Ochrona danych osobowych - RODO

 

RODO DLA MIKRO PRZEDSIĘBIORCÓW - podpowiedzi

 

Praktyczne podpowiedzi!

 

Zgodnie z przepisami RODO /art. 12-15/ administrator danych osobowych musi poinformować osobę, której dane osobowe dotyczą, że prowadzi działania związane z przetwarzaniem jej danych osobowych i jaki jest ich cel.

RODO w tym zakresie określa dwie możliwości pozyskiwania danych osobowych:

  • bezpośrednio od osoby, której dane dotyczą,
  • pośrednio poprzez inny podmiot.

Jeśli administrator gromadzi dane osobowe bezpośrednio od osoby, której dotyczą musi ją również poinformować o tym czy ma obowiązek je podać oraz o konsekwencjach, jeśli tego nie zrobi. W przypadku zbierania danych osobowych bezpośrednio obowiązek informacyjny należy spełnić w momencie ich pozyskiwania. W drugim przypadku obowiązek informacyjny należy spełnić w „rozsądnym” terminie po ich uzyskaniu /najpóźniej w ciągu miesiąca/ lub przy pierwszej komunikacji z osobą, której dane dotyczą.

            Administrator danych osobowych nie będzie musiał realizować obowiązku informacyjnego w następujących przypadkach:

  • osoba, której dane osobowe dotyczą zna już te informacje,
  • przekazanie informacji jest niemożliwe lub wymagałoby niewspółmiernie wysokiego wysiłku,
  • pozyskiwanie określonych danych osobowych jest uregulowane w prawie unijnym lub krajowym.

Ważnym elementem realizacji obowiązku informacyjnego jest poinformowanie osoby, której dane osobowe dotyczą o tzw. zautomatyzowanym podejmowaniu decyzji wobec osób, których dane osobowe dotyczą, czyli przede wszystkim o profilowaniu. Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który odbywa się w sposób automatyczny i ma na celu ocenę osoby fizycznej lub przewidywanie  jej zachowania np. automatyczny dobór reklam na stronie internetowej w oparciu o jej aktywność w internecie.

             Odrębnym obowiązkiem informacyjnym, który ciąży na administratorze jest poinformowanie osoby, której dane osobowe dotyczą o zdarzeniu naruszenia ochrony danych osobowych,  jeżeli to naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tej osoby np. wypływ danych bankowych, kradzież danych o stanie zdrowia.

 

Oto przykładowe wzory klauzul informacyjnych:

 

 

Wzór klauzuli informacyjnej stosowanej po rozpoczęciu stosowania RODO – w przypadku zbierania danych od osoby, której dane dotyczą

 

Informuję, że:

  1. administratorem Pani/Pana danych osobowych jest ……… z siedzibą w ……… przy ul. ………, zwany dalej Administratorem; Administrator prowadzi operacje przetwarzania Pani/Pana danych osobowych:
  • …, /np. imię i nazwisko/
  • …, /np. adres zamieszkania/
  • ..., /np. e-mail/ 
  • ... itd.

inspektorem danych osobowych u Administratora jest ………, e-mail: ………, */

2.  Pani/Pana dane osobowe przetwarzane będą w celu ……… i nie będą  udostępniane innym odbiorcom / w przypadku udostępniania danych innym podmiotom np. biuru rachunkowemu, specjalistycznej  przychodni lekarskiej należy podać konkretnie jakiemu podmiotowi będą przekazywane w oparciu o umowę powierzenia/,

 3.  podstawą przetwarzania Pani/Pana danych osobowych jest ………,

4. podanie danych jest niezbędne do zawarcia umowy, w przypadku niepodania danych niemożliwe jest zawarcie umowy,

5.  posiada Pani/Pan prawo do:

  • żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych,
  • wniesienia sprzeciwu wobec takiego przetwarzania,
  • przenoszenia danych,
  • wniesienia skargi do organu nadzorczego,
  • cofnięcia zgody na przetwarzanie danych osobowych.

 

6.  Pani/Pana dane osobowe nie podlegają zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu,

7.  Pani/Pana dane osobowe będą przechowywane przez ……… /podać okres czasu np. 3 lata lub opisowo - okres trwania akcji promocyjnej/

 

*/   jeśli dotyczy

Wzór klauzuli informacyjnej stosowanej po rozpoczęciu stosowania RODO – w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

 

Informuję, że:

1. administratorem Pani/Pana danych osobowych jest ……… z siedzibą w ……… przy ul. ………, zwany dalej Administratorem; Administrator prowadzi operacje przetwarzania następujących kategorii Pani/Pana danych osobowych:

  • …, /np. imię i nazwisko/
  • …, /np. adres zamieszkania/
  • ..., /np. e-mail/ 
  • ... itd.

inspektorem danych osobowych u Administratora jest …, e-mail: …,  */

2. Pani/Pana dane osobowe przetwarzane będą w celu ……… i nie będą udostępniane innym odbiorcom / w przypadku udostępniania danych innym podmiotom np. biuru rachunkowemu, specjalistycznej  przychodni lekarskiej należy podać konkretnie jakiemu podmiotowi będą przekazywane w oparciu o umowę powierzenia/,

3. podstawą przetwarzania Pani/Pana danych osobowych jest ………,

4. Administrator pozyskał Pani/Pana dane osobowe od ……… z siedzibą w ……… przy ul. ………,

5. posiada Pani/Pan prawo do:

  • żądania od Administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych,
  • wniesienia sprzeciwu wobec takiego przetwarzania,
  • przenoszenia danych,
  • wniesienia skargi do organu nadzorczego,
  • cofnięcia zgody na przetwarzanie danych osobowych.

6. Pani/Pana dane osobowe nie podlegają zautomatyzowanemu             podejmowaniu decyzji, w tym profilowaniu,

7. Pani/Pana dane osobowe będą przechowywane przez ……… /podać okres czasu np. 3 lata lub opisowo - okres trwania akcji promocyjnej/.

                   

*/  jeśli dotyczy

 

                    Zgodnie z przepisami RODO jedną z czterech podstaw prawnych przetwarzania danych osobowych jest zgoda osoby fizycznej, której dane osobowe dotyczą. Zgoda powinna być udzielona za pomocą klarownego, potwierdzającego czynność działania lub oświadczenia złożonego w dowolnnej formie. Jednak zawsze - w razie wątpliwości – administrator danych osobowych musi wykazać i udowodnić np. kontrolerowi, że zgoda została udzielona. Dlatego dla celów dowodowych zaleca się dokumentowanie faktu udzielenia zgody.  Udzielenie zgody jest zawsze czynnością wcześniejszą niż czynności przetwarzania danych osobowych.

RODO w swoich zapisach duży nacisk kładzie na warunki w jakich uzyskiwana jest zgoda naprzetwarzanie danych osobowych. Zgoda powinna być:

  • dobrowolna – możliwość swobodnego podjęcia decyzji bez przymusu bądź groźby np. nie można warunkować zawarcia umowy z celem marketingowym ,
  • konkretna – zrozumiała i dotycząca czynności przetwarzania precyzyjnie określonego celu lub celów przetwarzania,
  • świadoma – zainteresowany musi wiedzieć na co się zgadza /cel i zakres oraz metody przetwarzania, jakie ma prawa/,
  • jednoznaczna – nie może być dorozumiana lub domniemana z innego oświadczenia woli,
  • odrębna – musi być oddzielona od innych oświadczeń woli, napisana w jasnym i prostym językiem, w łatwo dostępnej formie,
  • zawarta w formie oświadczenia lub wyraźnego działania potwierdzajacego, które pozwala na przetwarzanie danych osobowych.

Przetwarzanie danych osobowych dzieci, które nie ukończyły 16 lat jest uznawane za zgodne z prawem wyłącznie w przypadkach, gdy zgodę na przetwarzanie wyraziła osoba sprawująca władzę rodzicielską lub opiekuńczą nad osobą niepełnoletnią.

 

Wzór klauzuli zgody na przetwarzanie danych osobowych zgodnej z RODO

1. Wyrażam zgodę na przetwarzanie moich danych osobowych przez administratora danych ……… z siedzibą w ………, ul. ………, numer KRS ………. w celu ………

2. Podaję dane osobowe dobrowolnie i oświadczam, że są one zgodne z prawdą.

3. Zapoznałem(-am) się z treścią klauzuli informacyjnej, w tym z informacją o celu i sposobach przetwarzania danych osobowych oraz prawie dostępu do treści swoich danych i prawie ich poprawiania.

                    Co z ze zgodami na przetwarzanie danych osobowych i klauzulami informacyjnymi pozyskanymi zgodnie z przepisami obowiązującymi do 24 maja 2018 r.?

Zgodnie z motywem nr 171 zawartym w RODO, jeżeli przetwarzanie  danych osobowych ma za podstawę zgodę osoby, której dane osobowe są przetwarzane, uzyskaną na podstawie obecnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, osoba ta nie musi ponownie wyrażać zgody, jeżeli sposób jej pierwotnego wyrażenia odpowiada warunkom zawartym w RODO.

W RODO nie ma przepisów, które odnoszą się wprost do aktualności obowiązku informacyjnego zrealizowanego zgodnie z dotychczasowymi przepisami. Można spotkać pogląd iż taką samą zasadę zawartą w motywie nr 171 dotyczącą ważności zgód należy stosować do dotychczasowego obowiązku informacyjnego. Należy jednak mieć na uwadze iż nowy obowiązek informacyjny zawarty w RODO jest znacznie bardziej rozbudowany niż obowiązujący do 24 maja bieżącego roku.

Przedstawiona powyżej informacja nie wyczerpuje tematu, a tylko ma zachęcić do bliższego zapoznania się z RODO. Wiele zagadnień z tego obszernego tematu nie jest wyjaśnionych i oczekuje na interpretacje organów odpowiedzialnych za stosowanie RODO w praktyce, wiele pozostawiono do decyzji administratora danych osobowych, a wiele rozstrzygną w przyszłości dopiero wyroki sądowe.

 

Źródło:

Wielkopolska Izba Rzemieślnicza w Poznaniu