Jak napisać obowiązek informacyjny?

Written by Tomasz Soczyński

Obowiązek informacyjny służy do poinformowania o zasadach przetwarzania danych osobowych oraz o prawach osób, których dane dotyczą. Spełnienie obowiązku informacyjnego wobec osób których dane przetwarzamy, niezależnie czy dane pozyskamy od osoby czy nie, nakłada na nas art. 13 i 14 RODO. Na podstawie obowiązku informacyjnego, który znajduje się na stronie https://www.uodo.gov.pl przedstawimy w jaki sposób prawidłowo sporządzić obowiązek informacyjny. Poniżej otrzymają Państwo również gotowy wzór obowiązku informacyjnego.

 

DANE ADMINISTRATORA DANYCH ORAZ INSPEKTORA OCHRONY DANYCH

Tworząc obowiązek informacyjny należy przede wszystkim przedstawić kto jest Administratorem Danych Osobowych, czyli kto te dane będzie miał w posiadaniu. Gdy ma to zastosowanie, należy podać dane kontaktowe przedstawiciela administratora tj.: imię i nazwisko, bądź jego stanowisko w konkretnej instytucji, czy firmie, wraz z podaniem adresu siedziby. Można również podać inne dane kontaktowe takie jak np. numer telefonu, czy adres e-mail.

Przykład:

„Administratorem Państwa danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) z siedzibą w Warszawie, przy ul. Stawki 2.

listownie: ul. Stawki 2, 00-193 Warszawa

przez elektroniczną skrzynkę podawczą dostępną na stronie: https://www.uodo.gov.pl/pl/p/kontakt

Istotna jest również informacja o Inspektorze Ochrony Danych (jeżeli został powołany), tj. kto obejmuje stanowisko Inspektora, a także jego dane kontaktowe.

Przykład:

„Inspektorem Ochrony Danych (IOD) jest Andrzej Kaczmarek. Można się z nim kontaktować poprzez Elektroniczną Skrzynkę Podawczą Urzędu lub e-mailem na adres: iod@uodo.gov.pl

Do IOD w UODO należy kierować wyłącznie sprawy dotyczące przetwarzania Państwa danych przez UODO, w tym sprawy dotyczące realizacji praw w zakresie dostępu do swoich danych, ich sprostowania, usuwania, ograniczenia przetwarzania, czy sprzeciwu na ich przetwarzanie.

Do kompetencji Inspektora Ochrony Danych UODO nie należy natomiast załatwianie innych spraw, jak np. udzielania porad, przyjmowanie zgłoszeń o wyznaczeniu IOD, przyjmowanie zgłoszeń o naruszeniach, udzielanie konsultacji czy rozpatrywanie skarg. Wnioski w tego typu sprawach powinny być kierowane do UODO poprzez Elektroniczną Skrzynkę Podawczą UODO przy użyciu odpowiednich formularzy.”

 

CEL PRZETWARZANIA

Osoba, której dane dotyczą musi zostać poinformowana, w jakim celu są przetwarzane dane oraz na jakiej podstawie prawnej. W tym celu można przykładowo wskazać konkretną podstawę z RODO. Należy również powiadomić, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz jakie są ewentualne konsekwencje niepodania danych.

Przykład:

„Będziemy przetwarzać Państwa dane osobowe w związku z realizacją obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO[1]) oraz wykonywaniem przez administratora zadań realizowanych w interesie publicznym  lub sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).

[1] Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679  z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z 4 maja 2016 r., str. 1 oraz Dz.Urz. UE L 127 z 23 maja 2018 r., str. 2) – nazywanego dalej RODO”

 

ODBIORCY DANYCH OSOBOWYCH

Istotnym elementem obowiązku jest informacja komu mogą być przekazywane dane osobowe bądź wzmianka o kategoriach odbiorców, jeśli istnieją. Jeżeli Administrator danych ma zamiar przekazać dane do państw trzecich, wówczas powinien zawrzeć taką informację.

Przykład:

„Odbiorcami do których mogą być przekazane Państwa dane osobowych będą strony i uczestnicy postępowań lub organy właściwe do załatwienia wniosku na mocy przepisów prawa, którym Prezes UODO Państwa wniosek przekazał.

Odrębną kategorię odbiorców, którym mogą być ujawnione Państwa dane są podmioty uprawnione do obsługi doręczeń[2] oraz podmioty, z którymi UODO zawarł umowę na świadczenie usług serwisowych dla użytkowanych w Urzędzie systemów informatycznych.

[2] Sytuacja dotyczy głównie podmiotów świadczących usługi doręczania przy użyciu środków komunikacji elektronicznej w tym m.in. ePUAP w związku z § 8 ust. 2 Rozporządzenia Prezesa Rady Ministrów z dnia 14 września 2011 r. w sprawie sporządzania i doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych (t.j Dz.U. z 2018 r. poz. 180)”

 

OKRES PRZECHOWYWANIA DANYCH

Nie należy pomijać informacji jaki jest przewidywany okres przechowywania danych, bądź wyjaśnienie według jakich kryteriów przetwarzane będą dane.

Przykład:

„Będziemy przechowywać Państwa dane osobowe do chwili załatwienia sprawy, w której zostały one zebrane a następnie – w przypadkach, w których wymagają tego przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz.U. z 2018 r. poz. 217 ze zm.) – przez czas określony w tych przepisach.”

 

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Ponadto przy sporządzaniu obowiązku informacyjnego administrator musi poinformować o  prawach jakie osobie, której dane dotyczą przysługują, tj: prawo do żądania od administratora dostępu do swoich danych, prawo do sprostowania swoich danych jeżeli są błędne lub nieaktualne, prawo do usunięcia swoich danych osobowych, prawo do ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych oraz prawo do wniesienia skargi do organu nadzorczego.

Przykład:

„Zgodnie z RODO przysługuje Państwu:

prawo dostępu do swoich danych oraz otrzymania ich kopii;

prawo do sprostowania (poprawiania) swoich danych, jeśli są błędne lub nieaktualne, a także prawo do ich usunięcia, w sytuacji, gdy przetwarzanie danych nie następuje w celu wywiązania się z obowiązku wynikającego z przepisu prawa lub w ramach sprawowania władzy publicznej;

prawo do ograniczenia lub wniesienia sprzeciwu wobec przetwarzania danych;

prawo do wniesienia skargi do Prezes UODO (na adres Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa)”

Ponadto:

  • Należy poinformować o ewentualnym zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz o konsekwencjach takiego przetwarzania.
  • W przypadku gdy dane pozyskaliśmy w inny sposób niż od osób, których dane przetwarzamy należy poinformować o kategoriach danych osobowych odnośnych oraz o ich źródle pochodzenia oraz jeżeli pochodzą ze źródeł publicznie dostępnych to również należy je podać.

Kiedy administrator powinien poinformować osobę, której dane dotyczą o przetwarzaniu danych?

Administrator ma obowiązek poinformować osoby, których dane dotyczą o przetwarzaniu danych nie później niż miesiąc po pozyskaniu danych. W przypadku komunikacji z osobą, której dane dotyczą administrator powinien powiadomić przy pierwszej takiej komunikacji, natomiast w przypadku przekazania danych innym odbiorcom, administrator musi spełnić obowiązek informacyjny najpóźniej przy ich pierwszym ujawnieniu.

 

Gdzie powinien znajdować się obowiązek informacyjny?

Za umieszczenie obowiązku informacyjnego, a dokładniej za podjęcie odpowiednich środków odpowiada administrator danych. Nie ma jasno określonych reguł, gdzie obowiązek informacyjny powinien się znajdować.

Klauzulę informacyjną należy umieścić w widocznym miejscu tak, aby osoba, której dane dotyczą mogła z łatwością odnaleźć i zapoznać się z obowiązkiem informacyjnym.

W przypadku miejsc publicznych, urzędów czy instytucji administrator powinien upewnić się, że przeznaczył miejsce widoczne i łatwo dostępne. Dla przykładu może to być klauzula umieszczona na drzwiach budynku, w holu głównym, recepcji, ogólnodostępnych tablicach informacyjnych, czy też w pomieszczeniach, w których osoba podaje swoje dane. Obowiązek informacyjny na stronach internetowych również powinien być umieszczony w łatwo dostępnym oraz logicznie przeznaczonym dla użytkownika miejscu. Przykładowo może to być zakładka z danymi kontaktowymi, polityką prywatności, regulaminem czy też z informacjami dotyczącymi ochrony danych osobowych. Częstym zabiegiem jest umieszczenie obowiązku informacyjnego obok zgody na przetwarzanie danych. Ponadto można również przypiąć komunikat do strony wraz z możliwością zaznaczenia opcji, że użytkownik zapoznał się z klauzulą informacyjną. Ponadto instytucje państwowe mają obowiązek umieszczania klauzuli informacyjnej na stronie internetowej podmiotu oraz w Biuletynie Informacji Publicznej. O konieczności umieszczania obowiązku informacyjnego powinni również pamiętać podmioty prowadzące działalność w internecie. Klauzula informacyjna powinna mieścić się w widocznym miejscu, najlepiej tuż obok pól do wypełniania danych. Ponadto można użytkownika poinformować o obowiązku informacyjnym poprzez wiadomość SMS lub e-mail z linkiem do klauzuli informacyjnej bądź z gotową klauzulą.  W przypadku newsletterów, formularzy kontaktowych, bądź rejestracji – obowiązek informacyjny powinien znajdować się tuż przy miejscu do wprowadzania danych.  W przypadku rozmów telefonicznych nagrywanych administrator powinien zadbać o poinformowanie osoby o zasadach przetwarzania danych, bądź może podać kilka najistotniejszych informacji oraz przekierować osobę na przykładowo konkretną stronę internetową, na której znajduje się pełna klauzula informacyjna.

 

Kiedy obowiązek informacyjny nie jest konieczny?

  • Jeżeli osoba została wcześniej sposób poinformowana o zasadach przetwarzania danych osobowych wtedy można przyjąć założenie, że posiada tę wiedzę, bez względu na to z jakiego źródła pozyskała dane.
  • Jeżeli wymagałoby to niewspółmiernie dużego wysiłku, natomiast w takim przypadku administrator musi zadbać o ochronę praw i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.
  • Jeżeli pozyskiwanie lub ujawnianie danych jest uzasadnione prawem Unii lub państwa członkowskiego, któremu podlega administrator.
  • Jeżeli dane muszą pozostać poufne.

Obowiązek informacyjny składa się z następujących głównych elementów: danych Administratora danych oraz, jeżeli został powołany, Inspektora Ochrony Danych, celu przetwarzania, odbiorców danych osobowych, okresu przechowywania danych oraz z przysługujących praw osobom, których dane dotyczą. Obowiązek informacyjny to jeden z nadrzędnych obowiązków nałożonych na Administratora danych, dlatego należy zadbać o stosowne poinformowanie osób, których dane dotyczą. W tym celu należy pamiętać, ze obowiązek informacyjny powinien znajdować się łatwo dostępnym miejscu oraz być napisany jasnym i przejrzystym językiem. Poniżej znajduje się plik ze wzorem obowiązku informacyjnego.

Wzór obowiązku informacyjnego

 

Maja Przybylska
Patryk Kopciński