Jak zredagować klauzulę informacyjną RODO i uniknąć błędów
Klauzula informacyjna musi spełniać odpowiednie warunki nie tylko w zakresie treści, ale też sposobu jej zredagowania. Przede wszystkim musi być przejrzysta i zrozumiała dla odbiorcy, ale także wystarczająco skonkretyzowana. Redagując klauzulę informacyjną, nietrudno o błąd. Sprawdź czego należy wystrzegać się w treści klauzuli, by uniknąć konsekwencji w postaci kary nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych.
Treść i forma klauzuli informacyjnej według RODO
Przypomnijmy, że w celu spełnienia obowiązku informacyjnego RODO należy przekazać podmiotom danych informację, której treść reguluje art. 13 RODO - w przypadku podania danych osobowych bezpośrednio przez podmiot danych. Zaś w przypadku innych źródeł pozyskiwania danych przekazuje się informację o treści uregulowanej w art. 14 RODO. Ogólne rozporządzenie o ochronie danych wymaga, by informacje te były przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Innymi słowy, osoba, której dane dotyczą, powinna otrzymać informację o swoich danych osobowych w jak najbardziej przystępnej postaci.
Błąd 1 - nieczytelność klauzuli informacyjnej
Często zdarza się, że treść klauzuli informacyjnej RODO jest niespójna językowo, trudna do zrozumienia i zawiera wiele niejasności. Podawane informacje bywają bardzo rozbudowane i szczegółowe, bez żadnych podziałów. Ponadto można spotkać się z tendencją do nadmiernego skupiania się na niepotrzebnych formalnościach związanych z przetwarzaniem danych osobowych lub na cytowaniu przepisów. Tendencja ta jest wynikiem chęci zaprezentowania się jak najbardziej profesjonalnie. Niestety, taki zabieg sprawia, że klauzula staje się niezrozumiała dla odbiorcy i zniechęca go do jej przeczytania.
Tymczasem, tworząc klauzulę informacyjną RODO, administrator powinien posługiwać się:
- zwięzłą, przejrzystą, zrozumiałą i łatwo dostępną formą (niewykluczona jest np. tabela) oraz
- jasny i prosty język (szczególnie w przypadku kierowania informacji do dziecka).
|
Nieprawidłowo |
Prawidłowo |
|
"Na podstawie art. 13 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej RODO) administrator danych osobowych podaje (…) − cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania. W związku z powyższym informujemy, że dane osobowe są przetwarzane w celach związanych z zawarciem i prawidłową realizacją umowy, która stanowi podstawę nabycia oferowanych na stronie www.abcd.pl towarów lub usług (art. 6 ust. 1 lit. b RODO). Informujemy również, że dane osobowe są przetwarzane w celu wypełnienia ciążących na ADO obowiązków wynikających z przepisów prawa (art. 6 ust. 1 lit. c RODO). Takie obowiązki wynikają z art. 74 ust. 2 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. 2023 poz. 120), zgodnie z którym pozostałe zbiory przechowuje się co najmniej przez okres: 1) księgi rachunkowe −– 5 lat; (...); 3) dowody księgowe dotyczące wpływów ze sprzedaży detalicznej – do dnia zatwierdzenia sprawozdania finansowego za dany rok obrotowy, nie krócej jednak niż do dnia rozliczenia osób, którym powierzono składniki aktywów objęte sprzedażą detaliczną (...)." |
"III. Zakres, cele i podstawa prawna przetwarzania danych osobowych (albo: Jaki jest cel i podstawa prawna przetwarzania Państwa danych osobowych) Dane osobowe przetwarzamy:
|
Błąd 2 - trudny dostęp do informacji o przetwarzaniu danych osobowych
Administrator danych osobowych musi zapewnić, by informacje zawarte w klauzuli były łatwo dostępne dla odbiorców. Jak to zrobić?
Przykładowe sposoby na ułatwienie dostępu do treści klauzuli to:
- czytelne oznaczenie odpowiednich informacji,
- umieszczenie ich jako łatwo zrozumiałych odpowiedzi w widocznym miejscu na stronie internetowej (FAQ),
- dodanie linków do treści, jeśli klauzula jest wielowarstwowa.
Błąd 3 - administrator nadużywa specjalistycznych sformułowań
Administratorzy często używają skomplikowanych, fachowych terminów, co sprawia pozorne wrażenie, że klauzula jest napisana profesjonalnie. Zwykle jednak sprawia to, że staje się ona trudna do zrozumienia dla przeciętnego odbiorcy.
Tekst klauzuli należy formułować w taki sposób, aby był zrozumiały dla przeciętnego członka grupy docelowych odbiorców. Aby osiągnąć ten cel, konieczne jest określenie grupy odbiorców klauzuli i dopasowanie treści do ich potrzeb. Inaczej będzie brzmiała klauzula informacyjna dla klientów aplikacji oferującej wsparcie w prowadzeniu kancelarii prawnej. a inaczej informacja sklepu internetowego oferującego odzież dla nastolatków.
Błąd 4 - ogólniki i brak konkretów
Niepoprawne jest także korzystanie z pojęć abstrakcyjnych, wieloznacznych, które mogą rodzić wątpliwości co do interpretacji. Obowiązkiem administratora danych jest sprecyzowanie klauzuli, zwłaszcza jeśli chodzi o cele i zakres przetwarzania danych.
|
Nieprawidłowo |
Prawidłowo |
|
"Możemy wykorzystywać Twoje dane osobowe do opracowywania nowych usług." Błędem jest tu brak wskazania, czym są „usługi” ani w jaki sposób dane pomogą w ich opracowaniu. |
"Będziemy przechowywać historię Twoich zakupów i wykorzystywać szczegółowe informacje na temat produktów, które kupiłeś w przeszłości, aby proponować Ci inne produkty, którymi naszym zdaniem możesz być zainteresowany." |
|
"Możemy wykorzystywać Twoje dane osobowe do celów badawczych." Nieprawidłowością jest brak wskazania jakiego typu „badania” chodzi. |
"Będziemy przechowywać i badać informacje na temat Twoich ostatnich wizyt na naszej stronie i sposobu, w jaki poruszasz się po różnych sekcjach naszej strony, do celów analitycznych, aby dowiedzieć się, w jaki sposób użytkownicy korzystają z naszej strony, i uczynić ją bardziej intuicyjną." |
|
"Możemy wykorzystywać Twoje dane osobowe do oferowania spersonalizowanych usług." Wada klauzuli polega na braku podania, na czym polega personalizacja usług i określenia, o jakie usługi chodzi. |
"Będziemy rejestrować, na które artykuły na naszej stronie kliknąłeś, i wykorzystamy te informacje do tworzenia na tej stronie reklam przeznaczonych dla Ciebie, które będą dopasowane do Twoich zainteresowań, zidentyfikowanych przez nas na podstawie przeczytanych przez Ciebie artykułów." |
Błąd 5 - brak informacji o odbiorcach
W tym przypadku niedociągnięcia, których należy unikać, dotyczą zawartości klauzuli. Popularnym błędem jest wybór nieprawidłowej podstawy prawnej przetwarzania danych.
Jak wybrać właściwą podstawę przetwarzania danych osobowych wg RODO? Odpowiedź w artykułach:
Często zdarza się także niewskazanie tzw. odbiorcy. Zgodnie z art. 4 pkt 9 RODO jako odbiorcę rozumiemy:
- osobę fizyczną,
- osobę prawną,
- organ publiczny, a także
- jednostkę lub inny podmiot,
którym ujawnia się dane osobowe, niezależnie od tego, czy są oni stroną trzecią. W tym kontekście jako odbiorców dość często wskazuje się np. ZUS czy organy podatkowe. Odbiorcami nigdy nie są organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania, zgodnie z prawem Unii lub prawem państwa członkowskiego. Takich podmiotów nie powinno się wskazywać w klauzuli informacyjnej jako odbiorców.
Nierzadko administratorzy informują jedynie ogólnie o grupach odbiorców danych. W rzeczywistości ADO ma obowiązek podania nazwiska lub nazwy odbiorcy, aby osoby, których dane dotyczą, dokładnie wiedziały, kto posiada ich dane osobowe. Wskazanie jedynie kategorii odbiorców jest dopuszczalne jedynie w ostateczności, gdy nie ma możliwości wyszczególnienia konkretnych podmiotów.
W klauzuli informacyjnej należy w miarę możliwości podać:
- rodzaj odbiorcy (np. poprzez odniesienie się do działalności, którą prowadzi),
- jego branżę,
- sektor,
- podsektor,
- lokalizację.
|
Nieprawidłowo |
Prawidłowo |
|
"Odbiorcami Państwa danych będą firmy hostingowe, księgowe oraz windykacyjne." |
a) odbiorcy wymienieni z nazwy: „W razie konieczności możemy udostępniać Państwa dane osobowe następującym ich odbiorcom:
− którym powierzyliśmy te dane na podstawie odrębnej umowy powierzenia, zgodnej z RODO. b) wskazanie kategorii odbiorców "W razie konieczności możemy udostępniać Państwa dane osobowe następującym kategoriom odbiorców:
− którym powierzamy te dane na podstawie odrębnej umowy powierzenia, zgodnej z RODO." |
Błąd 6 - okres przechowywania danych zakreślony zbyt ogólnie
Dla wielu administratorów problemem jest ustalenie dokładnego okresu przechowywania danych (retencji). W rezultacie często podają zbyt ogólny czas przechowywania, który nie pozwala podmiotowi danych na ustalenie, jak długo jeszcze administrator będzie jego dane przetwarzał. Obowiązkiem administratora jest określenie zaś konkretnego okresu, a jeśli nie ma możliwości jego podania - wskazanie kryteriów jego wyznaczania.
|
Nieprawidłowo |
Prawidłowo |
|
"Okres przechowywania danych Ponieważ dane osobowe możemy przetwarzać w więcej niż jednym celu, toteż w przypadku zakończenia przetwarzania konkretnych danych (takich jak np. NIP) w jednym celu, takie dane możemy w niektórych przypadkach nadal przetwarzać, ale w innym celu lub celach, które wskazujemy poniżej. Niezależnie od powyższego Pani/Pana dane osobowe nie będą przechowywane dłużej, niż pozwalają na to przepisy prawa. Okres przechowywania danych osobowych wygląda następująco:
◦ polegającego na przechowywaniu dokumentacji pracowniczej: przechowujemy je przez 10 lat, licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, zgodnie z art. 94 pkt 9b ustawy z 26 czerwca 1974 r. – Kodeks pracy (Dz.U. z 2019 r. poz. 1040 ze zm.); ◦ polegającego na (…)." |
Pobierz:
- Wzór klauzuli informacyjnej zgodnej z RODO – w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
- Wzór klauzuli informacyjnej zgodnej z RODO – w przypadku zbierania danych od osoby, której dane dotyczą
- Lista kontrolna – sprawdź, czy prawidłowo realizujesz obowiązek informacyjny
W zakładce
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 6, art. 12, art. 13, art. 14.
- Ochrona sygnalistów a RODO – 10 obowiązków administratora w zakresie ochrony danych osobowych
- Ochrona danych osobowych w plikach cookies - zgodnie z RODO
- Najem krótkoterminowy a RODO – w życie wejdzie nowe rozporządzenie unijne
- Ustawa o ochronie sygnalistów - obowiązki administratorów danych osobowych
- Wzór polityki prywatności strony internetowej musi być zgodny z RODO
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
