Prawny start w startup. Jak być zgodnym z RODO?

Obowiązek informacyjny w praktyce
Obowiązek informacyjny w praktyce, fot. Adobe Stock
Jeśli chcemy, by nasz biznes był zgodny z RODO, musimy zadbać m.in. o spełnienie obowiązku informacyjnego dla naszych klientów. Oto, jak zrobić to w praktyce.

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Czym jest obowiązek informacyjny?

Jednym z elementów koniecznych do zapewnienia zgodności z przepisami RODO w relacjach administratora danych z podmiotami danych (np. naszymi klientami, kontrahentami, ale również pracownikami) przetwarzanych przez administratora jest prawidłowe wykonanie obowiązku informacyjnego. Obowiązek informacyjny i jego zakres definiują w art. 13 (jeśli dane pozyskujemy bezpośrednio od podmiotu danych) i 14 (jeśli dane pozyskujemy nie bezpośrednio od naszych klientów, lecz np. naszych podwykonawców) Rozporządzenia RODO. Sensem tych przepisów jest przygotowanie podmiotu danych – czyli osoby, której dane będziemy przetwarzać (najczęściej naszego klienta) – do podjęcia świadomej decyzji w związku z przekazaniem nam swoich danych osobowych. Prawidłowa realizacja tego obowiązku jest kluczowa, nie tylko z uwagi na potencjalne zagrożenie nałożenia wysokich kar na administratora za jego niewykonanie. Chodzi przede wszystkim o to, że zgodnie z RODO jedynie osoba prawidłowo poinformowana o tym, w jaki sposób, w jakich celach i przez jaki czas dane będą przetwarzane, może podjąć świadome decyzje dotyczące przetwarzania jej danych osobowych, np. poprzez udzielenie zgody, oraz skorzystać z przysługujących jej praw, o których została we właściwy sposób poinformowana.

Poza sytuacją, gdy podmiot danych korzysta z prawa dostępu, tj. sam zwraca się do administratora o uzyskanie informacji, obowiązek informacyjny przewidziany w art. 13 i 14 spoczywa na administratorze danych osobowych. 

Moment wykonania obowiązku informacyjnego

W przypadku zbierania danych bezpośrednio od osoby, której dane przetwarzamy, wykonanie obowiązku informacyjnego powinno odbyć się nie później niż przed zakończeniem ich zbierania. W przypadku zbierania danych nie bezpośrednio, powinno to się odbyć niezwłocznie (jednak nie później niż w ciągu 30 dni od dnia pozyskania danych bądź ich ujawnienia) lub najpóźniej z chwilą rozpoczęcia komunikacji z osobą, której dane są przetwarzane (np. przy przekazaniu informacji dotyczącej świadczonej usługi). 

Zakres niezbędnych informacji 

Zarówno w przypadku zbierania danych bezpośrednio, jak i nie bezpośrednio od osoby, której dane dotyczą, informacje, które administrator jest zobowiązany podać, obejmują:

1) informacje dotyczące tożsamości, danych kontaktowych administratora, ewentualnie analogiczny zestaw informacji na temat swojego przedstawiciela;

2) dane kontaktowe inspektora ochrony danych, jeśli został powołany;

3) informacje o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

4) informacje o prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, jeżeli przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. f RODO;

5) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,

6) ewentualnie informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jak również informację na temat potwierdzenia przez Komisję Europejską (lub jego braku) adekwatnego stopnia ochrony danych osobowych w takim państwie,

7) informacje o okresie, przez który dane osobowe będą przetwarzane, lub co najmniej wskazanie  kryteriów, zgodnie z którymi okres ten jest ustalany;

8) informacje o prawach osoby, której dane są przetwarzane, tj. do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

9) jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie z informacją, że jej wycofanie nie będzie wpływać na zgodność z prawem przetwarzania danych, dokonanego na podstawie zgody przed jej cofnięciem;

10) informacje o prawie wniesienia skargi do organu nadzorczego;

11) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo w przypadku pozyskiwania danych bezpośrednio od osoby przekazana powinna być także informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania oraz jakie są ewentualne konsekwencje niepodania danych. W przypadku gdy dane nie są pozyskiwane bezpośrednio od osoby będącej podmiotem danych, konieczne będzie także poinformowanie  o źródle  pochodzenia danych osobowych oraz kategoriach danych przetwarzanych przez administratora.

Zrozumiały język

W ostatnim czasie zauważalną tendencją jest upraszczanie języka komunikacji – szczególnie w komunikacji urzędowej skierowanej do nieprofesjonalnych odbiorców. Co na to RODO? Otóż przejrzystość, prosty i zrozumiały przekaz to elementy, które nie tylko warto, ale i należy uwzględnić formułując naszą komunikację dotyczącą informacji o przetwarzaniu danych. Wymóg ten wynika np. z art. 12 RODO. Zrozumiały przekaz to nie tylko nasz obowiązek, ale także element, który może korzystnie wpłynąć na to, jak klient odbiera komunikację, którą do niego kierujemy.

Jak zbudować dobry model biznesowy?

W praktyce

RODO nie formułuje precyzyjnych wytycznych co do sposobu realizacji obowiązku informacyjnego. Zasadniczo dopuszczalna jest każda forma przekazania informacji. Z zastrzeżeniem jednak, że ustne jej przekazanie jest dopuszczalne na wyraźne żądanie osoby i po uprzednim potwierdzeniu jej tożsamości.

Tradycyjnym sposobem przekazania informacji jest forma pisemnej / papierowej korespondencji, załącznika do umowy, informacji opublikowanej w łatwo dostępnym miejscu w siedzibie firmy lub w intranecie (np. dla pracowników). Innymi najczęściej spotykanymi formami spełnienia obowiązku informacyjnego jest jego zawarcie w polityce prywatności umieszczonej w widocznym i łatwo dostępnym miejscu na stronie internetowej administratora danych, do której administrator każdorazowo odsyła w regulaminie świadczenia usług, w korespondencji elektronicznej lub sms kierowanych do klientów. W przypadku komunikacji telefonicznej jest to odesłanie do takiej informacji po wybraniu wskazanego numeru/symbolu. 

Dopuszczalne jest pomocnicze wykorzystywanie grafik a dobrą praktyką jest „warstwowość” przekazu, która eliminuje sytuację dostarczenia zbyt obszernych informacji w jednym momencie. Dzięki temu odbiorca ma możliwość zapoznania się ze szczegółową informacją w dogodnym dla siebie momencie, po dostarczeniu podstawowych informacji (takich jak np. podstawowe dane identyfikacyjne administratora danych, cele przetwarzania i prawa osoby będącej podmiotem danych). 

Warto w tym miejscu pamiętać, że każdorazowa zmiana celów, sposobów, zakresu przetwarzania danych, oprócz niezbędności uzyskania odpowiedniej podstawy prawnej (np. poprzez uzyskanie dodatkowej zgody) będzie także wymagać aktualizacji obowiązku informacyjnego.

 

ZOBACZ RÓWNIEŻ