O obowiązku informacyjnym, spoczywającym na przedsiębiorcy zbierającym dane osobowe pisałam tutaj. W kontekście przedmiotowego tematu spotkałam się jednak z licznymi pytaniami i wątpliwościami przedsiębiorców. Dotyczyły one głównie problemu praktycznego sformowania treści komunikatu. Zwłaszcza, gdy informacji do przekazania jest całkiem sporo. A sama formułka, zgodnie z nowym prawem, ma być zwięzła, jasna, przejrzysta, zrozumiała, łatwo dostępna i napisana prostym językiem.
Już na wstępie przyznam, że nie mam gotowego, idealnego szablonu, który zaspokoiłby potrzeby każdej branży. Dlaczego? Bo mamy do czynienia z rożnymi podstawami przetwarzania danych i odmiennymi procesami (mniej lub bardziej złożonymi). Mając świadomość, że ochrona danych dotyczy tak samo sprzedawców, lekarzy czy branży kreatywnej należałoby skroić treść informacyjną na miarę właściwej działalności. Stawiając czoła wyzwaniu, poniżej spróbuję sformułować kilka przykładowych klauzul. Nie są to treści gotowe do zamieszczenia w umowie czy w regulaminie. Mogą jedynie posłużyć jako wskazówki ułatwiające wypełnienie obowiązku informacyjnego.
Kto udziela informacji?
Zobowiązanie do podania informacji, o których mowa w art. 13 i 14 unijnego rozporządzenia (zwanego Rodo), ciąży na administratorze danych. To on zbiera dane osobowe. Administratorem może być zarówno osoba fizyczna, osoba prawna, organ publiczny albo inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Jak informować?
Prawo nie narzuca konkretnej formy. Może ona przybrać zarówno postać tekstową, jak i graficzną (obrazki, ikony). Teoretycznie informacja może być udzielona również ustnie. Jednak zagrożenie dotkliwej kary finansowej motywuje, by dysponować jakimś dowodem potwierdzającym wypełnienie obowiązku.
W kontekście RODO bardzo ważne jest, by informacje przekazać:
- w sposób zwięzły,
- przejrzyście,
- jasno,
- w formie łatwo dostępnej,
- w formie zrozumiałej,
- prostym językiem.
Przykładowe klauzule informacyjne
Jeśli zatem rozporządzenie nie narzuca nam rygorystycznej formy, to jednym ze sposobów przekazania informacji może być postawienie prostych pytań i udzielenie przejrzystych odpowiedzi. Taki tryb wydaje się bardzo przyjazny dla użytkownika. Nie przytłacza zbędnymi formalnościami, pozwala zrozumieć krok po kroku kto, co, jak i na jakich zasadach robi z danymi osobowymi. Ponadto, sformułowanie pytań w oparciu o treść obowiązku informacyjnego i udzielenie na nie odpowiedzi z pewnością ułatwi stworzenie jasnego komunikatu skierowanego do osoby, której dane zbieramy.
Poniżej przedstawiam katalog przykładowych pytań i odpowiedzi, by pokazać w jaki sposób można wypełnić podstawowy obowiązek informacyjny przy użyciu przejrzystej i prostej formy.
Kto jest administratorem danych osobowych?
Administratorem Twoich danych osobowych jest spółka XYZ (zwana dalej: My) z siedzibą w Warszawie przy ul. XYZ nr XX. Możesz się z nami skontaktować drogą elektroniczną, wysyłając wiadomość na adres: biuro@xyz.pl lub telefonicznie pod numerem: XXX XXX XXX.
W jakim celu przetwarzamy Twoje dane osobowe?
Będziemy przetwarzać Twoje dane osobowe, aby:
- zawrzeć i wykonać umowę,
- dopełnić rozliczeń finansowych,
- prowadzić działania marketingowe,
* mogą to być również inne cele charakterystyczne dla obszaru Twojej działalności.
Jaką podstawą prawną do przetwarzania danych osobowych dysponujemy?
Podstawą przetwarzania Twoich danych osobowych będą odpowiednio:
- umowa, którą z Tobą zawrzemy lub oświadczenie woli jej zawarcia,
- ustawy, w tym w szczególności przepis art. 106 e ust 1. ustawy o podatku od towarów i usług - wskazujący jakie dane musimy zamieścić w fakturze,
- zgody marketingowe, które zostały przez Ciebie zaznaczone,
- uzasadniony prawnie interes, który mamy w tym, aby przedstawiać Ci inne oferty.
*więcej o podstawach przetwarzania danych pisałam tutaj.
Kto może być odbiorcą Twoich danych osobowych?
W niektórych sytuacjach, aby rzetelnie realizować umowę/nasze obowiązki, jesteśmy zmuszeni przekazać Twoje dane dalej. Należy przez to rozumieć przekazanie danych następującym podmiotom:
- osobom przez nas upoważnionym – naszym pracownikom i współpracownikom, by prawidłowo wykonywali swoje obowiązki,
- podmiotom przetwarzającym, którym zlecimy czynności wymagające powierzenia danych, np. dostawcom przesyłek,
- innym odbiorcom danych - bankom, kancelariom prawnym, biurom rachunkowym,
- uprawnionym organom państwowym na mocy obowiązujących przepisów prawa.
Podstawowe informacje powinny również zawierać wzmiankę dotyczącą danych inspektora ochrony danych osobowych (jeśli został powołany) oraz informacje o zamiarze przekazania danych do państwa trzeciego i stosowanych zabezpieczeniach (jeśli ma to zastosowanie).
To nie koniec
Prawo nakłada na administratora również dodatkowe obowiązki informacyjne, o których mowa w art. 13 ust. 2 RODO. Należałoby więc udzielić odpowiedzi również na kwestie dotyczące:
- okresu przechowywania danych lub kryterium ustalania takiego okresu,
- zautomatyzowanego podejmowania decyzji (w tym profilowania),
- praw przysługujących osobie, której dane są przetwarzane (np. prawo do sprostowania danych, usunięcia, przeniesienia, cofnięcia zgody, złożenia skargi),
- konsekwencji niepodania danych,
- innego planowanego celu przetwarzania danych osobowych, jeśli jest odmienny od celu w którym dane zostały zebrane.
Podsumowanie
Jeśli nadal twierdzisz, że prawo ochrony danych osobowych Cię nie dotyczy - spróbuj postawić się w roli swojego klienta. Przejrzystość komunikatów, zrozumiałe i "legalne" regulaminy oraz jasne zasady przetwarzania danych osobowych stanowią o atutach firmy. Coraz częściej (na szczęście!) wybieramy towary i usługi w oparciu kryterium jakości oraz poszanowania praw i prywatności klientów.