Obowiązek informacyjny RODO
Około 25 maja tego roku mój e-mail zalała fala wiadomości od administratorów, którzy przetwarzają moje dane. W ten sposób administratorzy dążyli do wypełnienia obowiązku informacyjnego, wynikającego z RODO.
Obowiązek informacyjny to żadna nowość na gruncie przepisów o ochronie danych osobowych, jednakże zgodnie z przepisami RODO od 25 maja obowiązek ten uległ rozszerzeniu. Obecnie, w tak zwanej klauzuli informacyjnej należy zawrzeć szereg informacji, które szczegółowo określone zostały przepisami RODO. Jednocześnie ustawodawca europejski wskazuje, że klauzule informacyjne powinny zostać podane w zwięzłej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Tego typu zapisy, które z jednej strony szczegółowo stanowią o zakresie klauzuli informacyjnej, a z drugiej wskazują na jej jasną i prostą formę powodują, że stworzenie odpowiedniej klauzuli informacyjnej nie jest zadaniem łatwym.
Możemy wyróżnić dwa rodzaje obowiązku informacyjnego. Pierwszy z nich odnosi się do sytuacji, kiedy dane zbierane są bezpośrednio od osoby, której dotyczą (np. dane otrzymane bezpośrednio od pacjenta). Drugi rodzaj obowiązku informacyjnego dotyczy danych, które zbierane są w inny sposób (np. dane kandydata do pracy otrzymane od firmy rekrutacyjnej).
W przypadku danych zbieranych bezpośrednio od osoby, której dotyczą, w klauzuli informacyjnej należy zawrzeć następujące informacje:
- kto jest administratorem danych oraz kontakt do niego,
- dane inspektora ochrony danych osobowych, jeżeli został powołany,
- cele przetwarzania i podstawę prawną przetwarzania danych,
- prawnie uzasadniony interes administratora jeżeli przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. f RODO,
- odbiorców danych lub kategorie odbiorców,
- zamiar przekazania danych do państwa trzeciego lub organizacji międzynarodowej,
- okres, przez który dane będą przechowywane lub kryteria jego ustalenia,
- prawo do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu, prawo do przenoszenia danych,
- możliwość cofnięcia zgody na przetwarzanie danych,
- prawo do wniesienia skargi do PUODO,
- informację czy podanie danych jest obowiązkowe czy dobrowolne,
- informację o profilowaniu.
W przypadku danych zebranych w innych sposób, w klauzuli informacyjnej należy również zawrzeć informację o kategoriach przetwarzanych danych oraz o źródle pochodzenia tych danych.
Wszystkie z wymienionych powyżej punktów wymagają odrębnego omówienia w kolejnych wpisach, w których pojawią się również przykłady zapisów stosowanych w klauzulach informacyjnych.
Wracając do zasypywania mojej skrzynki e-mail klauzulami informacyjnymi, z przykrością informuję, że spośród administratorów, którzy przesłali mi swoje klauzule informacyjne niewielu sprostało zadaniu. Długość klauzul (czasem po kilka stron), ich nieczytelność i niezrozumiałość nie tylko miały wpływ na mój humor, ale również świadczyły o niespełnieniu wymagań określonych przepisami RODO.
