Baza wiedzy

Jeśli posiadasz stronę www, sklep internetowy, poprzez które prowadzisz sprzedaż produktów i usług. Kontaktujesz się z klientami poprzez formularz kontaktowy lub pocztę e-mail, zbierasz zapisy do newslettera, posiadasz infolinię telefoniczną itp. To zgodnie z zapisami RODO dokonujesz przetwarzanie danych osobowych.

 

W jaki sposób prawidłowo informować osoby, których dane przetwarzasz o tym, że dokonujesz takiej czynności.

 

Rozpocznijmy od wyjaśnienia pojęcia „przetwarzania danych osobowych”, które zdefiniowane jest w art. 4 pkt. 2 RODO:

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Operacje takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie. A także pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie.

 

Jak rozumieć definicję przetwarzanie danych osobowych?

Definicja oznacza de facto, że przetwarzaniem danych osobowych jest każda czynność wykonywana na danych osobowych, włącznie z niszczeniem lub usuwaniem. Bardzo prawdopodobne jest, więc że przetwarzasz dane osobowe, dlatego zgodnie z litera prawa powinieneś informować o tej czynności.

Zakres takiej informacji definiuje Art.13 ust. 1 RODO (tekst poniżej). Ma ona bardzo szeroki charakter. Na szczęście nie wszystkie te informacje muszą znajdować się w jednym miejscu, np. pod formularzem kontaktowym na stronie www. Ale po kolei:

 

Artykuł 13 – Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby. Administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą. Ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d. informacje o prawie wniesienia skargi do organu nadzorczego;

e. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

 

Kidy powstaje obowiązek informacyjny, czyli kiedy musisz przekazać osobie, której dane dotyczą, że przetwarzasz jej dane osobowe?

 

Obowiązek informacyjny powstaje z chwilą rozpoczęcia gromadzenia danych osobowych. W przypadku formularza kontaktowego na stronie www klauzula informacyjna powinna znaleźć się, więc pod formularzem. Jeżeli posiadasz sklep internetowy wówczas umieść klauzulę informacyjna pod miejscem, w którym zbierasz dane osobowe klienta. Wtedy klient gdy wypełnia pola adresowe podczas składnia zamówienia ma możliwość zapoznać się z klauzulą i jej akceptacji. Jeżeli posiadasz infolinię to informację o przetwarzaniu danych osobowych powinny zostać nagranie i odtworzone zanim klient uzyska połączenie z konsultantem.

 

Jakie informacje powinna zawierać klauzula informacyjna?

 

Klauzula informacyjna powinna zawierać wszystkie kategorie informacji, o których mowa w art. 13 ust.1. W skrócie jest to: tożsamość i dane kontaktowe Administratora, dane kontaktowe IOD, (gdy powołany), cele przetwarzania danych osobowych i podstawę prawną, prawnie uzasadnione interesy realizowane przez administratora, (jeśli zast. 6 ust. 1 lit. f), informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, (jeśli istnieją), informacje o zamiarze przekazania danych osobowych do państwa trzeciego, (jeśli ma zastosowanie), okres przechowywania danych osobowych, informacje o prawie dostępu do danych ich sprostowania itp, Informacje o prawie do cofnięcia zgody bez wpływu na zgodność z prawem przetwarzania, (jeśli ma zastosowanie), informacje o prawie wniesienia skargi do organu nadzorczego; informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

 

Chyba dla każdego przedsiębiorcy przymus podana takiego zestawu informacji np. pod formularzem kontaktowym oznaczałby, co najmniej konieczność przeprojektowania strony internetowej. To samo dotyczyłoby dodatkowego czasu spędzonego na wysłuchaniu komunikatu podczas połączenia z infolinią, co generowałoby dodatkowe koszty operacyjne. Na szczęście nie wszystkie te informacje należy podawać w jednym miejscu.

 

Jakie informacje należy podać wprost, a do jakich można się odwołać pośrednio?

 

Bezpośrednio (wprost) podajemy następujące informacje: tożsamość administratora oraz jego dane kontaktowe, cel przetwarzania danych osobowych oraz ich zakres. A także informacja o dobrowolności podania danych osobowych, prawie dostępu do danych osobowych i możliwości wycofania zgody na ich przetwarzanie. Oraz informacje o profilowaniu i przekazywaniu danych poza obszar EOG, (jeśli dotyczy).

W rzeczywistości tego typu klauzula nie różni się znacząco długością w porównaniu z zapisami, które na ADO wymuszały stare przepisy ustawy o ochronie danych osobowych z 1997r.

 

W pozostałym zakresie obowiązku informacyjnego możemy odesłać osobę, której dane pozyskujemy, np. do strony internetowej. Specjaliści z Security Partners, wdrażają system ochrony danych osobowych tworząc najczęściej Politykę Prywatności, która następnie umieszczana jest na stronie www. To do niej odwołuje się podstawowa klauzula informacyjna.

 

Jeżeli chcesz otrzymać bezpłatny, przykładowy zestaw tekstów polityki informacyjnej RODO  oraz przykładową Politykę Prywatności. Skontaktuj się z nami poprzez formularz kontaktowy dostępny po prawej stronie lub w dziale „Kontakt”

 

Być może chcesz zapoznać się z innym powiązanym z tą tematyką zagadnieniami, które opisaliśmy w osobnych artykułach:

Czy trzeba umieszczać zgody na przetwarzanie danych osobowych na stronie www?

Jak długo możesz przetwarzać dane osobowe?