowanie w momencie zbierania danych:
W momencie, kiedy zbierasz dane osobowe jesteś zobowiązana, zgodnie z art. 13 RODO, podać następujące informacje:
1. Ujawnij swoją tożsamość – napisz jak się nazywasz lub pod jaką nazwą prowadzisz firmę/ spółkę, podaj adres firmy oraz inne dane kontaktowe, np. adres e-mail. Dzięki tym informacjom właściciel danych wie kto dokładnie przetwarza jego dane i jak w razie potrzeby może się z nim skontaktować. Jeśli w Twoim imieniu działa przedstawiciel, to podaj również dane tego przedstawiciela, analogicznie do Twoich.
2. Jeśli posiadasz inspektora danych osobowych, to podaj również jego dane kontaktowe.
3. Napisz jaka jest podstawa prawna przetwarzania przez Ciebie danych osobowych, np. zgoda właściciela danych, albo realizacja umowy. Podstawy prawne umożliwiające przetwarzanie danych osobowych znajdziesz w art. 6 ust. 1 RODO. Ponadto objaśnij pokrótce tę podstawę.
4. Wyjaśnij w jakim celu zbierasz i przetwarzasz dane osobowe.
5. Kto jest odbiorcą danych osobowych, które gromadzisz? Ujawnij tych odbiorców lub kategorie odbiorców. Odbiorcami mogą być wszyscy, którym udostępniasz te dane, np. firma dostarczająca Ci platformę newslettera, firma wystawiająca faktury w Twoim sklepie online, itp. Dotyczy to wszystkich podwykonawców, firm współpracujących, czy outsourcingowych, którym udostępniasz bazy danych osobowych.
6. Jeśli zamierzasz przekazać dane osobowe do państwa trzeciego* lub organizacji międzynarodowej, to również poinformuj o tym. Napisz gdzie konkretnie oraz w jaki sposób te dane będą tam zabezpieczone. Czy są tam zapewnione zasady ochrony danych osobowych zgodne z RODO?
* Państwo trzecie, to państwo spoza Europejskiego Obszaru Gospodarczego (EOG).
7. Określ czas przez jaki będziesz przechowywała te dane, a jeśli nie jesteś w stanie go określić, to napisz w jaki sposób będziesz weryfikowała czy dane należy usunąć, czy też nie. Np. do czasu aż cel, dla którego zbierałaś te dane ustanie.
8. Poinformuj o przysługujących właścicielom danych osobowych prawach: prawie do cofnięcia zgody w dowolnym momencie oraz prawie wniesienia skargi do organu nadzorczego.
9. Wyjaśnij również czy fakt zbierania przez Ciebie danych wynika z obowiązku ustawowego (np. dane Twoich pracowników gromadzisz, ponieważ zobowiązuje Cię do tego prawo), albo z umowy zawartej pomiędzy Tobą a Twoim klientem. Określ czy osoba, której dane zbierasz ma obowiązek ich podania, czy też wynika to z jej dobrej woli. Wyjaśnij jakie są konsekwencje, jeśli tych danych nie poda (np. nie będzie mogła skorzystać z Twojej usługi, nie otrzyma newslettera, nie będzie mogła korzystać z platformy internetowej, którą udostępniasz lub Twojej aplikacji mobilnej).
10. Określ w jaki sposób przetwarzasz dane, tj. czy zautomatyzowany, czy ręczny. Zautomatyzowany oznacza, że proces dzieje się automatycznie, tj. bez Twojego udziału.
11. Poinformuj czy profilujesz dane osobowe, a jeśli tak, to jakie są tego konsekwencje.
12. Jeżeli planujesz przetwarzać zgromadzone przez Ciebie dane osobowe w innym celu, niż ten, dla którego je zebrałaś, koniecznie poinformuj o tym osoby, których te dane dotyczą, tj. właścicieli danych.
Informowanie, gdy wchodzisz w posiadanie danych, które uzyskałaś od innego podmiotu niż właściciel danych
Jeżeli gromadzisz dane osobowe, które otrzymałaś od innego podmiotu, który był wcześniej administratorem tych danych, a nie bezpośrednio od osoby, której te dane dotycząc, to poza listą informacji, które wymieniłam w pkt. 1, musisz też poinformować właścicieli danych osobowych o źródle, od którego otrzymałaś te dane (art. 14 RODO).
Wyjaśnij dlaczego teraz to Ty administrujesz tymi danymi. Taka sytuacja może mieć miejsce np. jeśli zmieniasz formę działalności z jednoosobowej działalności na spółkę. Wówczas zmienia się podmiot administrujący danymi. Może to mieć również miejsce, gdy odkupujesz od innej firmy forum dyskusyjne, portal internetowy, platformę internetową, itp.
Informowanie na żądanie osoby, której dane dotyczą
Osoba, której dane przetwarzasz posiada prawo do tego, aby z własnej inicjatywy poprosić Cię o udzielenie jej informacji czy jej dane są przez Ciebie przetwarzane (art. 15 RODO). Jeśli tak, to jesteś zobowiązana do udzielenia jej następujących informacji, które nieco różnią się od listy opisanej w pkt. 1:
1. Jaki jest cel przetwarzania przez Ciebie jej danych;
2. Jakie dokładnie kategorie danych przetwarzasz;
3. Kto jest odbiorcą tych danych, tj. komu te dane zostały już przez Ciebie ujawnione, albo komu zamierzasz je ujawnić. W szczególności czy tymi odbiorcami są organizacje międzynarodowe, albo podmioty w państwach trzecich.
4. Jak długo będziesz przechowywała te dane, a jeśli nie jesteś w stanie określić czasu przechowywania danych, to powinnaś wskazać jakie kryteria przyjęłaś do oceny czy dane już należy usunąć, czy też nie.
5. Jakie prawa przysługują właścicielom danych, tj. prawo do żądania sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych, prawo do wniesienia skargi do organu nadzorczego.
6. Jeżeli dane te otrzymałaś od innego podmiotu niż osoba, której te dane dotyczą, to powinnaś wskazać na źródło otrzymania tych danych.
7. Czy dane są przetwarzane w sposób zautomatyzowany, czy są profilowane, a jeśli tak, to jakie ma to konsekwencje dla osoby, do której należą te dane.
W jaki sposób informować?
W kontekście budowania społecznej świadomości, ważne jest nie tylko to, o czym informujemy jako administratorzy danych osobowych, ale też w jaki sposób to robimy. Jasno wybrzmiewa to również w treści RODO. Zatem w jaki sposób komunikować? Przede wszystkim zarówno informowanie, jak i komunikacja z osobami, których dotyczą przetwarzane przez nas dane muszą cechować się przejrzystością (art. 12 RODO). Co to właściwie znaczy?
Chodzi o to, żeby osoby, których dane przetwarzasz nie miały wątpliwości co do treści, które do nich kierujesz. Ma to być dla nich zrozumiałe, czytelne, zaprezentowane w łatwo dostępnej dla nich formie, a także napisane jasnym i prostym językiem.
Jak zatem sprawdzić, czy zaprezentowana przez nas forma udzielenia informacji spełnia te wymagania? Najlepszym sposobem jest, aby wczuć się w rolę Twojego odbiorcy. Z pewnością wiesz do jakiej grupy kierujesz swoje treści i usługi. Jeśli są to dzieci, to powinnaś informować w dużo łatwiejszej do zrozumienia dzieciom formie. Np. w formie obrazkowej, graficznej. Wyobraź sobie, że jesteś swoją własną klientką. Znając swoich odbiorców pewnie wiesz już co sprawia im trudności, z jakimi pytaniami się do Ciebie kierują. Spróbuj więc dostosować swoją klauzulę informacyjną do ich potrzeb.
Pamiętaj, że w trakcie swojej działalności możesz zmieniać formę swojej klauzuli informacyjnej, nie musząc o tym informować swoich odbiorców. Inaczej, niż w przypadku regulaminu, o którego zmianie musisz zawsze poinformować.
Zobacz też:
Usługi świadczone drogą elektroniczną – sprawdź czy te przepisy dotyczą również Twojej działalności w sieci
Kiedy powinnaś zadbać o regulamin na swojej stronie internetowej
Dobrym pomysłem jest też zrobienie ankiety wśród swoich odbiorców, która forma jest dla nich bardziej przejrzysta, którą lepiej rozumieją. Sposobów jest wiele, ale najważniejsza zasada jest taka, że lepsza jest minimalistyczna wersja, niż żadna. Lepiej poinformować w najprostszy sposób, niż w ogóle nie spełnić swojego obowiązku, gdyż wiąże się to z konsekwencjami prawnymi, tj. skargą do organu nadzorczego.
Kiedy informować?
Skoro wiesz już dlaczego musisz informować, o czym i w jaki sposób, to czas, aby wyjaśnić kiedy właściwie powstaje ten obowiązek. Kiedy administrator danych osobowych musi zrealizować prawo osoby, której dane dotyczą do bycia poinformowanym? Ponownie wyróżniamy tu trzy różne sytuacje i zasady:
1. Należy informować zawsze w momencie, kiedy zbieramy dane osobowe. Oznacza to, że zbierając dane osobowe do bazy newslettera musisz przekazać wszystkie informacje dotyczące przetwarzania przez Ciebie tych danych w tym samym momencie, kiedy ktoś się na ten newsletter zapisuje. Jak to zrobić? Jest wiele możliwości. Jedna z nich, to odesłanie w samym formularzu rejestracyjnym bezpośrednio do Twojej polityki prywatności, w której znajdują się wszystkie niezbędne informacje.
Innym sposobem jest zastosowanie podwójnej weryfikacji adresu e-mail. Tzn., że po zapisaniu się na Twój newsletter potencjalny odbiorca otrzymuje maila zwrotnego z klauzulą informacyjną i prośbą o kliknięcie w link potwierdzający chęć zapisania się do newslettera.
Uwaga: Newsletter jest usługą świadczoną drogą elektroniczną. W związku z tym w praktyce istnieją przypadki, kiedy administratorzy danych osobowych za podstawę przetwarzania danych uważają zgodę wyrażoną przez właścicieli danych osobowych, ale też przypadki kiedy za podstawę przetwarzania uznaje się umowę łączącą odbiorcę newslettera i usługodawcę (dostawcę newslettera). W drugim przypadku należy pamiętać o tym, aby mieć regulamin usługi i poza polityką prywatności przy zapisie udostępnić również link do treści regulaminu.
Więcej na temat usług świadczonych drogą elektroniczną oraz regulaminie przeczytasz tutaj:
Usługi świadczone drogą elektroniczną – sprawdź czy te przepisy dotyczą również Twojej działalności w sieci
Kiedy powinnaś zadbać o regulamin na swojej stronie internetowej
2. Jeśli uzyskujesz dane z innego źródła, niż osoba, której te dane dotyczą, to RODO mówi o „rozsądnym terminie” na poinformowanie, ale najpóźniej w ciągu miesiąca. Należy tu jednak wziąć pod uwagę konkretne przypadki wykorzystywania tych danych:
• Jeżeli chcesz udostępnić te dane innym podmiotom, to powinnaś zrealizować swój obowiązek informacyjny tuż po tym, kiedy ujawniłaś/udostępniłaś te dane po raz pierwszy.
• Jeżeli planujesz przetwarzać te dane w innym celu, niż cel, w którym zostały zebrane, powinnaś poinformować o tym właściciela danych przed dalszym przetwarzaniem ich w taki sposób.
• Jeśli natomiast te dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, to swój obowiązek informacyjny powinnaś zrealizować najpóźniej przy pierwszej takiej komunikacji.
3. Jeśli to osoba, której przetwarzane przez Ciebie dane dotyczą zgłosi swoje żądanie o udzielenie jej informacji, wówczas jesteś zobowiązana zrealizować jej prawo bez zbędnej zwłoki, ale nie później, niż w terminie miesiąca od zgłoszenia tego żądania. Oznacza to, że przy realizowaniu swojego obowiązku nie powinnaś zwlekać i jeśli to możliwe udzielić niezbędnych informacji szybciej, niż wskazuje na to maksymalny termin. W polskim orzecznictwie przyjmuje się, że pojęcie „bez zbędnej zwłoki” oznacza maksymalnie 14 dni.
Jeśli natomiast udzielenie przez Ciebie informacji zgodnych z RODO wymaga dłuższego czasu, co może wynikać ze skomplikowanego charakteru żądania, wówczas można ten czas wydłużyć o kolejne dwa miesiące. W takiej sytuacji w terminie miesiąca od zgłoszenia żądania powinnaś poinformować o tym wydłużonym terminie przygotowania odpowiedzi.
Bardzo ważne jest jednak, abyś udostępniając informacje na żądanie konkretnej osoby miała pewność, że żąda tego właściciel danych, a nie osoba podszywająca się pod niego. Oczywiście nie zawsze jest to łatwe do sprawdzenia. Jeśli przetwarzasz tylko e-mail, to wystarczy, aby żądanie zostało wysłane z tego konkretnego adresu. Nie ma podstaw do tego, aby podważać uczciwość żądającego. Jeśli jednak przetwarzasz więcej kategorii danych, zwłaszcza jeśli przetwarzasz dane wrażliwe, możesz zgodnie z RODO poprosić o dodatkową weryfikację, aby mieć pewność, że udzielasz informacji właściwej osobie i nie jest to próba kradzieży danych.
Jeśli Twoje wątpliwości nie zostaną rozwiane, albo też z innych powodów nie udzielisz lub nie będziesz mogła udzielić wymaganych informacji, wówczas w ciągu miesiąca od zgłoszenia żądania poinformuj o tym fakcie osobę zainteresowaną, dodając, że przysługuje jej prawo do wniesienia skargi do organu nadzorczego oraz możliwość skorzystania ze środków ochrony prawnej przed sądem.
Wyjątki, czyli kiedy informowanie nie jest konieczne
Od każdej reguły istnieją wyjątki. Podobnie jest w tym przypadku. Kiedy zatem według RODO informowanie nie jest konieczne?
• kiedy osoba, której te dane dotyczą posiada już te informacje.
• kiedy zbieranie danych i ich ujawnianie wynika z przepisów obowiązującego prawa.
• kiedy „dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego”. Dotyczy to również ustawowego obowiązku zachowania tajemnicy.
• kiedy poinformowanie nie jest możliwe lub wymagałoby niewspółmiernie dużego wysiłku. Np. gdy przetwarzanie danych „służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym”.
Pamiętaj, że to na Tobie, jako administratorze danych osobowych spoczywa obowiązek udowodnienia, że żądanie poinformowania jest nieuzasadnione lub wiąże się z nadmiernym wysiłkiem.
Jestem przekonana, że z pomocą tego artykułu doskonale poradzisz sobie z realizacją tego obowiązku i zrobisz to tak, jak należy. Jeśli jednak potrzebujesz pomocy w tym zakresie, to napisz do mnie na kontakt@poprawniewsieci.pl. Z przyjemnością pomogę.
Karo