Obowiązek informacyjny RODO

Około 25 maja tego roku mój e-mail zalała fala wiadomości od administratorów, którzy przetwarzają moje dane. W ten sposób administratorzy dążyli do wypełnienia obowiązku informacyjnego, wynikającego z RODO.

Obowiązek informacyjny to żadna nowość na gruncie przepisów o ochronie danych osobowych, jednakże zgodnie z przepisami RODO od 25 maja obowiązek ten uległ rozszerzeniu. Obecnie, w tak zwanej klauzuli informacyjnej należy zawrzeć szereg informacji, które szczegółowo określone zostały przepisami RODO. Jednocześnie ustawodawca europejski wskazuje, że klauzule informacyjne powinny zostać podane w zwięzłej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Tego typu zapisy, które z jednej strony szczegółowo stanowią o zakresie klauzuli informacyjnej, a z drugiej wskazują na jej jasną i prostą formę powodują, że stworzenie odpowiedniej klauzuli informacyjnej nie jest zadaniem łatwym.

Możemy wyróżnić dwa rodzaje obowiązku informacyjnego. Pierwszy z nich odnosi się do sytuacji, kiedy dane zbierane są bezpośrednio od osoby, której dotyczą (np. dane otrzymane bezpośrednio od pacjenta). Drugi rodzaj obowiązku informacyjnego dotyczy danych, które zbierane są w inny sposób (np. dane kandydata do pracy otrzymane od firmy rekrutacyjnej).

W przypadku danych zbieranych bezpośrednio od osoby, której dotyczą, w klauzuli informacyjnej należy zawrzeć następujące informacje:

  1. kto jest administratorem danych oraz kontakt do niego,
  2. dane inspektora ochrony danych osobowych, jeżeli został powołany,
  3. cele przetwarzania i podstawę prawną przetwarzania danych,
  4. prawnie uzasadniony interes administratora jeżeli przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. f RODO,
  5. odbiorców danych lub kategorie odbiorców,
  6. zamiar przekazania danych do państwa trzeciego lub organizacji międzynarodowej,
  7. okres, przez który dane będą przechowywane lub kryteria jego ustalenia,
  8. prawo do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu, prawo do przenoszenia danych,
  9. możliwość cofnięcia zgody na przetwarzanie danych,
  10. prawo do wniesienia skargi do PUODO,
  11. informację czy podanie danych jest obowiązkowe czy dobrowolne,
  12. informację o profilowaniu.

W przypadku danych zebranych w innych sposób, w klauzuli informacyjnej należy również zawrzeć informację o kategoriach przetwarzanych danych oraz o źródle pochodzenia tych danych.

Wszystkie z wymienionych powyżej punktów wymagają odrębnego omówienia w kolejnych wpisach, w których pojawią się również przykłady zapisów stosowanych w klauzulach informacyjnych.

Wracając do zasypywania mojej skrzynki e-mail klauzulami informacyjnymi, z przykrością informuję, że spośród administratorów, którzy przesłali mi swoje klauzule informacyjne niewielu sprostało zadaniu. Długość klauzul (czasem po kilka stron), ich nieczytelność i niezrozumiałość nie tylko miały wpływ na mój humor, ale również świadczyły o niespełnieniu wymagań określonych przepisami RODO.

Oliwia Radlak
Podobne artykuły